Tikkende tijdbommetjes onder het IoT

0
37
Door Timo Fine – Op 21 oktober 2016 vond de grootste DDoS-aanval ooit plaats. Een botnet vuurde per seconde 1,2 terabits aan dataverzoeken af op managed DNS provider Dyn die deze aanval niet tijdig kon pareren. Door een domino-effect gingen populaire websites als Twitter, Reddit en Netflix offline.

De honderdduizenden met Mirai-malware besmette Internet-of Things (IoT)-apparaten hadden ‘keurig’ hun werk gedaan. Volgens security-goeroe Bruce Schneier was dit incident slechts een klein voorproefje van wat ons allemaal nog aan onheil te wachten staat als we het IoT ongecontroleerd steeds verder laten uitdijen. Misschien is ‘connect it all’, het mantra van de IoT-promotors, toch niet zo’n goed idee.

Internet of Things (IoT) staat voor het verbinden van apparaten met internet om gegevens te kunnen uitwisselen. Het gaat niet om je eigen computer of telefoon waarmee je als gebruiker kunt internetten, maar om apparaten die altijd verbonden zijn met de rest van de wereld.

Botnets maken dankbaar gebruik van met malware geïnfecteerde apparaten die aangesloten zijn op het internet of things (IoT). Denk hierbij aan onbeveiligde webcams, babyfoons, routers, digitale videorecorders bij consumenten thuis, maar ook aan CCTV-camera’s in bedrijven of openbare ruimtes.

Gebruikers van deze randapparatuur weten vaak niet eens dat hun onveilige apparaat deel uitmaakt van een botnet. Pas als ze rondsnuffelen op Shodan, de zoekmachine voor het IoT, of de demo van James Lyne bekijken, schrikken ze zich rot.

Ondertussen groeit het internet of things als kool. Het Zweedse Ericsson verwacht een omslagpunt in 2018. In dat jaar zullen voor het eerst wereldwijd meer apparaten aan het internet zijn aangesloten dan mobiele telefoons. In 2022 zullen er in totaal 29 miljard apparaten, tablets, mobiele en vaste telefoons met het internet verbonden zijn, waaronder 18 miljard IoT-apparaten. Het zijn slechts globale voorspellingen, maar de megatrend tekent zich scherp af.

Onheilsprofeten zoals Bruce Schneier, en dichter bij huis CEO Ronald Prins van securitybedrijf Fox-IT, waarschuwen al sinds de opkomst voor de risico’s van het IoT. Schneier: “De impact is enorm. Als je een Excel-bestand niet kunt openen door ransomware is dat hooguit vervelend, maar als je pacemaker of insulinepomp als onderdeel van het IoT is gehackt, dan kan dat levensbedreigend zijn.”

Volgens Prins, die regelmatig de publiciteit zoekt om te waarschuwen, denken we te weinig na over wat verdere digitalisering van ons dagelijkse leven en het IoT betekent. We maken ons steeds afhankelijker van software. Hij wijst met name op hackers die onze vitale infrastructuur, zoals bruggen, sluizen en de waterkering kunnen overnemen.

Prins krijgt bijval van het Agentschap Telecom dat een Programma Telekwetsbaarheid opzette om gebruikers bewust te maken van de risico’s als verbindingen uitvallen.

Gerard Kuipers, adviseur strategie bij Agentschap Telecom: “Straks zijn we afhankelijk van de juiste werking van sensoren in bijvoorbeeld smart cities. Er ontstaat daarmee ook een afhankelijkheid.” In 2024 zullen in Nederland tussen de 8,6 en 52,1 miljoen low-power wide area (LPWA) internet of things-apparaten zijn. Het merendeel van deze apparaten zal in de agribusiness en smart-buildings worden gebruikt.

Voorbeelden van IoT-toepassingen zijn monitoring van land en livestock (vee) , gas en watermeters, rookmelders en witgoed met radioapparatuur, maar ook een sensornetwerk dat op afstand de conditie van dijken monitort. Uit onderzoek van Dialogic in opdracht van Agentschap Telecom blijkt dat er de komende jaren voldoende spectrum beschikbaar is om aan de verwachte vraag voor draadloze IoT-connectiviteit onder de 1 GHz te voldoen. Dat is dan weer een kleine geruststelling.

Absoluut niet geruststellend, maar ronduit angstaanjagend, zijn de incidenten die tot op heden plaatsvonden met onze ‘heilige koe’. Auto’s zijn tegenwoordig computers op vier wielen, met alle cybersecurity-risico’s van dien. Het filmpje van een hack met een Jeep Cherokee uit 2014 die de bestuurder tot wanhoop drijft omdat hij uiteindelijk alle controle over de auto verliest, geldt inmiddels als een klassieker. De hack vond plaats via een kwetsbaarheid in het entertainmentsysteem van de auto.

In een achtergrondartikel betoogt digital strategy architect DJ Singh dat de hack met de Jeep Cherokee niet op zichzelf staat. De noodzakelijke securitymaatregelen en software patches houden lang niet altijd gelijke tred met de snelheid waarmee autofabrikanten met het internet verbonden entertainment- en navigatiesystemen, dash-cams en OBD-dongles lanceren.

De ISO 26262 norm heeft slechts betrekking op functionele veiligheid en de standaard SAE J3061, die wél cybersecurity-risico’s in kaart brengt, is pas op 16 januari 2016 gepubliceerd. Autofabrikanten leven bovendien in een hele andere wereld dan IT-securityspecialisten en ook dat ondermijnt het veiligheidsbewustzijn.

Op diezelfde cultuurverschillen stuiten onderzoekers van ABN AMRO in een rapport over het zogenoemde industriële internet of things (IIoT). Want niet alleen onder onze bruggen, sluizen en auto’s tikken tijdbommetjes, ook in fabrieken, waar een uitgebreid netwerk van sensoren, actuatoren en industriële software automatisch met elkaar communiceert en op elkaar reageert.

Die interconnectiviteit is positief als je in een broodfabriek bijvoorbeeld snel wilt overschakelen van tarwe naar spelt, maar het maakt volgens de onderzoekers de afstemming van verschillende IT-systemen op elkaar en de borging van cybersecurity complex.

Hoewel IT-ondernemers en industriële directeur-grootaandeelhouders een gedeelde passie hebben voor technologische vernieuwing, liggen beide werelden volgens ABN AMRO ver uit elkaar. Ze zijn verenigd in verschillende brancheverenigingen, spreken een verschillende talen en werken op een andere manier. IT’ers werken agile, in korte sprints met veel iteraties, naar een eindproduct, terwijl men in de industrie juist gewend is om zeer precies naar één uiteindelijke oplossing te werken.

Zeven tips

Het Nationaal Cyber Security Center (NCSC) stelde nota bene in 2012 al een factsheet op met een handelingsperspectief dat nog steeds hout snijdt:

  • Bepaal welke apparaten zoals printers, scanners, webcams, televisies en netwerkopslag (NAS) met je netwerk verbonden zijn.
  • Stel de firewall van je internetrouter zo in dat deze apparaten niet bereikbaar zijn vanaf internet.
  • Schakel UPnP (of DLNA) uit op deze apparaten.
  • Stel toegangsbeveiliging met een gebruikersnaam en wachtwoord in op deze apparaten.
  • Gebruik, waar mogelijk, versleutelde verbindingen zoals HTTPS om met deze apparaten te communiceren.
  • Bezoek regelmatig de website van de leverancier om na te gaan of er updates voor de (besturings)software (firmware) van de apparaten zijn. Installeer firmware-updates als deze beschikbaar zijn.
  • Stel eventuele andere beschikbare beveiligingsmaatregelen op deze apparaten in. Raadpleeg de handleiding voor een overzicht.

Ronald Prins heeft, tot slot, misschien wel de meest simpele oplossing voor de tijdige ontmanteling van de tikkende tijdbommetjes: “Een verbinding hoeft geen twee richtingen te hebben.”

De auteur is countrymanager Benelux bij Wipro