211service.com
Een internet van verraderlijke dingen
Tal van sciencefictionverhalen gaan over gewone huishoudelijke apparaten die een opstand ontketenen. In een aflevering van futurama , broodroosters en huisrobots komen in opstand tegen hun menselijke onderdrukkers. Twee trends beginnen dergelijke scenario's nu minder vergezocht te laten lijken.
Een daarvan is de golf van Internet of Things-apparaten die worden ontwikkeld voor huizen - vorige week volledig te zien op de CES-beurs. De andere is het toegenomen hacken van thuisnetwerkapparatuur, zoals onlangs is aangetoond door een zombiehorde thuisnetwerkrouters.
Tientallen bedrijven toonden op CES met internet verbonden apparaten en apparaten, van intelligente gloeilampen tot wasmachines die via een smartphone worden bestuurd. Samsung ging zelfs zo ver om te beloven dat al zijn producten tegen 2020 met internet verbonden zouden zijn (zie CES 2015: The Internet of Just About Everything).
Ondertussen, Brian Krebs, een beveiligingsonderzoeker en schrijver, vorige week onthuld dat hackers een netwerk hadden gebouwd met de naam Lizard Stressor dat andere mensen kunnen gebruiken om websites offline te halen, hetzij om overlast te veroorzaken, hetzij voor criminele doeleinden. Netwerken van personal computers of servers die worden omgezet in bots zijn niets nieuws. Wat Krebs echter ontdekte, is dat Lizard Stressor vertrouwt op routers die in huizen en commerciële netwerken worden gebruikt. Geïnfecteerde of gecompromitteerde apparaten die zijn verbonden met een thuisnetwerk, kunnen voor meer snode doeleinden worden gebruikt. Ze kunnen een startpunt zijn voor het inbreken in pc's, of worden gebruikt om gegevens vast te leggen die via het thuisnetwerk worden verzonden, inclusief wachtwoorden of creditcardgegevens.
Het gemak waarmee deze routers werden gecompromitteerd is misschien niet verrassend. Het is goed gedocumenteerd dat de meeste thuisrouters worden geleverd met eenvoudig te gebruiken software of met een beheerdersdashboard dat een standaard gebruikersnaam en wachtwoord gebruikt, zoals admin.
Slimme apparaten bevatten doorgaans vergelijkbare netwerkfuncties. En naarmate meer huishoudelijke apparaten geautomatiseerd zijn en met internet zijn verbonden, kunnen hackers hun aandacht op deze nieuwe doelen richten.
Verschillende factoren dragen bij aan de onveiligheid van thuisnetwerkapparatuur. Consumenten kopen doorgaans geen apparatuur op basis van de beveiligingsvereisten die worden gebruikt door IT-professionals, zoals een garantie voor upgrades van het besturingssysteem voor een bepaalde periode. Integendeel, de lage prijs stimuleert het koopgedrag en functies zijn ongelijkmatig opgenomen in goedkopere hardware, zelfs van grote leveranciers.
Er is ook een spanning tussen het aanscherpen van de beveiliging en het gemakkelijk maken voor gebruikers. Het instellen van een unieke accountnaam en wachtwoord voor elke router zou relatief triviaal zijn, evenals een fysieke stap tijdens authenticatie, zoals het plaatsen van een USB. Maar dergelijke beveiligingsmaatregelen frustreren veel gebruikers. En dit leidt ertoe dat ze de klantenservice bellen en dergelijke apparaten terugbrengen naar de winkel.
Zelfs als apparaten veilig zijn ontworpen, kunnen open poorten die zijn ontworpen om legitieme communicatie met andere computers mogelijk te maken, onbedoelde externe toegang mogelijk maken en kan de software verouderd zijn. In september zei een bedrijf 1,2 miljoen routers met een gemeenschappelijk protocol kan gemakkelijk worden aangesneden . In december bleek een bug die in 2002 was gepatcht nog steeds bestaan op 12 miljoen thuisrouters . Een veelgebruikte methode voor ISP's om toegang te krijgen tot klantrouters is ook: een waarschijnlijk pad van exploit voor miljoenen apparaten.
Apparaten, zelfs niet die van grote fabrikanten, worden om drie redenen niet geüpgraded: fabrikanten stoppen met de ondersteuning om de kosten laag te houden; fabrikanten gaan ten onder of verlaten het bedrijf; en klanten zijn mogelijk slecht toegerust om de technische operatie van het upgraden van firmware af te handelen, wat het downloaden van een patch en het uploaden van een patch via een administratieve interface in een webbrowser kan inhouden.
Wereldwijd zijn al honderden miljoenen routers voor thuisgebruik en kleine kantoren in gebruik. Het aantal Internet of Things-apparaten wordt tegenwoordig geschat op vier miljard tot vijf miljard en zal naar verwachting binnen vijf jaar groeien tot 25 tot 50 miljard. Dergelijke apparaten kunnen zwakke punten hebben die vergelijkbaar zijn met die in apparatuur voor thuisnetwerken, vooral omdat bedrijven zich haasten om nieuwe producten te produceren.
Sommige regelgevers lijken zich bewust te zijn van de valkuilen en lijken erop gebrand het soort kwetsbaarheden te voorkomen waarmee eerdere generaties embedded apparaten te kampen hadden. De voorzitter van de Amerikaanse Federal Trade Commission, Edith Ramirez, gaf een keynote-adres van acht pagina's op CES, waarin ze de bezorgdheid van haar bureau over privacy, gegevensverzameling en beveiliging uiteenzette, waardoor fabrikanten van apparaten voor internet der dingen op de hoogte werden gesteld. Misschien zullen ze deze keer luisteren.