"Pas op met 'the internet of things', want hackers vallen uw huis aan"


Uw computer, telefoon en zelfs uw auto zijn al te hacken. Maar hackers komen nu achter uw huis aan. Daarom past u beter op met The Internet of Things, zeggen de FBI, HP en Eddy Willems, beveiligingsexpert van Gdata.


Voor ons huis nemen we allemaal beveiligingsmaatregelen. We zetten extra sloten op de deuren, hangen camera's op en zetten een hoog hek neer. Allemaal om er voor te zorgen dat de inbreker niet bij ons langskomt. Als het de inbreker te lang duurt voordat hij binnen kan komen, gaat hij naar de buurman die alleen zijn voordeur op slot gedraaid heeft.

Hoe veel mensen nu met hun online veiligheid omgaan, is het equivalent van de voordeur dicht doen, maar niet op slot draaien. We gaan namelijk totaal niet voorzichtig om met apparaten die we in huis halen. Bij onze nieuwe 'connected' koelkast, televisie of thermometer wordt er vaak niet aan gedacht dat we daar ook het standaard wachtwoord aan moeten aanpassen en de laatste updates moeten uitvoeren.

Maar dat is niet het enige probleem van the internet of things, zegt Eddy Willems, beveiligingsexpert of 'security evangelist' van Gdata. Hij legt de bal voornamelijk bij de fabrikant. "De consument is vaak doelloos op dit gebied, die weet niet wat er gaande is en denken vaak dat het 'wel oké is'. Maar dat is helemaal niet het geval."

"Ik hou ontzettend van de mogelijkheden van de internet of things. Zeker in de toekomst is het noodzakelijk. We kunnen nu al zelfs niet meer zonder, maar ik heb het zelf ook een bijnaam gegeven: the internet of trouble. Omdat er op dit moment veel te weinig wordt nagedacht door makers van de apparaten. Er wordt te weinig aandacht besteed aan de beveiliging. Vooralsnog testen bedrijven de beveiliging van veel apparaten wel uitvoerig, maar er wordt nog weinig samengewerkt met de beveiligingsindustrie. Die zou hier meer in betrokken moeten worden. Ik zie nog weinig bedrijven die hier nu op inspelen. Dat is een zwaar gemis."

Een van de bedrijven die de afgelopen week wel maatregelen aankondigde was HP. De printers van het bedrijf worden in de toekomst beter beveiligd, want 'de dreiging reëel'. "Uw infrastructuur is maar zo sterk als de zwakste schakel en dat kan in een netwerk even goed de printer zijn. Een printer is niet langer louter een afdrukmachine, maar heeft hardware, een besturingssysteem, extra software en een ip-adres. Een printer functioneert als een pc", klinkt het bij HP.


De gevaren

Als een wagen gehackt wordt, is het duidelijk wat het probleem is. U kunt er fysiek last van krijgen als iemand uw auto van afstand kan besturen. Dat is iets anders met de apparaten die aan het internet hangen. Maar dat beveiliging evengoed belangrijk is, staat vast. "Want privégegevens zijn de olie van cybercriminelen", zegt Willems. "Wij denken dat het in de toekomst voor zal komen dat hackers om losgeld gaan vragen. Als u niet wil dat uw thermostaat op volle kracht aanstaat, moet u hen dan betalen. Vooralsnog is dit niet het geval, maar dit kan in de toekomst heel goed."

Ook kan iemand aan uw instellingen op de thermostaat zien wanneer u thuis bent. Vriest het buiten en de verwarming staat niet aan? Dan bent u er waarschijnlijk niet. Als de verwarming pas uren later weer opwarmt, weet de inbreker hoelang hij ongeveer heeft om eens rustig rond te kijken.


Spam

Wat nog een online probleem is en niet in de fysieke wereld gevaarlijk is, is dat er spam rondgestuurd kan worden van gehackte apparaten. Ook kunnen er virussen verspreidt worden en andere illegale zaken aan de gang zijn. Allemaal via uw thermostaat of koelkast, terwijl u rustig op de bank zit. Niet een erg prettig idee. Het gehackte netwerk wordt zo een spil in het web van cybercrimineel.

Zoals HP al aankondigde: uw infrastructuur is zo sterk als de zwakste schakel. Als iemand ziet dat u uw standaardpaswoord nog op uw koelkast heeft, is hij zo binnen. Dan zit hij op uw WiFi-netwerk en is het niet moeilijk om verder te geraken.

"Die connected devices gaan werken met andere dingen", zegt Willems. "Met uw Google kalender of Gmail bijvoorbeeld, om u een mail te sturen als er iets misgaat." Dan kan iemand dus al heel makkelijk bij uw privémail en alle andere persoonlijke gegevens.


Hoe te beveiligen

"Lees als u een apparaat aanschaft de license agreement. Niemand doet het, maar lees het maar eens", zegt Willems. "Zijn er inderdaad mogelijkheden dat uw gegevens worden doorgegeven? Dat kan perfect tegenwoordig."

"Denk vervolgens na over welke functies u in het apparaat gaat gebruiken. Het is vaak leuk om veel functies te gebruiken, maar is het echt nodig? Welke consequentie heeft het als mijn koelkast verbonden is aan mijn e-mail account of agenda? Wat zal er gebeuren als dit gehackt wordt? Denk er dus over na wat u wel en niet wilt koppelen."


Standaardwachtwoorden

Daarnaast is het aanhouden van standaardwachtwoorden uiteraard uit den boze. Toch doen veel mensen dat wel. In het advies dat de FBI geeft, staat onder meer het uitschakelen van de Universal Plug and Play (UPnP)-functie op routers. Deze helpt vooral consumenten bij het eenvoudig aanmelden van nieuwe apparatuur op het lokale netwerk. De routerfunctie controleert echter nauwelijks wat er wordt aangesloten en kent automatisch een IP-adres toe. Daardoor vormt deze functie een makkelijk aangrijpingspunt voor ongenode gasten om binnen te komen.


Gevoelige plekken

Ook steeds meer beveiligingsapparatuur is verbonden met internet. Camera's, en microfoons komen sowieso steeds meer in ons huis. Denk maar aan uw laptop of smartphone. Hierdoor staat steeds meer persoonlijke data bloot aan criminelen.

Met name mannen plakken vaak een stickertje op hun webcam, omdat ze niet het risico willen lopen in bepaalde omstandigheden bekeken te worden door derden. Dit lijkt misschien overdreven, maar hackers kijken soms echt mee. Mensen worden soms zelfs gechanteerd met de beelden.

Het lijkt misschien vreemd om het wachtwoord op uw koelkast aan te passen. Of om uw thermostaat beter te beveiligen. Maar u draait beter de figuurlijke deur op slot, zodat de (cyber)crimineel naar uw buurman gaat.


Blog Datanews.be, 26-09-2015 (Wim Kopinga)

Veel zaken die in het artikel verkondigd worden zijn de harde realiteit in de steeds meer gedigitaliseerde wereld waar we onszelf in bevinden.

Toch is er vooral bangmakerij die in al deze verhalen steeds terugkomt en word er naar ons hoofd geslingerd met termen dei de meeste onder ons nauwelijks begrijpen, om zo hun boodschap kracht bij te zetten natuurlijk.

De meest gebruikte fout is dat mensen vaak het standaard wachtwoord vergeten aan te passen of hun toestellen niet up-to date houden.

Wachtwoorden zelf worden meestal beveiligd opgeslagen door middel van encryptie protocollen met salting functies waardoor aanvallers het steeds moeilijker krijgen. Specifieke netwerk protocollen zorgen dan weer voor een veiligere communicatie enzovoort.

Feilloos zal een systeem nooit zijn maar beveiliging is net zoals in het gewone leven voor 90% toe te vertrouwen aan "common sense".

Om af te sluiten bevat het artikel ook nog een fout UPNP wordt niet gebruikt om IP adressen toe te kennen hiervoor is de (meestel de router of een ander netwerk apparaat) zijn DHCP server voor verantwoordelijk een degelijke netwerkinfrastructuur zou voor een consument onmogelijk worden moest deze functie niet beschikbaar zijn in onze nog steeds gedomineerde IPv4 maatschappij. UPNP word vaak gebruikt om automatische port-forwarding makkelijker te maken om zo apparaten makkelijker met elkaar te kunnen laten communiceren binnen het netwerk.

Tot slot een verwijzing naar dit artikel: https://lightcommands.com/20191104-Light-Commands.pdf

Waar ze aantonen dat niet enkel online aanvallen mogelijk zijn op smart devices maar ook aanvallen met lasers ervoor kunnen zorgen dat je garagepoort, lichten, voordeur of thermostaat kunnen bediend worden vanop afstand door een hacker.

Hierbij wordt gebruik gemaakt van oscillerende lichtgolven die de MEM microfoon op bv een Google home of Alexa toestel kunnen beïnvloeden.

__________________