Hoe veilig is eigenlijk the Internet of Things?
- March 16, 2015
- 0
We zijn inmiddels bijna zover dat alle Nederlanders – van jong tot oud -vertrouwd zijn met het verschijnsel internet. Een verbazingwekkende verzameling van websites, webmail, webservices, video’s, webwinkels, bankbalies, overheidsloketten, downloadsites en nog veel meer. Ook sociale media zijn inmiddels breed geland. Kortom een wereldwijde virtuele wereld van ‘content’. Hoe vind je daarin je weg? Dat weet ook iedereen: Google!
Net nu we hebben geleerd dat ‘alles content is’, blijkt de werkelijkheid ons alweer in te halen. In rap tempo ontstaat er een compleet nieuw Internet of Things (IoT). Oftewel, een internet der dingen: apparaten verbonden met het internet.
Shodan – de zoekmachine voor het IoT – vindt een half miljard verbonden apparaten per maand. En dat is echt nog maar het topje van de ijsberg. Google zoekt websites af naar tekst of media, maar Shodan duikt dieper en doorzoekt de datastroom zelf (routers, switches, servers en cloud instances) op TCP-banners. Dat leidt rechtstreeks naar de hardware.
Veiligheid op het oude internet
Wat betreft de veiligheid van het ‘oude internet’zijn we door Edward Snowden en Wikileaks hardhandig wakker geschud. Alle webcontent en al onze bewegingen worden gevolgd, gelogd, gescand en opgeslagen. Waarvan we dachten dat het een ‘free lunch’was (*gratis!* diensten), blijkt eerder een ‘free hunt’te zijn om alles en iedereen te vangen in big data. Uiteraard gaan de groten hierbij voorop: Google, Facebook, Microsoft en Yahoo. Hun netwerken reiken ver en graven diep. Onrustbarender is echter de kennelijk vruchtbare samenwerking tussen die bedrijven en het soort overheidsdienst dat geen echte rekenschap blieft af te leggen over haar doen en laten: NSA, GCHQ (en AIVD?).
Verbazingwekkend echter dat andere grote namen ontbreken: IBM of HP (hardware), of Apple (maakt soms tablets), of Cisco (beheert bijna alle belangrijke routers). Dat zal dan nog wel komen. Toen onze eigen goeroe Linus kortgeleden werd gevraagd of er ooit een verzoek was geweest om de heilige Linux-kernel te ‘modificeren’, zei hij braaf ‘No’, maar knikte heel hard van ‘Yes’. Dus wanneer horen we dat ook Red Hat of Novell zijn bezweken voor de charmes van de Amerikaanse overheid? Of dichter bij huis: hoe braaf willigt onze Nederlandse overheid de (niet-openbare) verzoeken in van onze goede Amerikaanse vrienden?
Als gebruiker wordt het mij niet bepaald gemakkelijk gemaakt. Moet ik nu bang worden? Dat lijkt me een onvruchtbare reactie. Maar de dooddoener ‘ik heb niks te verbergen’is even onzinnig. Dat heb ik wel namelijk wel degelijk: mijn privacy, essentieel onderdeel van mijn persoonlijke levenssfeer. Dat staat in onze Grondwet, maar toegegeven, in 1848 dacht men nog niet echt digitaal.
Hoe veilig zijn nu mijn PC’s, laptop, server, smartphone of draadloze router? En mijn email, VPS/VPN en overige communicatie? Allemaal keurig en veilig opgezet met Linux, maar ik ben geen security pro. Moet ik nu aan het encrypten gaan? Of is dat al achterhaald, omdat sommige sleutels inmiddels gebroken zijn of via een backdoor te omzeilen?
Als gebruiker en als burger raak ik het spoor al snel bijster. Maar nog veel zorgelijker vind ik de wereldwijde kennelijke onverschilligheid hierover bij het publiek.
Het internet der dingen
Wat voegt het IoT hieraan toe? Laten we eerst eens kijken waarover we het hebben.
Het IoT gebruikt de infrastructuur van het internet om apparaten te verbinden met andere apparaten (‘devices’) of computers. Of korter: het zit allemaal in de cloud. Apparaten versturen data, zonder menselijke tussenkomst. IPv6 is nog meer noodzaak dan zegen. Op het moment dat die data ergens worden ingevoerd in een applicatie, ontstaat er content. Dit hele proces verloopt automatisch. Niemand controleert of bewerkt de data voor ze een applicatie bereiken. De technologie was er al veel langer −M2M (machine-to-machine) en SCADA (vooral bij industriële processen)−maar door het met internet te verbinden, wordt de reikwijdte en impact oneindig veel groter. Het kan echt griezelig worden, wanneer vitale industriële processen via internet toegankelijk worden en dus ook doelwit van kwaadwillenden.
Aan de kant van de apparaten begint het heel gewoon: met webcams. Dan Tentler, een Amerikaanse security researcher, laat zien wat hij vond met hulp van Shodan. Dat begint bij ‘tons & tons of webcams’. Niet zelden heeft de gebruiker zo’n apparaat onvoldoende beveiligd, maar sommige fabrikanten leveren ook gewoon onveilige apparatuur. Wie weet hoe het werkt, kan vrij eenvoudig over heel de wereld meekijken via lekke webcams. In kinderkamers bijvoorbeeld. Of via bewakingscamera’s. Handig als je een serieuze kraak overweegt.
Maar we hebben genoeg andere apparaten in en om ons huis, die aan het internet hangen: bewegingssensoren, bediening voor verwarming, verlichting of deuren, smartmeters voor je energie, huishoudelijke apparaten en uiteraard je digitale TV. Wie je draadloze router heeft gevonden, waarop (OMG) nog gewoon het standaard-wachtwoord is ingesteld, kan bij nog gevoeligere apparaten komen, zoals computers, smartphones en telefoons. We zijn ons wellicht niet eens bewust dat een bepaald apparaat via internet toegankelijk is. Je staat bovendien versteld waar tegenwoordig al niet een RFID-chip ingebouwd kan worden.
Wat in en om ons huis kan, kan ook daarbuiten. Via internet worden verkeerslichten, windparken, waterwinning, gemalen, bruggen, enzovoort aangestuurd. Hulpdiensten hebben internet nodig voor communicatie en operatie. Medische bewakingsapparatuur op een patiënt regelt via internet de instelling van medicijnen. Koeien hebben sensoren meegekregen, zodat de boer via internet hun gezondheid kan volgen. Fabrieken en offshore-installaties worden via internet aangestuurd of zelfs volledig gerund. Geldautomaten en pinapparaten werken niet zonder internet. Drones vertellen ons uit de hoogte wat ze willekeurig elders op aarde zien. En ga zo maar door.
Bijna ongemerkt is het IoT tot in de haarvaten van de samenleving doorgedrongen. We kunnen niet meer zonder. Want heel het machtige raderwerk staat stil, als internet een keer niet werkt. De kracht van internet −alles en iedereen verbinden −is tevens de zwakte. Er kan zoveel informatie tegelijk worden gekoppeld, zoals data, locatie en personen, dat we het overzicht compleet kwijtraken. Een simpele zwakke plek, zoals een camera, kan dankzij internet snel uitgroeien tot een complete ramp. Het is onmogelijk te volgen waar informatie van of over jou zich allemaal heen verspreid heeft. Daar komt bij dat het internet een geheugen heeft als een ouderwetse dorpsjuffrouw. Niet verwonderlijk dat ook het Massachusetts Institute of Technology (dat de term IoT enkele jaren geleden heeft gemunt) recentelijk beschaafd alarm sloeg.
En de veiligheid dan?
Vooraf: we moeten niet proberen het IoT te vermijden. Dat kan niet, want het is al hoog en breed verspreid en bovendien missen we daarmee ook een hele hoop nuttige en leuke toepassingen. Gewoon gebruiken dus.
Maar wel met gezond verstand. Onze digitale veiligheid hangt voor een groot deel af van anderen (fabrikanten, software developers, leveranciers van diensten, overheid), maar zelf kunnen we ook wel wat. Een paar tips.
1. Vraag je af of je dat coole ding echt nodig hebt.
2. Lees die handleiding, vooral het onderdeel ‘veiligheid’en doe er wat mee.
3. Is er een wachtwoord nodig? Verander dan onmiddellijk de standaard in iets (veel) veiligers.
4. Moet het apparaat echt altijd aanstaan of kan de stekker er wel eens uit? Dat is nog steeds de meest perfecte beveiliging.
5. Zorg dat software/firmware altijd up-to-date is, des temeer als het uit de Windoze-wereld komt.
6. Zorg voor een fatsoenlijke firewall op je draadloze router. Een paar tientjes extra en je kunt daar stukken meer aan doen.
7. Kijk of je cache- en logbestanden ook kunt wissen.
8. Bid en werk om te zorgen dat kritische onderzoekers het IoT voortdurend argwanend blijven volgen, zodat zwakheden openbaar worden, van simpele consumentenproducten tot industriële processen en overheidsprogramma’s.
9. Wees kritisch bij het geven van toestemming om (bijvoorbeeld) je medische gegevens via IoT te versturen.
10. Ben je lid van een politieke partij? Breng dan de veiligheidsaspecten van IoT met klem onder de aandacht. Neelie Kroes is niet het probleem, maar landelijk moeten we nog wakker worden.
11. En voor je mobiele apparaat: kijk eens bij The Guardian Project voor veilige apps.
12. Tenslotte: Don’t worry, be happy.
Verder lezen:
Over publieke onverschilligheid: http://bit.ly/1fjRQIy
Shodan: http://www.shodanhq.com
Dan Tentler’s quick search: http://www.slideshare.net/Shakacon/dan-tentler
MIT-artikel: http://bit.ly/1dgmLmC
Infographics over IoT (uit 2011): http://bit.ly/1ijdbEK
The Guardian Project: https://guardianproject.info/apps