Slimme apparatuur is een middel voor criminelen om hun slag te slaan. Al te vaak is de beveiliging niet op orde. Uit onderzoek van KPN Security blijkt de populaire domoticasoftware OpenHAB niet goed te worden ingeregeld.
Een ‘smart home’ heeft allerlei voordelen, zoals de mogelijkheid om apparaten op afstand te bedienen en processen te automatiseren. Maar deze technologie brengt ook risico’s met zich mee. Zo kunnen kwaadwillenden apparaten manipuleren of gevoelige informatie inzien. Het is dus cruciaal dat slimme apparaten goed beveiligd zijn. Dat geldt ook voor beheerplatformen zoals OpenHAB. Tienduizenden mensen gebruiken deze domoticasoftware om hun smart home centraal aan te sturen.
Ethisch hacker Siep van der Waal ging op onderzoek uit. Via geavanceerde zoekopdrachten kreeg hij al snel meerdere OpenHAB-installaties in het vizier. Bij ongeveer de helft was het dashboard van OpenHAB volledig toegankelijk, zonder gebruikersnaam en wachtwoord. Via het dashboard kon hij bijvoorbeeld de temperatuur binnen en de instellingen van de boiler aanpassen. Ook was het mogelijk om lampen en de audio-installatie te bedienen. ‘Die grens ga ik als onderzoeker natuurlijk niet over.’
In één geval kon Van der Waal zelfs de locatie van de bewoners volgen. ‘Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam. Zij ging even de hond uitlaten. Dergelijke informatie uit de persoonlijke levenssfeer is interessant voor criminelen. Zij kunnen hiermee bijvoorbeeld een inbraak of ontvoering plannen.’
Van der Waal wist ook het adres en de identiteit van deze bewoners te achterhalen. ‘Uit de plattegrond kon ik de omliggende straatnamen halen, in de logging zag ik voornamen staan en in een webserver kwam ik de achternaam tegen.’ Opvallend genoeg was de beheerder een it-specialist. ‘We hebben via LinkedIn meerdere berichten gestuurd om de bewoners te informeren, maar kregen helaas geen reactie.’
Wake-up-call
KPN Security hoopt dat dit onderzoek een wake-up-call is voor OpenHAB-gebruikers. ‘Een smart home brengt verantwoordelijkheden met zich mee’, vindt Van der Waal. ‘Als beheerder moet je niet alleen kijken of alles werkt, maar ook de beveiliging waarborgen.’
Sjoerd Hulzinga, securityspecialist bij KPN Security: ‘OpenHAB is niet inherent onveilig. Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt.’
De onderneming geeft tips om de risico’s voor smart homes te beperken.
Bij de timmerman klemt de deur, bij de loodgieter druppelt de kraan en bij de IT-er staat de digitale voordeur open . . .