Wat is er mis met die mailtjes van Twitter en Pinterest?

Beter bouwen we een internet of secure things

De Week

De website van een onderzoeksjournalist werd vorige week na een ongekend grote DDoS-aanval uit de lucht gehaald. De gigantisch hoeveelheid internetverkeer was afkomstig van gehackte videorecorders en -camera’s, verbonden met het internet. Het laat zien dat als we de beveiliging van het internet of things niet snel op orde brengen, kwaadwillenden met die apparaten onze maatschappij kunnen ontwrichten.

Journalist Brian Krebs doet bijzonder goed onderzoek naar het werk van criminelen die via het internet de wereld geld aftroggelen. Dat doet vermoeden uit welke hoek de aanval kwam, maar zoals altijd bij digitale aanvallen is attributie ontzettend lastig. Het bedrijf dat de hosting van zijn website verzorgde meldde dat de aanval twee keer zo groot was als de grootste aanval die ze tot dan toe hadden gezien. Zij konden niet anders dan de stekker uit de site trekken: de dienstverlening aan andere klanten kwam in gevaar. Dat is best opmerkelijk voor een bedrijf dat zich juist gespecialiseerd heeft in de hosting van sites die veel verkeer te verwerken krijgen.

De aanval werd gelanceerd vanaf een groot aantal apparaten die tot voor kort niet met een netwerk verbonden waren, zoals videorecorders en -camera’s. Misschien zat er ook nog wel een weegschaal, speelgoedpop of koelkast tussen. Dat internet of things stelt nu nog weinig voor: het zijn meestal gadgets die met het internet verbonden zijn “gewoon omdat kan”. Dat gaat veranderen: de verwachting is dat we over een paar jaar meer dan twintig van dit soort apparaten in huis hebben. Dat lijkt handig: de koelkast die, nadat jij je dorst gelest hebt, zelf een nieuwe fles fris bestelt. Maar als al die apparaten niet heel veel beter beveiligd zijn dan nu, dragen ze net zo goed bij aan het ontwrichten van onze maatschappij.

Veel van die apparaten zijn bijzonder slecht beveiligd. Als ze dat al zijn. De wachtwoorden zijn meestal makkelijk te raden en de gebruiker kan onmogelijk beveiligingsupdates installeren. En als al die apparaten worden misbruikt voor een aanval, kan de impact enorm zijn. En waar de aanval van vorige week op een website gericht was, kun je er nu al gif op innemen dat kwaadwillenden straks het vizier op andere doelen zullen richten. Wat zijn de consequenties van minstens zo’n grote aanval op een belangrijk internetknooppunt, een bank of de Nederlandse politie? Als supermarkten niet meer bevoorraad worden, de overheid onbereikbaar wordt of dagenlang niemand nog kan pinnen, stelt de ergernis over een dag zonder Facebook niets meer voor.

Kortom: we worden steeds afhankelijker van onze digitale infrastructuur die we tegelijkertijd enorm vergroten, maar zonder de beveiliging daarvan mee te laten groeien. Dat gaat vroeg of laat fout.

Daarom is het belangrijk dat de makers van dit soort gadgets hun verantwoordelijkheid nemen. Een koelkast die lekt is vervelend voor de eigenaar. Op zijn best is er wat wateroverlast in de keuken, op zijn slechtst ligt de boodschappenlijst op de straat en weet de hele wereld wanneer de bewoner van huis is. Maar een lekke koelkast kan ook door kwaadwillenden misbruikt worden om andere computers op het internet aan te vallen en uit de lucht te halen. De maker van een slimme koelkast die de beveiliging niet op orde heeft zou daarom verantwoordelijk moeten kunnen worden gehouden voor de schade die hij (mede) veroorzaakt. Nog beter komt het niet zo ver en is internet of things een internet of secure things.

  1. Ojeno

    Interessant en goed artikel, tot aan de conclusie. Het zou inderdaad mooi zijn als de fabrikant de eigenaar van het apparaat in staat stelt het apparaat veilig te houden (met updates), maar de dieper liggende oorzaak van het probleem wordt hiermee niet aangekaart: namelijk dat de fabrikant te veel macht heeft over het apparaat, dat hij zogenaamd aan de klant heeft verkocht.

    De eigenaar van het apparaat zou er volledige zeggenschap over moeten hebben. De FSF heeft vorige maand een analyse over IoT gemaakt: https://www.fsf.org/news/free-software-foundation-stresses-necessity-of-full-user-control-over-internet-connected-devices

    We zien het probleem al bij huidige apparaten, waarbij de “eigenaar” niet eens zijn besturingssysteem naar keuze kan installeren: alle apparaten met iOS en Windows Phone, “smart”-tv’s, enz. Wanneer de fabrikant stopt met beveiligingsupdates, kan de “eigenaar” het apparaat blijven gebruiken maar dat is onveilig, zoals in jullie artikel beschreven. Een andere optie is om het apparaat weg te gooien (zonde want alle hardware werkt nog prima), met alle gevolgen voor het milieu en bovendien moet er een nieuw exemplaar aangeschaft worden.

    Kortom: er moet wetgeving komen die van fabrikanten eist dat mensen zeggenschap over hun eigen apparaat hebben (eigenlijk heel logisch). Tot het zover is, koop geen apparaten waarbij je bent overgeleverd aan de fabrikant.

    • Rejo Zenger

      Je hebt helemaal gelijk als je zegt dat de koper weer de eigenaar van het apparaat moet worden. Niet alleen juridisch, maar ook in de vorm van toegang en controle. Tegelijkertijd lost dat in onze ogen het probleem niet op. Dat de gebruiker eigenaar is van een apparaat maakt niet dat die gemiddelde eigenaar ook snapt hoe hij een alternatief besturingssysteem kan installeren. Dat is een optie gebruikt kan worden door een beperkte groep gebruikers, de rest blijft kwetsbaar.

    • Ojeno

      Goed verwoord, inderdaad moet men zelf eigenaar zijn in de vorm van toegang en controle. Wanneer dat niet zo is, wéét de fabrikant dat hij macht heeft over de “eigenaar” en dus elk moment kan stoppen met beveiligingsupdates, de “eigenaar” is toch hulpeloos. (Om nog te zwijgen over de eventuele spyware in de voorgeïnstalleerde software in het apparaat.)

      Veel mensen weten inderdaad niet hoe ze een alternatief besturingssysteem kunnen installeren indien nodig. Maar daar hebben we handige familie, privacycafé BoF, lokale (computer)bedrijven voor. Net zoals elke autogarage een auto kan repareren (dat kunnen mensen ook niet zelf). Nog belangrijker is echter dat die mogelijkheid er in ieder geval is; dat zou wettelijk verplicht moeten worden. Helaas gaat BoF hier niet in mee, dus ben ik benieuwd wat uw alternatief is.

      Een verplichting om beveiligingsupdates te leveren? Wat is een redelijke termijn (1, 5, 10 jaar?) en wanneer moet die in gaan? Wat als de fabrikant bankroet gaat? Wat als het apparaat het na de termijn het nog doet maar softwarematig niet meer bruikbaar is?

      Op termijn snijdt BoF hier zichzelf mee in de vingers.

      • Rejo Zenger

        Het een sluit het ander natuurlijk niet uit.

        Ja, we vinden dat de gebruiker de baas moet zijn over zijn eigen gebruiker, dat de gebruiker zelf moet kunnen controleren wat het apparaat doet en dat de gebruiker zelf kan bepalen wat er gebeurt met de informatie die het apparaat verzameld. Maar je kunt ook niet verwachten dat als de gebruiker root heeft op elk apparaat, alle problemen meteen zijn opgelost. Je kunt niet verwachten dat de gemiddelde gebruiker elk iets complexer apparaat doorgrond, zoals je ook niet kunt verwachten dat elke automobilist zijn auto doorgrond.

        Het kan in onze ogen niet zo zijn dat een fabrikant een apparaat op de markt brengt (zeg, smartphone, videocamera) en het apparaat voor wat betreft beveiligingsupdates niet ondersteund voor de volle levensduur. Als jij een smartphone van een paar honderd euro koopt, die een redelijke levensduur van zeg vijf jaar heeft, zou het gek zijn dat de maker na een half jaar zegt “we stoppen met security updates”. Dit is overigens geen hypothetisch voorbeeld, maar realiteit.

    • Teun

      Helaas is de wetgeving nu juist omgekeerd: https://www.eff.org/issues/dmca-rulemaking

      Ook al is het de VS, als het om consumentenproducten gaat gelden vaak de strengste regels. Zo hadden we hier ook al brandvertragers toen het alleen nog in Californië verplicht was.

      Wat m.i. het grootste probleem is zijn de hardwarefabrikanten die software (drivers firmware) leveren. Je ziet bijvoorbeeld bij raspberry pi dat ze niet per se de nieuwste chip gebruiken maar met redelijk ondersteunde drivers. Niet zoals de Banana pi die met één Android versie geleverd wordt die werkt, maar zo lek is als een mandje. Dan draait er wel Debian op, maar zonder drivers. Zo is het ook redelijk onmogelijk om bijvoorbeeld een printer te installeren op een ARM platform.

      Dus als de techies het al niet werkend kunnen krijgen zonder strafbaar te zijn, hoe moeten de noobs dat dan?

    • Ojeno

      DMCA en de vergelijkbare Europese wet zijn inderdaad voorbeelden van uit de hand gelopen auteursrecht-wetten. EFF is ook bezig om de uitwassen ervan aan te vechten.

      Door middel van technische en wettelijke beperkingen proberen grote Amerikaanse corporaties de macht over onze eigen apparaten uit handen te nemen en dat lukt steeds beter. Echter, wie waarde hecht aan privacy, milieu, mensenrechten, vrije stroom van informatie, pers en/of vrijheid van meningsuiting zal uiteindelijk toch wakker moeten worden. De machtspositie moet weg bij de fabrikant van het apparaat en terug bij de eigenaar.

  2. Frank

    Parallel aan het IoT heb je een ontwikkeling die het eigenaarschap en wat je er dan mee zou willen kunnen minder relevant maakt, namelijk dat je niet langer zelf een koelkast hebt, maar de dienst ‘koelen’ afneemt. Net zoals bij autos ‘Greenweels’ e.d. De koelkast die je dan thuis hebt staan is niet van jou, maar blijft van de leverancier van de dienst ‘koelen’, en het belang van die leverancier voor de (internet) veiligheid is dan dus ook evident. De ontwikkeling is misschien wel vooral getriggerd vanuit duurzaamheid (het energieverbruik van die koelkast komt ook voor rekening van de dienstverlening), maar het helpt hier dus ook voor.

    • Teun

      Je kunt nu ook al wasmachines huren, maar als je er voor 200 euro een kan kopen met 5 jaar garantie, ga je echt geen 10~20 per maand betalen.

  3. Jur

    Nog even een berichtje van aan de modererende moderators. Ik heb per ongeluk de niet gecontroleerde versie van mijn reactie verzonden. De juiste volgt hier onder. Sorry… 😉
    ===========================

    Een zinvol verhaal. Maar wanneer je goed kijkt naar het verhaal is het wijzer om niet mee te gaan met dat IoT gezwets. In de tijd dat er geen smartbroodroosters waren kwam het boterhammetje uitstekend geroosterd uit het rooster. Een wasmachine op mijn smartphone? aan mijn zolen. Een smart koelkast? En dan zeker achtervolgd worden door een of andere Heijn die zegt dat mijn koelkast wekelijkse boodschappen besteld heeft en of ik maar even af wil tikken. Terwijl ik die week de boodschappen elders heb betrokken omdat deze Appie de laatste keer rommel heeft afgeleverd en ik er bovendien niet van houd om achtervolgd te worden door een of andere internetmarketeer.

    Om de zaak kort te sluiten, ik heb er onlangs een niet onaardig artikel over geschreven:

    http://www.photonmagazine.eu/experts-internet-of-things-is-wachten-op-catastrofe

    Maar ieder zijn feestje hoor, ik misgun niemand zijn lol…

  4. Feestboekgummetje

    hoe veilig je het ook bouwd, uiteindelijk verloopt de datum van die veiligheid wanneer supercomputers nog krachtiger worden…

    en daar sta je dan met je internet koelkast die als achterdeur van je netwerk staat te routeren.

    Hoe oud is je huidige koelkast? Of welk apparaat dan ook
    Als die dingen geen firmware updates krijgen dan ziet het er uit…
    Hoeveel mensen updaten hun router firmware? Alleen en handje vol mensen die begrijpen dat dat zin heeft EN ook weten hoe dat werkt.
    De rest surft vrolijk verder met sterkverouderde routertjes.

    En staks allemaal huis tuin en keuken apparaatjes die lekken als een clinton server.

    Feest voor de state-funded hack industrie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.