image

Agentschap Telecom: digitale veiligheid IoT-apparaten niet op orde

woensdag 25 september 2019, 11:14 door Redactie, 14 reacties

De digitale veiligheid van Internet of Things-apparaten is niet op orde, zo stelt het Agentschap Telecom op basis van onderzoek naar 22 consumentenapparaten zoals ip-camera’s, deursloten, babyfoons en thermostaten. Zeventien van de 22 apparaten scoorden matig tot zeer slecht op het gebied van basisveiligheid en privacyaspecten.

Het gaat dan om het niet ondersteunen van automatische updates, het gebruik van standaardwachtwoorden, het niet verplichten van gebruikers om een nieuw wachtwoord in te stellen, het toestaan van zwakke wachtwoorden, het onversleuteld versturen van data en updates, het ontbreken van een privacybeleid, het niet gebruik van beveiligingsprotocollen of een slechte implementatie hiervan, het niet goed controleren van certificaten en fysieke beveiligingsproblemen.

Vijf apparaten worden als relatief veilig bestempeld en bij de thermostaat Nest Learning V3 en de babyfoon Alecto IVM-100 vonden de onderzoekers geen beveiligingsproblemen. De betreffende fabrikanten en leveranciers zijn over de kwetsbaarheden geïnformeerd, wat in een aantal gevallen tot aanpassingen van de producten heeft geleid.

Het Agentschap Telecom stelt dat gebruikers zelf veel kunnen doen om hun apparatuur minder kwetsbaar te maken, zoals het installeren van updates, het gebruik van een sterk wachtwoord, niet teveel persoonlijke informatie op het apparaat plaatsen en het apparaat niet onnodig aan een netwerk hangen. "Veel apparaten hoeven voor gebruik niet online te zijn", aldus de overheidsinstantie. Een andere optie is het toepassen van netwerksegmentatie waarbij IoT-apparaten op een eigen, gescheiden netwerk zijn aangesloten.

Image

Reacties (14)
25-09-2019, 11:36 door Anoniem
Het probleem bij dit soort apparaten is dat de leverancier 0 tot weinig onderhoud pleegt aan de software die embedded op het apparaat staat. (als het überhaupt al te updaten is). Uitzonderingen zijn er natuurlijk wel. Maar het gros van deze apparaten wordt ontwikkeld, op de markt geknald, en cashen maar..
Wat mij betreft is dit dus een schot voor open boeg, en het probleem gaat alleen nog maar groter worden in de komende jaren.
Misschien wordt het eens tijd om een label voor privacy te introduceren, zodat de consument weet wat voor risico hij loopt als men deze apparatuur aanschaft..
Laat nou toevallig iemand daar op afgestudeerd zijn: https://www.csacademy.nl/scripties/februari-2018/118-the-internet-of-things-a-privacy-label-for-iot-products-in-a-consumer-market
25-09-2019, 11:38 door Anoniem
D66, zeg er eens wat van.
25-09-2019, 11:47 door Anoniem
Trek uw conclusie eindelijk eens.. Zet niets open, riskeer niets, alles dichtgooien. Wanneer u een device open aan het net wilt hangen zorg ervoor dat het minstens achter een VPN zit of benaderbaar is via SSH en SSH fatsoenlijk is geconfigureerd is met key pairs en zware wachtwoorden. Niet zo zeer voor uw "super geheime data privacy gevoelige" te beschermen, maar om ervoor te zorgen dat niet uw netwerk rommel niet gaat mee doen aan IoT flood attacks, waar de webmasters enorme last van hebben en extra kosten met zich meebrengt. Want wil je nu eenmaal een goede load balancer of reverse proxy dan betaal je ook flink geld, of gooit al uw privacy van klanten in de vuilnisbak -> CloudFlare!..

Met vriendelijke groet,

een anonieme webmaster.
25-09-2019, 12:15 door Overcome
Zonder te willen vervallen in een hindsight bias: dit zag iedereen met een beetje verstand van IT security toch al lang aankomen? En het einde is nog lang niet in zicht. Sterker nog, mijn voorspellng is dat het alleen maar erger wordt. Kijk naar de lange weg die b.v. Microsoft heeft afgelegd sinds de befaamde interne memo van Bill Gates. En nog komen de lekken iedere maand langszeilen.

Nu is IoT helemaal hot. Componenten die via internet te benaderen/ bedienen zijn, waarbij

- de meeste IoT bedrijven geen noemenswaardige ervaring hebben met internet risico's
- de meeste IoT bedrijven geen noemenswaardige ervaring hebben met threat modeling
- veel IoT programmeurs niet getraind zijn in SSDLC met alle bijkomende facetten
- veel IoT programmeurs doorgaans weinig tot geen kennis hebben van secure coding practices
- geen straf staat op het op de markt brengen van "least acceptable quality" producten
- de interne processen niet ingericht zijn op het veranderde threat en vulnerability landschap
- IoT bedrijven vooral geïnteresseerd zijn in vergroting van de afzetmarkt, niet in verkoop van veilige producten
- veel mensen niet eens weten wat dat IoT device doet, maar in de maag krijgt gesplitst bij de aanschaf
- …

En dan heb ik het nog niet eens over managementdruk, tijdgebrek en de 1001 andere dingen waar ieder bedrijf mee te kampen heeft en waardoor kwaliteit te wensen over laat. Het gevolg: basale beveiligingsmaatregelen zijn niet getroffen. Die maatregelen mogen de klanten oppakken, "want het is na aanschaf hun product en we mogen van deze klant ook wel wat verwachten". Dan komen de tips als hierboven.

Een andere optie is het toepassen van netwerksegmentatie waarbij IoT-apparaten op een eigen, gescheiden netwerk zijn aangesloten.

Een volstrekt onhoudbare en kansloze aanbeveling, doordat 99% van de gebruikers geen idee heeft hoe dit moet gebeuren op het eigen thuisnetwerk. Ja, er zijn uitzonderingen, maar als ik naar mijn ouders kijk, dan gaan ze toch zeker niet eigen VLANs inrichten op hun netwerk. Doe even normaal. Met de huidige stand van de brakke IoT beveiliging is er maar 1 tip mogelijk: schaf het IoT product alleen aan als u zelf 100% duidelijk hebt hoe u de beveiliging in gaat richten. Kunt of begrijpt u dat niet, voorkom dan dat uw deurbel onderdeel wordt van een botnet en uw koelkast om 23:00 automatisch in de ontdooi-stand schiet en laat het product links liggen.
25-09-2019, 13:02 door Anoniem
Is een smart TV ook een IoT device?

Ik meen van wel.
Ik meen : alle spullenboel waar internet connectie mee wordt gemaakt is zeer kwetsbaar. Niet alleen voor de veiligheid (en privacy/soevereiniteit, etc)) van de gebruiker. Maar ook tav alle andere mensen die gebruik willen maken van internet(diensten) in welke vorm dan ook.

Internet is openbare ruimte. Net zoals alle wegen dat zijn. Dus ook uw stukje van die weg is openbare ruimte. Een vergelijking met een private weg gaat niet op. Immers, de bewust bekwame slechterik kan geen schaalbaar gebruik maken van uw prive-weg (en/of de achterliggende infrastructuur). Dat kan de bewust bekwame slechterik wel met uw vermeend private internetsnelwegoprit.

Dit in overweging nemende is het tijd dat er wetgeving komt voor alle apparatuur die het internet vormen. Ook de IoT devices. Dus net als alle vervoersmiddelen, wegen, etc. Gedragswetgeving is ook nodig. Niet per se een IT rijbewijs (voor een fiets heb je die ook niet nodig en gelukkig maar). Een IT rijbewijs zou misschien wel nodig kunnen zijn voor dienstverleners.

Wetgeving is er niet om te plagen of te hinderen.
Wetgeving is er om de burger te beschermen
en wetgeving is er om een gelijk speelveld te creëren.
Niets is perfect. Ook wetgeving niet. Het is wél een goed handvat dat effectiever wordt als er ook gehandhaafd wordt.
25-09-2019, 13:19 door Anoniem
Door Anoniem: Trek uw conclusie eindelijk eens.. Zet niets open, riskeer niets, alles dichtgooien. Wanneer u een device open aan het net wilt hangen zorg ervoor dat het minstens achter een VPN zit of benaderbaar is via SSH en SSH fatsoenlijk is geconfigureerd is met key pairs en zware wachtwoorden.
Je hebt kennelijk nog niet begrepen hoe dit soort devices werkt.
Ze "staan niet open" ze "zitten niet achter een VPN". Ze maken zelf verbinding via de internetverbinding die ze aantreffen
naar een cloud server (meestal een TLS verbinding via port 443 zodat er geen issues zijn met firewalls e.d.) en daar sturen
ze hun data heen en vragen ze hun instructies.
De eigenaar van het device maakt ook verbinding met die cloud server, meestal via een APP tegenwoordig maar kan ook
een browsersessie zijn. Daar authenticeert ie en krijgt toegang tot zijn eigen device.
De "inbraak" vind normaalgesproken plaats via die server, bijvoorbeeld doordat er sprake is van standaardwachtwoorden
bij uitlevering en doordat je het apparaat benadert via bijvoorbeeld een serienummer en je dan eens kunt proberen wat
er gebeurt als je serienummers in de buurt invult (met het standaardwachtwoord).
In principe hoeft zo'n device geen enkele inkomende connectie te ondersteunen, maar vaak zit er wel een of andere
telnet server op voor debugging door de fabrikant of servicetechnicus en afhankelijk van hoeveel user interface het ding
zelf heeft is er dan wellicht nog een mogelijkheid om bijv SSID en wachtwoord van de WiFi te configureren bij eerste
setup, via een app of de browser.
Het is dus niet zo als bij een website waar jij kennelijk kennis over hebt, dat dit IoT device de hele tijd staat te luisteren
op een open poort waar de hele wereld het kan connecten. Dat zou veel te lastig zijn want dan moet de gebruiker een
poort forwarden in zijn NAT router en dat kunnen de meeste consumenten helemaal niet. Er is daarvoor ooit wel een
protocol bedacht, UPnP, maar dat staat tegenwoordig meestal uitgeschakeld. Als je wilt dat je device probleemloos
werkt in het netwerk van de klant, is die methode met alleen uitgaande TLS connecties naar een cloud server de
aangewezen methode, en dat doet dan ook vrijwel iedereen zo tegenwoordig.
25-09-2019, 13:25 door Anoniem
Door Anoniem: Is een smart TV ook een IoT device?

Ik meen van wel.
Nee, dat is een mini computer met een afstandsbedieding.

Op IoT devices kun je over het algemeen geen Apps installeren daar deze veelal met een of meer uC ipv een CPU/GPU werken.

Verder kloppen je stellingen wel.
25-09-2019, 14:12 door Anoniem
Door Anoniem: D66, zeg er eens wat van.
Daarvoor moet het eerst prominent gebracht zijn in de media. Anders kun je er politiek niet mee scoren en loont het dus de moeite niet.
25-09-2019, 14:39 door ShaWormHa
Door Anoniem: D66, zeg er eens wat van.

IoT stapel door de helft.
25-09-2019, 16:21 door Anoniem
Door Anoniem: Trek uw conclusie eindelijk eens.. Zet niets open, riskeer niets, alles dichtgooien. Wanneer u een device open aan het net wilt hangen zorg ervoor dat het minstens achter een VPN zit of benaderbaar is via SSH en SSH fatsoenlijk is geconfigureerd is met key pairs en zware wachtwoorden. Niet zo zeer voor uw "super geheime data privacy gevoelige" te beschermen, maar om ervoor te zorgen dat niet uw netwerk rommel niet gaat mee doen aan IoT flood attacks, waar de webmasters enorme last van hebben en extra kosten met zich meebrengt. Want wil je nu eenmaal een goede load balancer of reverse proxy dan betaal je ook flink geld, of gooit al uw privacy van klanten in de vuilnisbak -> CloudFlare!..

Met vriendelijke groet,

een anonieme webmaster.

Ja, dat kan je wel verlangen, alleen de gemiddelde consument (die zonder kennis van zaken handelt) gaat dit niet doen. Ze zijn blij met de functie's die dit soort apparaten leveren, en gaan daarbij voorbij aan het security risico.
Helaas voor ons als "security" mensen zijn wij toch echt in de minderheid als het op dit soort zaken aankomt...
25-09-2019, 16:52 door Anoniem
Door Anoniem: D66, zeg er eens wat van.
Heb je niet veel aan als er niets verandert.
26-09-2019, 09:12 door Nova
We kunnen wel wijzen naar partijen, maar heeft cisco ons bijvoorbeeld niet groot gebracht, heeft Tp-link ons niet een betaalbaar alternatief gegeven toen we met zn allen masaal het internet op wilden, natuurlijk zijn er nog veel meer partijen, maar ik pas een paar voorbeelden die nu dan in het lijstje voorkwamen.

Zou eerder kijken naar een partij van een dergelijk apparaat die ook updates uitbrengen voor hun apparaten, ofwel goede research is het halve werk, enkel blijkt ook weer geen garantie voor de toekomst en denk na voordat je iets slims in je slaapkamer zet, uiteraard ben ik het eens met de statement dat we geen DDOS machines moeten aanschaffen, maar als er maar iets goed gehackt wordt, kan het misbruikt worden of het nou de slimme koelkast is van partij A of de super schone slimme stofzuiger van partij B. Geef mij maar het tijdperk van het pingpong virus, dat was nog grappig....wat we tegenwoordig zien is niet grappig meer.
26-09-2019, 09:42 door Anoniem
Door Anoniem:
Door Anoniem: Trek uw conclusie eindelijk eens.. Zet niets open, riskeer niets, alles dichtgooien. Wanneer u een device open aan het net wilt hangen zorg ervoor dat het minstens achter een VPN zit of benaderbaar is via SSH en SSH fatsoenlijk is geconfigureerd is met key pairs en zware wachtwoorden. Niet zo zeer voor uw "super geheime data privacy gevoelige" te beschermen, maar om ervoor te zorgen dat niet uw netwerk rommel niet gaat mee doen aan IoT flood attacks, waar de webmasters enorme last van hebben en extra kosten met zich meebrengt. Want wil je nu eenmaal een goede load balancer of reverse proxy dan betaal je ook flink geld, of gooit al uw privacy van klanten in de vuilnisbak -> CloudFlare!..

Met vriendelijke groet,

een anonieme webmaster.

Ja, dat kan je wel verlangen, alleen de gemiddelde consument (die zonder kennis van zaken handelt) gaat dit niet doen. Ze zijn blij met de functie's die dit soort apparaten leveren, en gaan daarbij voorbij aan het security risico.
Helaas voor ons als "security" mensen zijn wij toch echt in de minderheid als het op dit soort zaken aankomt...

Exact ja, helaas zijn we in de minderheid zoals altijd... Beetje om moe van te worden, ik ga me er ook niet meer aan ergeren. Heeft toch geen zin. De bedrijven doen toch lekker zelf wat ze willen, en de consument blijft consumeren zo blijft het in een vicieuze cirkel. Bij deze moeten we maar weer hopen dat de overheid het netjes oplost, anders heeft het dadelijk negatieve gevolgen voor de power users! Ben bang aangezien de geschiedenis voor dat laatste...

Als consument moeten we ook eens tegen onszelf zeggen van ho, stop. Dit gaat té ver, ik koop het product niet. Maar toch laten we over ons heen lopen of graait het grootste gros schapen er toch met de portemonnee naar en zo blijft de stand van zaken actief want de bedrijven verdienen er blijkbaar dan toch genoeg geld aan..
26-09-2019, 10:02 door Anoniem
Door Nova: We kunnen wel wijzen naar partijen, maar heeft cisco ons bijvoorbeeld niet groot gebracht, heeft Tp-link ons niet een betaalbaar alternatief gegeven toen we met zn allen masaal het internet op wilden, natuurlijk zijn er nog veel meer partijen, maar ik pas een paar voorbeelden die nu dan in het lijstje voorkwamen.

Zou eerder kijken naar een partij van een dergelijk apparaat die ook updates uitbrengen voor hun apparaten, ofwel goede research is het halve werk, enkel blijkt ook weer geen garantie voor de toekomst en denk na voordat je iets slims in je slaapkamer zet, uiteraard ben ik het eens met de statement dat we geen DDOS machines moeten aanschaffen, maar als er maar iets goed gehackt wordt, kan het misbruikt worden of het nou de slimme koelkast is van partij A of de super schone slimme stofzuiger van partij B. Geef mij maar het tijdperk van het pingpong virus, dat was nog grappig....wat we tegenwoordig zien is niet grappig meer.

1. Vroeger was internet nog niet zo mainstream
2. Vroeger was alles veel simpeler
3. Vroeger was de pc niet een goudberg aan informatie en pretpark voor hackers want je kon er ook minder mee

Tegenwoordig wel dus. Je kan zo veel met computers, we hebben inmiddels al onze geldzaken via de computer draaien en noem maar op. Dat maakt het voor de hacker die geld wilt stelen ook veel interessanter. Dat niet alleen, denk ook aan de virtual goods, social media, accounts van andere websites, enzovoort.

https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.