Blog

De risico’s van het Internet of Things ontvouwen zich

[Blog] De recente DDoS-aanval op DNS-provider Dyn is van een ongeziene capaciteit en maakt duidelijk dat we voor nieuwe security-uitdagingen staan.

Het is wel duidelijk dat security experts extreem sceptisch staan tegenover de mateloze populariteit van ‘smart’ devices. De scepsis richt zich vooral op de fabrikanten die met enorme gretigheid op de trend inspringen, zonder daarbij na te denken over de mogelijke zwakke plekken en gevaren. Een IoT-apparaat met een veilige architectuur en een gebruiksvriendelijke wijze om standaardwachtwoorden te wijzigen en beveiligingsupdates en patches te installeren is echt een zeldzaamheid.

Al vanaf het begin van deze trend, zo’n twee á drie jaar geleden, waarschuwen wij tegen de gevaren die slecht beveiligde slimme apparaten mogelijk met zich meebrengen. Meestal hebben wij daarbij gewaarschuwd voor privacyproblemen. Denk bijvoorbeeld aan IP-camera’s die niet met een wachtwoord beveiligd zijn en dus aan iedere geïnteresseerde live beelden van baby’s, kinderdagverblijven, voordeuren en bedrijfsterreinen laten zien.

Een ander gevaar dat wij doorlopend voorspelden, is dat van de zwakke plek in het netwerk. Een goed voorbeeld is de slimme koelkast, die gelinkt is aan de Google Calendar, om daarin boodschappenlijstjes te maken van producten die niet meer in de koelkast staan en dus waarschijnlijk op zijn. Door deze koppeling kan via een aanval op de koelkast de inloggegevens van de Google Account van de eigenaar worden gestolen. Een Google Account beperkt zich, zoals bekend, allang niet meer tot e-mail. Het geeft ook toegang tot afspraken en plannen middels de Google Agenda, tot (huis)adressen en bezochte plaatsen middels Google Maps en – indien in gebruik- tot geld middels Google Wallet.

IoT-botnet

Een gevaar dat wellicht wat onderbelicht is gebleven in onze waarschuwing is hetgeen zich nu voltrekt: botnets. Door de zwakke beveiliging van IoT-apparaten, zijn ze gemakkelijk te infecteren en op te nemen in een botnet. Deze botnets kunnen vervolgens worden gebruikt om spam en malware te verspreiden en om DDoS-aanvallen uit te voeren. Onlangs werd security blogger Brian Krebs slachtoffer van een DDoS-aanval door gekaapte IOT-apparaten. Nog recenter is de DDoS-aanval op DNS-bedrijf Dyn, waar naar verluidt ook honderdduizenden IoT-apparaten aan hebben bijgedragen.

[related_article id=”187414″]

Wisten wij dan niet dat botnets tot de gevaren van slecht beveiligde IoT-apparaten behoorden? Jawel, dat wist iedereen die zich een klein beetje met IT security bezig houdt. Maar waarschuwen voor botnets is tot nu toe niet erg effectief geweest. Botnets bestaan al vele jaren en al vele jaren proberen wij consumenten en bedrijven bewust te maken over de schade die hun geïnfecteerde computer aan een ander kan aandoen. Het lijkt mensen niet veel te interesseren. Ze ondervinden er zelf namelijk niet direct overlast van. Tot voor kort dan.

Met het botnet Mirai, zijn we in een nieuwe fase aangekomen. Nog nooit eerder werd een botnet met zó veel gekaapte apparaten en machines waargenomen. Mirai was verantwoordelijk voor de DDoS-aanval op OVH, een hoster in Frankrijk. De aanval was de grootste ooit. Tot vrijdag 21 oktober. Dat was de dag dat Mirai met een DDoS-aanval de DNS-provider en internetreus Dyn op de knieën kreeg.

Als DNS-provider van onder andere Twitter, Spotify, Tumblr, CNN, Paypal en andere grote namen, is Dyn normaal gezien goed beveiligd tegen DDoS-aanvallen. Maar het is Mirai, door zijn enorme omvang en brute kracht toch gelukt. Hiermee was een flink deel van het internet compleet ontregeld. Het is duidelijk dat er door de geslaagde DDoS-aanvallen van de laatste weken, waaronder ook die op de Belgische kranten die is opgeëist door de Syrian Cyber Army, hernieuwde interesse is in het inzetten van dit wapen.

Gevolgen?

Het Mirai-botnet is in ieder geval te huur voor geïnteresseerden met voldoende liquide middelen en ik verwacht dan ook dat er de komende tijd nog veel DDoS-aanvallen zullen volgen. En daarmee sluit de cirkel zich: iedereen – en dus ook de eigenaars van de geïnfecteerde devices – heeft vanaf nu last van botnets.

Maar maakt het iets uit? Misschien. Eén van de fabrikanten van IoT-apparaten die in het Mirai-botnet zijn opgenomen, het Chinese XiongMai Technologies, heeft toegegeven dat het een aandeel heeft in de aanvallen van Mirai. Ze geven aan dat het standaardwachtwoord niet is aangepast door de  eigenaars van hun producten en dat zij zo slachtoffer zijn geworden. Volgens het bedrijf worden nieuwe klanten vanaf nu opgeroepen om het wachtwoord te wijzigen (voorheen dus kennelijk niet). Bovendien worden bepaalde onveilige producten nu teruggeroepen en worden de producten beter beveiligd.

Dat is een goede zaak, al is het maar een druppel op de gloeiende plaat. De vraag is hoe (of beter gezegd: of) andere fabrikanten zich ook iets van dit geval aantrekken. En of gebruikers zich nu wel laten verleiden om sterke wachtwoorden in te stellen op hun slimme apparaten. Misschien als zij vaak genoeg niet hun favoriete websites kunnen bereiken door DDoS-aanvallen, wie weet?

Beveiligingblogbotnetg dataiotmirai

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken