Dragana Gordic/Shutterstock
Huizen worden steeds slimmer: slimme thermostaten beheren onze verwarming, terwijl slimme koelkasten onze voedselconsumptie kunnen monitoren en ons kunnen helpen boodschappen te bestellen. Sommige huizen hebben zelfs slimme deurbellen die ons vertellen wie er op onze stoep staat. En natuurlijk kunnen we met slimme tv’s de inhoud streamen die we willen bekijken, wanneer we dat willen.
Als dat allemaal erg futuristisch klinkt, vertelt een recent onderzoek ons dat 23% van de mensen in West-Europa en 42% van de mensen in de VS thuis slimme apparaten gebruiken.
Hoewel deze slimme apparaten zeker handig zijn, kunnen ze ook veiligheidsrisico’s met zich meebrengen. Elk apparaat met een internetverbinding kan worden gecompromitteerd en overgenomen door aanvallers.
Als een gecompromitteerd smart device een camera of microfoon heeft, kan een aanvaller hier toegang toe krijgen en kunnen alle gegevens op het apparaat worden gelezen, bekeken, gekopieerd, bewerkt of gewist. Het gecompromitteerde slimme apparaat kan uw netwerkverkeer gaan bekijken en proberen uw gebruikersnamen, wachtwoorden en financiële gegevens te achterhalen. Het kan proberen andere slimme apparaten die u bezit over te nemen.
Een aanvaller kan bijvoorbeeld de temperatuur op een slimme thermostaat aanpassen, waardoor het huis te warm wordt, en eisen dat losgeld wordt betaald om u de controle over uw centrale verwarming terug te laten nemen. Een andere mogelijkheid is dat een slim CCTV-systeem wordt overgenomen en de gegevens door een aanvaller worden bekeken of na een inbraak worden gewist.
Slimme apparaten kunnen ook worden gemaakt om andere systemen aan te vallen. Je slimme apparaat kan onderdeel worden van een “botnet” (een netwerk van gecompromitteerde slimme apparaten onder de controle van één persoon). Eenmaal gecompromitteerd, zal het zoeken naar andere slimme apparaten om te infecteren en te rekruteren in het botnet.
De meest voorkomende vorm van een botnetaanval wordt een distributed denial of service attack (DDoS) genoemd. Hierbij stuurt het botnet honderdduizenden verzoeken per seconde naar een doelwebsite, waardoor legitieme gebruikers er geen toegang meer toe hebben. In 2016 blokkeerde een botnet met de naam Mirai tijdelijk de internettoegang voor een groot deel van Noord-Amerika en delen van Europa.
Naast DDoS-aanvallen kunnen je slimme apparaten worden gebruikt om ransomware te verspreiden – software die een computer versleutelt zodat deze alleen kan worden gebruikt nadat er losgeld is betaald. Ze kunnen ook worden gebruikt voor cryptomining (het “delven” van digitale valuta waarmee de aanvaller geld verdient) en financiële criminaliteit.
Lees meer:
Het is veel te makkelijk voor misbruikers om slim speelgoed en trackers uit te buiten
Er zijn twee manieren om een slim apparaat te compromitteren. De eerste is via eenvoudige standaardgegevens, waarbij op een slim apparaat een zeer eenvoudige gebruikersnaam en wachtwoord vooraf zijn geïnstalleerd, zoals “admin” en “wachtwoord”, en de gebruiker deze niet heeft gewijzigd.
Slimme apparaten kunnen handig zijn, maar ze brengen ook veiligheidsrisico’s met zich mee.
RossHelen/Shutterstock
De tweede is door fouten in de code van het slimme apparaat, die een aanvaller kan gebruiken om toegang tot het apparaat te krijgen. Deze fouten (kwetsbaarheden genoemd) kunnen alleen worden hersteld door een beveiligingsupdate die door de maker van het apparaat wordt uitgebracht en bekend staat als een “patch”.
Hoe slim EN veilig te zijn
Als u overweegt een nieuw slim apparaat te kopen, zijn hier vijf vragen om in gedachten te houden die kunnen helpen de veiligheid van uw nieuwe apparaat en uw huis te vergroten. Deze vragen kunnen u ook helpen ervoor te zorgen dat de slimme apparaten die u al bezit, veilig zijn.
1. Heb ik echt een smart device nodig?
Hoewel internetconnectiviteit een gemak kan zijn, is het eigenlijk wel een vereiste voor u? Apparaten die geen verbinding op afstand hebben, vormen geen veiligheidsrisico, dus u moet geen slim apparaat kopen tenzij u uw apparaat echt slim nodig hebt.
2. Heeft het apparaat eenvoudige standaard credentials?
Zo ja, dan is dit een serieus risico totdat u de inloggegevens wijzigt. Als je dit apparaat koopt en de standaard gebruikersnaam en wachtwoord zijn makkelijk te raden, dan moet je ze veranderen in iets dat alleen jij weet. Anders is het apparaat zeer kwetsbaar om te worden overgenomen door een aanvaller.
3. Kan het apparaat geupdate worden?
Als het apparaat niet kan worden bijgewerkt, en er wordt een kwetsbaarheid ontdekt, dan kunnen noch jij noch de fabrikant voorkomen dat een aanvaller het apparaat overneemt. Controleer dus altijd bij de verkoper of de software van het apparaat kan worden bijgewerkt. Als u de keuze hebt, kunt u beter kiezen voor een apparaat met automatische updates, dan voor een apparaat waarbij u de updates handmatig moet installeren.
Als je al apparaten bezit die niet kunnen worden bijgewerkt, overweeg dan om ofwel hun internettoegang te verwijderen (door ze los te koppelen van je wifi) of nieuwe apparaten te kopen.
4. Hoe lang heeft de fabrikant toegezegd het apparaat te ondersteunen?
Als de fabrikant stopt met het uitbrengen van beveiligingsupdates, staat uw apparaat open voor compromittering als er later een kwetsbaarheid wordt gevonden. U moet met de verkoper bevestigen dat het apparaat zal worden ondersteund voor ten minste zo lang als u verwacht het te gebruiken.
5. Heeft de fabrikant een “bug bounty” programma?
Dit zijn programma’s waarbij een bedrijf een beloning uitbetaalt aan iedereen die kwetsbaarheden in hun code identificeert. Niet elk bedrijf heeft dit, maar het geeft aan dat de fabrikant de veiligheid van zijn producten serieus neemt. Details zijn te vinden op de website van de fabrikant.
Lees meer:
Slimme speakers: waarom de verkoop omhoog schiet ondanks al onze privacy-angst
Het is niet eenvoudig om te zien of je slimme apparaat is gehackt. Maar zolang je slimme apparaten worden ondersteund door hun fabrikanten, zichzelf updaten wanneer dat nodig is en worden geleverd met sterke inloggegevens, zal het niet gemakkelijk zijn voor een aanvaller om toegang te krijgen.
Als u zich zorgen maakt dat uw apparaat is gehackt, voer dan een fabrieksreset uit, verander de gebruikersnaam en het wachtwoord in iets nieuws en unieks, en pas alle beschikbare updates toe.
Iain Nash werkt niet voor, geeft geen adviezen, heeft geen aandelen in, en ontvangt geen financiering van bedrijven of organisaties die baat hebben bij dit artikel, en heeft buiten zijn academische aanstelling geen andere relevante banden bekend gemaakt.
