Dus ook Raspberry Pi's? Deze kunnen ook onveilig zijn wanneer deze verkeerd ingesteld worden.

Snap niet waarom D'66 zich bezig houdt met IoT problematiek.

Begin anders even met de mobiele markt aan te pakken....
Zolang het gros van de Androids niet voorzien wordt van updates heb je daar en groter botnet dan welke groep IoT devices ook. Daarbij draait Android ook nog eens op veel niet mobiele devices.

Een algeheel verbod op Android lijkt me dus prima te verdedigen binnen de EU....

Omdat ze geen FAKE nieuws kunnen vinden over Oekranie.

On topic: Dit is gewoon dikke onzin. Er is maar 1 middel om dit tegen te gaan, en dan dat zijn hoge boetes. Laat de leverancier maar gewoon 1000 euro per device schade betalen als blijkt dat deze prut spul levert. Dan gaan ze wel nadenken over beveiliging.

Verder zul je ook de eigenaar toch verantwoordelijk moeten stellen. Het is ook nog steeds zo dat wanneer ik met mijn auto een huis binnen rijd, ik verantwoordelijk ben. Niet de auto leverancier.
En ja, ook niet iedereen is geschikt om een auto te besturen. Dus zal ook niet iedereen geschikt zijn voor IT or IoT.

TheYOSH

Ik zie het al weer helemaal aankomen. Er komt een norm, standaard, geef het beest een naam. Een of andere instantie moet gaan testen of die zinloze zut daaraan voldoet. Dat stuk zut krijgt dan een waardeloos stuk papier in de vorm van een certificaat.

Een jaar later bestaat die fabrikant niet meer. Het betreffende stuk zut is inmiddels lek gebleken. Die fabrikant gaat er echt niks meer aan doen. De consument ook niet, want die interesseert het niet (doet het toch?). Ik begrijp dat D6 dat dan gaat fixen.

Volkomen kansloze actie dit.

Onzin, Google brengt heel regelmatig updates uit voor Android op hun Pixel telefoons. Ook Nokia is erg snel met updates. Verbied liever Samsung en trawanten die de updates niet snel genoeg doorgeven...

Alles systemen en alle OS'en kunnen onveilig zijn als je geen updates installeert.

Pi's kun je tenminste instellen. Veel van die IoT's geven meer macht aan de fabrikant dan aan de klant. Wetgeving op dat gebied geeft hoop. Ben benieuwd hoeveel bots uit de DDOS van ABN-AMRO buiten de EU draaien, wat wetgeving lastig maakt.

Sluizen?

Het is gvd te hopen dat dit soort techniek in een gesloten systeem hangt, ipv het open Internet.
Anders ga ik nog meer aan de overheid twijfelen mbt IT dan ik al deed.....

en wie en hoe worden die boetes bepaald en opgelegt als bedrijven zich steeds achter de wet kunnen schuilen? daar al eens over na gedacht?

Moet ik uit deze zin opmaken dat dhr. Verhoeven van mening is dat de banken slecht beveiligde IoT apparaten gebruiken voor hun bank-activiteiten zoals internetbankieren en betaalautomaten?

Waarop beseert hij deze stelling? Graag onderbouwing met feiten.
Hij heeft blijkbaar informatie die het "gewone volk" niet heeft mbt de banken. :-)

Zonder onderbouwing is het slechts bangmakerij.
Op deze manier worden politici (van D66) steeds ongeloofwaardiger.

Opzich terecht dat de aandacht door D66 gericht wordt op IoT devices, ik ben alleen even benieuwd waar de relatie met ABN en Rabo vandaan komt. Is dan al vastgesteld waar deze aanvallen vandaan komen? En zijn de bronnen dan ook daadwerkelijk al vastgesteld als zijnde IoT devices? Het voelt een beetje aan als "jumping the gun".


Tenzij aantoonbaar gemaakt kan worden dat het ongeluk te wijten was aan een ontwerpfout van de fabrikant, waarvan de bestuurder niet redelijkerwijs had kunnen weten dat het probleem speelde.


Wat er met door andere aangehaalde Android vergelijkingen in de markt gebeurt is tekenend voor dit soort problemen. Zolang de fabrikant niet aansprakelijk wordt gehouden, onder dwang van serieuze boetes - en zeker de EU kan deze echt wel opleggen - en verplicht wordt op een redelijke termijn en binnen een fatsoenlijke lifecycle van de producten updates te distribueren om lekken te verhelpen, blijft het aanmodderen.

Een telefoon wordt door veel mensen na twee jaar ingeleverd, maar er zijn er ook genoeg die daar drie tot zes jaar mee doen, of juist zo'n 'afdankertje' overnemen vanwege weinig geld. En kost de update infrastuctuur daarvoor te veel? Jammer dan; dan moet je je als fabrikant ook niet in die markt willen begeven. De eindgebruiker kan je dat voor de meeste zaken niet aanrekenen (goddank voor computer nono's, houdt een hele beroepsgroep instand), maar fabrikanten horen na te denken over de beveiliging/veiligheid van hun producten en de beschikbaarheid van een update infrastructuur voor de hele levenscyclus van alle producten die ze uitleveren. Als er een internet/netwerk "touwtje" aan zit, moet je het gewoon kunnen updaten.

Samenvattend vind ik het terecht dat er aandatch voor de security van IoT devices gevraagd wordt, maar het probleem is véél breder en verdient daarom ook een veel bredere security aware aanpak.

Jij bent echt heel slim :-)

Weten ze uberhaupt waar ze het over hebben als het over IoT gaat? Laten we daar eens beginnen.

Wat is er nu moeilijk aan; als je een boete wilt opleggen, zal eerst de wet beschreven moeten zijn die vaststelt dat er een boete volgt en hoe hoog die ongeveer kan zijn voordat een rechter een boete kan opleggen. snappen mensen dat niet op dit forum? aansprakelijkheid is ook een ding dat pas na wetgeving kan. het is niet moelijk jonges...

Als iCT-er zou ik me bij een bank ook zorgen gaan maken als je alles in een cluster zet wat kan communiceren met internet en met de banksoftware. IoT kan gaan van (VoIP)telefoontoestellen, (VoIP)intercoms, deuropeners die vanuit de telefoon aangestuurd kunnen worden, enz.

Wat er aan de andere kant gebeurd is dat ik privé een SonOff aanschaf om als tijdschakelaar te gebruiken en deze flash met Open Source software om meer functionaliteit te krijgen. Hoe wil D66 nu de fabrikant hiervan aansprakelijk stellen als de eindgebruiker dergelijke acties uitvoert?
Verder zijn er behalve de SonOff natuurlijk honderden, zo niet duizenden vergelijkbare producten te koop die eenvoudig zelf te flashen/programmeren zijn.

2 hele vendors uit het hele spectrum die wel updates doorgeven.....
0.7% van de devices draait 'al' op Oreo.. een klein half jaar na de release, dat zegt best een hoop over het update beleid binnen Android als je het mij vraagt.

Dat lijkt me duidelijk:
IoT-apparaten die gemakkelijk kunnen worden gehackt kunnen worden opgenomen in een botnet dat ddos-aanvallen doet.
De verwachting is dat IoT apparaten explosief gaan toenemen.
Dus als men die te makkelijk in kan zetten voor ddos-aanvallen wordt het helemaal een ramp.

Ik vermoed overigens dat de huidige ddos aanvallen niet zomaar de lucht komen vallen.
Daar is vast een aanleiding voor geweest,
en bedenk zelf dan maar wat het meest voor de hand ligt.

Tim Kuik wil dit ook gerust regelen hoor. Dat nare mannetje vindt toch dat hij al een half god is.

Je zegt het zelf: "kunnen", 'verwachting", "ik vermoed".
Ik hoor alleen maar aannames en vermoedens.
Waar zijn de feiten?

De oorzaak van de ddos-aanvallen is nog niet bekend (gemaakt).
Waar zijn de feiten die de huidige ddos-aanvallen bij de banken (en belastingdienst) terugherleiden naar een grootschalige inzet van IoT-apparaten voor dit botnet. Zonder dat bewijs, is de claim van dhr Verhoeven niet meer dan bangmakerij/volksmennerij. Jouw logica ten spijt.

Dat lijkt me duidelijk:
IoT-apparaten die gemakkelijk kunnen worden gehackt kunnen worden opgenomen in een botnet dat ddos-aanvallen doet.
De verwachting is dat IoT apparaten explosief gaan toenemen.
Dus als men die te makkelijk in kan zetten voor ddos-aanvallen wordt het straks helemaal een ramp.

Dat snap je toch zeker wel?
Als je de toekomst wil voorspellen, moet je hem zelf maken.
Als je in de toekomst ddos aanvallen wilt beperken moet je zorgen dat apparaten op internet daar niet gemakkelijk voor kunnen worden ingezet omdat ze hackbaar zijn. Die verdere toename van IoT apparaten in de toekomst gaat er komen.
Er is sinds ca. 1½ jaar een eerste landelijk dekkend LoRa netwerk https://www.security.nl/posting/476188/Nederland+heeft+landelijk+dekkend+Internet+of+Things-netwerk

Afz FB

Enkele feiten
- veel IOT apparatuur zijn leuke hebbedingetjes waar mensen veel plezier van mogen hebben
- er zijn heel veel IOT apparaten in de markt.
- veel van die apparaten is niet of nauwelijks te updaten
- veel fabrikanten bestaan maar heel erg kort (uit China?).
- er zijn heel veel gebruikers van die apparaten
- de meeste van die gebruikers snappen niets van IT en/of waarom/hoe updates te installeren
- veel IOT bleek gemakkelijk te worden gehacked
- veel IOT kan door een bewust bekwame slechterik worden misbruikt om een botnet samen te stellen
- omdat er zo veel IOT apparaten zijn, kan het botnert heel erg groot worden.
- met zo'n botnet worden mensen/organisaties lastig gevallen die zelf hun zaken goed op orde hebben (anders ligt het aan henzelf). Ook organisaties waarvan bijna alle goedwillende mensen afhankelijk van zijn.

Wetgeving op dit gebied maakt het niet onmogelijk dat iemand zelf knutselt. Dat moet ook niet verboden worden. Het aantal knutselaars die iets IOT-achtigs maakt, die is over het algemeen voldoende in staat beveiliging aan te brengen of patches toe te passen. Het aantal van die zelf-knutsel-IOT dingetjes kunnen nooit het aantal halen waardoor een IOT botnet zo gemakkelijk effectief is.

Wetgeving op IOT gebied moet het mogelijk maken om
- leveranciers aan te spreken (evt voor boetes)
- apparatuur goed te keuren (voordat de grote partijen de markt op gaan)
Dit verkleint het probleem van IOT-botnets voldoende om handhaving mogelijk te maken.
- voor de liefhebber: ook wetgeving over hoe een IOT dingetje moet worden ingesteld?

Ik zie graag dat iedereen veel plezier heeft met zijn IOT hebbedingetje.
Maar dan wel zo dat de overlast die een ander ondergaat wordt geminimaliseerd. Daarvoor is die wetgeving.

Net zoals in het verkeer
Ik wil niet dat ongekeurde auto's de weg op gaan. Zeker niet als mijn kinderen met hun fietsje ook op die weg rijden.

Goed idee om slechte IoT-apparaten te verbieden! Daarom zijn er in Nederland ook helemaal geen verboden wapens, illegaal vuurwerk of illegale kopieen van muziek. We zouden ook nog belasting kunnen heffen op alle IoT-appaten om daarmee het opsporen van slechte IoT te bekostigen.

soortgelijke oproep : haal d66 uit de handel en wandel

Voorstel is om alleen partijen toe te laten tot het parlementaire stelsel die laten zien dat ze boven het minimum van fatsoensnormen en integriteit uitsteken.
Partijen die beloften niet nakomen en hun eigen grondbeginselen (democraten 1966) volstrekt negeren na de verkiezingen dienen per direct te worden verwijderd uit het parlement.

Deze zetels dienen vervolgens te worden omgezet in blanco zetels in de kamer.
Blanco opdat de overige partijen dan ook direct meer werk gaan maken van echte samenwerking.

d66 naar de politieke schroothoop waar ze thuishoort, romancier pechtolt voorop.

Prima dat er een tweedekamer lid is die iets voorstelt.
Dat er weer tegenstand is?
Natuurlijk.
Zodra een politicus iets zegt in dit klootjesland is het altijd helemaal fout; deugt niet en vooral hier op sec.nl waar het reactieniveau op dit soort berichten het intelligentieniveau van een lege mosselschelp - op een enkeling na - moeizaam overtreft, en goh ... het lijkt de doorsnee maatschappij wel alleen jammer dat die 'doorsnee' in toenemende mate excelleert in stompzinnigheid en anti-politiek 'bewustzijn' Tja, dat zullen wij - ik leen voor het gemak de metier definitie van legionaire - wel gaan merken als de gemeenteraadsverkiezingen zijn gestrand cq drooggelopen op 42% opkomst, 20:00 uur, 21 maart a.s.
Het zal wel. De maandaggal, waarbij ik mijzelf niet verschoon, is weer uitgebraakt, Dus nu over naar de realiteit.

Als toenemende aantallen ddos aanvallen aantoonbaar wijzen op verlamming van de netwerkstructuur zal er iets moeten gebeuren om dit op zijn minst af te remmen. Het voorstel van D66 zal het nooit gaan halen tenzij de VVD zijn heilige graal: "de vrije markt economie is goed voor ons allemaal" m.b.t. deze bedreiging heroverweegt. Dat is de achilleshiel en als deze door doeltreffende oppositie niet eerst geneutraliseerd wordt zullen we in de toekomst nog vaker horen van de digitale bamiballenteller in het slimme vriesvak die zich heimelijk ongewenst bezighoudt met duistere netwerkactiviteiten.

Wat is je definitie van prut?
Hoe lang moet men ondersteuning verlenen? En wat als de consument het toch langer blijft gebruiken? Is dan de leverancier ook nog verantwoordelijk?
Is de leverancier ook verantwoordelijk als de consument of klant het verkeerd configureren?
Of als de consument ze gewoon de spullen Internet besteld, waar de kwaliteit gewoon bagger is?

Ofwel..... Jou middel is niet haalbaar en leuke praat voor op een verjaardag of tijdens een borrel. Maar totaal niet realistisch.

De lange arm van D66 gaat zich uitstrekken naar de sjoemelende Chinese IoT producent.
Oh wee, oh wee. Goeie actie van .....?

Zelfregulering bij adware launchers en trackers is al geen haalbare kaart.
Dan moet je echt gaan optreden en dat lukt (maar) niet bij monopolisten.

Aan het aantal data breaches te zien heeft een boete of "rode kaart" nog nooit gewerkt,
de entrepeneur met voldoende lobby lacht, een bureau halt strafje werkt hier niet.

Inbeslagname net als bij illegaal vuurwerk. Gebruikt u het als IT-er binnen een netwerkomgeving,
komt het negatief op uw conduite-staat en heeft u binnen de IT niets meer te zoeken.

Opbergen dus dat Bluetooth horloge en die stappenteller, en wat snel!

Geen maatregelen in deze, dan is het volgende botnet een feit.

Je logical is bijna sluitend, totdat je bij de volgende "feiten" aankomt:

"kan worden misbruikt" en "kan groot worden".

Allemaal aannames om je eigen mening te bevestigen.
Waar is de bewijslast dat dit nu gebeurd is bij deze DDOS-aanvallen?

Heb jij zo'n IoT apparaat dat onderdeel is van een botnet dat de banken of belastingendiest heeft aangevallen? heb je vervolgens dit apparaat teruggevolgd naar zijn bron? En daarbij geconcludeerd dat het een botnet is, en dat dit voor een groot deel bestaat uit IoT-apparaten?

Dit wil niet zeggen dat het niet "kan" gebeuren. Maar ioT met ddos-aanvallen gelijkstellen gaat een brug tever, totdat dit bewezen is. Zeker voor een poiticus, die hiermee alleen maar mensen ongerust maakt.

Ik snap veel. Dat veel kan betekent nog niet dat het ook zo gebeurd is.

Ik snap ook dat je geen feiten hebt die de huidige stelling van D66, dat IoT verantwoordleijk is voor de DDOS-aanvallen op banken en (de belastingdienst). onderbouwen; tenzij jij of dhr Verhoeven toegang hebben tot onderzoeksgegevens van de veiligheidsdiensten. Maar dan zou je de wet overtreden door dit zo bekend te maken.

Totdat het onderzoek klaar is en de resultaten gepubliceerd, hebben D66 en jij (en wij allemaal) geen feiten, alleen maar aannames en een logische puzzel waarbij jij je eigen conclusies probeert te bewijzen. Hineinredenieren zoals dat zo mooi in het duits heet.

En nu weer over tot de orde van de dag. :-)
Slaapt u rustig verder.

Oei, als we dit mogen toepassen op alle politieke partijen die niet consequent zijn en/of frauduleuze leden hebben, dan wordt het heel blanco in de 2e kamer...

iemand moet het doen, en bedrijven zullen altijd troep blijven verkopen zolang dat officieel binnen de wet valt.
moet natuurlijk wel goed gebeuren wat lastig blijft.

misschien moet er ook meteen een regeling komen om alle op dit moment onveilige apparaten of te updaten of kosteloos te laten vervangen.

pin de bedrijven nou maar eens vast op de verantwoordelijkheid

Kent iemand Mirai nog? Een botnet van IoT apparaten dat werd gebruikt voor het uitvoeren van DDoS aanvallen, waarbij aanvallers toegang kregen tot de IoT apparaten doordat ze geleverd werden met standaard usernames en wachtwoorden.

Wetgeving met betrekking tot IoT apparaten is hard nodig. Of het gelijk alle problemen m.b.t. IoT apparaten oplost betwijfel ik, maar je moet ergens beginnen.

...

Euhm, ben ik nou gek als ik zeg dat DDoS aanvallen / hacks inherent is aan het verbinden van alles en iedereen aan internet? Trek het eens naar de fysieke wereld; als je daar een DDoS wilt veroorzaken zul je een hoop mensen bij elkaar moeten trommelen om bijvoorbeeld een fysieke winkel te blokkeren. En als je ergens wilt inbreken moet je er fysiek bij in de buurt zijn.
Via internet vervalt deze hele noodzaak om ergens fysiek te moeten zijn. Vanuit elke uithoek van de wereld kun je bij alle systemen die aan internet hangen.

Ik vind het niet zo'n vreemde gedachte om de drang om alles maar aan internet te hangen een keer te onderdrukken

Potentieel botnet en dat laatste gaat te ver, hoewel er inderdaad problemen zijn.

https://arstechnica.com/information-technology/2018/01/menacing-android-botnet-still-thrives-16-months-after-coming-to-light/

Behalve als aangetoond kan worden dat dit gebeurde door een fout in de auto, zoals een niet werkende rem of wielen die plotseling de andere kant op draaien dan het stuur aangeeft.

Als je ergens mee vergelijkt, kies dan iets dat enigszins overeenstemt. Bij IoT is het niet de eigenaar die iets kan doen of laten. Veel IoT apparaten bieden niet eens de mogelijkheid om te updaten. En als dat al kan, dan vaak alleen via USB. Mijn vrouw hobbyt met IoT devices en kenmerk van alle devices die ze ontwerpt, is dat ze OTA updates ondersteunen.

Peter

hear hear!

maargoed je zult vast wel weer van die types hebben die liever een wilde weste situatie (aka vrije mark lost het zelf wel op) proclaimen als oplossing. hebben die aandelen ergens in?

Jij vindt een verbod dikke onzin maar wilt wel boetes. Kennelijk heb je niet door dat om een boete op te kunnen leggen iets toch echt eerst verboden moet zijn. Zonder verbod komt die boete er ook niet.

Feit: fabrikanten van allerlei soorten apparaten zijn druk bezig IoT te omarmen.
Feit: IoT-apparaten zitten qua beveiliging opvallend vaak hopeloos slecht in elkaar en zijn kwetsbaar.
Feit: botnets bestaan echt en ze draaien op gecompromitteerde computers.
Feit: kwaadwillenden scannen intensief het internet op zoek naar kwetsbare computers.

Hoe stel jij je precies voor dat het niet misgaat als er niets verandert aan hoe het nu gaat? De risico-inschatting hiervoor komt volgens mij aardig in de buurt van het risico dat vis die je op het aanrecht hebt laten liggen bedorven is als je na een weekje vakantie thuiskomt.

Zucht.

Waar is het onderzoeksdocument waarin staat dat de huidige DDOS-aanvallen uitgevoerd zijn door botnets die voor het grootste deel bestaan uit IoT apparatuur?
Voor zover ik weet is het onderzoek nog gaande en zijn er nog GEEN conclusies getrokken.
Dus niet voo de feiten uitlopen.

Is IoT voor een groot deel bagger?
Ja, helemaal mee eens. Fabrikanten moeten daar op aangesproken worden.
Op welke manier?
- Niet kopen.
- Afbranden via het internet reviews
- Laten verbeiden door de oevrheid (als dit al kan)
Maar dan moet er eerst een duidelijkere definitie komen wat IoT is en wat allemaal onder verantwoordleijkheid van de fabrikant valt. (Als je de verschillende interpretaties in de reacties op dit artikel leest, zijn de reaguurders onderling het daar zelfs niet eens over).

Maar om dan als politicus meteen maar te roepen dat IoT-apparatuur verantwoordelijk is voor deze DDOS-aanvallen is opportunisch en ondoordacht. Meer niet. Hij komt niet met een sluitend feiten-relaas. Hij heeft geen goede onderbouwing. En geen doordachte aanpak om te kome tot een werkende oplossing. Hij roept alleen maar wat voor een soundbite.
Hiermee heb ik mijn vertrouwen in deze politicus verloren.


Verder noem jij 4 feiten:
- In de eerste 2 benoem je IoT apparatuur.
- In de laatste 2 benoem je (onbwewust?) alleen maar computers. Niet IoT apparatuur.
Dus zelf heb je ook geen sluitende redenatie. :-)

Afz FB

@ 07:15 door Anoniem;
Dank voor de reactie.

Inderdaad is het een feit dat IoT voor een botnet gebruikt kan worden. Dat gebeurd niet altijd, maar het kan wel. Daarover vertelt 09:32 door Anoniem ook. Hij noemt het Mirai botnet. Er zijn er nog meer. En inderdaad kunnen ook andere devices (ook werkstations) voor botnetfuncties worden gehacked.

@09:32 door Anoniem
Dank voor het noemen van Mirai.

@13:38 door Anoniem
Dank voor de aanvulling