Terwijl we van alle kanten horen dat onze steden en huizen steeds slimmer worden, sloeg het Agentschap Telecom begin vorige maand alarm over de risico’s van IoT-beveiliging. Het merendeel van de apparaten die met het internet verbonden zijn, blijkt namelijk nogal hackbaar. Dat vraagt volgens het agentschap om minimale eisen voor de veiligheid.
Effe hacken
Het is relatief simpel. Zodra cybercriminelen een kwetsbaar IoT-apparaat hebben ontdekt, blijkt verrassend eenvoudig door de IoT-beveiliging heen te breken. Met de ‘Brute force’ methode lukt het eigenlijk altijd om achter een wachtwoord te komen, maar het kost wel veel tijd. Een andere, veelgebruikte en snellere manier is het standaard fabriekswachtwoord proberen. Veel fabrikanten gebruiken namelijk dezelfde standaard inloggegevens voor alle apparaten die zij maken. Het is veel duurder om voor ieder apparaat een apart wachtwoord te creëren. Zodra zo’n wachtwoord is achterhaald, kunnen hackers met botnets van het dark web vervolgens duizenden dezelfde apparaten in één keer besmetten.
Het probleem met encryptie
Het zou natuurlijk ideaal zijn om de gegevens die een IoT-apparaat verzamelt te versleutelen, zodat hackers niets met de data kunnen. Toch is encryptie niet direct de meest logische oplossing voor IoT-beveiliging. Het is namelijk ingewikkeld om de bijbehorende encryptiesleutels te beschermen en te beheren. En slecht sleutelbeheer maakt het hele encryptieproces waardeloos. Een slecht beheerde sleutel kan de gegevens onbruikbaar maken, bijvoorbeeld als de sleutel die wordt gebruikt om de betreffende gegevens te encrypteren niet beschikbaar wordt binnen een verificatieproces. Het enorme aantal apparaten in IoT vergroot de uitdagingen van encryptie en sleutelbeheer exponentieel.
Maar wat moeten we dan wel doen?
We kunnen stellen dat IoT-beveiliging op dit moment afhankelijk is van een goede samenwerking tussen fabrikanten en gebruikers. Allebei kunnen zij dingen doen om de kans op een hack te verkleinen. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is van mening dat de fabrikant een zorgplicht heeft. En ik ben het met hem eens dat fabrikanten eindgebruikers moeten helpen om de beveiliging zo sterk mogelijk te maken. Dat kan bijvoorbeeld op de volgende manieren.
1. Het wachtwoord
Het is een open deur, maar de beveiliging van IoT-apparaten gaat echt enorm vooruit wanneer gebruikers de inloggegevens van hun slimme apparaten gemakkelijk kunnen aanpassen. Dit helpt tegen de goedkoopste (en dus populairste) hackmethode die cybercriminelen gebruiken. Fabrikanten zouden hun klanten dus actief moeten stimuleren om de inloggegevens van hun apparaten te wijzigen door bij de opstart van een apparaat om een uniek en “sterk” wachtwoord te vragen. En ze daarbij tips geven voor een sterk wachtwoord. Hoewel kostbaarder, kunnen fabrikanten van IoT-apparaten natuurlijk ook een uniek en willekeurig gegenereerd wachtwoord toewijzen aan elk apparaat en dit samen met het apparaat naar de klant verzenden.
2. Firmware
Fabrikanten moeten regelmatig een nieuwe firmwareversie aanbieden aan hun klanten. Aan gebruikers de taak om zo’n nieuwe versie op tijd te installeren. De fabrikant moet heel duidelijk maken aan de klant wat het belang is van regelmatige updates en het belang daarvan voor IoT-beveiliging . In de meeste gevallen voorkomt of sluit een dergelijke update veiligheidslekken in het apparaat. Monitoring software (voor thuisgebruikers vaak gratis) signaleert welke apparaten in het netwerk toe zijn aan een update.
3. Een apart netwerk
Gebruikers kunnen gasttoegang instellen voor de nieuwe IoT-apparaten in hun WLAN. Dit geeft IoT-apparaten de internettoegang die ze nodig hebben, maar houdt ze gescheiden van andere IT-apparaten. Als gevolg hiervan blijft zelfs een hacker die toegang heeft verkregen tot de IoT-apparaten gescheiden van uw andere IT. Fabrikanten kunnen hier een rol in spelen door hun klanten heldere instructies te geven over hoe ze zo’n apart netwerk kunnen creëren.
4. Universal Plug and Play (uPNP)
De netwerkfunctie uPNP is vaak erg handig. Hiermee kunnen apparaten in het netwerk zelf de benodigde instellingen bepalen. Apparaten met uPNP veroorzaken meestal zeer typisch en frequent netwerkverkeer. Daardoor zijn ze kan makkelijker vindbaar voor aanvallers en ze bieden de aanvaller vaak belangrijke informatie over het netwerk. Voor de IoT-beveiliging is het dus veiliger om uPNP uit te schakelen, wat meestal kan via de configuratie-interface van de router.
Lichtpuntje
We moeten ervan uitgaan dat voorlopig nog veel slecht beveiligde apparaten de markt zullen betreden. Het is wat het is. Coole functies en een betaalbare prijs zijn vaak de doorslaggevende factoren om een apparaat aan te schaffen, in elk geval voor consumenten. Gelukkig worden mensen dankzij berichten zoals die van het Agentschap Telecom zich bewuster van de risico’s die zij nemen met IoT-beveiliging. Laten we daarom hopen dat alle fabrikanten van slimme apparaten hun verantwoordelijkheid nemen en hun klanten eerlijk en helder informeren over risico’s en te treffen veiligheidsmaatregelen.
Klik hier voor meer blogs van IT-experts.