Huishoudens gebruiken steeds vaker IoT-apparaten, zoals televisies met internettoegang of slimme spraakassistenten. Het blijkt interessante hardware voor cybercriminelen. De wet- en regelgeving stelt nog weinig eisen aan de veiligheid van deze apparaten en daarom bracht Agentschap Telecom onlangs acht securitymaatregelen uit.
IoT – of voluit: Internet of Things – apparaten, zijn niet alleen meer voorbehouden aan industriële of kantooromgevingen. Ook in ‘doorsnee huishoudens’ wordt steeds meer hardware geplaatst, die om verschillende redenen met het internet is verbonden. Denk aan televisies, slimme spraakassistenten, maar ook beveiligingscamera’s en home control-systemen. Zonder beveiliging is dit interessant voor cybercriminelen. Bijvoorbeeld om deze op te nemen in een zogenaamd ‘botnet’, waarmee uiteindelijk grootschalige cyberaanvallen zijn op te zetten. De eigenaar hoeft daarbij niet eens te merken dat zijn computer of IoT-apparaat is gehackt en wordt misbruikt. Daarnaast biedt een slechte beveiliging criminelen de mogelijkheid de apparatuur over te nemen, waarmee zij niet alleen inbreuk maken op de privacy van de eigenaar, maar ook inzicht kunnen krijgen in financiële gegevens. En het geeft hen de ultieme mogelijkheid om ‘losgeld’ af te dwingen. Dan hebben we het nog niet gehad over de verspreiding van virussen, malware en het gelijktijdig misbruiken van veel apparaten om het elektriciteitsnet te verstoren.
Onderzoek
Omdat er nog onvoldoende specifieke wet- en regelgeving is, kunnen fabrikanten voorlopig doorgaan met de productie van onveilige IoT-apparaten. Daarom heeft Agentschap Telecom, de cybersecurity-specialist Qbit de opdracht gegeven om te onderzoeken wat de belangrijkste kwetsbaarheden zijn en hoe criminelen hiervan gebruik kunnen maken. Het doel was om te komen tot een compacte lijst van aanbevelingen of regels, waarmee de grootste bedreigingen het hoofd kunnen worden geboden. Het onderzoek is grotendeels gebaseerd op literatuurstudie, waarbij is gekeken naar de huidige stand van zaken en bestaande oplossingen. Het internet bleek hierbij een dankbare bron van informatie over actuele aanvallen, genomen maatregelen en de belangrijkste tekortkomingen van de huidige generatie IoT-apparaten. Uit al deze informatie zijn de belangrijkste bedreigingen gedestilleerd en is tevens een overzicht gemaakt van bestaande oplossingen om deze bedreigingen tegen te gaan.
Een overschot aan 'services' maakt het aantal contactmogelijkheden met apparaten onnodig groot
Belangrijkste bedreigingen
De belangrijkste bedreigingen zijn geselecteerd met het oog op twee veel voorkomende aanvalsscenario’s (opname van het IoT-apparaat in een botnet en een aanval op het apparaat zelf). Als eerste wordt genoemd dat identieke apparaten vaak beveiligd zijn met standaard wachtwoorden die publiekelijk bekend zijn, bijvoorbeeld ‘admin’. Daarnaast wordt een overschot aan ‘services’ genoemd die het aantal contactmogelijkheden met het internet – en hiermee het apparaat – onnodig groot maakt. Ook verouderde software, ongeschikte of afwezige ‘versleuteling’ van data, het ontbreken van waarschuwingsfuncties bij ongeoorloofd gebruik van bandbreedte of vermogen, softwarebugs, een incorrecte houding van de leverancier bij problemen en een foutief gebruik door de eigenaar worden genoemd. En - niet de belangrijkste bedreiging, maar toch eentje om rekening mee te houden - mensen die fysieke toegang hebben tot de hardware, terwijl zij daar eigenlijk niets mee te maken hebben.
Evaluatie oplossingen
Aan de hand van deze lijst hebben de onderzoekers een aantal eisen opgesteld waaraan een goede oplossing voor de geselecteerde bedreigingen moet voldoen. Zo moeten ze bijvoorbeeld eenvoudig zijn toe te passen, moet het effect meetbaar zijn én moet de oplossing voldoende uniek zijn voor een specifiek apparaat. Deze eisen zijn vervolgens vergeleken met de verschillende veiligheidseisen en maatregelen die al eerder door andere organisaties zijn opgesteld. Het gaat dan om veiligheidseisen ten aanzien van wachtwoorden, toegang, interfaces, encryptie, software en privacy van de gebruiker. De maatregelen die passen binnen de opgestelde lijst van eisen, zijn vervolgens samengevat tot een set van acht regels:
- Alle wachtwoorden moeten voldoen aan de standaard NIST SP800-63b Digital Identity Guidelines.
- Na initiële configuratie moeten wachtwoorden uniek zijn voor elk apparaat, of opgegeven zijn door de gebruiker.
- Netwerktoegang tot een apparaat in functionele staat moet alleen mogelijk zijn na authenticatie.
- Het apparaat mag alleen poorten en koppelingen aanbieden die noodzakelijk zijn voor normale en bedoelde functionaliteit.
- Al het netwerkverkeer moet versleuteld en geauthentiseerd worden door middel van gangbare encryptie protocollen, zoals TLS.
- Fabrikanten moeten een update van de programmatuur in apparaten kunnen initiëren. Doormiddel van automatische updates, ofwel door het actief informeren van de eindgebruiker.
- Het apparaat moet de integriteit en authenticiteit van programmatuur controleren alvorens deze te installeren.
- De fabrikant moet duidelijke informatie verschaffen over de verantwoordelijkheden van de eindgebruiker om het apparaat veilig te gebruiken.
Agentschap Telecom geeft aan dat met deze lijst de veiligheid niet volledig gedekt is. Maar door het gebrek aan uniforme regelgeving zijn het wel maatregelen die de grootste problemen aanpakken en hiermee direct een relatief grote impact hebben.
Tekst: Marjolein de Wit - Blok
Fotografie: iStock
Lees meer artikelen in het dossierBeveiliging