De populaire domoticasoftware OpenHAB wordt op grote schaal onveilig gebruikt. Dat brengt ernstige privacyrisico’s met zich mee, zo blijkt uit onderzoek van KPN Security. De onderzoekers kregen via OpenHAB eenvoudig toegang tot slimme apparaten bij mensen thuis. In één geval konden zij zelfs de locatie van de bewoners monitoren.
Van thermostaten en lampen tot koelkasten en camera’s: steeds meer apparaten zijn gekoppeld aan internet. Dit heeft allerlei voordelen, zoals de mogelijkheid om apparaten op afstand te bedienen en processen te automatiseren. Maar een ‘smart home’ brengt ook risico’s met zich mee. Zo kunnen kwaadwillenden apparaten manipuleren of gevoelige informatie inzien. Denk aan een boze buurman die in je vakantie de verwarming aanzet. Of een inbreker die precies weet wanneer je de deur uit bent.
Het is dus cruciaal dat slimme apparaten goed beveiligd zijn. Dat geldt ook voor beheerplatformen zoals OpenHAB. Tienduizenden mensen gebruiken deze ‘domoticasoftware’ om hun smart home centraal aan te sturen. “Het is niet praktisch om voor elk apparaat een losse app te gebruiken”, zegt securityspecialist Sjoerd Hulzinga. “Met OpenHAB kun je honderden merken en apparaten aan elkaar knopen. Als je iets met thuisautomatisering wil doen, kom je al snel bij dit platform uit.”
Onderzoek naar OpenHAB
Smart homes zijn meestal hobbyprojecten. “Mensen willen gewoon dat het werkt. Beveiliging staat niet bij iedereen scherp op het netvlies”, stelt Hulzinga. Een kapitale fout, vindt hij. “Dit is een complexe systeemintegratie waarbij de apparaten ook nog zeer privacygevoelige data genereren. Je moet dus goed nadenken over de architectuur, en de beveiligingsmogelijkheden binnen OpenHAB benutten. Wij waren benieuwd in hoeverre gebruikers dit daadwerkelijk doen en welke risico’s dat oplevert.”
Ethisch hacker Siep van der Waal ging op onderzoek uit. Via geavanceerde zoekopdrachten kreeg hij al snel meerdere OpenHAB-installaties in het vizier. “Bij ongeveer de helft was het dashboard van OpenHAB volledig toegankelijk, zonder gebruikersnaam en wachtwoord”, vertelt Van der Waal. Via het dashboard kon hij bijvoorbeeld de temperatuur binnen en de instellingen van de boiler aanpassen. Ook was het mogelijk om lampen en de audio-installatie te bedienen. “Die grens ga ik als onderzoeker natuurlijk niet over.”
Extreem privacygevoelig
In één geval kon Van der Waal zelfs de locatie van de bewoners volgen. “Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na 10 minuten weer terugkwam. Zij ging even de hond uitlaten.” Als onderzoeker is hij wel wat gewend, maar zelfs hij schrok hiervan. “Veel privacygevoeliger dan dit wordt het niet. Dergelijke informatie uit de persoonlijke levenssfeer is interessant voor criminelen. Zij kunnen hiermee bijvoorbeeld een inbraak of ontvoering plannen.”
Van der Waal wist ook het adres en de identiteit van deze bewoners te achterhalen. “Uit de plattegrond kon ik de omliggende straatnamen halen, in de logging zag ik voornamen staan en in een webserver kwam ik de achternaam tegen.” Opvallend genoeg was de beheerder een IT-specialist. “Het is veelzeggend dat zelfs een IT-professional de security niet op orde heeft. We hebben via LinkedIn meerdere berichten gestuurd om de bewoners te informeren, maar kregen helaas geen reactie.”
Nieuw Mirai-botnet
Naast de privacyrisico’s ziet Hulzinga nog een ernstig probleem. “Cybercriminelen besmetten slimme apparaten met malware en creëren zo een gigantisch netwerk van zombie-apparaten. Met zo’n botnet kunnen zij enorme cyberaanvallen uitvoeren. De impact hiervan zagen we bijvoorbeeld in 2016, toen het Mirai-botnet een deel van het internet platlegde. Een onveilige OpenHAB-installatie maakt het nog makkelijker om toegang te krijgen tot slimme apparaten, ook als het apparaat zelf goed beveiligd is.”
Gebruiker is verantwoordelijk
KPN Security hoopt dat dit onderzoek een wake-upcall is voor OpenHAB-gebruikers. “Een smart home brengt verantwoordelijkheden met zich mee”, vindt Van der Waal. “Als beheerder moet je niet alleen kijken of alles werkt, maar ook de veiligheid waarborgen.” Hulzinga is het daar hartgrondig mee eens. ”OpenHAB is niet inherent onveilig. Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt.”
De onderzoekers geven een aantal adviezen om de risico’s rondom OpenHAB te beperken:
1. Stel authenticatie in voor OpenHAB
OpenHAB biedt verschillende beveiligingsmogelijkheden, zoals het toevoegen van een inlogscherm. Gebruikers moeten dan op het dashboard inloggen met een gebruikersnaam en wachtwoord. “Sommige mensen vinden dit vervelend, maar het went snel”, zegt Hulzinga. “En je zet je auto toch ook elke keer op slot? Wat mij betreft is er geen enkel goed argument tegen het gebruik van zo’n inlogscherm.”
2. Installeer updates zo snel mogelijk
Controleer elke dag of er beveiligingsupdates zijn voor al je slimme apparaten en voor OpenHAB zelf. “Verkopers van slimme apparaten zijn verplicht om gebruikers te informeren over software-updates”, legt Van der Waal uit. “Maar je moet de updates wel zelf installeren, tenzij het apparaat niet van jou is.” Als voorbeeld noemt hij een thermostaat. “De energieleverancier heeft het recht om de update te installeren.”
3. Schakel ongebruikte functionaliteit uit
Zorg voor een veilige configuratie door overbodige functionaliteit uit te schakelen. “Zo verklein je het aanvalsoppervlak”, zegt Hulzinga. “Is het echt nodig dat dit apparaat verbinding maakt met internet of dat je het op afstand kan bedienen? Moeten je slimme gordijnen ’s nachts aan staan? Alle functionaliteit die je uitzet, kan niet misbruikt worden. Dit wordt in de securitywereld ook wel ‘hardening‘ genoemd.”
4. Check regelmatig of er poorten openstaan
Cybersecurity is geen eenmalige oefening. Van der Waal: “Een omgeving die vandaag veilig is, kan morgen alweer kwetsbaarheden bevatten. Een goede securityhygiëne, waarbij je de beveiliging continu aanscherpt, is erg belangrijk.” Als voorbeeld noemt hij het scannen op openstaande poorten. “Een openstaande poort kan een beveiligingsrisico vormen. Wij adviseren om alle ongebruikte poorten dicht te zetten.”
Bovenstaande maatregelen zorgen er niet voor dat een OpenHAB-installatie waterdicht beveiligd is. “Je moet van goeden huize komen om een ervaren en gemotiveerde hacker tegen te houden”, aldus Hulzinga. “Maar als jouw smart home net wat moeilijker binnen te dringen is dan het gemiddelde huis, kiest 90 procent van de hackers voor een makkelijker doelwit. Hiermee houd je de grappenmakers en hobbyhackers buiten de deur.”
Neem security serieus
Van der Waal begrijpt wel dat een smart home-project voor veel mensen vooral leuk moet zijn. “Maar je creëert hiermee een systeem dat al je gezinsleden 24/7 schaduwt. Wees je dus bewust van de risico’s en verdiep je in de technologie, zodat je in staat bent om een veilige omgeving te bouwen. Alleen dan is het verantwoord om OpenHAB te gebruiken.”
Na de zomer gelijk goed doorpakken? Schrijf je nu vast in voor NLSecure[ID], want hét grootste security event van Nederland komt terug op 20 september.