Explosieve groei van connected home-apparatuur levert steeds grotere risico’s op

IoT-bedreigingen: een beknopte geschiedenis

Hoeveel onveilige apparaten of ‘dingen’ bij je thuis maken een verbinding met het internet? En hoe bescherm je die allemaal?

Het tempo waarmee ‘dingen’ met het internet worden verbonden is meedogenloos. Volgens een prognose van Cisco zal de gemiddelde Amerikaan in 2020 naast smartphones, tablets en pc’s over 14 apparaten beschikken die met diens thuisnetwerk zijn verbonden. Voor West-Europeanen zal er naar verwachting sprake zijn van negen extra apparaten.

De populariteit van personal assistants zoals Amazon Alexa en Google Home is kenmerkend voor de explosieve groei die verbonden apparaten kunnen doormaken. In 2015 bestond deze productcategorie nog nauwelijks. Drie jaar later, in 2018, kon dit soort apparaten worden aangetroffen in bijna een kwart van alle Amerikaanse huishoudens en 12% van alle Europese huishoudens.

Deze sterke toename van rekenkracht binnen huishoudens oefent een enorme aantrekkingskracht op cybercriminelen uit.

Uit IoT Threat Landscape: Old Hacks, New Devices, een nieuwe onderzoeksrapport van F-Secure, blijkt dat 2018 wellicht een kantelpunt is geweest. We kunnen niet langer voorbijgaan aan cyberbedreigingen die het op kwetsbare IoT-apparaten hebben gemunt. En dat geldt zeker voor apparatuur die consumenten gebruiken voor hun internetverbinding.

Nieuwe apparaten, dezelfde fouten

In de eerste helft van 2018 waarschuwden Interpol en de FBI consumenten dat ze IoT-apparaten zoals routers, camera’s en dvd-spelers op dezelfde manier zouden moeten beveiligen als hun pc’s en mobiele apparatuur.

“Cybercriminelen maken vaak misbruik van apparaten met zwakke authenticatie, ongepatchte firmware en andere kwetsbaarheden, of maken gebruik van brute force-aanvallen op apparaten waarop standaard gebruiksnamen en wachtwoorden zijn ingesteld”, zo stelde de FBI.

IoT-bedreigingen richten zich al meer dan tien jaar lang op apparaten met zwakke wachtwoorden. En fabrikanten blijven qua beveiliging achter de feiten aanlopen. De afgelopen jaren heeft de openbaarmaking van de broncode van IoT-malware op het internet ‘voor onderzoeksdoeleinden’ bijgedragen aan de opkomst van geavanceerdere cyberbedreigingen.

“Zwakke wachtwoorden, bekende kwetsbaarheden en beveiligingsupdates die lang of permanent op zich laten wachten: we hebben dit allemaal al eens eerder gezien”, zegt Tom Gaffney, operator consultant bij F-Secure. “We maken dezelfde fouten die we in de jaren negentig maakten, met het verschil dat er nu geen excuus meer voor is. We zouden beter moeten weten.”

Vooral routers zijn een makkelijk doelwit

Volgens een onderzoek uit 2018 door het American Consumer Institute zijn meer dan 8 op de 10 zakelijke en consumentenrouters vatbaar voor hacking. En dan hebben we het over routers van vijf van de zes grootste fabrikanten. Het is dus heel goed mogelijk dat een router zonder medeweten van de eigenaar is gehackt. Met een techniek genaamd DNS-kaping kunnen hackers dataverkeer doorsturen naar een phishing-website waar consumenten mogelijk hun creditcardnummer of aanmeldingsgegevens invoeren.

Het aantal door F-Secure Labs gedetecteerde IoT-bedreigingen verdubbelde in 2018 van 19 tot 38. Veel van deze bedreigingen maken nog altijd gebruik van voorspelbare, alom bekende technieken om misbruik van apparaten te maken. Bedreigingen die het gemunt hadden op zwakke/standaard aanmeldingsgegevens, ongepatchte kwetsbaarheden of allebei waren goed voor 87% van alle gedetecteerde bedreigingen.

Er zijn tal van IoT-bedreigingen bijgekomen die zich op het minen van cryptovaluta’s richten. Veel daarvan maken gebruik van de openbaar gemaakte broncode van de Mirai-malware. Deze lijft Linux-apparaten in bij een botnet van zombiesystemen om misbruik te maken van hun rekenkracht, vaak voor het uitvoeren van denial of service (DDoS)-aanvallen.

‘Smart’ of IoT-apparaten: doet het verschil er nog toe?

59% van alle cyberaanvallen die in 2018 door de honeypots (lokservers) van F-Secure werden gedetecteerd waren Telnet-aanvallen. F-Secure Labs schrijft deze ontwikkeling toe aan de verspreiding van Mira-malware. Jarno Niemelä, principal threat researcher bij F-Secure Labs, zei hierover:  “De nieuwe typen apparaten die Mirai aanvalt zouden niet via het internet benaderbaar moeten zijn.”

Deze ongepatchte IoT-apparaten zijn laaghangend fruit voor cybercriminelen. En hoewel infecties van dit soort apparatuur minder in het oog springen dan ransomware-aanvallen kunnen ze nog altijd systeembronnen leegslurpen en internetverbindingen verbreken of langzamer maken.

Grotere fabrikanten zoals Amazon zijn in staat geweest om de beveiliging van connected home-apparaten doeltreffend te versterken dankzij de hulp van ethische hackers zoals onze eigen Mark Barnes, die de eerste hack van een Echo op zijn naam heeft staan. Desondanks zijn er nog altijd een hoop kwetsbare apparaten in omloop. De PC’s en mobiele apparaten die consumenten vaker gebruiken dan ‘smart’ apparaten blijven ook vaak onbeveiligd.

Beveilig alles, binnen en buiten huis

Smart homes beginnen uit te groeien tot een compleet ecosysteem. Dat betekent dat één slecht beveiligd apparaat gevaren oplevert voor alle overige apparatuur.

Hoewel consumenten en masse gebruikmaken van smart home-apparatuur, spreken ze voortdurend hun zorgen uit over de privacyproblemen die gepaard gaan met het verbinden van steeds meer onderdelen van hun huishouden met het internet. Onderzoek wijst uit dat hoe meer consumenten over het IoT weten, des te meer zorgen zij zich maken.

“In een connected home bestaat de kans dat je smart TV een verbinding maakt met je draadloze printer. En je gameconsole kan zomaar beginnen te communiceren met je slimme gloeilamp”, zegt Timo Laaksonen, hoofd Operator Business Americas bij F-Secure. “Deze apparaten zouden zich verre van dit soort handelingen moeten houden.”

De gedachte dat een gehackt apparaat in je keuken of slaapkamer als afluistervoorziening kan worden gebruikt baart consumenten terecht zorgen. De kans dat de smartphone die we op zak hebben met ons meeluistert is echter even groot als de kans dat onze Echo dat doet. Zelfs ons ‘smart’ beveiligingssysteem zou kunnen meeluisteren via een ingebouwde microfoon waarvan we het bestaan niet eens wisten.

De beveiliging van thuisnetwerken staat of valt met de beveiliging van alle apparaten die daar deel van uitmaken, of ze nu binnen of buiten huis bevinden.