De laatste jaren is de gadgetmarkt overspoeld met goedkope apparaten die deel uitmaken van wat we nu het internet of things (IoT) noemen. Ze zijn simpel te installeren door mensen zonder enige computer- of netwerkkennis die geen idee hebben van de risico’s die deze apparaten met zich mee brengen.
Vanaf afstand printen, met je smartphone je thermostaat of verlichting instellen of beveiligingsbeelden bekijken. Heel handig, maar in de praktijk niet erg veilig. Door allerlei standaard instellingen zijn deze apparaten makkelijk over te nemen en toe te voegen als zombie in een botnet door lieden die veel geld verdienen aan het het leveren van ‘DDoS as a service’ aan hun ‘klanten’. Veel van deze apparaten maken nu al deel uit van onze thuisnetwerkjes en staan klaar om hun vernietigende werk uit te voeren zonder dat de gebruikers zich dit realiseren.
Van speelgoedpop naar zombies
Een speciale categorie van verbonden apparaten bestaat uit ‘slim’ speelgoed. Denk aan kleine handheld game consoles, poppen en speelgoedauto’s die in staat zijn om met de gebruikers, kinderen, te communiceren. Met microfoons en camera’s monitoren deze apparaten hun omgeving en zijn ze in staat om deze privacygevoelige beelden en geluidsopnames naar hun online thuisserver te versturen. Deze apparaten zijn goedkoop geproduceerd, zonder enige ingebouwde beveiliging. Privacy is hier dus potentieel een groot probleem. Deze apparaten zijn potentiële zombies die gezien de verkoopaantallen een gigantisch botnet kunnen vormen.
Een voorbeeld was recentelijk de aanval van het Mirai DDoS-botnet, dat slecht beveiligde surveillance videocamera’s als zombie gebruikte, geínstalleerd op thuis- en (kleine) bedrijfs-netwerkjes. Maar Mirai is pas het begin van iets dat wel eens de grootste bedreiging voor het publieke internet én het netwerk voor bedrijfskritische processen kan zijn.
Het lijkt zo simpel…
Veel apparaten zijn makkelijk te installeren. Het installatie process dwingt de gebruiker bijvoorbeeld niet om goede wachtwoord- en verbindingsinstellingen te kiezen. Helaas is, ondanks waarschuwingen van het Nationaal Cyber Security Centrum (NCSC) een aantal jaar geleden, op veel thuisrouters in Nederland de Universal Plug and Play (UPnP) functie nog steeds ingeschakeld.
Deze UPnP-functie zorgt ervoor dat apparaten zichtbaar worden en er vanaf internet verbindingen mee opgezet kunnen worden. Zonder dat de gemiddelde gebruiker het in de gaten heeft. Met een default wachtwoord of een gammel operating-systeem is het heel simpel om deze apparaten over te nemen en zelfs de rest van het thuisnetwerk te ‘besmetten’.
De thuistest
Zoals het een netwerk- en security specialist betaamd dacht ik redelijk op de hoogte te zijn van wat er allemaal is aangesloten op mijn thuisnetwerk. Tenminste dat dacht ik… Een snelle scan leert dat er ongeveer vijftig verschillende apparaten verbindingen hebben, of hadden, met mijn thuisnetwerk, hetzij bedraad of via de Wi-Fi. Allemaal apparaten die de potentie hebben om in een zombie te veranderen om mee te helpen aan een internet-meltdown.
Een snel onderzoekje bracht al een aantal apparaten in beeld die ik in eerste instantie niet herkende en waar ik nader onderzoek naar moest doen om erachter te komen wat het was. Twee smart tv’s, een slimme audio receiver, printers, sip telefoon,nas, netwerk switch, verschillende gaming consoles, meerdere tablets en erg veel mobiele telefoons, waarschijnlijk vol met vage app’s. Geen idee wat al die apparaten aan het doen zijn en wat voor verbindingen ze, naast het ophalen van updates, opzetten met internet. En dat is geen gek profiel, voor een gezin met twee regelmatig thuiswerkende volwassen en twee kinderen die druk gebruik maken van Wi-Fi.
Een gast-wlan met striktere firewall-restricties moet uitkomst bieden, maar is geen duurzame oplossing. De meeste gezinnen en zelfs sommige bedrijven hebben geen idee, zijn zich niet van de risico’s bewust en hebben geen middelen om deze risico’s en bedreigingen te voorkomen. Hoe veilig zijn deze apparaten eigenlijk als het gaat om zwakheden die hen tot zombies kunnen maken? Feit is dat elk van deze apparaten een krachtige schakel kan zijn in een internet-meltdown.
Better safe than sorry
Het is tijd voor de industrie en/of overheden om snel stappen te ondernemen en voorwaarden te bepalen en hand te haven op dit gebied. Zowel over de kwaliteit als de naleving van de normen voor de aangesloten apparaten. Consumenten en bedrijven moeten weten wat ze aansluiten op hun netwerken. Deze normen moeten naast de technische maatregelen ook de privacy-gerelateerde elementen beschrijven.
Organisaties moeten zich ervan bewust zijn dat zij hetzelfde publieke internet gebruiken voor bedrijfskritische processen, en moeten zich bewust zijn van de risico’s en gevolgen die bij een DDos-aanval of hackpoging komen kijken. Naast voldoende beschermingsmaatregelen voor DDos-aanvallen, zou het nog beter zijn om het openbare internet te omzeilen en direct aan te sluiten op netwerken van serviceproviders die in de cloud bedrijfskritische applicaties leveren.