Managed hosting door True

'Beveiliging internet of things rammelt'

 

Er schort veel aan de beveiliging van apparatuur die wordt gerekend tot het ‘internet of things’ (IoT). Van zeven op de tien onderzochte apparaten kan een aanvaller de account-informatie stelen. Het kraken van wachtwoorden blijkt vaak een fluitje van een cent en er wordt zelden encryptie gebruikt. Dat blijkt uit een steekproef van beveiligingsleverancier en dochterbedrijf van HP, Fortify on Demand.

De onderzoekers selecteerden tien ‘slimme’ IoT-devices die momenteel op de markt zijn en die zich op een of andere manier via internettoepassingen laten bedienen: een tv, webcam, thermostaat, stopcontact, tuinsproeier, hub, deurslot, inbraakalarm, weegschaal en garagedeur. Bijna allemaal zijn ze op de een of andere manier verbonden met een cloud-omgeving of app waarmee persoonlijke informatie wordt vastgelegd, opgeslagen of doorgegeven.

Bij zeven op de tien devices kan een aanvaller die account-informatie bemachtigen, stelt de studie. Zeven op de tien onderzochte toestellen gebruiken daarnaast géén encryptie voor het doorsturen van data en bij acht op de tien toestellen kunnen moeiteloos onveilige (te korte, eenvoudig te raden) wachtwoorden gebruikt worden. Vaak konden wachtwoorden te gemakkelijk gereset worden, waardoor een hacker de controle over een toestel kan overnemen.

Heartbleed

Zes van de tien IoT-devices die in een user interface voorzien, zijn daarnaast ook nog eens kwetsbaar voor een reeks bekende, ernstige security-problemen. Zo zijn sommige devices kwetsbaar voor cross-site scripting (xss) en kan bij anderen zelfs nog de beruchte Heartbleed OpenSSL-bug misbruikt worden.

Het moge duidelijk zijn: als het Internet of Things ons leven in de toekomst moet vergemakkelijken dan zal er wel nog flink gesleuteld moeten worden aan de beveiliging, willen we vermijden dat ons leven overgenomen wordt door een hacker.

Volgens marktanalist Gartner zal tegen 2020 het ‘internet of things’ bestaan uit 26 miljard intergeconnecteerde ‘dingen’. Nu alsmaar meer ‘smart devices’ de weg naar de consument vinden, achtte Fortify on Demand de tijd rijp om de beveiliging van zulke slimme objecten na te gaan.

I.s.m Datanews

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5146200). © Jaarbeurs IT Media.

6,3


Lees meer over


Partnerinformatie
 

Reacties

De oplossing is heel eenvoudig. Boycot IoT.

Communicatieprotocollen, datamodellen, informatie-uitwisseling, sensoren, opslag en nog meer andere zaken moeten nog in IoT-concept een vorm krijgen terwijl dit artikel me een indruk geeft dat we al deze zaken achter de rug hebben!
Uiteraard kommen nog meer zaken zoals beveiliging en standaardisatie in deze rij staan waardoor IoT nog erger wordt dan BYOD!

Als we hele Internet zouden encrypten dan wordt het twintig keer zo duur en maakt niemand er meer gebruik van. Smart devices en domme gebruikers is dan ook een rendabele combinatie waar niet alleen cyber criminelen gebruik van maken. Misschien cynisch maar Internet is nooit ontworpen met veiligheid in het achterhoofd, alles is later toegevoegd en dus lijkt de evolutie zich weer te herhalen.

Boycotten? Ik zou liever zeggen, wachten tot de industrie op dit punt volwassen is geworden. Lees: gebruikersvriendelijk
En wat Ewout Dekkinga betreft... Dit zijn kretologieën die t.a.v. de informatica als jaren gebezigd worden. Een baard hebben dus. Ik hoef me toch ook geen onveilige auto aan te schaffen omdat ze anders te duur zouden zijn?

@Peter: IoT is veel te leuk en handig om te boycotten!
Dat hou je echt niet tegen...
Waarom die beveiliging en encryptie de zaken nou zoveel duurder zou gaan maken is mij even niet helemaal duidelijk.
Men heeft mij wijsgemaakt dat met IPv6 iedere zandkorrel op aarde een eigen IP-adres zou kunnen krijgen. Dat opent de weg om lampen, koelkast, weegschaal, televisie, Senseo etc. etc. eenvoudig op afstand te kunnen aanspreken. Door die massaliteit zal er ongetwijfeld een beveiligingsstandaard ontwikkeld worden die door de enorme productieaantallen niet of nauwelijks prijsverhogend zal werken. En gehackt en gekraakt wordt er toch. Dat houd je gewoon niet tegen.

Ik denk dat er verschil moet zijn tussen de apparaten: het beveiligingsniveau van een garagedeur zal hoger moeten zijn dan die van een TV (bv. inbraak in je garage).
Wel is het goed dat deze zaken tegen het licht gehouden worden. IoT draagt duidelijk nog luiers. De eerste concept modellen waren niet beveiligd en daarna heeft men er niet over nagedacht, met het idee van 'wie hackt er nou een stopcontact?'.
Toch snap ik niet dat de fabrikanten met simpele protocollen werken en korte, simpele wachtwoorden. Bijna iedereen weet het simpele wachtwoord van zijn router, meestal 'admin' of '1234'. Als je dat niet wijzigt kan elke kwaadwillende er bij.
IoT apparatuur zal dus van 1) sterke wachtwoorden EN inlognamen voorzien moeten worden en 2) versleutelde communicatie en data.
Als dat te veel moeite is voor een fabrikant, dan zou ik die meteen links laten liggen.

Volgens mij doen heel veel fabrikanten dat al!

Als nou gewoon geen verbinding met internet maakt, dan kan je lampje toch ook licht geven, je weegschaal wegen etc.?

Ik krijg er hier een visioen van dat de apparaten in je huishouden een eigen leven gaan leiden en door iemand van buiten af bestuurd worden. Maar ook dat je met een geinig appie de apparaten in huis kan aansturen. Zo raak je aardig vergroeid met dat ding.

@J.J. Boomsma
Je vergelijk met auto's lijkt me enigzins scheef te gaan omdat elke auto die op de weg toegelaten wordt gekeurd is. Kan er natuurlijk naast zitten maar bij IoT is dat niet het geval. Baard waarover je het hebt zit dan ook meer in 'responsible disclosure' als we het dan toch over kretologie gaan hebben.

Ook niet onbelangrijk is het onderhoud, als je geen profiel meer op je banden hebt dan glij je bij de eerste de beste regenbui van de weg af. En ook de flexibele slang van je gasinstallatie in caravan/boot moet regelmatig vervangen worden, lees ieder jaar weer over gasexplosies. Veiligheid is namelijk toch nog opmerkelijk vaak de sluitpost.

Voor wie het zich nog kan herinneren, Microsoft werd jaren geleden opgeschrikt door de uitbraak van een virus welke zich razendsnel verpreide via Internet. Als gevolg hiervan hebben ze het Trustworthy Computing Initiatief (TwC) opgestart omdat er een verlies aan vertrouwen was in hun software. Nu lijken ze weer een ander probleem te hebben doordat ze iedereen dwingen om over te gaan op laatste versies.

Als ik straks ook gedwongen wordt om mijn goed functionerende koelkast te vervangen omdat deze een embedded besturingssysteem heeft dat niet meer ondersteund wordt dan vraag ik me af welke voordelen er zitten aan IoT. En dan heb ik het nog hierbij niet eens over privacy discussie want nu klokkenluiders tipje van sluier oplichten zien we enige bewustwording.

Dat was geen 'responsible disclosure' maar denk dat ik er niet ver naast zit door te stellen dat als verdienmodellen veranderen de kosten voor Internet behoorlijk zullen stijgen. Het idee dat industrie vanzelf die bezwaren op gaat lossen lijkt me ook nogal naïef, niemand slacht de kip met de gouden eieren.

Ewout:
Keuring van een auto (je reactie hierboven) is gebaseerd op standaarden die we eerder afgesproken hebben. Volwassenheid waar JJ naar verwijst is naar mijn mening hetzelfde als een gestandaardiseerd product, dus ook hetzelfde punt. Misschien heb ik standaardisatie in mijn reactie hierboven verder moeten toelichten/ onder aandacht brengen

Binnen standaardisatie vallen verschillende onderwerpen die nog voor IoT geregeld moeten worden. Responsible disclosure zoals jij benoemd hebt zal ook in dit kader (standaardisatie) en (misschien) binnen de juridische laag van dit concept besproken, behandeld en verduidelijk worden.

IoT zal met veel uitdagingen te maken krijgen! Kijk wat Tesla een tijd geleden meegemaakt heeft met Chinese hackers. Dezelfde jongens zullen je huis met je IoT-spullen overnemen. Hierdoor zullen fabrikanten gedwongen iets gaan doen aan verschillende tekortkomingen en gevaren rondom hun IoT producten anders kunnen ze hun product niet afzetten.

Wat ik zelf interessant vind is:
- Wie is de eigenaar van data die door je apparaten geproduceerd is? Bijvoorbeeld ING wil de informatie rondom je koopgedrag doorverkopen en als je het niet wilt dan moet je de bank gaan verlaten. Dus ING beweert de eigenaar te zijn van je data!

- Kun je je data die je al geproduceerd hebt meenemen als je van merk/leverancier veranderd?

- Hoe zit het met vendor lock-in?

.........en nog meer andere vragen maar een beetje te vroeg in deze fase van dit concept.

@Louis. Minder geinig als iemand, in opdracht van een glashandelaar, remote de digitale gaskraan sluit om de waakvlam te doven, vervolgens opendraait en je stopcontacten remote laat vonken. Heb je snel een stel ruiten nodig. De "passende" offerte kan dan natuurlijk al in je inbox liggen ;-)

Of deze over de afstandsbestuurde Pacemaker http://venturebeat.com/2008/08/08/defcon-excuse-me-while-i-turn-off-your-pacemaker/

@Pieter Dat klinkt als oplichting, maar je kan je de meeste malle scenario's voorstellen. Die van de pacemaker al eerder gehoord en deze week las ik deze:

http://www.ad.nl/ad/nl/1012/Nederland/article/detail/3711981/2014/08/04/Vliegtuig-gehackt-mogelijk-gevaar-voor-de-luchtvaart.dhtml

Meen me te herinneren dat de eerste virussen ook vrij spel hadden. Juist door die virussen en hackers wordt alles beter.

Zo gaat het ook met al die apparaatjes die aangesloten worden en communiceren via het internet. Het ontwikkelt zich.

Als het aan een aantal mensen hier ligt, wordt dit hele fenomeen maar de nek om gedraaid. O nee. Het moet eerst heel goed zijn voordat we het gaan gebruiken! Maar zo werkt dat natuurlijk niet.

Bij het verfijnen van vliegtuigen zijn ook mensen gesneuveld. Wapens zouden ook verboden moet worden, daar zijn ook slachtoffers bij gevallen.

Big deal... not.

@Henri
Ik heb niets tegen op IoT, wel verzet ik me tegen domheid.

Je stelt bijvoorbeeld dat wapens verboden moeten worden terwijl deze in het kader van verdediging tegen mensen of wilde dieren (al naar gelang de situatie) me een nuttige functies lijken te hebben. Gezien mijn verleden ben ik niet onbekend met het gebruik van wapens, lees dat bezuinigingen op defensie misschien toch niet zo slim waren nu blijkt dat de wereld niet een paradijs is. Kortweg gaat het dus om de inzet welke misschien niet altijd precies zo is als deze bedoeld is.

Als ik overweeg dat virussen en de tegenmaatregelen steeds meer beginnen te lijken op dezelfde wapenwedloop van de koude oorlog dan vraag ik me af hoe dom je bent;-)

Voordat je ín 'in de dampen schiet' moet je weten dat ik nooit interesse heb gehad in het wapen zelf maar vooral in welke handen deze zich bevond. Er zit namelijk nogal een verschil tussen een terrorist en een politieagent (of een militair) en als het over Internet gaat is de controle ervan dus wel degelijk van belang. Mijn eerste reactie is gebaseerd op een al langer lopende discussie over privacy welke je dus altijd bagatelliseert maar wel degelijk van belang is bij IoT.

IoT, DPI en Big Data zijn naar mijn opinie onlosmakelijk met elkaar verbonden zoals niet alleen Edward Snowden ons leerde maar ook Kim Dotcom en nog wat minder bekende figuren. Bedrijfsspionage is namelijk wel een Big Deal van vele miljarden als ik kijk naar de langzaam veranderende opstelling van onze oosterburen.

P.S.
De dood van één mens is een tragedie; de dood van miljoenen slechts statistiek. Als je het dan toch over wapens hebt laten we het dan eens hebben over massa vernietigingswapens wat één kogel versus één virus maakt nogal een verschil;-)

Ewout, "wapens zouden ook verboden moeten worden" is in de context van mijn reactie ironisch bedoeld. Er had ook "auto's" kunnen staan.

Wat ik bedoel te zeggen in mijn reactie is dat alles wat nieuw is, vol met mankementen zit, en dat is OK.

Surveillance of the masses en zeker door overheid is evil en kan voor evil gebruikt worden. Ik ben voor privacy en tegen data graaien, alleen moet je wel pragmatisch zijn. Het schenden van privacy door overheid is een politieke discussie, maar als het volk hiertegen niet in opstand komt moet je wel als bedrijf pragmatisch zijn.

Waar ik me vooral tegen verzet is het koppelen van data door instanties en overheid. Het fenomeen wat zich in het VK voltrekt is de macht van de (zorg)verzekeraar. Zij bieden kastjes aan die zaken meten (IoT) en goed gedrag wordt beloond met een lagere premie. Dat moet **DOOD** want dit hellend vlak is het begin van het einde. Want dalijk krijg je dat gezond e mensen niet willen betalen voor mensen met een ongezonde levensstijl. Maar levensstijl is vaak ook gebonden aan budget. Dus krijg je dat de rijken gezonder kunnen leven en dus minder premie betalen. Verzekering moet gebaseerd zijn op onzekerheid.

Privacy is belangrijk om je te beschermen tegen criminelen.
Privacy is een recht om in je eigen omgeving jezelf te kunnen zijn.
Privacy betekent dat overheden maar beperkte data over jouw mogen opvragen.
Privacy is helaas onmogelijk. Alles laat sporen na, zowel je geld, je telefoon als, maar ook fysiek bewegen over straat. Dat kun je niet tegenhouden, wat wel tegengehouden moet worden is het *delen* van die data en het mogen gebruiken van die koppeling. Maar om zomaar privacy te eisen houd geen stand, dus moet je wel de details in duiken en is het een spanningsveld die je niet zwart-wit kunt stellen.

@Henri
Het certificaat dat ik behaalde om 'blindgangers' onschadelijk te maken door me twee weken alles te laten opblazen was ook een truc. Kwam er pas achter welke cursus ik gedaan had toen me verteld werd dat ik dus de persoon was die naar voren werd gestuurd om niet werkende handgranaten op te ruimen. Foutje, bedankt!

Discussie over solidariteit in de zorg lijkt me echter off-topic hoewel het inderdaad twijfelachtig is of zorgverzekeraars zoveel macht moeten hebben. Meen me echter te herinneren dat ik over onderwerp van IoT al eens wat geschreven heb in opinie 'Zelfhulp en kameradenhulp' waar ik stelde dat een veilige infrastructuur een voorwaarde is. Voor je het weet bedient niet de dokter de medicijnpomp maar boekhouder of erfgenamen, al naar gelang wie er het meeste voordeel hebben. Betreffende je opmerking over mankementen hoop ik dus echt dat bepaalde apparaten beter getest en beveiligd zijn dan mijn smartphone. En dat sommige informatie beter geverifieerd is dan de aantijging dat Saddam Hoessein massavernietingswapens had, voortschrijdend inzicht leert dat niet alles is zoals het soms voorgesteld wordt.

Even terug naar mijn eerste alinea, als ze me rechtstreeks gevraagd hadden of ik de cursus ongesprongen projectielen wou doen met uitleg dat ik daarmee dus direct mijn leven in de waagschaal legde bij elke oefening handgranaat werpen dan was mijn antwoord nee. Hetzelfde geldt voor jouw betoog, je overziet de consequenties niet altijd van iets waarvan je maar de helft verteld wordt. Het één komt niet zonder het ander zoals ik al stelde in mijn voorgaande reactie over DPI en Big Data, tussen jouw zwart-wit zitten namelijk nog 150 tinten grijs. En IoT is mede door de mogelijkheden van profiling dus nog een ontzettend grijs gebied.

Internet of Things (IOT) is of wordt de hype de komende jaren. Weegschalen, lampen, de koelkast, alles wordt geconcenteerd met Internet en met name vanuit gemak (schakelen op afstand of voor meetdoeleinden, bijvoorbeeld energieverbruik.
Ik heb een aantal van die apparaten getest en de basic beveiliging is meestal wel op orde. Gebruikersnamen, wachtwoorden, https, etc zit er meestal allemaal wel op, maar met een next-klik-ok installatie worden de fabrieksinstellingen gebruikt. Nets als dat de meeste simkaarten zijn beveiliging met 000 of 1111 zijn de fabrieksinstellingen met accounts als admin, root en wachtwoorden als admin, system, 1234 in gebruik. Als je weet welk apparaat wordt gebruikt kan je via de gebruiksaanwijzing de inloggegevens achterhalen.
De leveranciers zouden moeten inspelen op beveiliging door de koper cq installateur van de apparatuur dwingend de gegevens te veranderen, je hebt dan wel gelijk wat administratie, maar je bent vwb beveiliging direct op een medium level beland en dus meestal niet meer zo interessant voor de gemiddelde hacker. Ook in het bedrijfsleven wordt nog volop gebruik gemaakt van root en admin accounts die standaard zijn of in de gebruiksaanwijzing voorkomen. Je ziet altijd dat daar als eerste op wordt getest, dus wijzigen levert veel op.

Alle ontwikkelde machtsblokken zijn Cyberwar strategieen aan het ontwikkelen en bedenk dat de `Things` van het Internet-of-Things betrokken kunnen worden bij een Cyberwar. Dit wordt op een aantal Universiteiten op de wereld (waaronder Princeton) reeds aan studenten onderwezen.

@Willem Gravesande, 26-08-2014 11:53: zie bijvoorbeeld https://wuala.com/FreemoveQuantumExchange/Aspects/Security/Theory/Cybersecurity_and_Cyberwar.pdf

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×