Home Security Verander die IoT-wachtwoorden!

Verander die IoT-wachtwoorden!

133
dainamics

Het Internet of Things is zeer fraaie uitvinding en kan zeker bijdragen aan een aangenamer en efficiënter leven. En dit alles niet alleen thuis maar ook op kantoor. Er is alleen een grote ‘maar’. Met de beveiliging rondom de op Wifi aangesloten IoT-apparaten is het nogal droevig gesteld. En dan druk ik mij zeer bescheiden uit.

Nederland heeft een van de hoogste internetdichtheden ter wereld, en met de sterke groei van Internet of Things komt hier een extra dimensie bij. Alarmsysteem, smart TV en zelfs de waterkoker: alles kan vandaag de dag op het Wifi-netwerk worden aangesloten en vanaf de smartphone worden bediend. “De beveiligingssoftware van deze apparaten laat meer dan te wensen over”. Dit was de voornaamste conclusie van het grootschalige ‘Haunted House’-onderzoek dat Sophos en Koramis hebben uitgevoerd. Als basis werd een smart home-infrastructuur opgezet en als ‘honey pot’ op het internet geplaatst.

Veel IoT-apparaten

Het Haunted House vertegenwoordigt een gemiddeld privéhuishouden met dertien verschillende IoT-apparaten en technologieën van leveranciers die zich in een netwerk bevinden en met internet zijn verbonden. Na Amerika en Canada is Nederland het derde land ter wereld met de meeste IoT-apparaten. Het aantal apparaten dat zomaar op het internet te vinden is, neemt snel toe. En de gevaren die daarmee gepaard gaan ook. Uit bijna elk land werd minimaal een keer getracht verbinding te leggen met een van de IoT-apparaten in het Haunted House. Met aangepaste gebruikersnamen en wachtwoorden werden er dagelijks 1.500 toegangspogingen vastgelegd (en zelfs 3.800 toegangspogingen met de standaardinstellingen).

Thuissituatie

Met Haunted House hebben de onderzoekspartijen de vinger weten te leggen op de zwakke beveiliging van IoT in een dagelijkse thuissituatie. De gevolgen voor de consument kunnen variëren van ontvreemde creditcardgegevens tot versleutelde bestanden (lees: ransomware). Om nog maar te zwijgen van de mogelijkheid om de centrale verwarming op afstand te besturen wat kan leiden tot kromgetrokken vloerplanken een gepeperde rekening van de lokale energiemaatschappij.

Extrapoleren we het geheel naar de zakelijke kant, kan dit ook tot onaangename verrassingen leiden. Want wat gebeurt er als een medeweker zijn draadloze speaker meeneemt en deze via ‘de zakelijke Wifi’ installeert? Op deze manier krijgt de hele BYOD-discussie een nieuwe dimensie.

Opvoeden

IoT is een mooi fenomeen. Het dient echter aan gedegen beveiligingsvoorschriften te worden onderworpen en medewerkers dienen hierin te worden opgevoed. Uit onderzoek blijkt namelijk dat slechts één op de tien het wachtwoord van IoT-producten aanpast. Je kunt er dus vergif op innemen dat het niet alleen thuis maar ook binnen de vier bedrijfsmuren een keer faliekant misgaat als wachtwoorden als ‘0000’ of ‘welcome’ voor aanvang niet meteen worden aangepast in de meisjesnaam van je schoonmoeder of geboortedatum van je kat.

De nasleep van het Haunted House-project zal niet meteen de problematiek rondom zwakke wachtwoorden, Wifi en de beveiliging van IoT oplossen. Maar dat het inmiddels de agenda van het Ministerie van Justitie en Veiligheid heeft bereikt, spreekt boekdelen. We zijn over het algemeen altijd het slimste jongetje van de klas. Toch (b)lijken niet in staat iets simpels als het aanpassen van een standaard wachtwoord voor elkaar te boksen… Shame on us.

Harm van Koppen, security specialist Sophos Nederland

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here