We hebben het tegenwoordig maar makkelijk. Onderweg in de trein alvast even je verwarming hoger zetten, of snel even checken of je de deur nou wel of niet op slot hebt gedraaid? Geen probleem. De lampen in de slaapkamer aan- of uitzetten zonder van de bank in de woonkamer af te komen? Draaien we onze hand niet voor om. Zonnewering die zichzelf uitrolt terwijl je lekker in je luie tuinstoel kan blijven zitten? Easy! En dat allemaal dankzij het Internet of Things.

Ook op kantoor worden deze apparaten veel ingezet om het reilen en zeilen van een bedrijf te vergemakkelijken. Denk hierbij bijvoorbeeld aan de zonnepanelen op het dak, schuifdeuren of nooduitgangen die op afstand te controleren en besturen zijn, kassa systemen die via een intern netwerk samenhangen, noodstroomvoorzieningen, climate control, bewakingssystemen, of zelfs de kantoorverlichting.

Helaas blijkt maar weer eens dat de tech industrie bij het ontwikkelen van deze nieuwe en geniale ideeën steken heeft laten vallen in de beveiliging ervan. Tijdens een onderzoek van het security team van Networking4all kwam naar voren dat veel van de controllers van dit technische vernuft heel gemakkelijk via het internet te bereiken zijn. Hiervoor was geen wachtwoord nodig, en liep de verbinding ook gewoon via HTTP. Via de controller was vervolgens gemakkelijk de setup pagina van het apparaat te bereiken, veelal met een standaard gebruikersnaam en wachtwoord.

Grappig of gevaarlijk
Een technisch aangelegde lolbroek zou misbruik van zo’n wagenwijd openstaand systeem kunnen maken door zomaar de verlichting aan of uit te zetten, de verwarming op 30 graden te zetten, of je zonnewering in en uit te rollen. Maar naast dit soort onderbroekenlol is er ook echt schade aan te richten door onbeveiligde IoT controllers. Inbrekers die een IP-adres weten te koppelen aan een deuropener kunnen deuren ontgrendelen en een huis leegroven. Een hacker die kwaad zou willen doen, zou een computergestuurde lift kunnen laten neerstorten. Slecht beveiligde betalingsapparaten zouden uitgelezen kunnen worden en weggeleid kunnen worden naar een andere rekening.

Wanneer een niet voldoende beveiligd slim apparaat gekoppeld is aan het bedrijfsnetwerk, zou het ook nog eens een eenvoudige achterdeur kunnen vormen waardoor een hacker zichzelf toegang kan verschaffen in je netwerk en er vandoor kan gaan met gevoelige gegevens. Dat laatste gebeurde onlangs in een casino in Amerika, waar een slecht beveiligde thermometer in een aquarium de boosdoener bleek te zijn. Hackers gingen er daar met de klantgegevens van het casino vandoor.

Het onderzoek
Ons security team ontdekte tijdens een routine onderzoek dat veel poorten op een router of firewall open stonden. Dit bleek te maken te hebben met controllers van het merk ControlByWeb, die op hun beurt weer van buitenaf benaderbaar zijn. ControlByWeb produceert losse modules die gebruikt kunnen worden om via een webpagina apparaten te besturen. Na wat verder onderzoek wist ons security team onder andere in te loggen in de zonnepanelen van een bedrijf, en konden zij gegevens uitlezen zoals het verbruik en de opbrengst van de zonnepanelen. In dit userpanel waren daarnaast ook gegevens te wijzigen en verwijderen. Bij andere steekproeven wisten ze in te loggen in systemen waarmee airconditioning of verlichting aangestuurd werd, maar ook beveiligingscamera’s, deuren en liften konden bestuurd worden. Bij één voorbeeld was zelfs de kerstverlichting te besturen.

Bij controle van de securitymogelijkheden binnen de software die het bedrijf ControlByWeb aanlevert voor het besturen van de slimme apparaten bleek dat sommige modellen wel de mogelijkheid hebben om een gebruikersnaam en wachtwoord te verplichten, maar dat deze mogelijkheid standaard uit staat. Ook is er een optie om een SSL certificaat te installeren, maar deze is tot nu toe alleen gevonden in het admin panel van het X-600M model.

Wanneer mogelijk zijn de eigenaren van de apparaten benaderd en op de hoogte gebracht van het beveiligingslek.

Wat nu?
Het oplossen van dit gapende securitygat begint toch echt bij de fabrikant van de hardware. Doordat de wetgeving omtrent de slimme apparaten niet sluitend is, en veelal nog steeds in de maak, kan een fabrikant er mee wegkomen om slimme technologie onbeveiligd aan te bieden aan consumenten. Het zou een stap in de goede richting zijn als fabrikanten hier strenger mee om gaan en bijvoorbeeld gebruik maken van SSL. Op 23 april werd de Roadmap Digitaal Veilige Hard- en Software (PDF) gepresenteerd aan de Tweede Kamer waarin een verzameling maatregelen stond voor onder andere het verplichten van certificeringen voor IoT-apparaten. Hoewel dit al een stap in de goede richting is moet hier wel bij vermeld worden dat het veelal nog gaat om concepten en voorstellen en er nog geen sluitende wetsvoorstellen zijn gedaan.

Maar als consument is het ook verstandig om goed te letten op de beveiliging van uw apparaten. Log bijvoorbeeld nooit in met het wachtwoord waarmee het apparaat geleverd wordt, maar verander eerst het wachtwoord en, wanneer mogelijk, uw inlognaam. Wees er daarnaast ook goed bewust op welke poorten open staan wanneer u een dergelijk apparaat installeert. Maar weeg ook vooral de voordelen af met de nadelen: wat zou iemand kunnen doen met uw slimme apparaat, mocht de login in verkeerde handen vallen?

Dat het Internet of Things de toekomst heeft is zeker. Maar voordat het gebruik zo alledaags wordt dat we niet beter meer weten, is het verstandig om nu vooral te investeren in de beveiliging en goede gewoontes. Wilt u zeker weten dat uw beveiliging aan de eisen voldoet, laat de security consultants van Networking4all dan uw netwerk controleren met een vulnerability scan of penetratietest. Lees meer over onze securitydiensten op onze website.

Lees relevante artikelen

Categorie  SSL & Security | Tags  IoT Security