Zeven jaar geleden was de security-industrie het erover eens dat de populaire, maar chronisch ongepatchte Windows XP-computers een bedreiging waren voor het internet.
“Windows XP is ongeschikt voor het internet,” zeiden we toen.
En terwijl we ons druk maakten om dit besturingssysteem, kwamen de eerste ‘slimme’ televisies, televisies verbonden met het internet. Op haar beurt stopte de auto-industrie SIM-kaarten in hun auto’s, zodat ook zij met het internet verbonden waren. Langzaam werd duidelijk dat niet alleen computers en mobiele apparaten online konden.
Langzaam werd het internet een plek voor ‘dingen’.
Maar Internet of Things is ongeschikt voor het internet…
Tijdens het project Internet Census of 2012 zetten hackers miljoenen kwetsbare ‘met het internet verbonden’ TV’s om in scanboxes. Security experts konden hier wel om lachen. Minder grappig was de situatie dat er daarna in hetzelfde jaar een Finse ISP grote schoonmaak moest houden. Een botnet had namelijk duizenden digitale set-top TV boxes geïnfecteerd, om het netwerk van de gebruikers te scannen.
Gelukkig viel de schade mee en blijkbaar kon het internet dit gedrag aan. Snel vergaten we deze incidenten.
‘Dingen’ horen niet op het internet
Echter, bevestigde dit ons gevoel dat ‘dingen’ niet gebouwd waren voor het leven op het internet. “Het internet zou hen wel een lesje leren,” dachten we toen.
Sinds die tijd zien we regelmatig onhandige pogingen om traditionele producten om te toveren tot connected apparaten. Apparaten die voorheen niets te zoeken hadden online, kregen ineens extra functionaliteiten. Je gelooft het niet, maar door dit soort apparaten worden een hockey ijsbaan, een Zweedse kaviaar fabriek en tarwe silo’s kwetsbaar voor hackers. Onvoorstelbaar hoe zakelijk de beslissing genomen wordt, maar het bedrijf zich bij de uitvoering vervolgens zo blootstelt aan risico’s.
Gas- en elektrameters die op afstand uitgelezen kunnen worden bijvoorbeeld. Inmiddels hebben veel bedrijven en huishoudens deze meters in huis hangen. Maar weinig mensen zijn zich ervan bewust dat deze meters niet alleen op afstand worden uitgelezen, maar ook op afstand worden beheerd.
En een groot deel van de mensen kan het ook niets schelen. Want wat is het verschil? Echter zijn meters die op afstand uitgelezen kunnen worden ‘kwetsbaar’. Meters die op afstand beheerd worden zijn ‘nog kwetsbaarder’. Met zo’n meter in huis loop je risico. Zo simpel is het.
Hebben we dan niets geleerd?
Aan het begin van het millennium werd de ‘geschatte levensverwachting’ van Windows-computers zonder firewall gemeten in minuten. Internetwormen zoals Sasser, Code Red en BugBear veroorzaakten wereldwijd uitbraken, waardoor ISPs moeite hadden om hun diensten draaiende te houden. Wellicht herinner je je de beruchte Morris Worm nog, die in 1988 bijna een einde maakte aan het internet van toen.
Kijkend naar de weg die we zijn ingeslagen met het Internet of Things, lijkt het wel alsof we niets van deze gebeurtenissen geleerd hebben.
Voor ons, in de cybersecurity community is het dan ook lastig te accepteren dat random apparaten aangesloten worden op het internet. Apparaten die niet in staat zijn zichzelf te verdedigen tegen welke bedreiging dan ook.
… Of is het internet ongeschikt voor het Internet of Things?
Onlangs werd de Amerikaanse journalist Brian Krebs het slachtoffer van de grootste DDoS-aanval ooit. Zijn webhost werd gedwongen om de website van Krebs tijdelijk te dumpen, om andere klanten te helpen.
Opmerkelijk in dit verhaal is, dat het hier gaat om Amazon Web Services, niet zomaar een webhost dus. Bij AWS draaien de websites en webapplicaties van grote jongens. In dit geval maakte de aanval een deuk en veroorzaakte het geen echte schade, anders had het hele internet het gevoeld. Als Krebs niet geraakt zou zijn, dan hadden we waarschijnlijk niets van het hele voorval gehoord.
Later kwam het nieuws naar buiten dat de DDoS-aanval was opgezet via honderdduizenden, misschien wel miljoenen IoT-devices. Van te voren had niemand kunnen vermoeden dat deze apparaten achter de aanval zat.
Uiteindelijk kregen miljoenen gebruikers de aanval mee. Tijdelijk waren diensten als Netflix en Twitter onbereikbaar. En dat alles door onveilige IoT devices.
Het zet je wel aan het denken… Zijn we in staat om het Internet of Things te verbeteren? Misschien moet de rest van het internet (de bedrijven, de mensen, de services) wel veranderd worden.
The State of Cyber Security 2017
Download hieronder ‘The State of Cyber Security 2017’, ons gloednieuwe onderzoeksrapport vol met analyses, gegevens en inzichten van experts om jou te helpen het veranderende security landschap inzichtelijk te krijgen.
[fsecure-eloqua name=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″ url=”http://images.news.f-secure.com/Web/FSecure/%7Bd52f77ef-dd23-4871-ab9b-2ae794f4dadd%7D_F-Secure-Threat-Report-State_of_Cyber_Security_2017.pdf” description=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″]
Categorieën