De TU Delft gaat samen met Nederlandse internetproviders een honeypot-netwerk opzetten om besmette Internet of Things-apparaten in kaart te brengen. Het project wordt gefinancierd door het ministerie van Economische Zaken. De informatie die het project oplevert moet helpen bij het opschonen van besmette IoT-apparaten en voorkomen dat kwetsbare IoT-apparaten op de Nederlandse markt verschijnen.

Security.NL sprak met Michel van Eeten, hoogleraar Bestuurskunde bij de sectie Organisation & Governance (OG) aan de TU Delft, en specialist in internetveiligheid. Het honeypot-netwerk wordt speciaal ontwikkeld om zicht te krijgen op besmette IoT-apparaten in Nederland. De honeypots van het project doen zich voor als IoT-apparaat. Criminelen gebruiken besmette IoT-apparaten vaak om andere kwetsbare IoT-apparaten te vinden. Zodra het besmette IoT-apparaat de honeypot aanvalt zien onderzoekers het ip-adres van dit apparaat, om wat voor soort device het gaat en wat voor soort aanval er wordt uitgevoerd.

Van Eeten merkt op dat de TU Delft nu al op kleinere schaal samen met academische partners honeypots heeft draaien. Daaruit blijkt dat de aanvallen inderdaad afkomstig zijn van IoT-apparaten bij mensen thuis. Volgens de hoogleraar is bij het gebruik van een honeypot geen sprake van uitlokking. "Uitlokking gaat over vervolging van criminelen. Dat is wat we hier niet doen. Het gaat om bescherming van consumenten en verbeteren van transparantie in de markt."

Informatie over besmette IoT-apparaten wordt gedeeld met de betreffende internetproviders. Dit gebeurt via de AbuseHUB van de Abuse Information Exchange. Dit is een Nederlands samenwerkingsverband van internetaanbieders die klanten informeren hoe zij besmettingen kunnen opschonen. Abuse IE is al enige tijd actief. Zodra providers een besmette klant zien plaatsen ze die bijvoorbeeld in een walled garden of quarantaine en informeren die over de besmetting. AbuseHUB wordt nu uitgebreid met informatie over IoT-apparaten. Deelnemers aan AbuseHUB ontvangen alleen informatie over de ip-adressen die ze zelf beheren.

Veilige apparaten

Daarnaast wil de TU Delft achterhalen om wat voor soort IoT-apparaten het gaat en van welke fabrikanten die afkomstig zijn. "We moeten ervoor zorgen dat fabrikanten uiteindelijk hier veilige apparaten op de markt brengen en niet dat consumenten met het probleem worden opgescheept", aldus Van Eeten. De verzamelde informatie moet duidelijk maken hoe IoT-apparaten worden geïnfecteerd, wat fabrikanten hieraan doen en of ze wel basale beveiligingsmaatregelen nemen. "Formeel is het lastig om fabrikanten aan te pakken, maar als je zichtbaar maakt dat een fabrikant hier apparaten heeft die veel vaker worden gehackt dan andere apparaten is dat vaak reden voor fabrikanten om iets te gaan doen", zo laat de hoogleraar weten.

Een ander deel van het onderzoek bestaat uit het scannen van IoT-apparaten. Zodra een besmet IoT-apparaat de honeypot aanvalt wordt er al allerlei informatie verzameld. Bij een deel van deze apparaten zal de TU Delft ook gaan "terug praten". Van Eeten benadrukt dat er niet op deze apparaten wordt ingelogd. "We kijken naar de antwoorden die apparaten geven, zoals headers en banners. Dat zijn gewoon de normale antwoorden die deze apparaten horen te geven." Inmiddels kan de TU Delft dertig procent van alle IoT-apparaten die het ziet op basis van strings en andere informatie herkennen. “Hoever we komen met die andere zeventig procent weet ik niet, maar we gaan zeker niet inloggen of andere interacties met die apparaten hebben."

Er zijn op dit moment geen plannen om een internetbrede scan van IoT-apparaten uit te voeren. Er wordt dan ook alleen gewerkt met ip-adressen die via de honeypots worden verzameld. De onderzoekers hopen in het najaar de eerste versie van de honeypot neer te kunnen zetten. Daarna zal het project verder worden uitgebreid. Aanvallers richten zich steeds vaker op specifieke firmware en devices. De honeypot moet dan ook in staat zijn om steeds meer verschillende processor-architecturen en firmware-versies te kunnen draaien. "Daar zit nog een hoop ontwikkelwerk aan", merkt Van Eeten op.

Het project levert niet alleen informatie over besmette Nederlandse IoT-apparaten op, maar ook over buitenlandse devices. Mogelijk dat deze informatie met een partij als de Shadowserver Foundation wordt gedeeld. Een stichting die aangesloten providers informeert over infecties in hun netwerk. "Dat moeten we nog wel met het ministerie van Economische Zaken bespreken, dat de opdrachtgever is", stelt Van Eeten. Resultaten van het project zullen tussentijds worden gedeeld, zodat verschillende partijen die hierbij betrokken zijn weten waar ze zich op moeten richten, zoals bijvoorbeeld fabrikanten of winkelketens en wat het onderliggende beveiligingsprobleem is.