“Het is geen naïviteit, het is stompzinnigheid. Mensen denken niet na over veiligheid of privacy.” De Duitse Hackspecialist Michael Veit windt er geen doekjes om, we zijn gemakzuchtig waar het gaat om het beveiligen van onze apparatuur, en dat kon ons wel eens flink gaan opbreken. Wij Nederlanders lopen voorop, in gebruik én gemakzucht. Het brengt Europarlementariër Paul Tang ertoe te pleiten voor een Europees keurmerk op IoT-producten.
Het Agentschap Telecom wil dat er versnelt een keurmerk komt voor slimme huishoudelijke apparaten. Verschillende politici pleitten eerder voor zo’n keurmerk. Het Agentschap roept bedrijven, vooruitlopend op zo’n keurmerk, hier alvast vrijwillig toe over te gaan. Uit eerdere verhalen van EenVandaag bleek hoe eenvoudig hackers gebruik kunnen maken van internet of things-apparatuur als slimme thermostaten en rookmelders.
Noem het een sluipende revolutie, maar we zijn in een hoog tempo aan het overschakelen op zogenaamde Smart Devices, ofwel het Internet der Dingen: aan internet gekoppelde thermostaten, rookmelders, slimme meters, deursloten, speelgoed en zelfs alarmsystemen. De verwachting is dat we in 2021 wereldwijd liefst 16 miljard IoT-apparaten in gebruik hebben, wat neerkomt op tweederde van alle netwerkapparatuur, inclusief mobiele telefoons. Europa loopt hierin voorop, en binnen Europa is Nederland koploper. Maar het pionieren heeft een prijs. Uit nieuw onderzoek van internetbeveiliger Sophos blijkt dat Nederland door de brede toepassing van IoT-apparatuur, ook buitengewoon kwetsbaar is. “We tellen 17 miljoen mensen en we staan in de top drie. Dat zegt iets over ons vermogen apparaten aan te schaffen, maar ook over ons onvermogen om het goed te beveiligen. Iets simpels als het aanpassen van een standaard wachtwoord doen we dus niet”, vertelt internetbeveiliger Harm van Koppen.
(Tekst gaat verder onder Info-blok)
Het lokhuis
Het doel van het Haunted House is tweeledig: allereerst moet het lokhuis consumenten bewust maken van de gevaren van slecht beveiligde apparatuur dat aan het wifi-netwerk is gekoppeld en ten tweede worden hackers gelokt met onbeveiligde apparaten zoals de deurbeveiliger, de TV, het alarmsysteem, de thermostaat of de waterkoker om zo in kaart te brengen hoe groot de dreiging is én daar vervolgens beveiligingssoftware op te ontwikkelen.
De meeste apparaten zijn met een wachtwoord beveiligd, maar vaak vergeet de consument de standaard-wachtwoorden van de fabrikant aan te passen. Criminelen kunnen via gespecialiseerde zoekmachines de typenummers van allerhande apparaten invoeren, en vinden bij een eenvoudige zoekopdracht al waslijsten terug van apparaten die aan het internet zijn gekoppeld.
Deze apparaten kunnen op verschillende manieren door criminelen worden gebruikt. Zo kunnen zij de denkkracht van al die apparaten mobiliseren om elders een hackaanval uit te voeren. Een cybercrimineel kan bij wijze van spreken 50.000 waterkokers een instructie geven om gelijktijdig een website van organisatie of instelling te bezoeken, zodat deze plat gaat. Dit kan ernstige gevolgen zoals het platleggen van het betalingsverkeer of belangrijke infrastructuur als energiecentrales. Een andere mogelijkheid is dat de apparaten in veelvoud gebruikt worden om Bitcoins te minen.
Een directere en meer persoonlijke dreiging voor de consument is dat hackers via apparaten als diezelfde onbeveiligde waterkoker het thuisnetwerk kunnen binnenkomen. Zijn ze eenmaal in je PC, dan kunnen ze over bij en zijn je gegevens niet meer veilig. Ze kunnen aan de haal gaan met je creditcardgegevens, of je privé- en werkgegevens gijzelen door ze te encrypten. Betaal losgeld, of je ziet je kinderfoto’s niet meer terug. Daarnaast kunnen hackers slecht beveiligde alarmsysteem inzien en zelfs uitschakelen. Een crimineel die wil inbreken in een buurt zoekt op internet welke alarminstallaties hij kan uitschakelen op afstand en slaat vervolgens toe.
Met het Haunted House wordt ook de hackactiviteit in kaart gebracht. Wat gebeurt er, als al die apparatuur onbeveiligd aan een wifi-netwerk wordt gekoppeld? Het aantal ‘bezoekjes’ van hackers neemt enorm toe, tot wel 4000 per dag. Tegelijkertijd worden de methodes in kaart gebracht, wordt de data software waarmee de hackers rondneuzen geanalyseerd en vervolgens gebruikt om de eigen beveiligingssoftware te verbeteren.
“Tikkende tijdbom”
Technology-deskundige Danny Mekic ziet de opkomst van IoT-apparatuur met zorg aan: “We creëren met elkaar een tikkende tijdbom door steeds meer apparaten draadloos met internet te verbinden”. Hij ziet dat er grote risico’s zijn, maar nauwelijks bewustzijn en bijna geen debat over de eventuele gevolgen. Door gebrek aan kennis, door gemakzucht, door tegenstrijdige belangen. “Voor een overheid die ook boeven wil pakken is het wel handig als iedereen verbonden is met internet, zodat die boeven ook weer via internet zijn te traceren.” Hoogleraar Theoretische Natuurkunde Vincent Icke deelt de zorg van Mekic, en ziet ook een rol voor de overheid: “als bedrijven er niet zelf opzitten, dan moet de overheid ze corrigeren.” Het valt hem op hoe weinig discussie er eigenlijk is over onveiligheid door het gebruik van online apparaten: “We discussiëren over gas, over verkeer over euthanasie, maar niet over hierover, terwijl het een grote impact gaat krijgen.” Icke constateert vooral een ver van mijn bedshow: “Mensen zouden meer belangstelling moeten hebben voor de apparaten die ze in huis hebben. De ICT-wereld is voor de meest mensen erg abstract.” Hij trekt de vergelijking met de echte wereld, waarin mensen altijd enige afstand houden van onbekenden. “En die houding zouden mensen ook moeten hebben ten opzichte van hun apparatuur.”
“Het wachten is dat het echt een keer fout gaat"
Concreet kunnen criminelen door gebruik te maken van gespecialiseerde zoekmachines als Shodan zonder veel moeite in kaart krijgen welke systemen slecht beveiligd zijn. Het is als het morrelen aan een voordeur: is de deur niet op slot, dan ben je binnen. Criminelen gaan softwarematig miljoenen deuren af, op zoek naar zwakke plekken legt Icke uit: “Het is een heel netwerk van punten die met elkaar in verbinding staan. En als je daar als kwaadwillende in wil, dan kies je natuurlijk de weg van de minste weerstand. En die kwaadwillende kan daar veel schade doen.” Maar hoe krijg je dat bewustzijn er nu in bij de consumenten? “Mensen kunnen zich moeilijk voorstellen wat de schade kan zijn. Als de remmen van een auto het niet doen, kan iedereen zich voorstellen dat er iets mis gaat. Het is te afstandelijk voor de meeste mensen. Maar probeer je eens voor te stellen dat plots je hele bankrekening weg is." Dat het wellicht eerst eens flink mis moet gaan om mensen bewust te krijgen constateert ook Mekic: “Zodra bijvoorbeeld alle privéberichten van Facebook Messenger vrijkomen, denk ik dat we in een keer doorkrijgen hoe kwetsbaar we zijn. Dan schrikken we wakker. Het wachten is op dat het echt fout gaat.”
Keurmerk zou kunnen helpen
Voorkomen is beter dan genezen, de consument is zich nog niet erg bewust van het probleem. PvdA-politicus Paul Tang onderkent het belang en roept in navolging van zijn D66-collega Kees Verhoeven de politiek op serieus na te denken over maatregelen: “Fabrikanten wachten op elkaar, daar kan de politiek een duwtje aan geven. Je zou als wetgever graag minimum-voorwaarden willen stellen aan producten. Maar een keurmerk zou tegelijkertijd kunnen helpen, omdat dat zich makkelijker laat aanpassen aan de eisen van de tijd, aan nieuwe ontwikkelingen. Net als wetgeving zal zo’n keurmerk even tijd kosten, maar dat laat onverlet dat we nu moeten beginnen, want het internet of Things is aan het exploderen.”
Dat wetgeving lastig is, beaamt Van Koppen: “Er zijn wel regels, maar die komen vaak te laat” weet Van Koppen. Een certificering zou al een stap in de goede richting zijn, maar de bal ligt wat hem vooral bij de consument. “Stel jezelf de vraag voor je iets aanschaft of het veilig is. Verander nou dat wachtwoord, of deel je router in in meerdere netwerken.” Vincent Icke hoopt op een evenwicht tussen individu en maatschappij: “Er moeten regels zijn, maar dat evenwicht is moeilijk te vinden, want het verschuift steeds. We rijden allemaal rechts van de weg, iets soortgelijks moeten we ook afspreken over het internetverkeer. Maar om dat goed te kunnen doen moet die maatschappij goed begrijpen wat het probleem is, en daar ontbreekt het nog aan".
Wat kun je zelf doen om je te apparatuur te beveiligen tegen hackers? En welke apparatuur is kwetsbaar voor hackaanvallen? 5 tips om je te beschermen tegen het hacken van huishoudelijke apparaten
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.