De Wet van Hypponen: als het ‘smart’ is, is het kwetsbaar
“Alles begint een computer te worden”, zei Mikko Hypponen, de chief research officer van F-Secure, tijdens de openingsrede van de beveiligingsbeurs Les Assises in oktober 2018. En dat is een zorgwekkende ontwikkeling. De Wet van Hypponen stelt namelijk het volgende: “Als het ‘smart’ is, is het kwetsbaar”.
Wat is nu precies kwetsbaar?
“Alle verbonden apparaten, alle ‘smart’ apparaten in onze netwerken. En ik zou het moeten weten, want ik ben de geestelijk vader van de Wet van Hypponen, die stelt dat als iets met de term ‘smart’ wordt aangeduid, je er vanuit moet gaan dat het kwetsbaar is.”
Mikko maakte deze wet in december 2016 aan de wereld kenbaar via een tweet. Als je naar deze wet zoekt, levert die inmiddels 60.000 zoekresultaten op Google op. En hij lijkt met de dag aan kracht te winnen.
Zelfs de FBI en Interpol hebben internetgebruikers gewaarschuwd dat zij niet moeten denken dat deze verbonden apparaten veilig zijn omdat er geen toetsenbord aan vastzit.
Download de poster“Dus hier hebben we een smartphone, oftewel een kwetsbare telefoon”, zei Mikko. “En hier hebben we een smartwatch — een kwetsbaar horloge. Smart car, smart city, smart grid… Nou ja, je begrijpt wel waar ik naartoe wil.”
Hoe intelligent is smart?
Voor consumenten zijn er al smart condooms, bagage en haarborstels. En bijna de helft van alle Amerikaanse huishoudens is in het bezit van een smart televisie. Het enige wat een snellere toepassing van deze met het internet verbonden apparatuur in de weg zit, zijn de zorgen over de privacy en beveiliging van de mensen die het meest enthousiast over deze technologie zijn. Dit blijkt uit een recent onderzoek door F-Secure.
Bedrijven zijn al voor dit decennium begon bezig geweest met het verbinden van alles wat maar los en vast zit. Als je een indruk wilt krijgen van de voortgang die er is geboekt met de digitalisering van onze wereld, raadt Mikko je aan om een fabriek te bezoeken. Bedrijven zijn namelijk voor miljarden of zelfs triljoenen aan euro’s aan handelsomzet afhankelijk van industriële besturingssystemen.
“En wanneer alles een computer begint te worden, kunnen bedrijven op verrassende manieren worden gehackt”, aldus Mikko.
Als voorbeeld verwees hij naar een van de grootste gevallen van diefstal van creditcardgegevens uit de geschiedenis: de hack bij Target in 2014.
“In dit geval werden de creditcardnummers van klanten buitgemaakt terwijl zij aan de kassa afrekenden… De pinautomaten van de winkels werden gebruikt om de creditcardgegevens te stelen.”
Hoe kon dit gebeuren?
“Het blijkt dat de hackers binnenkwamen via het ventilatiesysteem”, zegt Mikko. “En nee, ik bedoel niet dat Bruce Willis of Tom Cruise door de ventilatieschacht naar binnen kwam kruipen.”
Het ging namelijk om de computers die de ventilatiesystemen bewaakten.
“Alles begint een computer te worden. Daarmee regeren deze industriële controlesystemen de wereld om ons heen”.
En als het computers zijn, kunnen ze worden gehackt. Als je je afvraagt hoe kwetsbaar we hierdoor zijn geworden, moet je dit verhaal van een gerichte aanval op een industrieel bedrijf er maar eens op nalezen.
Als alles is verbonden, moet alles worden beschermd
Alles wat geprogrammeerd kan worden, kan worden gehackt. Dat is de essentie van de Wet van Hypponen. En het kan worden gehackt om toegang te krijgen tot iets wat veel interessanter is dan het ventilatiesysteem.
“Ze hacken je wasmachine of koelkast niet om toegang te krijgen tot je wasmachine of koelkast”, zei Mikko tijdens een interview met Tomorrow’s Capital, een programma van de Nasdaq. “Ze hacken deze apparaten om toegang te krijgen tot het netwerk… En de zwakste schakel in het netwerk is een IoT-apparaat. Dat is iets wat we keer op keer in de praktijk zien. Bedrijfsnetwerken worden gehackt via systemen voor het automatiseren van de ventilatie. Die hebben niets met je laptops of servers te maken. Maar het zijn wel computers, omdat alles tegenwoordig een computer wordt.”
Laten we het nog één keer herhalen: alles wordt een computer, en daarmee is alles kwetsbaar. Dat geldt nu al voor bedrijven, en binnenkort ook voor ons huishouden.
En we kunnen alleen voor toekomstgerichte beveiliging zorgen door ons een voorstelling te maken van hoe het leven eruitziet in een toekomst die door de Wet van Hypponen wordt geregeerd.
Categorieën