In je tienerjaren maak je een onstuimige ontwikkeling door, die onder
andere leidt tot een veranderende smaak. Wij hebben een junior en een senior
tiener in huis, en die laatste vond zo onderhand z’n kamer te kinderachtig
ogen. Z’n zusje was al eerder daadkrachtig opgetreden, maar ja, die had dan ook
twee knalroze muren in haar kamer. Inmiddels heeft ook de kamer van haar grote
broer een schilderbeurt gehad en is er met meubels geschoven. Nu is iedereen
weer blij met twee muren wit, twee muren ‘puur natuursteen’ (deze naam gaf de
verffabrikant aan deze grijstint, maar van mij mag je ook antraciet zeggen).
Zoonlief had zijn oog op nog een andere innovatie laten vallen: slimme
verlichting. Je weet wel, van die peertjes waarvan je kleur en sterkte van het
licht aan je stemming en zo kunt aanpassen. Dat kan met een afstandsbediening, met
je telefoon of zelfs met spraakcommando’s (via je smart speaker). Vanaf die
tweede optie ga ik mij er nadrukkelijk mee bemoeien, want dat betekent dat die
lampen toegang tot het wifinetwerk moeten hebben. We hebben het dus over
apparaten uit het rijk van het internet der dingen, the Internet of Things (IoT), waar smart things wonen om ons het leven gemakkelijker te maken. Bij
slimme dingen moet je bijvoorbeeld denken aan tot intercom geëvolueerde
deurbellen, kamerthermostaten die je van onderweg kunt bedienen en kammen die
een mening over de gezondheid van je haar hebben en die via een app met je
delen. En dus die slimme verlichting.
In 2016 postuleerde mijn Finse vakbroeder Mikko Hyppönen hierover een
wet: slimme apparaten zijn per definitie kwetsbaar (de originele tweet luidde: Hypponen's
law: Whenever an appliance is described as being "smart", it’s
vulnerable). De achtergrond hiervan is dat het fabrikanten van slimme spullen vooral
om functionaliteit te doen is – de klant wil een hippe toepassing en maakt zich
niet druk om onzichtbare en ongrijpbare eigenschappen, ofwel: beveiliging is
geen aan- of verkoopargument. Time to
market rules.
Ik wilde natuurlijk wél meer weten over de beveiliging van slimme
verlichting, want ik heb geen zin in kwetsbare achterdeurtjes in mijn
wifinetwerk. Het is nog niet zo gemakkelijk om daar onafhankelijke informatie
over te krijgen, maar uiteindelijk heb ik wel een beeld gekregen, zij het in
pasteltinten.
Het waarschijnlijk bekendste slimme verlichtingssysteem is Philips Hue. Ik
kwam vrij recente artikelen tegen over een kwetsbaarheid in het
ZigBee-protocol. Dat communicatieprotocol wordt vaak door slimme apparaten
gebruikt. Via die kwetsbaarheid konden hackers de controle over een lamp
overnemen. Door vervolgens de kleur van het licht te veranderen of de lamp te
laten knipperen werden mensen ertoe gebracht om die lamp opnieuw in het netwerk
aan te melden, waarna de hacker toegang tot het netwerk had – we hebben het dus
eigenlijk over social engineering via
een lamp. Philips heeft daar een patch voor uitgebracht en schijnt ook over het
algemeen adequaat te reageren op de ontdekking van kwetsbaarheden.
De slimme lampen van Ikea vielen drie jaar geleden op doordat toen al
aandacht aan beveiliging werd besteed, en dat is niet veranderd. Er is één
minpuntje: firmware-updates worden via een onbeveiligde verbinding
binnengehaald, waardoor voor aanvallers een mogelijkheid ontstaat om de boel te
manipuleren, bijvoorbeeld door ervoor te zorgen dat je niet de nieuwste, maar
juist een oudere versie krijgt, die kwetsbaarheden bevat die de hacker kan
gebruiken om zich toegang te verschaffen. Overigens maakt Philips precies
dezelfde fout. Voor huishoudens wordt dit trouwens niet als groot risico
gezien; bij dit soort dreigingen moet je je afvragen in hoeverre jij een
doelwit bent.
Je zou het misschien niet verwachten, maar ook privacy is een
aandachtspunt bij de aanschaf van slimme verlichting. Philips heeft een privacy
policy van bijna twintig kantjes, wat op zich al een veeg teken is. Uit die
policy is op te maken dat alles, wat je met de bijbehorende app doet, wordt
opgeslagen, waarbij geen anonimisering of pseudonimisering plaatsvindt. Verder
bevat de app zes trackers, die slechts terloops worden genoemd.
De privacy policy van Ikea schijnt gemakkelijk te begrijpen te zijn. Er worden
wel gegevens verzameld (en die worden ook gedeeld met derde partijen), maar ze
zijn niet herleidbaar naar een persoon. Er worden sowieso maar erg weinig
persoonsgegevens opgeslagen.
Wat het bij ons gaat worden? Op basis van hetgeen ik heb gelezen, en ook
wel met een schuin financieel oog, heb ik een lichte voorkeur voor het systeem
van Ikea, maar functioneel gezien hebben die lampen een belangrijk nadeel: ze
kunnen maar negen verschillende kleuren tonen, terwijl andere merken schermen
met zestien miljoen. Ik heb een lichtblauw vermoeden waar de voorkeur van mijn
zoon naar uitgaat…
Belangrijkste bronnen:
https://www.computerworld.com/article/3521228/smart-lighting-security-flaw-illuminates-risk-of-iot.html
https://www.techrepublic.com/article/report-smart-bulbs-have-a-major-security-problem/
https://www.iot-tests.org/2020/05/update-philips-hue-in-the-security-test/
https://www.iot-tests.org/2020/02/update-ikea-home-smart-tradfri-in-the-security-test/
En in de grote boze buitenwereld …
... ziet de FBI zowel kansen als bedreigingen in IoT-devices.
https://theintercept.com/2020/08/31/blueleaks-amazon-ring-doorbell-cameras-police/
... verloopt de inzage in telecomgegevens door de politie niet altijd
volgens de regels.
https://nos.nl/artikel/2254440-fouten-bij-verzamelen-gegevens-internetgebruikers-door-politie.html
... heeft een Amerikaanse rechter de NSA een tik op de vingers gegeven
voor het verzamelen van telecomgegevens.
https://www.security.nl/posting/669716/Hof+VS+verklaart+grootschalige+opslag+telefoongegevens+door+NSA+onwettig
... mag je werkgever je niet verplichten om de corona-app op je
zakelijke toestel te installeren.
https://blog.iusmentis.com/2020/09/03/mag-een-werkgever-op-zakelijke-telefoons-wel-installatie-van-de-coronamelder-app-eisen/
... wordt cybercrime voortaan gedekt door je inboedelverzekering
(althans, bij deze verzekeraar). Nu maar hopen dat mensen hierdoor niet
laks/lakser worden.
https://tweakers.net/nieuws/171634/aon-neemt-cybercrime-voortaan-standaard-in-inboedelverzekering-op.html
... maakten mensen zich inderdaad toch al niet zoveel zorgen over hun
online veiligheid.
https://www.security.nl/posting/669609/Onderzoek%3A+Nederlander+maakt+zich+weinig+zorgen+over+online+veiligheid
... gaat er veel geld om in WhatsAppfraude.
https://www.security.nl/posting/669632/Slachtoffers+WhatsAppfraude+al+voor+2%2C6+miljoen+euro+opgelicht+dit+jaar
... lanceerde de overheid (mede vanwege bovenstaande melding) deze week
de campagne Senioren en Veiligheid.
https://www.maakhetzeniettemakkelijk.nl/senioren-en-veiligheid
... deelt de Autoriteit Persoonsgegevens ook boetes uit wegens
gebrekkige beveiliging van gegevens.
https://www.ictrecht.nl/blog/beveiligingsboetes-toezicht-op-security-door-privacy-autoriteiten
... spelen cyberaanvallen hoe dan ook een rol in de Amerikaanse
verkiezingen.
https://www.nu.nl/tech/6074561/meer-cyberaanvallen-op-trumps-websites-in-aanloop-naar-verkiezingen.html
... ervaart Nederland momenteel uitzonderlijk heftige DDoS-aanvallen.
https://www.ncsc.nl/actueel/nieuws/2020/september/4/toename-aan-intensiviteit-en-aantal-ddos-aanvallen
Geen opmerkingen:
Een reactie posten