Internetscan toont duizenden onveilige IoT-apparaten in Nederland
Een scan van het Nederlandse internet heeft duizenden onveilige Internet of Things-apparaten opgeleverd, met name ip-camera's. In opdracht van het Nationaal Cyber Security Centrum (NCSC) voerde de GDI.Foundation een onderzoek uit naar de digitale Hygiëne in Nederland (pdf).
Het onderzoek moest het Nederlandse digitale landschap en het Nederlandse Internet of Things in kaart brengen en aangeven welk deel kwetsbaar is. Hiervoor gebruikten de onderzoekers verschillende zoekmachines en tools zoals Shodan, Censys, IpInfo en Nmap. Vervolgens keken de onderzoekers naar verschillende protocollen die door (IoT)-apparaten worden gebruikt, zoals TR-069, MQTT en UPnP.
In totaal vonden de onderzoekers ruim 7.000 IoT-apparaten die direct via het internet toegankelijk waren. 4300 van deze apparaten waren ip-camera's van fabrikant Dahua en beschikten over een standaardwachtwoord. Daarnaast werden ook camera's van andere fabrikanten met standaardwachtwoorden gevonden, alsmede netwerkopslagapparaten van iOmega die via een standaardwachtwoord toegankelijk waren. Volgens de onderzoekers is het aantal gedetecteerde onveilige IoT-apparaten in Nederland nog beperkt in verhouding met de rest van de wereld.
Het onderzoek ging echter verder dan alleen IoT-apparatuur. Tijdens het onderzoek werden bijna 1,5 miljoen kwetsbare apparaten/ protocollen gevonden. Op basis van verder onderzoek blijkt dat hiervan ruim 287.000 apparaten/ protocollen daadwerkelijk te misbruiken zijn. De onderzoekers merken wel op dat hun onderzoek een beperkte scope had en uit veldonderzoek blijkt dat de mogelijkheden voor een aanvaller veel verder strekken.
Om de dreiging van onveilige apparaten en protocollen tegen te gaan pleiten de onderzoekers voor het opstellen van industriestandaarden, een "security by design" en "privacy by design" aanpak, meetbare beveiligingsrichtlijnen en beveiligingsbeoordelingen van leveranciers en producten. Ook sluiten ze zich aan bij het advies van de Cyber Security Raad om een onafhankelijke monitor van gehackte en kwetsbare IoT-apparaten in te stellen, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen.
Voorbeeld: ik heb recent eens naar Corel applicaties voor Windows gekeken. De meeste publieke exploits/cve's waren na diverse jaren nog steeds aanwezig in nieuwe versies van de software. Tja, dat kan blijkbaar allemaal maar ongestraft. Wel makkelijk voor de boefjes want dan is het niet eens meer nodig om naar 0-days te zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
Ransomware voorkomen? Begrijpen waarom je niet overal hetzelfde wachtwoord moet gebruiken? Met eigen ogen zien waarom updaten zo belangrijk is? Ontwaak je Hacker Mindset met de Certified Secure Security Awareness Experience - LIVE Online!