Internet of Things: pas op!

Redactie WINMAG Pro
IoT-apparaten zijn tegenwoordig alom vertegenwoordigd. Denk aan slimme verlichting, de apparaten van Nest, Wemo (Home Automation) en de gadgets die communiceren op basis van bluetooth. Deze apparaten zijn ons meer en meer van dienst, maar veel gebruikers zijn zich onvoldoende bewust van de gevaren die op de loer liggen.

In 2017 hebben we gezien dat IoT-apparaten werden misbruikt voor het Mirai-botnet. Hoe heeft het zover kunnen komen? Had dit te maken met het ontwerp van de IoT-apparaten of kwam dit door een gebrek aan overkoepelend toezicht? Via persoonlijk onderzoek en eigen ervaring ben ik tot de conclusie gekomen dat de kwesties rondom IoT-apparaten verschillende oorzaken hebben. In de eerste plaats is er sprake van concurrerende en incompatibele standaarden.

Een overkoepelend internationaal toezicht op IoT-apparaten ontbreekt. Daarnaast is de data in IoT-apparaten niet of slecht versleuteld. Ook is er sprake van een gebrekkige wachtwoordbeveiliging of er zijn hardgecodeerde standaardwachtwoorden in het apparaat te vinden. De IoTapparaten zijn gemakkelijk in gebruik en veel gebruikers denken dat het met de veiligheid dan ook wel goed zit. Dat is een grote misvatting. Dan zijn er ook nog IoT-apparaten die overdreven ingewikkeld in gebruik zijn of ingewikkelde interfaces hebben. Deze factoren die het veilig gebruik van IoT-apparaten in de weg staan, zal ik uitgebreider uitwerken. 

Concurrerende en incompatibele standaarden

In de wereld van IoT worden veel standaarden en draadloze technologieën gebruikt, zoals Z-wave, RFID, homeRF, ZigBee en WiMAX. Ze gebruiken verschillende radiofrequenties (RF) en een mix van spectrumtechnologieën en modulaties die incompatibiliteit kunnen veroorzaken. Veel van de IoT-apparaten opereren op verschillende internationale niet-gereguleerde frequenties zoals de Industrial-, Scientific- en Medical-band (ISM 2.4 GHz), de Unlicensed National Information Infrastructure (U-NII) en de verschillende RFID-gerelateerde frequenties. Bij de frequentiebereiken is er geen sprake van toezicht, terwijl het gebruik van RFID streng is gereguleerd binnen individuele landen. 

Gebrek aan nuttig regulerend toezicht 

Veel IoT-apparaten vallen onder verschillende en soms conflicterende toezichthoudende organisaties. In de Verenigde Staten kan het apparaat vallen onder de jurisdictie van de Federal Communications Commission (FCC) of de US Toy Standard ASTM F963-16.  Geen of zwakke encryptie  Het meest opmerkelijk in relatie tot IoTapparaten is het ontbreken van beveiliging van de data. Het gaat daarbij om de locatie en de dataopslag maar ook om het mechanisme dat gebruikt wordt om de data te verplaatsen en manieren waarop informatie van en naar het device wordt getransporteerd. De meerderheid van de IoT-apparaten versleutelt geen data. Zo is het mogelijk om met weinig tot geen kennis toegang te krijgen tot deze data. 

Gebrek aan wachtwoordbeveiliging 

We zien dat bepaalde IoT-apparaten onvoldoende of geheel niet zijn voorzien van wachtwoordbeveiliging. Ook komt het voor dat er in het apparaat hardgecodeerde standaardwachtwoorden zijn te vinden. Op het internet circuleren lijsten met de standaardwachtwoorden. Op deze manier is het toegang krijgen tot zo’n IoT-apparaat een fluitje van een cent. Deze ontwikkeling heeft de deur opengezet naar massaal misbruik zoals we in 2017 hebben gezien tijdens de DDoSaanval door het Mirai-botnet. De bouw van dit botnet was mogelijk doordat de aanvallers misbruik hadden gemaakt van deze standaardwachtwoorden. 

Eenvoudige interface 

Bij IoT-apparaten staat het gebruiksgemak voorop. De apparaten moeten de gebruiker vooral voordelen en gemak opleveren. Dat vertaalt zich vaak in een gemakkelijke bediening. Vanwege de toegankelijkheid denken veel gebruikers dat het met de veiligheid ook wel goed zit. Dit is een misvatting. De oorzaak is vaak een gebrek aan kennis over dit onderwerp.

Ingewikkelde instructies 

Naast gemakkelijk te bedienen IoT-apparaten zien we ook het tegenovergestelde: devices die ontzettend ingewikkeld in gebruik zijn. Vanwege de complexiteit lukt het veel gebruikers niet om de adviezen met betrekking tot security op te volgen. Het veranderen van het standaardwachtwoord laten ze bijvoorbeeld achterwege omdat ze niet snappen hoe ze dat moeten doen. 

Scos Software  

Aangezien Internet of Things voor veel mensen nog een onbekend gebied is, zijn veel zakelijke gebruikers van plan hier meer over te leren. SCOS Software uit Hoofddorp biedt hiervoor een speciale Cloud & Internet of Things-training: www.scos.training

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie