Of het nu een printer, beveiligingscamera of lamp is, IoT-apparatuur die rechtstreeks met internet is verbonden vormt een gewild doelwit voor cybercriminelen. Het Internet of Things (IoT) is toenemend zorgenkindje, want veel apparatuur blijkt kwetsbaar.
Onlangs publiceerde De Volkskrant een artikel over de gevaren waaraan we worden blootgesteld. Een onveilige deurbel of camera kan als loopjongen fungeren voor criminele organisaties, zo stelde het dagblad. Een team van de TU Delft onder leiding van security researcher Carlos Hernandez-Ganan onderzocht in opdracht van het ministerie van Economische Zaken welke apparaten in huis onveilig zijn.
De methode die nu door de TU Delft wordt toegepast om voor het ministerie van Economische Zaken in kaart te brengen welke apparaten in huis onveilig zijn, staat bekend onder de term ‘honey pot’. Het idee is om zoveel mogelijke verschillende webcams, wasmachines, lampen, deurbellen, routers en andere apparatuur in gebruik te nemen om vervolgens te zien wat er dan gebeurt. Bij de slecht beveiligde exemplaren zullen de geautomatiseerde bots van kwaadwillende criminelen als bijen op de honing afkomen. Met de resultaten vanuit het onderzoek van de TU Delft is het voor providers mogelijk om consumenten en ondernemingen beter kunnen infomeren om hun bewustzijn te vergroten.
Steeds meer online
Ook bedrijven die hun apparatuur hebben voorzien van slimme componenten als sensoren en deze hebben verbonden met andere apparaten en systemen lopen een risico. Meer en meer machines worden met internet verbonden. Volgens softwarefabrikant SAS zullen dat er in 2025 al meer dan 55 miljard zijn. Marktonderzoeker IDC voorspelt dat dit jaar 745 miljard dollar aan IoT wordt uitgegeven. De veiligheid van deze apparatuur mag daarbij geen ondergeschoven kind zijn.
KPN Security helpt bedrijven zich op dit punt te weren tegen het opkomende gevaar. Wie denkt de dans te kunnen ontspringen, kan bedrogen uitkomen. Elk bedrijf met slecht beveiligde IoT-apparatuur kan het slachtoffer worden. Rik van Duijn, lid van het Security Research Team bij KPN Security: “Het gros van de aanvallen op IoT-apparatuur is ongericht, ze vinden over een breed front plaats. Geautomatiseerd wordt geprobeerd de meest kwetsbare systemen eruit te halen. Vervolgens worden die geïnfecteerd met een virus. Er wordt een backdoor geïnstalleerd. De malware op het besmette apparaat gaat daarna op het internet weer andere systemen zoeken die vatbaar zijn voor een infectie.”
DDoS-aanval
Grote aantallen IoT-apparaten zoals settopboxen en ip-camera's kunnen samen botnets vormen waarmee grootschalige aanvallen zijn uit te voeren. Zo krijgen criminelen de controle over soms wel honderdduizenden machines. Van Duijn: “Met zo’n leger kan een massale DDoS-aanval worden uitgevoerd. Daarbij sturen enorme aantallen apparaten data naar één systeem, totdat de bandbreedte op is of het systeem overbelast raakt. Het is zelfs voorgekomen dat grote delen van het internet hierdoor werden lamgelegd.”
Het is een misverstand te denken dat bedrijven hun IoT-apparatuur niet hoeven te beveiligen omdat daar niets op wordt opgeslagen. De Mirai botnet-aanval bracht veel kwetsbaarheden aan het licht. Aanvallers kunnen bijvoorbeeld met de instellingen knoeien en die naar hun hand zetten. Een virus kan intelligentie met zich mee brengen waarmee aanvallers het IoT-apparaat opdrachten kunnen geven zoals downloaden. Van de beruchte Mirai-malware worden nog regelmatig nieuwe varianten ontdekt. Afgelopen mei dook nog een variant op die liefst 13 verschillende veiligheidsleks kan uitbuiten.
Segmentatie
Rik van Duijn komt tijdens zijn werk als ethische hacker regelmatig interne netwerken tegen die kwetsbaar zijn. Door slechte netwerksegmentatie kan er ondanks het feit dat bijvoorbeeld printers en ip-camera's niet direct aan het internet hangen, toch wat misgaan. In een netwerk dat geen segmentatie kent, kunnen alle computers met elkaar praten en ook elkaar besmetten. Virussen kunnen dan namelijk gemakkelijk van de ene computer naar de andere springen.
Bij netwerksegmentatie worden virtuele groepen in het computernetwerk gevormd. Het verkeer tussen deze virtuele netwerken wordt gecontroleerd of geblokkeerd via een firewall. Segmentatie valt te beschouwen als een soort ‘basishygiëne’ voor netwerken, maar veel organisaties worstelen hiermee vanwege de complexiteit. Volgens Van Duijn is het echt nodig alle IoT-apparatuur in een apart segment te zetten zodat niemand erbij kan. Alleen waar nodig kan het apparaat bij het segment en andersom.
Patches
Naast een goede netwerksegmentatie is volgens beveiligingsonderzoeker Van Duijn patchmanagement nodig. Ongepatchte systemen vormen een grote bedreiging voor de veiligheid. Helaas komt het vaak voor dat beschikbare patches niet of laat worden uitgerold. Van Duijn: “Je moet ervoor zorgen dat alle spullen regelmatig updates krijgen. Zeker als nieuwe kwetsbaarheden worden ontdekt, is het verstandig snel patches aan te brengen.”
IoT-apparaten blinken doorgaans niet uit in veiligheid. Met name consumentenelektronica zoals beveiligingscamera’s is vaak niet of nauwelijks beveiligd. Volgens Van Duijn kunnen hackers dan in een paar seconden binnendringen. Fabrikanten besparen op de beveiliging om de kostprijs te drukken. Vooral de ip-camera's die ook door mkb-ondernemers worden aangeschaft, zijn erg prijsgevoelig.
“Veel apparaten komen zelfs zonder enige beveiliging uit de fabriek en zijn onmogelijk veilig te maken”, weet John Shier. Deze beveiligingsexpert van Sophos zegt: “Dikwijls wordt een goedkope processor ingebouwd die te zwak is voor encryptie.” Een ander euvel is dat standaard-wachtwoorden worden gebruikt die niet zijn te veranderen. Zijn die wachtwoorden wél te wijzigen in veiligere, dan wordt vaak verzuimd dit te doen. Shier merkt op dat het als buitenstaander vrij moeilijk is er achter te komen hoe veilig apparaten zijn. Ook bij producten voor de zakelijke markt is de informatie op dit gebied doorgaans gebrekkig, aldus de Sophos-expert.
Meer weten?
Kijk hier voor meer informatie over IoT of neem contact met ons op.