In opdracht van de overheid gaan onderzoekers van de TU Delft onderzoeken welke apparaten in huis onveilig zijn. Uiteindelijk moeten onwetende consumenten een seintje krijgen van hun provider als ze bijvoorbeeld een makkelijk te hacken beveiligingscamera in huis hebben.
Een man in Brabant die – op een minieme heupslip na – naakt op een stretcher, tussen de drogende was, in zijn betegelde achtertuintje ligt. Een kinderkamer met een bedje vol knuffels. Of een oudere man die gezeten in een leunstoel recht in de camera kijkt. Het zijn zomaar een paar actuele Nederlandse beelden die op gespecialiseerde websites staan die onbeveiligde webcams in kaart brengen. De beelden van de camera’s illustreren feilloos dat er een probleem is met alle apparaten in huis die tegenwoordig aan het internet hangen. Dat zijn al lang niet meer alleen de computer, telefoon of laptop.
De methode die nu door de TU Delft wordt toegepast om voor het ministerie van Economische Zaken in kaart te brengen welke apparaten in huis onveilig zijn, staat bekend onder de term ‘honey pot’. Het idee is om zoveel mogelijke verschillende webcams, wasmachines, lampen, deurbellen, routers en andere apparatuur in gebruik te nemen om vervolgens te zien wat er dan gebeurt. Bij de slecht beveiligde exemplaren zullen de geautomatiseerde bots van kwaadwillende criminelen als bijen op de honing afkomen.
Notoir onveilig
Dat er een probleem is met al dit soort zogeheten Internet of Things-apparaten is al langer duidelijk. Het worden er niet alleen steeds meer, veel ervan zijn notoir onveilig. Fabrikanten hebben lang niet altijd veel verstand van beveiliging of geven er domweg geen prioriteit aan, omdat hun product zo goedkoop mogelijk in de schappen moet liggen. Het gevolg is dat al die op het oog aantrekkelijke spullen – vaak van Chinese makelij –doodeenvoudig gehackt kunnen worden.
Volgens beveiligingsonderzoeker Rik van Duijn van KPN Security is het een kwestie van een paar minuten voordat hackers binnen zijn. Apparatuur met standaardwachtwoorden als ‘admin’ of met andere beveiligingsproblemen worden namelijk voortdurend gescand. Kwaadwillenden kunnen er vervolgens malware opzetten, zonder dat de eigenaar het doorheeft. Vanaf dat moment fungeert die fijne deurbel of camera als digitale loopjongen voor de crimineel. Ze worden bijvoorbeeld ingezet voor DDoS-aanvallen, of kunnen met hun rekenkracht – ook een deurbel is een computertje – bijdragen aan het minen van cryptomunten. Elk gekaapt apparaat betekent simpelweg geld voor een crimineel. En het is kinderlijk eenvoudig, zegt Van Duijn.
Concrete stappen
Naar verwachting zullen er volgend jaar al dertig miljard apparaten zijn verbonden met internet. ‘Consumenten en bedrijven kunnen daar veel voordeel uithalen, maar alleen als de beveiliging in orde is’, zegt staatssecretaris Mona Keijzer (Economische Zaken). Het kabinet heeft al langer plannen om dit probleem aan te pakken, ook op Europees niveau. Daarop vooruitlopend komen nu al een paar concrete stappen. Zo wil het Digital Trust Center (onderdeel van Economische Zaken) in gesprek gaan met fabrikanten en importeurs om hun kwetsbare apparaten veilig te maken. Binnenkort moeten al de eerste lijsten van die apparaten bekend worden gemaakt.
Volgens Carlos Ganan, onderzoeker bij de TU Delft, zal het onderzoek dat nu begint veel meer inzichten geven dan nu via bestaande sites als Shodan (‘Google voor hackers’) wordt gedeeld. ‘We kunnen op die sites bijvoorbeeld zien welke camera’s onbedoeld beelden openbaren, maar niet wat voor malware er op staat. Dat gaan wij onderzoeken’, aldus Ganan.
Beter geïnformeerd
Fabrikanten moeten niet alleen betere spullen maken, de consument moet ook beter worden geïnformeerd, is het plan van Keijzer. Internetproviders kunnen volgens haar ‘een belangrijke rol’ spelen om consumenten te bereiken om maatregelen te nemen. Met de data die nu door de TU Delft worden verzameld, zouden de providers hun klanten moeten informeren als blijkt dat ze onveilige apparatuur in huis hebben. Uit onderzoek dat in opdracht van het ministerie is verricht, blijkt dat een op de vijf consumenten überhaupt geen flauw idee heeft hoe apparaten die met het internet verbonden zijn, moeten worden beveiligd. Van Duijn vindt het dan ook een goed idee om op deze manier het bewustzijn te vergroten.
Voor de langere termijn wordt op Europees niveau gekeken naar minimale digitale veiligheidseisen voor Internet of Things-apparatuur. Hierbij kan worden gedacht aan een verplichting om regelmatig updates uit te voeren of aan het gebruik van veilige wachtwoorden.
Meer over digitale beveiliging
Alle apparaten straks online: zie dan maar eens een cyberramp te voorkomen
Waar interessante en spraakmakende verhalen online en in de krant ophouden, gaat het Volkskrantgeluid verder. Wat is een zwart gat precies? En hoe gaat het eraan toe in tbs-klinieken? Onze verhalenmakers leggen het uit.
