Beveilig uw thermostaat

,,Een slimme meter? Nee. Die komt er bij mij niet in.” Natuurlijk wil ik weten waarom mijn gesprekspartner zo stellig is in de weigering om een slimme meter te laten installeren: persoonlijk zie ik namelijk wel voordelen. Ik ben inmiddels een aantal maanden tevreden gebruiker van Toon, al voordat Buurman en Buurman het apparaatje op tv demonstreerden. Ajetoon! Maar de man die tegenover mij zit aan het lunchtafeltje is niet te vermurwen: dan kan zijn energieleverancier precies zien wanneer hij thuis is. Om maar iets te noemen. Ik begrijp uit die woorden dat het om de privacy gaat.

Inderdaad: de slimme meter is van buitenaf, via het internet, te benaderen. Het is dus hetzelfde als met een pc of een tablet. Kwaadwillenden zouden kunnen inbreken en data kunnen stelen. En als je eenmaal op het thuisnetwerk zit via die meter, dan is de weg naar andere apparaten die op dat netwerk zijn aangesloten, niet heel erg ingewikkeld. Allemaal waar.

Om te beginnen heb ik voldoende vertrouwen in onze rechtstaat en de regels omtrent privacybescherming om de slimme meter toch te laten hangen. Zoals gezegd zie ik de voordelen wel degelijk. Bovendien: privacy blijkt ineens niet het grootste risico van apparaten op het internet. Privacy is niet het grootste risico van het Internet of Things (IoT). Het grootste risico is dat al deze apparaten over massieve rekenkracht beschikken die je kunt bundelen en vervolgens kunt misbruiken, bijvoorbeeld om grootscheepse aanvallen op te zetten op andere computers.

Recentelijk zagen we daarvan een voorbeeld. IoT-apparaten werden door middel van het Mirai-botnet gebundeld. Vervolgens werd de Amerikaanse dns-provider Dyn aangevallen. Deskundigen berekenden dat tot honderdduizend IoT-apparaten – vooral camera’s van videobewakingssystemen – betrokken waren bij deze aanval. De aanval zelf is een uit het boekje en maakte gebruik van een zeer bekende techniek: ‘tcp syn floods’. Honderdduizend apparaten die tegelijkertijd een verbinding tot stand proberen te brengen met een server, in een poging om die server door de hoeven te laten zaken. Daarna is het binnendringen op die server een koud kunstje. In totaal werden twintig Dyn-datacenters aangevallen, ook in Europa. De aanval liep dood omdat een aantal providers op de internet-backbone hun verbinding met Dyn verbraken.

Broodrooster

Het was waarschijnlijk maar een voorbode. Het IoT groeit immers als kool en, helaas, IoT-apparaten zijn nauwelijks beveiligd. Dat is een enorm risico. Een bekend risico. In een artikel dat een jaar geleden verscheen op techcrunch.com schreef Ben Dickson al het volgende: ,, Twenty years ago, if you told me my phone could be used to steal the password to my email account or to take a copy of my fingerprint data, I would’ve laughed at you and said you watch too much James Bond. But today, if you tell me that hackers with malicious intents can use my toaster to break into my Facebook account, I will panic and quickly pull the plug from the evil appliance.”

Vertaald: vertel mij dat hackers mijn broodrooster kunnen gebruiken om in te breken op mijn Facebook-account en ik zal in paniek razendsnel de stekker uit het duivelse apparaat rukken. Twintig jaar geleden zou je voor gek zijn versleten. Nu is het superactueel. In 2020 zullen er volgens Gartner meer dan twintig miljard apparaten wereldwijd draadloos met het internet zijn verbonden. Daarmee is IoT per direct een vreselijk aantrekkelijk platform voor hackers, vooral als vehikel naar systemen met data waarvan we niet willen dat ze in handen komen van criminelen.

Er waren een paar incidenten voor nodig om een paar grote bedrijven wakker te schudden. Microsoft voegde Bitlocker encryptie toe aan Windows 10 voor IoT. Andere ondernemingen  – waaronder BT, Vodafone, IBM en chipmaker NXP – verenigden zich in de IoT Security Foundation. Dat is allemaal prima en noodzakelijk. IoT Security is een veelkoppig beest. De duizenden, miljoenen verbindingen moeten beveiligd, de data die IoT-apparaten verzamelen moet veilig ergens worden bewaard en, natuurlijk,  de apparaten zelf moeten beveiligd. Veel beter beveiligd.

OWASP

Bij dat laatste begint de discussie. Wie heeft en neemt de verantwoordelijkheid bij het beveiligen van IoT-apparaten? De consument? Die moet je dan leren dat ze IoT-devices beter in een separaat netwerk kunnen ophangen. Zo’n netwerk moet de consument dan configureren op bijvoorbeeld de WiFi-router. Veel apparaten maken daarbij gebruik van UPnP: Universal Plug and Play. Dat vinden klanten fijn. Sterker: als ze geen UPnP kunnen gebruiken, regent het bij providers als Ziggo klachten. UPnP maakt het leven namelijk zoveel gemakkelijker. Aansluiten, automatisch laten configureren en klaar. Groot nadeel is dat UPnP geen sterk protocol is en gemakkelijk te kraken voor een beetje hacker. Zet het dus bij voorkeur uit. Maar dan? Niet iedereen is IT’er en heeft kennis van netwerkconfiguratie.

Kortom: er ligt ook een bijzonder grote verantwoordelijk bij fabrikanten en leveranciers van IoT-apparaten. Dat is geen gemakkelijke opgave. Om apparaten steeds voldoende te beveiligen, halen ze – of krijgen ze – regelmatig nieuwe software (firmware) aangeboden. Dat doet een fabrikant vaak via cloud services. Daarvoor moet zo’n apparaat wel in staat zijn om die services te kunnen bereiken. Inderdaad: potentieel risico.

De oplossing is niet eenvoudig. Fabrikanten moeten misschien meer kijken naar de ‘oude’ IT. Hier geldt heel vaak nog steeds een ‘least privilege’-beleid (POLP). Alleen datgene dat strikt noodzakelijk is wordt toegestaan, desnoods tijdelijk. OWASP (Open Web Application Security Project) is al een tijdje bezig met het ontwikkelen van een security-framework voor IoT, met als doel structurele oplossingen te bieden. Daarbij pleit OWASP voor een ‘ holistische’ benadering. Da’s buzztalk. Tikje jammer: ook OWASP gaat vooral in op de privacyaspecten. Een van de belangrijkste adviezen: zorg ervoor dat het apparaat geupdate kan worden (met de toevoeging: ‘heel belangrijk’).

Ja. Ook. In combinatie met het besef dat het risico van IoT wordt gevormd door de massiviteit. Als je die weet te mobiliseren, heb je potentieel een supercomputer in handen. Dat is de jackpot voor hackers.