Meer verbonden huizen, meer problemen

Als een groeiend nummer van op het internet aangesloten huishoudelijke apparaten op de markt komen, maken David Bryan en Daniel Crowley zich zorgen dat digitale nietsnutten nieuwe manieren zullen krijgen om de controle over deze apparaten over te nemen, uw huis te ontgrendelen, uw verwarmingsrekening op te lopen, uw toilet door te spoelen - of erger - van ver.





Bryan en Crowley, beide beveiligingsonderzoekers bij Trustwave Holdings , hebben geprobeerd alarm te slaan sinds ze hoorden over de Lockitron , een gadget van $ 179 dat is ontworpen om op een standaard nachtslot te passen en waarmee u uw huis vanaf uw smartphone kunt vergrendelen of ontgrendelen. Destijds was het apparaat nog niet begonnen met verzending naar klanten, maar het wekte de nieuwsgierigheid van Bryan en Crowley. Ze dachten dat ze andere slimme apparaten zouden uitproberen terwijl ze bezig waren, en de afgelopen maanden hebben ze ontdekt dat bijna alle apparaten, inclusief lampen, een weegschaal en een toilet, aanzienlijke beveiligingstekortkomingen vertoonden.

Hun bevindingen wijzen op een potentieel probleem met het zogenaamde internet der dingen en de nieuwe klasse van op internet aangesloten thuisproducten die u op afstand kunt controleren en beheren. Deze apparaten bieden gemak en potentiële energiebesparing en soms gewoon nieuwigheid (zie Home Tweet Home: A House with Its Own Voice op Twitter). Volgens gegevens van ABI Research zijn er al meer dan 10 miljard draadloos verbonden apparaten in gebruik, en in 2020 zullen dat er meer dan 30 miljard zijn. Hoewel hub-apparaten zoals smartphones en laptops tegenwoordig het grootste deel van dit totaal uitmaken, verwacht de marktonderzoeker dat dit zal verschuiven ten gunste van goedkope sensoren en node-apparaten die deel uitmaken van het internet der dingen.

Maar naarmate we steeds meer apparaten met internet verbinden, kan alles, van de thermostaat tot het toilet tot de voordeur zelf, een potentiële nieuwe opening creëren voor elektronische indringers. Net als bij computers zijn er manieren om deze apparaten tegen buitenstaanders te beschermen, maar de ervaringen van Crowley en Bryan geven aan dat dit, althans voorlopig, niet altijd een eerste zorg is voor bedrijven die haast hebben om deze apparatuur te verkopen. Door apparaten veiliger te maken, kan de productontwikkeling meer tijd kosten.



Het verschilt van apparaat tot apparaat, maar een rode draad met veel van deze apparaten is dat ze helemaal geen authenticatie nodig hebben, zegt Crowley.

Crowley en Bryan onderzochten bijvoorbeeld de Veralight , die wordt aangesloten op uw thuiscomputernetwerk en waarmee u vele soorten huishoudelijke apparaten kunt bedienen en beheren. Standaard was er geen gebruikersnaam of wachtwoord nodig om toegang te krijgen tot het systeem, en ze zeggen dat ze talloze manieren hebben gevonden om authenticatie te omzeilen, zelfs als het was ingeschakeld. Meer recentelijk ontdekten Crowley en Bryan hoe gemakkelijk je een muziekspelend toilet kon krijgen genaamd de tevreden , die wordt bestuurd door een Android-smartphone-app , om zichzelf herhaaldelijk door te spoelen of om luide muziek af te spelen. Ze bespraken onlangs hun bevindingen op de jaarlijkse Black Hat-beveiligingsconferentie in Las Vegas.

Crowley en Bryan zeggen dat ze contact hebben opgenomen met elk bedrijf waarvan ze denken dat de producten beveiligingsfouten bevatten. Meestal hebben ze geen directe reactie gekregen. In een verklaring zegt de maker van de Veralight, Hong Kong-based Mijn groene huis , zei dat het gelooft dat zijn controllers net zo veilig of veiliger zijn dan alle domoticaproducten die momenteel op de markt zijn. Zacht , het Japanse bedrijf achter het genetwerkte toilet, zei in een verklaring dat er verschillende noodzakelijke voorwaarden zijn waaraan moet worden voldaan om het toilet op afstand te bedienen, zoals het koppelen van een smartphone aan het toilet, wat moet gebeuren met een aparte eenheid die wordt geleverd met de Voldoende.



Beveiligingsonderzoekers vrezen dat de risico's van deze nieuwe soorten gadgets bijzonder zorgwekkend zijn. Als hackers een zwak punt in een enkel type huishoudapparaat of systeem met internetverbinding kunnen misbruiken, zoals een op internet aangesloten deurslot, kunnen ze duizenden mensen tegelijk schaden. Het kan wat moeite kosten om dit soort scenario's te krijgen, maar als je door in te breken op één server de huizen van 100, 1.000, 10.000 mensen moet plunderen, is dat zeker de moeite waard, en daar ligt het echte gevaar, zegt Crowley.

Yoshi Kohno , een universitair hoofddocent aan de Universiteit van Washington die computerbeveiliging en privacy in consumententechnologieën bestudeert, zegt dat het moeilijk is om precies te weten hoe groot een probleem dit zal zijn. Maar hij heeft echte kwetsbaarheden gevonden in verschillende met internet verbonden dingen, waaronder auto's, medische apparaten en kinderspeelgoed. Een speelgoed dat bijvoorbeeld een webcam bevat, kan een online aanvaller in staat stellen verbinding te maken met het speelgoed en de webcam aan te zetten. Wij als gemeenschap moeten holistisch kijken naar alle opkomende technologieën en niet alleen zeggen: 'Oh, het is een broodrooster, het maakt niet uit' en denken dat alles ertoe doet totdat we geloven dat het niet zo is, zegt hij.

Kohno zegt dat hij meer nadruk moet zien te leggen op beveiliging voordat hij zich op zijn gemak zou voelen bij het gebruik van de meeste van de momenteel beschikbare connected-home-gadgets: lampen die via internet kunnen worden bediend, zijn misschien in orde, maar een automatisch deurslot, zou bijvoorbeeld nog steeds niet aan de orde zijn.

Zelfs met veiligheidsmaatregelen is er ook potentieel voor elektronisch afluisteren, zegt Kamin Whitehouse, een universitair hoofddocent aan de Universiteit van Virginia die slimme gebouwen bestudeert. Zijn onderzoek heeft aangetoond dat zelfs als het dataverkeer van draadloze slimme apparaten in huis versleuteld is, een aanvaller nog steeds netwerkverkeerspatronen kan analyseren en, door een paar aannames te doen over menselijk gedrag, een idee kan krijgen van wat er in huis gebeurt. Zodra het huis volledig verbonden begint te raken, is er geen reden om te denken dat het geen doelwit zal worden, zegt hij.

Van hun kant zijn Crowley en Bryan optimistisch dat dit zal veranderen. Het smartphonegestuurde deurslot dat hen voor het eerst intrigeerde, werd onlangs naar klanten verzonden en biedt veiligheid details en een e-mailcontact voor veiligheidsgerelateerde vragen. Dat is een indicatie dat Apigy , het bedrijf achter Lockitron, is gefocust op het probleem, zegt Crowley. Dat is groot. Het zegt iets goeds over de staat van veiligheid in dat product, zegt hij. Het betekent dat we het waarschijnlijk moeilijk zullen hebben om het te doorbreken.

zich verstoppen