Het internet komt naar ons toe. Straks niet langer alleen op pc, smartphone en tablet maar overal om ons heen. Het Internet of Things brengt veel: goede dingen én gevaarlijke dingen. Waaronder het hackbare huis.
Het Internet of Things (IoT) brengt vooruitgang en achteruitgang. Vooruitgang dankzij connected devices waarmee we ons omringen en die ons dankzij die internetverbinding slimmer kunnen bijstaan. De aloude droom van een kachel die aanslaat als je auto aan je huis doorgeeft dat je er bijna bent. Of van verse koffie in de ochtend als je wekker (met bewegingssensor) meldt aan je espresso-apparaat dat je bent opgestaan.
Beveiliging als nagedachte
Het andere aspect, de te verwachten achteruitgang door het IoT, schuilt in het vaak verwaarloosde gebied van security. Nog te vaak is beveiliging een gedachte achteraf; iets wat wordt toegevoegd aan een product of dienst in plaats van dat security al bij het allereerste ontwerp wordt meegenomen. Terwijl het IoT steeds meer consumenten bereikt, storten ook security-specialisten zich erop. Zowel hackers als crackers.
Onze senior securityspecialist David Jacoby valt in eerstgenoemde categorie IoT-krakers: goedbedoelend en waarschuwend. Hij heeft zijn eigen huis gehackt, uit nieuwsgierigheid. Van tevoren dacht deze expert dat de kwetsbaarheid van zijn, niet eens zo heel erg geautomatiseerde huis wel zou meevallen. Dat viel helaas tegen. Zijn huis met een gemiddeld vijftal aan semi-slimme connected apparaten bleek behoorlijk hackbaar.
Eigen huis gehackt
De eigen huishack was mogelijk dankzij zwakke plekken in de router van Jacoby’s internetprovider, in zijn smart-tv en de satellietontvanger, in de printer en in twee netwerkschijven. Allemaal producten die niet eens per se als IoT worden beschouwd en die veel consumenten allang in huis hebben. En waar veel consumenten (in tegenstelling tot Jacoby) niet eens updates voor installeren, of daar überhaupt weet van hebben.
Het ‘echte’ IoT brengt meer connected devices naar ons toe. Denk aan slimme thermostaten, zoals die van Nest (onlangs overgenomen door Google). Het hacken van zo’n apparaat staat nog relatief in de kinderschoenen. Zo is de begin augustus onthulde hack om een Nest-thermostaat om te toveren tot een spionage-apparaat een relatief bescheiden risico. Er is namelijk fysieke toegang tot het kwetsbare apparaat nodig om het te resetten en dan een USB-stick met kwaadaardige software aan te sluiten. Uiteraard heeft – of wil – lang niet iedereen een slimme thermostaat, dus die dreiging valt te betwisten. Maar het gevaar van gehackte apparaten komt ook op andere manieren ons huis binnen. Op plekken waar ze allerminst gewenst maar ook onverwacht zijn.
Cybercrimineel in de babykamer
Het is misschien wel de grootste angst van jonge ouders: een onbekende in de slaapkamer van je baby. In dit geval niet via een kapotgeslagen raam of geforceerde deur, maar via een babyfoon met wifi en camera. Begin dit jaar werd die angst werkelijkheid voor een groep jonge ouders die gebruik maakten van een IP-babyfoon. Dit apparaat is voorzien van een standaardwachtwoord, een fabrieksinstelling die ouders vaak niet of nauwelijks wijzigen. Een hacker besloot de proef op de som te nemen en kon zonder dat ouders het wisten hun baby bekijken en wakker schreeuwen.
Veel fabrikanten van computerapparatuur hebben de foute praktijk van standaardwachtwoorden al wel afgeleerd. Door schade en schande wijs geworden. Voor het IoT lijkt de geschiedenis zich echter te gaan herhalen. Dus wees gewaarschuwd.
Auteur: Martijn van Lom, General Manager Benelux and Nordic bij Kaspersky Lab.
