Het internet der dingen, the
internet of Things (IoT), wordt zo langzamerhand het internet van heel veel
dingen. Ik heb eens een rondje door ons huis gemaakt om te kijken wat we zoal
aan slimme apparaten hebben. Dat begint al bij de tv, die tegenwoordig veel
meer kan dan de beeldbuis van weleer. Aan die tv hangt een kastje van de
provider, dat naast een ingang voor de coaxkabel ook een netwerkingang en wifi heeft.
Coax is alleen voor live tv kijken; al het andere, zoals in de cloud opnemen,
loopt via het netwerk. Verder hebben we zonnepanelen, die aan het wifi-netwerk
hangen om ons van minuut tot minuut inzage te geven in hun prestaties. Dat
kunnen we ook zien via een klein apparaatje dat aan de slimme meter is
gekoppeld; bovendien hebben we via dat ding inzicht in ons elektriciteits- en
gasverbruik. Die slimme meter zelf is overigens geen IoT-apparaat: hij
communiceert via een ingebouwde simkaart met het energiebedrijf. De airco wilde
ik aanvankelijk niet op het wifi-netwerk hebben. Nadat het afgelopen zomer
echter nogal heet was – met name op de zolderkamers van de kinderen – en papa
een paar keer dácht dat hij de timer geactiveerd had, ben ik toch overstag
gegaan, waardoor de airco nu op afstand kan worden bediend. Onze printer
bestelt zelf inkt als dat nodig is. Het laatste IoT-apparaat dat ik kon vinden
is mijn sporthorloge. Dat heeft een Bluetooth-koppeling met mijn telefoon en
hangt dus indirect aan het internet. Mijn medische gegevens (hartslag,
conditie) en locatiegegevens reizen zo vanaf mijn horloge naar de cloud van de
fabrikant, die mij vervolgens via z’n app op mijn telefoon in mooie grafieken
toont hoe goed of slecht het hardlopen ging en waar ik overal ben geweest.
Ik wilde ook weten welke IoT-apparaten we zoal niet in huis hebben. De lijst is verre van uitputtend, maar wat
dacht je van een halsband die ervoor zorgt dat je op je telefoon kunt zien hoe
vaak je de hond vandaag hebt uitgelaten en of hij z’n voederbak leegt heeft?
Heb ik niet – ik heb niet eens een hond. Ik heb ook geen slimme waterfles die
me laat weten dat ik te weinig drink of een haarborstel die me inlicht over de
gezondheidstoestand van mijn haar. Een eierrekje dat weet hoe vers de eieren
zijn, een badkamerspiegel die het weerbericht toont, een slimme thermostaat en
dito deurbel – je zoekt ze allemaal tevergeefs bij mij thuis. En wist je dat
een slimme speaker eigenlijk een slimme microfoon is?
Zoals gezegd wilde ik de airco aanvankelijk niet op het wifi-netwerk
hebben. Omdat ik weet dat beveiliging bij IoT-apparaten meestal niet is
mee-ontworpen. Ze zijn dus slecht of niet beveiligd, terwijl ze wél het
wachtwoord van jouw wifi-netwerk weten. Zelf hebben die apparaten lang niet
altijd een wachtwoord, en als ze dat wel hebben, dan krijgt ieder apparaat in
de fabriek hetzelfde wachtwoord. Je mag blij zijn als de handleiding de
gebruiker oproept om dat wachtwoord te wijzigen. Maar wie leest er nog
handleidingen?
Het besturingssysteem van je computer krijgt regelmatig een update. Dat
van je telefoon ook, als je geluk hebt. Hetzelfde geldt voor toepassingen. Maar
wanneer heb je voor het laatst (ik kan net zo goed vragen: voor het eerst) een
update voor je op het internet aangesloten koelkast, beveiligingscamera of
babyfoon gekregen? Toegegeven, er zijn ook apparaten die wel geüpdatet worden (sorry,
spelling volgens Van Dale). Dat zie ik bijvoorbeeld op mijn tv en op mijn
horloge gebeuren, al heb ik geen idee of daar ook security patches bij zitten. Die zijn wel nodig, want in alle
software zitten per definitie fouten en een deel van die fouten maakt je
apparaat kwetsbaar. Of, zoals Mikko Hyppönen het uitdrukt: if it’s smart, it’s
vulnerable.
Zo’n kwetsbaarheid kan tot fysieke schade en zelfs slachtoffers leiden.
Een voorbeeld: er bestaan slimme waterkokers. Stel, je kunt zo’n waterkoker
hacken en de droogkookbeveiliging uitschakelen. Vervolgens zet je hem aan en
wacht je tot het huis in de fik staat. Een ander risico is dat een
kwaadwillende toegang krijgt tot je gegevens – niet alleen op het toestel, maar
in je hele netwerk. En natuurlijk kan zo’n slim apparaat ook gerekruteerd
worden voor een botnet, waarna het vrolijk en zonder dat jij er erg in hebt
deelneemt aan DDoS-aanvallen. Dat ervoer onderzoeksjournalist Brian Krebs toen
drie jaar geleden zijn website krebsonsecurity.com bijna vier dagen uit de
lucht was door een aanval met behulp van een legertje gehackte
beveiligingscamera’s, routers en videorecorders.
Wereldwijd buigen regeringen zich over dit vraagstuk. In de VS zie je
mondjesmaat wetgeving ontstaan die mikt op ‘redelijke’ beveiliging, en
transparantie over geconstateerde kwetsbaarheden. De Britten gaan voor security by design, waar de VN ook nog privacy by design aan toevoegt (en zich
daarnaast ook in bredere zin druk maakt over regulering van IoT). Japan gaat actief
op zoek naar slecht beveiligde en gehackte apparaten en Australië heeft het
over certificering voor IoT-devices. China heeft (tot mijn verrassing) een hele
waslijst aan reguleringen die ook van toepassing zijn op het internet der
dingen. De door de EU in het leven geroepen Alliance
for IoT Innovation doet diverse aanbevelingen op beveiligingsgebied,
waaronder het ontwikkelen van een identity
for things.
Als je nadenkt over informatiebeveiliging, dan maak je – als het goed is
– steeds een afweging tussen enerzijds het gewenste beveiligingsniveau en
anderzijds gebruiksgemak en werkbaarheid. Het is die afweging die mij er
uiteindelijk toe heeft gebracht om de airco toch maar aan het wifi-netwerk te
koppelen. Een argument in deze afweging is dat bedrijven een lucratiever
doelwit voor cybercriminelen zijn. Maar er kunnen natuurlijk altijd pestkoppen
zijn die het op jou als particulier gemunt hebben. Mijn belangrijkste
boodschap: denk na.
Volgende week is het herfstvakantie en
dan komt er geen Security (b)og.
En in de grote boze buitenwereld …
... buigt de internetjurist zich over soevereiniteit in cyberspace
... zorgt een goedkope screen protector ervoor dat de
vingerafdrukscanner van de Samsung Galaxy S10 alles goed vindt.
... heeft de Brexit-deal ook gevolgen voor gegevensbescherming.
... verwijder je maar beter accounts die je niet meer gebruikt.
... beconcurreren cybercriminelen elkaar ook.
... kan een complex wachtwoord zich tegen je keren.
... lees je hier niet vaak iets over kwetsbaarheden in Linux, maar als
het sudo-commando een kwetsbaarheid bevat, dat is dat wel vermeldenswaardig.
https://tweakers.net/nieuws/158576/ontwikkelaar-vindt-kwetsbaarheid-in-sudo-commando-voor-linux.html
... kon een aanvaller zijn slachtoffer opsporen dankzij een reflectie in
haar ogen op een foto met hoge resolutie.
... gebruikt een universiteit Twitter als awareness-tool.
... zijn niet alle cookies even lekker.
... kun je hier interactief ervaren hoe een cookie tot een advertentie
leidt.
... heeft de Belastingdienst zijn gegevensbeveiliging op orde.