image

Kamer voor uitvoeren van 'hacktests' op IoT-apparaten

zaterdag 14 oktober 2017, 08:54 door Redactie, 12 reacties

De Tweede Kamer heeft deze week ingestemd met een motie van de SP om 'hacktests' op Internet of Things-apparaten uit te laten voeren. Volgens SP-Kamerlid Hijink kunnen kwetsbaarheden in apparatuur die verbonden is met internet tot grote schade bij particulieren en de samenleving leiden.

Eerder ging de Kamer al akkoord met een motie van Hijink en D66-Kamerlid Verhoeven om de minimale veiligheidseisen voor IoT-apparaten te onderzoeken. In een nieuwe motie riep Hijink de regering op, om in samenwerking met het bedrijfsleven, cybersecurityexperts en hackers, 'hacktests' op IoT-apparatuur uit te laten voeren. De motie werd afgelopen dinsdag door een meerderheid in de Tweede Kamer aangenomen, alleen de VVD en het Forum voor Democratie stemden tegen.

Reacties (12)
14-10-2017, 09:21 door Anoniem
Wat houdt dit concreet in? Gesubsidieerd testen en dan niets?

Wanneer gaat men eens regelgeving maken zodat producenten verplicht wordt hun apparatuur adequaat te onderhouden en de impact van beveiligingsproblemen te verkleinen door de gebruiker meer controle te geven over de producten. Denk aan verplicht inbouwen van middelen om (connected en risicovolle) functionaliteit het liefst hardwarematig uit te schakelen en het verplicht toelaten en mogelijk zelfs ondersteunen van het "hacken" van de soft- en hardware zodat de gebruikers weer de controle terugkrijgen.

Denk bijvoorbeeld aan de Intel ME, (Iphone) wifi en bluetooth. Allemaal zooi die de gebruiker naar wens volledig moet kunnen uitschakelen en het liefst ook inregelen. Het is vrijwel onmogelijk om al die hippe (wegwerp)apparatuur met allerlei verouderde en kwetsbare snufjes veilig te houden, helemaal als de economische levensduur slechts een aantal maanden is (meestal voldoet het apparaat dan nog prima doordat er maar een beperkt aantal functies gebruikt wordt die niet veel kwaad kunnen). Ook het van de markt halen of zelfs het opleggen van boetes bij het uitblijven van patches zal niet voldoende blijken want dan hangen de apparaten al in grote getale aan de muur. De oplossing is dus heel simpel: (hardware)knoppen om zulke zaken uit te schakelen (liefst zelfs standaard uit) en open firmware (die je alleen na het omzetten van een fysieke knop kan inschieten).
14-10-2017, 10:08 door Anoniem
Door Anoniem: Wat houdt dit concreet in? Gesubsidieerd testen en dan niets?
En geld en overheidsstempels voor de "cybersecurityexperts en hackers", natuurlijk. Verder de gebruikelijke keizerlijke kledij uit securityland.
14-10-2017, 10:21 door Anoniem
Krijgt het slachtoffer ook even een melding van zo'n ongerichte overheidshack?
Weet hij ook of de verkregen pentest kennis niet tegen hem/haar of iemand anders kan/zal worden gebruikt?

Dit zal dus toch wel binnen een zeer goed juridisch dichtgetimmerd kader moeten gebeuren, anders lijkt me dat de overheid goed "rogue" gaat. Wordt de kennis met een ieder openbaar gedeeld, d.w.z. legt men in het openbaar verantwoording af? Gaat een overzicht van de gevonden zero-days niet naar de NSA?

De weg van wet- en regelgeving lijkt mij de enig juiste. Maar ja totale vrijheid voor de producenten en een uitgeklede waakhond/toezichthouder met nauwelijks tanden.... (de duurzaamheidstests zullen wel gedaan zijn zodat de plastic onderdelen het op een bepaald moment gaan begeven en de vervangende onderdeeltjes weer schreeuwend duur zullen worden, made in China politiek - een "ver van mijn bed show" voor voluit graaiende groot-producenten en uitgeklede consumenten, die niets meer te kiezen hebben). Ik zie het voorlopig niet beter worden, maar dat zal wel aan mij liggen.
14-10-2017, 11:00 door Anoniem
Laten we hopen dat dit leid tot een KEMA-keur / CE-keur achtig keurmerk, wat verkopers met trots willen voeren ook.
14-10-2017, 11:02 door Anoniem
Door Anoniem: Krijgt het slachtoffer ook even een melding van zo'n ongerichte overheidshack?
Weet hij ook of de verkregen pentest kennis niet tegen hem/haar of iemand anders kan/zal worden gebruikt?

Nee, en ik heb voor de overheid gewerkt.. ben gestopt bij de AIVD omdat mijn baas zelf een aanslag in NEDERLAND wilde organiseren voor de kas. je wordt als AIVD'er , maar ook onze informanten gewoon doorverkocht aan buitenlandse diensten (geen grap), jouw data. Met alle risico's van dien als je ooit op vakantie gaat.... al eens door een buitenlandse dienst gedrogeerd en geraped? Nou..... ik spreek er nu voor het eerst over. Tijd dat ze verantwoording nemen.

Alles maar dan ook alles inclusief deze tests zullen tegen U gebruikt worden. Dat u het maar weet. Je wilt niet weten hoeveel Nederlanders met goede bedoelingen onder de grond liggen door de veiligheidsindustrie. Geen enkel incident gerapporteert in de media.
14-10-2017, 12:16 door john west
Waarom is een partij tegen ?

Dat het geld kost om het hackproef te maken ?

Valt me tegen van de VVD en het Forum voor Democratie.
14-10-2017, 12:17 door Anoniem
( kinderliedje ) "Ze stonden erbij en keken ernaar" ( kinderliedje )
14-10-2017, 13:33 door Briolet - Bijgewerkt: 14-10-2017, 13:48
Door john west: Waarom is een partij tegen ?

Valt me tegen van de VVD en het Forum voor Democratie.

Als je dat wilt weten, moet je het kamerdebat volgen. Dat een partij tegen een motie stemt, zegt lang niet altijd dat ze 100% tegen zijn. Soms vinden ze de motie niet ver genoeg gaan, of veel te vrijblijvend.

Door Anoniem: Wat houdt dit concreet in? Gesubsidieerd testen en dan niets?

De motie stopt inderdaad met het voorstel om te testen. Wat er met falende apparatuur moet gebeuren valt buiten deze motie.
14-10-2017, 18:47 door Anoniem
Zoals uit de tekst van het artikel wel blijkt moeten we dit zien in het licht van minimale veiligheidseisen voor IoT apparaten.
Daarvan is hier [/url]https://www.security.nl/posting/493278/D66+wil+verkoopverbod+onveilige+Internet+of+Things-apparaten[/url] al een eerste balonnetje over opgelaten.

Je krijgt dan vervolgens natuurlijk te maken met de vraag "maar hoe testen we of een IoT apparaat onveilig is?"
Het lijkt mij dat deze motie van Hijink daarop een antwoord geeft.
14-10-2017, 22:55 door Anoniem
Door john west: Waarom is een partij tegen ? Dat het geld kost om het hackproef te maken ? Valt me tegen van de VVD en het Forum voor Democratie.
Het is inderdaad een geweldig plan. In plaats van fabrikanten verantwoordelijk te houden voor het maken van slechte apparatuur, in plaats van de verkopers verantwoordelijk te houden voor het verkopen van slechte apparatuur, in plaats van kopers verantwoordelijk te houden voor het aanschaffen van slechte apparatuur, gaat de overheid belastinggeld inzetten om die drie miljarden te besparen. En als van ons eigen geld iets te vinden is (na een leuke winstneming door de security bedrijven die betaald helpen) dan kan schande gesproken worden en dan is het klaar. Ik zie inderdaad ook niet in waarom de VVD en FvD tegen zijn.
15-10-2017, 18:57 door Anoniem
Hacktest? En als de hack geslaagd is even een 'sleepnet' procedure in werking zetten.
16-10-2017, 12:53 door Anoniem
Door Anoniem:
Je krijgt dan vervolgens natuurlijk te maken met de vraag "maar hoe testen we of een IoT apparaat onveilig is?"
Het lijkt mij dat deze motie van Hijink daarop een antwoord geeft.

Waarbij we natuurlijk niet kunnen stellen dat de apparatuur inherent onveilig is, maar altijd wordt gebruikt in een breder ecosysteem. Denk aan routers, switches, etc, die ook allemaal (verkeerd) geconfigureerd kunnen worden.
Je kant best een onveilig apparaat veilig in een infrastructuur laten laden, maar dat vergt een hoop kennis en meer dan alleen bijvoorbeeld het aanpassen van het default username/password.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.