Blog

IoT & Beveiliging (deel 1)

Help! Ik word bespied door mijn magnetron

Dit idee werd door Trump’s adviseur Kellyanne Conway in het leven geroepen, maar dit klopt natuurlijk niet. Ja, WikiLeaks onthulde dat de CIA ongemerkt gesprekken heeft opgenomen via Smart TV’s. En microwave camera’s kunnen gehackt worden. Zij haalde 2 zaken door elkaar. Maar waar liggen dan de risico’s bij het gebruik van Internet of Things (IoT)-apparaten? Moet ik me als zakelijke gebruiker verdiepen in IoT-security?

Het korte antwoord: ja! Want voorlopig is de veiligheid van het Internet der Dingen nog niet best. Volgens een onderzoek, uitgevoerd door Tripwire, verwacht 96% van security officers in de IT een toename van IoT-inbreuken in 2017. Dat is niet vreemd met de 8,4 miljard internetverbonden apparaten die nu al in gebruik zijn. Nieuwe ontwikkelingen als cognitieve IoT, Artificial Intelligence (AI) en machine learning zorgen voor nog meer redenen voor ondernemingen om IoT te gaan gebruiken. Naar verwachting zijn er in 2020 enkele tientallen miljarden apparaten verbonden met internet. Met deze groei, zullen incidenten als voor losgeld gekidnapte apparaten of IoT-botnets ook toenemen.

Wat is het Internet of Things (IoT)?

Het Internet of Things is een computerconcept dat stamt uit de 2e helft van 1990. Het idee omschrijft dat dagelijkse, fysieke objecten verbonden zijn met internet en zichzelf kunnen identificeren op andere apparaten. Ze zijn in staat om autonoom data te ontvangen en verzenden. Voorbeelden hiervan zijn autonome (zelfrijdende) voertuigen, slimmere huishoudelijke apparaten en medische hulpmiddelen. Naast de intelligente koelkast, komen er steeds meer andere toepassingen die een ‘connected thing’ zijn. Kleine sensoren die een enkel onderdeel meten en de meetgegevens continu doorsturen via internet.

IoT-security risico’s

Al in december 2013 werd het eerste IoT-botnet ontdekt dat voor 25% uit apparaten bestond, die geen computers waren. De reden dat de veiligheid van IoT-devices een punt van aandacht is, komt door de jonge leeftijd van het concept en ligt op meerdere vlakken:

  • gebruikers van IoT-apparaten;
  • het IoT-apparaat zelf;
  • de gebruikte gateway;
  • de verbinding;
  • de cloud/opslag van de data;
  • IoT-risico’s op het vlak van de gebruiker

Kopers van een Smart TV of intelligente thermostaat wijzigen het fabriekswachtwoord niet, of gebruiken geen sterk genoeg wachtwoord.
Daar komt nog bij dat we al genoeg wachtwoorden hebben voor de computer die we moeten bijhouden. Met steeds meer internet-verbonden apparaten komen er nog meer bij. Het is wel zo veilig een ander wachtwoord voor elk apparaat te hebben. En zelfs als je al jouw IoT-apparaat wachtwoorden kan bijhouden, is het onmogelijk om ze allemaal te laten patchen. Heeft de babyfoon deze maand zijn update al gehad? Erger nog, als apparaten soms functies verliezen na het bijwerken, kunnen gebruikers ervoor kiezen om niet te updaten.

Sowieso verwacht je als gebruiker dat jouw aanschaf veilig is. Je zal niet vragen welke encryptiesleutels gebruikt zijn voor jouw broodrooster. Maar het risico dat je als gebruiker loopt, is dat een apparaat gegijzeld wordt door een hacker. Of dat jij wordt gechanteerd met stiekem opgenomen beelden van jouw gehackte nannycam.

IoT-risico’s op het gebied van het apparaat

De meeste IoT-devices missen basisvereisten voor beveiliging. Dat heeft meerdere redenen. Er is bijvoorbeeld een overvloed aan standaarden en protocollen op het gebied van IoT. Dat levert op securitygebied blinde vlekken op.

Als een koffiezetapparaat is gehackt, is dat veel moeilijker te ontdekken dan bij een computer. Dit soort apparaten hebben vaak geen zichtbare display. Als ze dan misbruikt worden in een botnet, laten ze geen vreemd gedrag zien. Totdat de hacker bijvoorbeeld je apparaat voor altijd corrumpeert en/of de chip kapot maakt: dag duur apparaat! Verder maken deze apparaten gebruik van simpele processoren en gebruikerssystemen, die geen geavanceerde beveiligingsmaatregelen ondersteunen. Maar eigenlijk gaat het al eerder fout: in het design van een internet-verbonden apparaat wordt de veiligheid niet meegenomen. Vaak worden de producten verkocht met verouderde en niet te patchen software.

IoT-risico’s op het gebied van de gateway

Een gateway kost je ongeveer 1500 euro, heeft een laag energieverbruik en koppel je aan een bestaande internetverbinding. Het is daarmee mogelijk meer dan tienduizend apparaten ‘gratis’ te voorzien van een internetkoppeling. Maar alle lampen, koffieautomaten en sloten in jouw bedrijfspand aansluiten kan al reden genoeg zijn om een gateway aan te schaffen.

Een voorbeeld is LoRaWAN. Het is technologie dat speciaal voor communicatie voor the Internet of Things is ontwikkeld. Door gebruik te maken van de LoRaWAN-technologie, is het mogelijk om sensors en andere apparatuur te laten communiceren zonder dat er een bekabelde, WiFi- of 3G-verbinding nodig is. Doordat het een reikwijdte van 10 tot 15 kilometer heeft (veel verder dan WiFi) en een laag energieverbruik, kunnen apparaten wel 3 jaar op één batterij functioneren. Ook is er geen mobiel abonnement nodig om gebruik te kunnen maken van het LoRaWAN netwerk.

Deze gateways staan altijd aan en zijn altijd verbonden met het netwerk, maar gaan slechts één keer door een authenticatieprotocol. Dat maakt ze een perfecte bron tot infiltratie van een netwerk.

IoT-risico’s op het gebied van de verbinding

Wi-Fi, Bluetooth, Low Power Wi-Fi, Wi-Max, het gewone Ethernet, Long Term Evolution (LTE), 3GPP’s narrowband (NB)-IoT, LoRaWAN, Sigfox en het recente Li-Fi zijn allemaal voorbeelden van draadloze verbindingen die gebruikt of nog getest worden.

Dit geeft de complexiteit al aan. Al de nieuwe communicatieprotocollen, standaarden en verschillen in apparaat functionaliteit leveren hun eigen uitdagingen op. De mogelijkheden tot beveiliging zijn de traditionele beveiligingsfuncties, zoals antivirus- en antimalware. Maar ook andere functies, zoals firewalls en inbraakpreventie- en detectiesystemen die met andere systemen kunnen ‘praten’, zijn nodig.

Wat gaat er over die verbinding?

Via de verbinding gebeurt nogal wat: momenten waarop er ingebroken kan worden of waar kwetsbaarheden opduiken. Het gaat hierbij niet alleen om het authenticatieproces van de gebruiker naar zijn IoT-apparaat, maar ook tussen ingebedde apparaten (machine to machine).

Verder gaat het om de encryptie van data in ruste en in transit tussen IoT-apparaten en backend systemen. Het brede scala van IoT-apparaten en hardwareprofielen beperkt de mogelijkheden om standaard-encryptieprocessen en -protocollen te hebben. Bovendien moet alle IoT-encryptie vergezeld gaan van de bijbehorende management processen, gedurende de levenscyclus van encryptiesleutels. Aangezien slecht sleutelbeheer de algehele beveiliging vermindert.

IoT-risico’s op het gebied van de cloud

De risico’s van IoT op het gebied van de cloud hangen af van het gekozen platform. Een IoT-platform is een cloud-based platform dat een eenvoudige plug & play interface bevat, die een eenvoudige integratie met slimme IoT-apparaten mogelijk maakt. En daar zijn er ook verschillende van: Apple HomeKit, Xively, ThingWorx, Yookr, Carriots, Samsung Artik Cloud. Er is op dit moment geen enkel platform dat volledig doorontwikkeld en dus gereed is, met alle veiligheidskwetsbaarheden van dien.

De ontvanger van alle data die het IoT-apparaat verstuurt, wil daar iets mee doen: analyseren met welk doel dan ook. Dit gebeurt meestal via een Application Programming Interface (API).

Wie is eigenaar en bepaalt dus wat er met de ontvangen gegevens gebeurd? Het IoT-platform mag onder geen beding de data die wordt verzameld, gebruiken voor andere doeleinden dan de eigen doeleinden van het bedrijf dat de data genereert. De enige uitzondering is het gebruik van de data voor het verbeteren van het IoT-platform zelf. Het IoT-platform mag zonder expliciete toestemming van het bedrijf of gebruiker van het apparaat dat de data gegenereerd heeft, nooit de data (of statistische informatie die daaruit gedestilleerd is) verkopen.

Opslag data

Risico’s vloeien ook voort uit de grote repositories waar IoT-gegevens worden opgeslagen. Het kunnen aantrekkelijke doelen worden voor bedrijfshackers en industriële spionnen die op big data vertrouwen om winst te maken. Als consument en gebruiker van IoT-apparaten zijn er nog wat overwegingen: de alomtegenwoordige gegevensverzameling en het potentieel voor onerwacht gebruik van jouw gegevens.

Wat IoT-security verder compliceert is het gebrek aan gekwalificeerde werknemers die gespecialiseerd zijn in het beveiligen van het Internet der Dingen. 45% van de IoT-bedrijven worstelt om security specialisten te vinden, volgens een TEKsystems-enquête.

Jezelf beter beschermen tegen ransomware?
Download nu gratis het kennisartikel

In deel 2 van het artikel bekijken we wat de IoT-industrie doet om de veiligheid te verbeteren en wat je als gebruiker zelf kunt doen.