Verrassende beveiliging

 

Foto van auteur

Als je lang op reis gaat, dan kun je niet voor iedere dag een schone onderbroek meenemen. De optie om een exemplaar na gebruik binnenstebuiten te keren en de volgende dag nog een keer te dragen hebben we niet serieus overwogen. Nee, echt niet.   

Gelukkig stellen veel hotels wasmachines en -drogers tegen betaling ter beschikking van hun gasten. Dat geeft wel altijd gedoe. Om te beginnen heb je daarvoor meestal muntjes in de lokale valuta nodig. En dat terwijl ik mij had voorgenomen om te proberen nergens geld uit de muur te trekken. In ons hotel in Seattle kwam ik hier op wonderbaarlijke wijze mee weg: de manager van de receptie vroeg hoeveel we nodig hadden, trok zijn beurs en gaf ons de kwartjes de we nodig hadden. In een ander hotel kon je met een creditcard betalen. Maar meestal hadden we toch echt munten nodig. Ik heb er een bonte verzameling internationaal wisselgeld aan overgehouden.

Maar ook wasdrogers geven gedoe. Meestal heb je drie opties: koud, permanent press en heet. De eerste zet weinig zoden aan de dijk, terwijl  je bij de laatste moet vrezen dat je kabouterkleertjes terugkrijgt; thuis gooien we alleen handdoeken in de droger, dat maakt die optie extra eng als je op reis bent. Dat woord ‘permanent’ in de middelste optie klinkt ook vrij definitief, maar omdat het de middelste optie is, zal het wel goed zijn. Dachten we. Kwam het wasgoed er toch nog klam uit. Ook na nog een extra rondje. En dat kost allemaal tijd die je eigenlijk had willen besteden aan toeristische activiteiten. Je kunt ook moeilijk weggaan: je houdt de machines bezet, of je vindt je wasgoed ’s avonds ergens in een hoekje, terwijl je geen idee hebt wie en wat er allemaal aan heeft gezeten. Brr.

Een hotel in Tokyo komt op een opvallende manier tegemoet aan deze milde vorm van smetvrees. Hun combimachines (wassen en drogen, sowieso al een uitkomst voor de toerist) zijn voorzien van een codeslot. Bij het starten van je wasje moet je zelf een code verzinnen, en je krijgt je wasgoed pas terug na het intoetsen van diezelfde code. Zo ben je ervan verzekerd dat niets en niemand bij jouw spullen kan. Uiteraard is het ook hier niet de bedoeling om zo’n machine de hele dag bezet te houden. Maar onze was was in ieder geval veilig.

Beveiliging waar je het niet verwacht, maar er wel blij mee bent. Hebben we zoiets ook in de ICT? Ik heb daar lang over nagedacht, maar ik kon niets bedenken. Dat komt waarschijnlijk doordat we in de ICT heel veel van beveiliging verwachten en er tegenwoordig raar van zouden opkijken als daar geen invulling aan wordt gegeven. Zelfs in situaties waarin je beveiliging hinderlijk vindt, berust je erin – het is normaal.

Er liggen wel nog zat kansen. IoT-apparatuur (the Internet of Things, het internet der dingen) ontbeert nog te vaak deugdelijke beveiliging. We hebben inmiddels heel wat van die spullen in huis. De vaatwasser, de wasdroger, de zonnepanelen, de airco en de geluidsinstallatie: ze praten allemaal met onze telefoons. Maar geen van die apparaten vraagt ook na de installatie nog eens een keertje: wie ben jij eigenlijk? De zonnepanelen leveren alleen data, maar de andere apparaten kan ik via mijn smartphone opdracht geven om iets te doen of om daar juist mee te stoppen. En daar kan een hacker schade mee aanrichten. Zet de stereo vol open terwijl niemand thuis is en je hebt geheid een burenruzie te pakken. Vaatwassers en wasdrogers kunnen misschien oververhit raken of water lekken als ze op ongebruikelijke wijze worden bediend. Gelukkig hebben we geen slimme waterkoker of broodrooster, want bij dergelijke apparaten is oververhitting nog veel gemakkelijker te bewerkstelligen.

Fabrikanten van IoT-apparatuur moeten beter hun best doen. “De letter S in IoT staat voor security”, wordt wel eens gezegd. Ja precies, die letter staat helemaal niet in de afkorting. Wat mij ook al niet geruststelt, is de afwezigheid van een security-paragraaf in de handleiding van apparaten die een verbinding met mijn thuisnetwerk willen. Nergens wordt uitgelegd hoe de beveiliging in elkaar zit, en ik vrees dat ik weet waarom die informatie ontbreekt. Ondertussen weten al die apparaten wel het wachtwoord van mijn netwerk.

Wat kun je zelf doen? Mocht een “vooruitstrevend” apparaat voorzien zijn van een wachtwoord, wijzig dat dan meteen bij installatie – anders kent de hele wereld je wachtwoord. Verder zou je IoT-devices in een apart netwerk kunnen onderbrengen, bijvoorbeeld je gastennetwerk. Daarmee voorkom je dat een inbreker bij je data kan. Maar ja, veel apparaten communiceren alleen met je telefoon als ze op hetzelfde netwerk zitten. Maar met die telefoon wil ik op het vertrouwde netwerk, niet op het onvertrouwde netwerk waarop ik iedereen toelaat.

Er valt nog het nodige te doen op het gebied van IoT-security. Verras me.

 

En in de grote boze buitenwereld …

• kun je hier verder lezen over IoT-security.
• wordt LinkedIn aangevallen.
• heeft deze cybercrimebende een probleem met haar eigen infrastructuur.
• slaan computerklokken soms op hol.
• zoekt Meta naarstig naar een manier om binnen de lijntjes van de AVG te kleuren.
• schaadt schaamte voor fouten soms de beveiliging.
• helpt identity orchestration bij de overgang naar clouddiensten.
• maakt deze korte cursus je bewust van manipulatie door social media.
• is je iPhone een gewillig slachtoffer voor spoofing.
• is China net zo bang voor ons als wij voor hen.
• zijn aanvallen via QR-codes niet alleen theoretisch.
• starten de meeste ransomware-aanvallen met een phishingaanval.