Onveilige cadeaus: zwakke wachtwoordinstellingen maken IoT-apparaten kwetsbaar voor aanvallen

kas

Stel dat u uw kinderen wilt verrassen en besluit een fantastisch, slim, app-bediend draadloos spionagevoertuig voor ze te kopen - in wezen een spionagecamera op wielen, verbonden via wifi en beheerd via een mobiele applicatie. Echt een geweldig cadeau dat niet alleen kan rijden, maar ook foto's maken, video's opnemen en zelfs op afstand audio afspelen via een ingebouwde luidspreker. En niet te vergeten... het is Cyber Monday, dus u kunt het voor een spotprijs krijgen! Helemaal perfect om u in feeststemming te brengen, maar enkele dagen na de aankoop van het voertuig begint u plotseling te merken dat er iets mis is en dat het voertuig onbestuurbaar wordt. Het apparaat lijkt andermans opdrachten op te volgen, video's op te nemen wanneer u dat niet wilt en onverwacht snel zijn acculading te verliezen. Wat is er gebeurd? Hoogstwaarschijnlijk heeft u een kwetsbaar en onveilig cadeau gekocht.

Met internet verbonden slimme apparaten worden in het algemeen beschouwd als een heel handige manier om ons leven te vereenvoudigen. Maar in welke mate zijn ze veilig te gebruiken vanuit het oogpunt van cybersecurity? In 2015 besloten onderzoekers van Kaspersky Lab de ernst van de dreiging achter het Internet of Things (IoT, oftewel het internet der dingen) te onderzoeken. De resultaten waren zorgwekkend, dus 2 jaar later deden ze nog meer onderzoek naar dit onderwerp. Van 8 willekeurig geselecteerde IoT-apparaten – variërend van een slim strijkijzer tot een slim spionagevoertuig - was de helft te hacken als gevolg van zwakke wachtwoordinstellingen. Bovendien bleek slechts één apparaat veilig te zijn en te voldoen aan de eisen van de onderzoekers.

IoT-apparaten zijn in principe apparaten met een netwerkverbinding, uitgerust met geïntegreerde technologie waarmee ze met elkaar of met de externe omgeving kunnen communiceren. Vanwege het grote aantal en de verscheidenheid van de beschikbare apparaten, is het IoT uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen. Hiertoe behoorden onder andere de recordbrekende DDoS-aanvallen van 2016 die werden gestart met behulp van een enorm botnet dat bestond uit routers, IP-camera's, printers en andere apparaten. Door met succes IoT-apparaten te hacken, kunnen criminelen mensen chanteren of bespioneren. Andere vectoren kunnen zelfs nog gevaarlijker zijn. Uw thuisnetwerkapparaten kunnen bijvoorbeeld worden gebruikt om illegale activiteiten te ontplooien, of een cybercrimineel die toegang heeft verkregen tot een IoT-apparaat kan de eigenaar ervan bespioneren, chanteren en afpersen voor geld. Het geïnfecteerde apparaat kan ook eenvoudig defect raken, hoewel dat natuurlijk nog het minste probleem is.

Met dit in het achterhoofd probeerden onderzoekers van Kaspersky Lab te ontdekken of de rapportages over slimme 'IoT' producten en de incidenten die zich hebben voorgedaan de veiligheidssituatie hebben veranderd. Om hierachter te komen analyseerden ze nogmaals verschillende willekeurig geselecteerde slimme apparaten, namelijk een slimme oplader, een app-gestuurde speelgoedauto, een slimme weegschaal, een slimme stofzuiger, een slim strijkijzer, een IP-camera, een smartwatch en een smart home hub. De bevindingen waren zorgwekkend: van de 8 onderzochte apparaten voldeed slechts 1 aan de beveiligingseisen van de onderzoekers. Sterker nog, de helft van de apparaten kon worden aangetast en simpelweg misbruikt als gevolg van een gebrek aan waakzaamheid van de leverancier wat betreft de wachtwoordinstellingen. Denk hierbij aan het gebruik van een standaard wachtwoord en het ontbreken van een mogelijkheid om het wachtwoord te wijzigen, terwijl het wachtwoord in sommige gevallen zelfs voor alle apparaten in het productassortiment hetzelfde was.

“Bij Kaspersky Lab volgen we de problematiek rond de cyberbeveiliging van slimme apparaten al jaren op de voet. We zien nu dat verschillende meldingen over 'IoT'-producten en toenemende waakzaamheid bij leveranciers hebben geholpen om het aantal onveilige slimme apparaten te doen afnemen. Het probleem is echter nog niet weg en slimme apparaten kunnen nog steeds schade toebrengen aan hun eigenaren. Dit geeft aan dat er nog veel gezamenlijk werk te doen is voor cybersecuritybedrijven en leveranciers van  met internet verbonden apparaten", merkt Martijn van Lom General Manager Kaspersky Lab Benelux, op.

Kaspersky Lab-onderzoekers adviseren gebruikers de volgende maatregelen te treffen om zich te beschermen tegen het kopen van kwetsbare slimme apparaten:

    1. Zoek alvorens een IoT-apparaat te kopen op internet naar nieuws over eventuele beveiligingslekken. Internet der dingen is momenteel een zeer actueel onderwerp, en veel onderzoekers zijn goed bezig door beveiligingsproblemen op te sporen in dergelijke producten: van babyfoons tot app-bestuurde geweren. De kans is groot dat het apparaat dat u gaat kopen al door beveiligingsonderzoekers is onderzocht. Vaak is het mogelijk om erachter te komen of er inmiddels een patch is uitgebracht voor de in het apparaat ontdekte problemen.
    2. Het is niet altijd een goed idee om de meest recente producten te kopen die op de markt zijn gebracht. Naast de standaard bugs die in nieuwe producten worden aangetroffen, is de kans bij recent geïntroduceerde apparaten groter dat ze veiligheidsproblemen hebben die nog niet zijn ontdekt door beveiligingsonderzoekers. De beste keuze is om producten te kopen die al verschillende software-updates achter de rug hebben.
    3. Als u overweegt welk deel van uw leven u een beetje slimmer wilt maken, houd dan rekening met de veiligheidsrisico's. Als u veel items van materiële waarde in huis hebt, is het waarschijnlijk een goed idee om een professioneel alarmsysteem te installeren als vervanging van of aanvulling op uw bestaande, app-bediende woningalarmsysteem; of configureer het bestaande systeem zodanig dat potentiële zwakke plekken de werking ervan niet zullen beïnvloeden.

Om alle dreigingen de baas te worden, heeft Kaspersky Lab een bètaversie uitgebracht van zijn oplossing voor de "slimme woning" en het internet der dingen - de Kaspersky IoT Scanner. Deze gratis applicatie voor het Android-platform scant het wifi-thuisnetwerk en informeert de gebruiker over de hiermee verbonden apparaten en hun veiligheidsniveau.

Lees ook

ESET: ‘Paniek over database met miljoenen Nederlandse wachtwoorden onnodig’

Nederlanders hoeven zich geen grote zorgen te maken over de database met naar schatting 3,3 miljoen Nederlandse wachtwoorden, die sinds afgelopen vrijdag door iedereen te doorzoeken is. Dat meent althans IT-beveiliger ESET Nederland. Volgens dit security-bedrijf bestaat de database nagenoeg zeker volledig uit reeds bekende datalekken, waaronder die van LinkedIn uit 2012. Deze lekken zijn al meermalen online verschenen en Nederlanders zijn er sindsdien al verschillende keren op geattendeerd om de ontdekte wachtwoorden aan te passen. ESET stelt dat daarom nu geen acuut verhoogde dreiging is. Bewustzijn...

'Basale ondersteuning vergroot gebruik van sterke wachtwoorden fors'

'Basale ondersteuning vergroot gebruik van sterke wachtwoorden fors'

Gebruikers die basale hulp krijgen bij het kiezen van een wachtwoord, zijn 40% vaker geneigd een veilig wachtwoord te selecteren. Het gaat hierbij onder andere om feedback die aangeeft hoe veilig het gekozen wachtwoord is. Dit blijkt uit onderzoek onder leiding van de University Centre for Security, Communications and Network Research van de Britse...

Marktplaats voor gestolen inloggegevens staakt activiteiten

Marktplaats voor gestolen inloggegevens staakt activiteiten

Leakbase heeft zijn activiteiten gestaakt. Deze website verkocht miljarden gebruikersnamen en wachtwoorden die zijn buitgemaakt bij datadiefstallen. Mogelijk heeft het offline gaan van Leakbase te maken met actie van de Nederlandse politie eerder dit jaar, die was gericht op de dark web marktplaats Hansa. Dit meldt beveiligingsonderzoeker Brian Krebs....