'Een kwart van Internet of Things-apparaten is lek’
Het aansluiten van Internet of Things-apparaten in huis, is als het spelen van Russisch roulette. Bijna een op de vier ‘connected’ apparaten voor thuisgebruik is niet goed beveiligd. Of er zitten fouten in de firmware, of de webportal om toegang tot het toestel te krijgen is niet veilig genoeg. Dat is de conclusie van onderzoekers van het Franse Eurecom en de Ruhr University in het Duitse Bochum. Zij hebben de firmware onderzocht van routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten die via internet kunnen worden beheerd.
Geprobeerd werd om de beveiliging te ondermijnen door de firmware aan te passen met behulp van kwaadaardige software-updates, maar ook door de webportal van de toestellen aan te vallen. De portals werden blootgesteld aan veelvoorkomende aanvallen zoals XSS (cross-site scripting), CSRF (cross-site request forgery), SQL-injectie en RCE (remote code/command execution).
In totaal zijn 1925 firmware images onderzocht van 54 verschillende fabrikanten. Er werden meer dan 9200 kwetsbaarheden aangetroffen in 185 firmware images. Hoewel slechts 8 procent van de firmware php-code bevat in de beheersoftware of de portal, werd in 143 firmware images maar liefst 5000 XSS-lekken aangetroffen.
De studie lijkt te bevestigen wat ook vorige week tijdens Black Hat Europe naar voren kwam. Uit een onderzoek van InformationWeek en Darkreading bleek namelijk dat IT-professionals denken dat over twee jaar de beveiliging van IoT een topprioriteit zal zijn. Nu ligt die prioriteit nog vooral bij de beveiliging van applicaties en eindgebruikers.
De genoemde apparaten zijn consumer IT. En ja bij beide categorieën is security een probleem :)
Zou u dit willen verklaren?
Zou u dit willen verklaren?
Immers, alles dat door mensen kan worden gemaakt, kan door mensen worden gekraakt. Doordat de meeste van deze apparaten nu not IPv4 praten (en dus achter een NAT-router hangen), zijn veel apparaten niet direct benaderbaar vanaf het internet, iets dat met IPv6 wel het geval gaat zijn.
Tja, roepen dat bij 'het Internet of Things' geen moment over security na wordt gedacht, is ook niet erg doordacht. Het gaat er daarbij immers maar net om over welk device je hebt, en van welke fabrikant.
De vraag of mensen bij het ontwikkelen van een nieuw produkt wel/niet goed na denken over beveiliging, wordt immers niet gedefinieerd door de vraag of het produkt wat zij ontwikkelen wel/geen IoT device is......
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
Je bent sarcastisch neem ik aan? Lijkt me geen goed idee om met z'n allen terug naar de steentijd te gaan. Ontwikkelingen op het gebied van automatisering zullen hoe dan ook blijven doorgaan. Zaak is om daar zo goed mogelijk mee om te gaan en op in te spelen. Het IoT gaat er zeker komen en lost misschien niet een concreet probleem op.. maar dat deed een dienst als Facebook ook niet, terwijl het nu toch een van de grootste internet diensten ter wereld is.
Dat jij de voordelen niet wil zien, maakt nog niet dat een apparaat ''een ding des duivels is''.
Ik zie genoeg voordelen aan de slimme meter (bespaar er nu ook geld door). Wat ik echter wel zou willen zien is dat je zelf gewoon zo'n apparaat kan aanschaffen bij de Blokker ofzo, waarbij derden (zoals energie leverancier en overheid) geen toegang tot het apparaat kunnen krijgen.
Leg jij maar eens uit wat er zo ''duivels'' is aan de slimme meter, wanneer die meter jouw eigen bezit is, zonder toegang tot het apparaat voor derden (en zonder internet verbinding, tenzij je daar zelf bewust voor kiest).
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
Ik stook hout [...]
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/rookengezondheid
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/persbericht-onderzoek-naar-overlast-door-houtrook
http://www.binnenlandsbestuur.nl/ruimte-en-milieu/nieuws/gemeenten-vragen-strengere-regels-tegen-houtrook.9498378.lynkx
Toch per se hout stoken?
Ga dan vrijstaand wonen, ten minste een paar honderd meter van je buren vandaan.
Dat jij de voordelen niet wil zien, maakt nog niet dat een apparaat ''een ding des duivels is''.
Ik zie genoeg voordelen aan de slimme meter (bespaar er nu ook geld door). Wat ik echter wel zou willen zien is dat je zelf gewoon zo'n apparaat kan aanschaffen bij de Blokker ofzo, waarbij derden (zoals energie leverancier en overheid) geen toegang tot het apparaat kunnen krijgen.
Leg jij maar eens uit wat er zo ''duivels'' is aan de slimme meter, wanneer die meter jouw eigen bezit is, zonder toegang tot het apparaat voor derden (en zonder internet verbinding, tenzij je daar zelf bewust voor kiest).
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
Geen straling.
Zou u dit willen verklaren?
Immers, alles dat door mensen kan worden gemaakt, kan door mensen worden gekraakt. Doordat de meeste van deze apparaten nu not IPv4 praten (en dus achter een NAT-router hangen), zijn veel apparaten niet direct benaderbaar vanaf het internet, iets dat met IPv6 wel het geval gaat zijn.
Maar ik denk (en hoop) zodra IPv6 algemeen gebruikt wordt, dat leveranciers van modems e.d. een Deny All regel op hun apparaten zetten zodat NAT beveiliging wordt nagebootst
Tja, roepen dat bij 'het Internet of Things' geen moment over security na wordt gedacht, is ook niet erg doordacht. Het gaat er daarbij immers maar net om over welk device je hebt, en van welke fabrikant.
De vraag of mensen bij het ontwikkelen van een nieuw produkt wel/niet goed na denken over beveiliging, wordt immers niet gedefinieerd door de vraag of het produkt wat zij ontwikkelen wel/geen IoT device is......
Jammer genoeg denken de meeste mensen bij het aankopen van een nieuw product ook niet na over de beveiliging zodat de markt niet bij gaat sturen en we weer afhankelijk zijn van regelgeving en dat duurt allemaal zo lang en de fabrikanten hebben er zoveel invloed op...
<knip>
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
Dat hij terug draait als mijn zonnepanelen stroom aan het net leveren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
