Security (b)log: Dingen op het internet

Het internet der dingen, the internet of Things (IoT), wordt zo langzamerhand het internet van heel veel dingen. Ik heb eens een rondje door ons huis gemaakt om te kijken wat we zoal aan slimme apparaten hebben. Dat begint al bij de tv, die tegenwoordig veel meer kan dan de beeldbuis van weleer. Aan die tv hangt een kastje van de provider, dat naast een ingang voor de coaxkabel ook een netwerkingang en wifi heeft. Coax is alleen voor live tv kijken; al het andere, zoals in de cloud opnemen, loopt via het netwerk. Verder hebben we zonnepanelen, die aan het wifi-netwerk hangen om ons van minuut tot minuut inzage te geven in hun prestaties. Dat kunnen we ook zien via een klein apparaatje dat aan de slimme meter is gekoppeld; bovendien hebben we via dat ding inzicht in ons elektriciteits- en gasverbruik. Die slimme meter zelf is overigens geen IoT-apparaat: hij communiceert via een ingebouwde simkaart met het energiebedrijf. De airco wilde ik aanvankelijk niet op het wifi-netwerk hebben. Nadat het afgelopen zomer echter nogal heet was – met name op de zolderkamers van de kinderen – en papa een paar keer dácht dat hij de timer geactiveerd had, ben ik toch overstag gegaan, waardoor de airco nu op afstand kan worden bediend. Onze printer bestelt zelf inkt als dat nodig is. Het laatste IoT-apparaat dat ik kon vinden is mijn sporthorloge. Dat heeft een Bluetooth-koppeling met mijn telefoon en hangt dus indirect aan het internet. Mijn medische gegevens (hartslag, conditie) en locatiegegevens reizen zo vanaf mijn horloge naar de cloud van de fabrikant, die mij vervolgens via z’n app op mijn telefoon in mooie grafieken toont hoe goed of slecht het hardlopen ging en waar ik overal ben geweest.

Ik wilde ook weten welke IoT-apparaten we zoal niet in huis hebben. De lijst is verre van uitputtend, maar wat dacht je van een halsband die ervoor zorgt dat je op je telefoon kunt zien hoe vaak je de hond vandaag hebt uitgelaten en of hij z’n voederbak leegt heeft? Heb ik niet – ik heb niet eens een hond. Ik heb ook geen slimme waterfles die me laat weten dat ik te weinig drink of een haarborstel die me inlicht over de gezondheidstoestand van mijn haar. Een eierrekje dat weet hoe vers de eieren zijn, een badkamerspiegel die het weerbericht toont, een slimme thermostaat en dito deurbel – je zoekt ze allemaal tevergeefs bij mij thuis. En wist je dat een slimme speaker eigenlijk een slimme microfoon is?

Zoals gezegd wilde ik de airco aanvankelijk niet op het wifi-netwerk hebben. Omdat ik weet dat beveiliging bij IoT-apparaten meestal niet is mee-ontworpen. Ze zijn dus slecht of niet beveiligd, terwijl ze wél het wachtwoord van jouw wifi-netwerk weten. Zelf hebben die apparaten lang niet altijd een wachtwoord, en als ze dat wel hebben, dan krijgt ieder apparaat in de fabriek hetzelfde wachtwoord. Je mag blij zijn als de handleiding de gebruiker oproept om dat wachtwoord te wijzigen. Maar wie leest er nog handleidingen?

Het besturingssysteem van je computer krijgt regelmatig een update. Dat van je telefoon ook, als je geluk hebt. Hetzelfde geldt voor toepassingen. Maar wanneer heb je voor het laatst (ik kan net zo goed vragen: voor het eerst) een update voor je op het internet aangesloten koelkast, beveiligingscamera of babyfoon gekregen? Toegegeven, er zijn ook apparaten die wel geüpdatet worden (sorry, spelling volgens Van Dale). Dat zie ik bijvoorbeeld op mijn tv en op mijn horloge gebeuren, al heb ik geen idee of daar ook security patches bij zitten. Die zijn wel nodig, want in alle software zitten per definitie fouten en een deel van die fouten maakt je apparaat kwetsbaar. Of, zoals Mikko Hyppönen het uitdrukt: if it’s smart, it’s vulnerable.

Zo’n kwetsbaarheid kan tot fysieke schade en zelfs slachtoffers leiden. Een voorbeeld: er bestaan slimme waterkokers. Stel, je kunt zo’n waterkoker hacken en de droogkookbeveiliging uitschakelen. Vervolgens zet je hem aan en wacht je tot het huis in de fik staat. Een ander risico is dat een kwaadwillende toegang krijgt tot je gegevens – niet alleen op het toestel, maar in je hele netwerk. En natuurlijk kan zo’n slim apparaat ook gerekruteerd worden voor een botnet, waarna het vrolijk en zonder dat jij er erg in hebt deelneemt aan DDoS-aanvallen. Dat ervoer onderzoeksjournalist Brian Krebs toen drie jaar geleden zijn website krebsonsecurity.com bijna vier dagen uit de lucht was door een aanval met behulp van een legertje gehackte beveiligingscamera’s, routers en videorecorders.

Wereldwijd buigen regeringen zich over dit vraagstuk. In de VS zie je mondjesmaat wetgeving ontstaan die mikt op ‘redelijke’ beveiliging, en transparantie over geconstateerde kwetsbaarheden. De Britten gaan voor security by design, waar de VN ook nog privacy by design aan toevoegt (en zich daarnaast ook in bredere zin druk maakt over regulering van IoT). Japan gaat actief op zoek naar slecht beveiligde en gehackte apparaten en Australië heeft het over certificering voor IoT-devices. China heeft (tot mijn verrassing) een hele waslijst aan reguleringen die ook van toepassing zijn op het internet der dingen. De door de EU in het leven geroepen Alliance for IoT Innovation doet diverse aanbevelingen op beveiligingsgebied, waaronder het ontwikkelen van een identity for things.

Als je nadenkt over informatiebeveiliging, dan maak je – als het goed is – steeds een afweging tussen enerzijds het gewenste beveiligingsniveau en anderzijds gebruiksgemak en werkbaarheid. Het is die afweging die mij er uiteindelijk toe heeft gebracht om de airco toch maar aan het wifi-netwerk te koppelen. Een argument in deze afweging is dat bedrijven een lucratiever doelwit voor cybercriminelen zijn. Maar er kunnen natuurlijk altijd pestkoppen zijn die het op jou als particulier gemunt hebben. Mijn belangrijkste boodschap: denk na.

Volgende week is het herfstvakantie en dan komt er geen Security (b)og.