- Het aantal IoT-apparaten zal in 2020 waarschijnlijk 26 miljard bereiken
- Een slim huishoudapparaat kun je al met een eenvoudige online zoekopdracht hacken
- Door de Mirai botnetaanval werd IoT-security een hot topic
- Overheden wereldwijd beginnen de dreiging eindelijk serieus te nemen
Ledereen neemt veiligheid serieus. Daarom staat je voordeur niet open, doe je je auto op slot en laat je vreemden niet zomaar je huiskamer in lopen. Toch zijn de meeste mensen, als het gaat om de slimme apparaten die ze in huis hebben, veel minder alert, ondanks dat de beveiligingsproblematiek rond smart devices veel aandacht krijgt. En dat is een groot probleem.
Het aantal IoT-apparaten zal in 2020 waarschijnlijk 26 miljard bereiken
De laatste jaren is er een ware wildgroei van slimme huishoudelijke apparaten ontstaan, variërend van zeer nuttige tot ronduit bizarre devices. Het mag dan volkomen normaal zijn dat een veiligheidscamera tegenwoordig met het IoT verbonden is, die noodzaak is voor een broodrooster, stofzuiger of vuilnisbak eigenlijk een stuk minder duidelijk. Toch blijven we deze (inmiddels bijna allemaal slimme) apparaten kopen, omdat ze ons leven gemakkelijker en handiger maken. Sterker nog, ongeveer 62 procent van de Amerikaanse volwassenen bezit nu ten minste één met het IoT verbonden apparaat. Gartner voorspelt dat er tegen 2020 meer dan 26 miljard IoT-apparaten zijn en dat de wereldwijde IoT-markt in 2019 niet minder dan $1,7 triljoen waard is. Het is dan ook niet verwonderlijk dat deze groei gepaard gaat met een explosieve toename van het aantal cyberaanvallen. Symantic meldt bijvoorbeeld dat het aantal IoT-aanvallen tussen 2016 en 2017 met maar liefst 600 procent is gestegen.
Een slim huishoudapparaat kun je al met een eenvoudige online zoekopdracht hacken
IoT-technologie kan enorm kwetsbaar zijn voor hacking, en elk nieuw apparaat dat je in huis haalt is een potentiële toegangspoort voor cybercriminelen. De belangrijkste reden voor dit gebrek aan beveiliging is dat fabrikanten dit aspect tijdens de productontwikkeling vaak negeren. Ze richten zich met name op het zo snel mogelijk op de markt brengen van nieuwe producten, zodat ze flink mee kunnen profiteren van de smart devices trend. Het implementeren van adequate beveiligingsfuncties in IoT-apparaten kost tijd en geld en kan potentieel nadelige invloed hebben op de werking van zo’n apparaat. Fabrikanten besluiten dan ook vaak dat beveiliging niet de moeite waard is.
Standaard inloggegevens – zoals ‘admin’, ‘12345’, ‘root’ of ‘password’ – is een van de meest voorkomende manieren waarop fabrikanten hun apparaten blootstellen aan aanvallen van buitenaf. Uit een onderzoek van Positive Technologies uit 2017 blijkt dat 15 procent van de IoT-apparaten (in winkels en bij mensen thuis) standaard inloggegevens heeft. 10 procent daarvan heeft standaard een van de vijf populairste gebruikersnaam/wachtwoord-combinaties. En alsof dit nog niet erg genoeg is, zijn deze ook nog vaak hard gecodeerd in de apparaten, wat betekent dat je ze niet kunt veranderen. Als gevolg daarvan hoeft een hacker alleen maar de standaard gebruikersnaam/wachtwoord-combinatie van een apparaat te googelen en vervolgens kan hij jouw apparaat hacken.
Uit een recent onderzoek van Ben-Gurion University blijkt hoe gemakkelijk het is om slimme huishoudelijke apparaten te hacken. Het onderzoek omvatte 16 off-the-shelf apparaten, waaronder bewakingscamera’s, deurbellen, thermostaten en babyfoons. “Het duurde maar 30 minuten om de wachtwoorden voor de meeste van deze apparaten te vinden en sommige hadden we al meteen te pakken met het googelen van het merk” zegt Omer Shwartz, een van de onderzoekers van het project. “Als hackers eenmaal toegang hebben tot een IoT-apparaat, zoals een camera, kunnen ze een heel netwerk van deze cameramodellen op afstand besturen. Volgens Yossi Oren, een andere onderzoeker, lukte het hen om “een babyfoon harde muziek te laten afspelen, een thermostaat uit te schakelen en een camera op afstand aan te zetten”.
Door de Mirai botnetaanval werd IoT-security een hot topic
De eerste IoT-cyberaanval met alledaagse slimme huishoudelijke apparaten vond plaats tussen december 2013 en januari 2014. Cybercriminelen wisten tijdens deze aanval meer dan 100.000 IoT-apparaten te hacken, waaronder routers, tv’s, multimediacenters en koelkasten, en gebruikten deze om meer dan 750.000 schadelijke e-mails naar individuen en bedrijven te verzenden. De aanval bleek moeilijk te blokkeren omdat ze nooit meer dan 10 e-mails van één IP-adres stuurden. Sindsdien is de situatie er niet beter op geworden, met als ‘hoogtepunt’ de inmiddels beruchte Mirai botnetaanval in oktober 2016. Tijdens deze aanval gebruikten hackers een netwerk van slecht beveiligde apparaten – zoals routers en beveiligingscamera’s – om de grootste DDoS-aanval ooit uit te voeren op Dyn, het bedrijf dat een groot deel van de DNS-infrastructuur in de wereld beheert. Door de waren enkele van ’s werelds populairste websites, waaronder Twitter, Netflix, PayPal, Reddit en het PlayStation Network, geruime tijd uit de lucht.
En lijkt er inmiddels op dat onderzoekers bijna wekelijks nieuwe gebreken en kwetsbaarheden in IoT-apparaten ontdekken. In juli 2017 kondigde de IoT-beveiligingsfirma Senrio aan dat het een beveiligingsfout had ontdekt in de code van fysieke beveiligingsproducten, waaronder beveiligingscamera’s, sensoren en toegangskaartenlezers. Hierdoor kunnen aanvallers via één enkel kwetsbaar apparaat toegang krijgen tot een beveiligd netwerk. Deze kwetsbaarheid is bekend als Devil’s Ivy en heeft invloed op miljoenen bestaande IoT-apparaten. En hoewel sommige fabrikanten al patches hebben uitgegeven om het probleem op te lossen, zijn veel van deze apparaten nog steeds onbeschermd. Om aan te tonen hoe gevaarlijk dit kan zijn, voerde Senrio een nepaanval uit waarbij het de controle over een beveiligingscamera en een router overnam. Tijdens de aanval lukte het hen om toegang te krijgen tot andere beveiligde apparaten op het netwerk die financiële en privégegevens bevatten.
Overheden wereldwijd beginnen de dreiging eindelijk serieus te nemen
Dit zette zelfs de FBI ertoe aan om in actie te komen en mensen te waarschuwen voor de gevaren van onbeveiligde IoT-apparaten. “Apparaten in ontwikkelde landen zijn bijzonder aantrekkelijke doelwitten, omdat ze toegang geven tot veel zakelijke websites die het verkeer van verdachte of buitenlandse IP-adressen doorgaans blokkeren. Cybercriminelen gebruiken het gecompromitteerde IP-adres van het apparaat om in deze systemen in te breken, waardoor het moeilijk is om normaal verkeer van kwaadwillig verkeer te onderscheiden”, aldus de waarschuwing. Volgens de FBI kunnen de aanvallers deze apparaten gebruiken voor spam-e-mails, klikfraudeactiviteiten, de verkoop/verhuur van IoT-botnets en credential stuffing (waarbij hackers grote sets gelekte inloggegevens geautomatiseerd op inlogpagina’s kunnen invoeren om te zoeken naar matches met bestaande accounts).
De Amerikaanse overheid reageerde op deze groeiende dreiging door in 2017 de Internet of Things Cybersecurity Improvement Act aan te nemen, waarin veiligheidsnormen zijn opgenomen voor IoT-apparaten die aan de overheid worden verkocht. Hoewel deze wet op dit moment alleen de overheid beschermt en niet van toepassing is op consumentenapparaten, is het toch een belangrijke stap in de richting van een oplossing voor dit steeds verder escalerende probleem. Op dezelfde manier werkt de Britse overheid aan het opstellen van veiligheidsregels voor IoT-producten en ook het cybersecurityagentschap ENISA van de Europese Unie is bezig met een gemeenschappelijk beleidskader voor IoT-veiligheid.
Het is een feit dat IoT-apparaten ons leven makkelijker, efficiënter en prettiger maken. En te oordelen naar de cijfers, ‘they are here to stay’, beveiligingsfouten of geen beveiligingsfouten. Maar wat kunnen we als gebruikers doen om onszelf te beschermen? Je zou gewoon geen IoT-apparaten meer kunnen kopen, maar dat zal niet meevallen want nagenoeg alle apparaten worden in de toekomst slim. Een andere optie is om alleen IoT-apparaten van gerenommeerde fabrikanten te kopen die aangetoond hebben dat ze beveiliging serieus nemen. Dan moet je wel direct de standaard inloggegevens veranderen en nooit hetzelfde wachtwoord voor meerdere apparaten gebruiken. Probeer je IoT-apparaten bovendien op een apart netwerk te houden en ervoor te zorgen dat ze altijd up-to-date zijn. Op die manier kun je veilig genieten van het gemak van IoT-apparaten.
