Internetscan toont duizenden onveilige IoT-apparaten in Nederland
Een scan van het Nederlandse internet heeft duizenden onveilige Internet of Things-apparaten opgeleverd, met name ip-camera's. In opdracht van het Nationaal Cyber Security Centrum (NCSC) voerde de GDI.Foundation een onderzoek uit naar de digitale Hygiëne in Nederland (pdf).
Het onderzoek moest het Nederlandse digitale landschap en het Nederlandse Internet of Things in kaart brengen en aangeven welk deel kwetsbaar is. Hiervoor gebruikten de onderzoekers verschillende zoekmachines en tools zoals Shodan, Censys, IpInfo en Nmap. Vervolgens keken de onderzoekers naar verschillende protocollen die door (IoT)-apparaten worden gebruikt, zoals TR-069, MQTT en UPnP.
In totaal vonden de onderzoekers ruim 7.000 IoT-apparaten die direct via het internet toegankelijk waren. 4300 van deze apparaten waren ip-camera's van fabrikant Dahua en beschikten over een standaardwachtwoord. Daarnaast werden ook camera's van andere fabrikanten met standaardwachtwoorden gevonden, alsmede netwerkopslagapparaten van iOmega die via een standaardwachtwoord toegankelijk waren. Volgens de onderzoekers is het aantal gedetecteerde onveilige IoT-apparaten in Nederland nog beperkt in verhouding met de rest van de wereld.
Het onderzoek ging echter verder dan alleen IoT-apparatuur. Tijdens het onderzoek werden bijna 1,5 miljoen kwetsbare apparaten/ protocollen gevonden. Op basis van verder onderzoek blijkt dat hiervan ruim 287.000 apparaten/ protocollen daadwerkelijk te misbruiken zijn. De onderzoekers merken wel op dat hun onderzoek een beperkte scope had en uit veldonderzoek blijkt dat de mogelijkheden voor een aanvaller veel verder strekken.
Om de dreiging van onveilige apparaten en protocollen tegen te gaan pleiten de onderzoekers voor het opstellen van industriestandaarden, een "security by design" en "privacy by design" aanpak, meetbare beveiligingsrichtlijnen en beveiligingsbeoordelingen van leveranciers en producten. Ook sluiten ze zich aan bij het advies van de Cyber Security Raad om een onafhankelijke monitor van gehackte en kwetsbare IoT-apparaten in te stellen, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen.
Wisten we allang.
Voorbeeld: ik heb recent eens naar Corel applicaties voor Windows gekeken. De meeste publieke exploits/cve's waren na diverse jaren nog steeds aanwezig in nieuwe versies van de software. Tja, dat kan blijkbaar allemaal maar ongestraft. Wel makkelijk voor de boefjes want dan is het niet eens meer nodig om naar 0-days te zoeken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.