Internet of trouble

Er is al veel gesproken over eventuele risico’s van de toenemende digitalisering van alledaagse apparaten. Het (doorlopend) verzamelen van (privacygevoelige) gegevens is veel security-experts een doorn in het oog. Vooral als je bedenkt dat het IoT ook met rap tempo onze industrie (nu al tot industrie 4.0 gedoopt), de gezondheidszorg (e-Health) en financiële sector (je account binnenkomen op basis van je stemgeluid) binnen holt.

Laatst toonde het Belgische reportageprogramma Panorama dat er nu al jacht wordt gemaakt op medische gegevens die via smart apps kunnen worden verzameld. Vragen als ‘Hoe goed is de verbinding beveiligd waarover al die gegevens worden verstuurd?’ ‘Hoe sterk is de cloud beveiligd waarin deze gegevens worden bewaard?’ ‘Mag de aanbieder de gemeten gegevens aan derden verkopen?’ en ‘Hoe betrouwbaar is het authenticatiesysteem waarmee de rechtmatige eigenaar van de gegevens zich aanmeldt bij de gegevens?’ dringen zich steeds nadrukkelijker op. Het zijn zaken waar de meeste ontwikkelaars van Smart-apparaten en veel consumenten in onvoldoende mate over nadenken. Dat de zorgen niet ongegrond zijn, is in de afgelopen maanden helaas keer op keer gebleken. Enkele voorbeelden:

Slimme auto’s

Er zijn al meerder slimme auto’s ‘gehackt’. De meest sprekende voorbeelden zijn de 1,4 miljoen Jeeps die Fiat Chrysler terugriep nadat bleek dat een hack van het met het internet verbonden entertainmentsysteem de hele controle van de auto uit handen gaf aan derden en de Corvette waarvan de remmen van afstand konden worden aangestuurd.

Smart fitnessgadgets

Ze worden steeds populairder: de polsbandjes waarmee je je stappen, hartslag en calorieverbruik kunt monitoren. Onlangs testte het vermaarde onafhankelijke testinstituut AV-Test hoe de gegevens over de fitnessprestaties van de gebruiker van het polsbandje naar de mobiele telefoon of de cloud werd verstuurd en hoe veilig de gebruikte apps zijn. Enkele bevindingen: bij 7 van de 9 onderzochte devices kon Bluetooth niet worden uitgeschakeld en bij vier van de bandjes was er geen bevestiging nodig op het apparaat om het te koppelen aan een ander apparaat. Zeven van de bandjes konden met meerdere smartphones worden gekoppeld (en de verschillende smartphones konden tegelijkertijd werken) en bij zes van de bandjes werd log-informatie vrijgegeven.

Voor sommige van deze uitkomsten is niet direct duidelijk hoe een crimineel hiervan kan profiteren. Maar nadat verzekeraar Achmea op 6 oktober hardop filosofeerde in het FD over het plaatsen van ‘kastjes’ in auto’s die het rijgedrag monitoren, is het zeker niet ondenkbaar dat bijvoorbeeld zorgverzekeraars zullen volgen. Voor notoire couch-potato’s, verstokte rokers en stevige drinkers lijkt het mij dan zeer aanlokkelijk om heel eenvoudig jouw mobiele telefoon te kunnen koppelen aan het fitnessbandje van een fitte twintiger, die vervolgens al het zware werkt voor je doet. Daarnaast kan een fitness-app een (gegevens)dief haarscherp inzicht geven wanneer je wekelijkse voetbaltraining plaatsvindt, zodat hij precies weet wanneer je niet thuis bent om je eigendommen te bewaken.

De aspecten die AV-test in het beschreven onderzoek heeft bekeken zijn interessant, maar vrij beperkt. Hiermee kun je misschien de integriteit van de gegevens en de bescherming van de gegevens optimaliseren, maar er is nog zoveel meer. Denk bijvoorbeeld aan de rekenkracht van slimme apparaten die kunnen worden misbruikt in een botnet, zoals we al eerder zagen bij een smart koelkast, die spam bleek te versturen. Internet of Things moet zich dus ook wapenen tegen malware, niet alleen tegen gegevensdiefstal.

Er worden wel enkele activiteiten ontplooid, die beogen Internet of Things veiliger te krijgen. Zo worden steeds vaker ethische hackers door de automotive-industrie ingeschakeld om PEN-tests uit te voeren en om zo na te gaan hoe hackbestendig technologieën zijn. Dat is een goede ontwikkeling, maar het is zeer vrijblijvend (het is het eigen initiatief van de fabrikanten) en beperkt (ook hierbij blijft het gevaar voor malware bijna volledig buiten beschouwing).

Standaarden opstellen

Het wordt tijd dat er standaarden worden opgesteld die door alle fabrikanten van smart-technologieën dienen te worden gerespecteerd. Een onafhankelijk orgaan dat audits uitvoert en dat de macht heeft om de verkoop van onveilige producten te verbieden lijkt daarbij onontbeerlijk.

In die richting denkt ook de Online Trust Alliance, een samenwerkingsverband van IT-securty en technologiebedrijven die momenteel werkt aan ‘the Internet of Trust Framework’. Dit raamwerk wil een richtlijn bieden aan fabrikanten en ontwikkelaars om het aantal en de omvang van aanvalsvectoren te verkleinen en het aantal zwakke plekken te minimaliseren. Daarnaast probeert de organisatie verantwoorde omgang met privacy en data te bewerkstelligen en van security een ‘state of mind’ te maken bij fabrikanten en ontwikkelaars. ‘Privacy & Security by Design’ moet het model worden van een in te voeren bindende gedragscode.

Of dat laatste zal lukken, valt nog te bezien. Maar het streven is goed. Wanneer vanaf het allereerste moment wanneer een idee opkomt direct aan privacy en security wordt gedacht, kan een groot deel van de security-issues van IoT worden opgelost, cq. voorkomen. Solide firmware in de apparaten, die vervolgens goed te updaten is, is hierbij een absolute must. Gebruikers moeten in hun systeem krijgen dat zij updates ook regelmatig uitvoeren. De fabrikant kan daarin een belangrijke rol spelen, door zijn gebruikers steevast op updates te attenderen, vooral als deze een beveiligingslek dichten.

Apps moeten veiliger

Eddy Willems

Een ander aspect waarbij veiligheid voorop moet komen te staan zijn de apps van het IoT. Hiermee worden de gemeten gegevens toegankelijk gemaakt voor de gebruiker. Deze kunnen op desktops of op mobiele apparaten worden gebruikt. Ze bieden vaak een gemakkelijke optie voor cybercriminelen om aan de gegevens te komen, omdat er slecht over security is nagedacht. Authenticatie is soms slechts éénmalig nodig, bij elk vervolggebruik niet meer. Voor zover gebruik wordt gemaakt van wachtwoorden ter authenticatie, worden er te weinig eisen aan de wachtwoorden gesteld. Beter zou het zijn om voor apps die privacygevoelige gegevens ontsluiten tweefactor-authenticatie standaard in te stellen. In algemeenheid zouden de apps veel veiliger moeten worden ontwikkeld. Want dat gegevens de moeite waard zijn voor cybercriminelen is al gebleken toen wij de Vicepass Trojan ontdekten. Deze trojan lijkt het eerste voorbeeld van malware die op zoek gaat naar alle wachtwoorden van alle IoT-apparaten die binnen het netwerk te vinden zijn.

Uiteraard kunnen gebruikers ook een rol spelen in het veiliger maken van hun eigen IoT. Meestal hebben gebruikers de mogelijkheid om via instellingen bepaalde toegangsmogelijkheden te beperken of te beveiligen, bijvoorbeeld met een wachtwoord. Een sterk, uniek wachtwoord is uiteraard de beste optie. Laat de app niet langer open staan dan nodig. Zet je slimme apparaat uit wanneer je het niet gebruikt. Zorg dat je een veilige router gebruikt met een sterk wachtwoord. En houd je pc, smartphone en tablet vrij van malware met behulp van antimalware-software.

Eddy Willems is security specialist bij G DATA