Blog

Security

IoT-toegang; gemaakt voor het gemak

2 mrt 2017

De toekomst gaat ons meer en meer verblijden met apparaten waarmee we verbonden worden met het internet. De hoeveelheid devices zal ook alleen maar toenemen en de footprint van bron devices, die gebruikt kunnen worden tijdens een DDoS-aanval, zal dan ook immens worden. Zo spreken we over dieren met een chip, garagedeuropeners, camera’s, lichtpunten, wasmachines, koelkasten, gameconsoles, thermostaten, auto’s en allerlei industriële toepassingen die verbonden zijn met het internet. Je zult verbaasd zijn wat er allemaal te vinden is voor iemand die gebruik wil maken van dit soort systemen. Maar hoe is het nu eigenlijk gesteld met de beveiliging van al deze met IoT devices?

Ron Hehemann door Ron Hehemann

De onveiligheid van IoT

Als je een zoekopdracht doet in Google voor ‘internet connected devices’, dan kom je al gauw op een site zoals: https://www.shodan.io/. Op deze site kun je zien hoeveel devices er verbonden zijn met internet, terwijl ze doorgaans niet voorzien zijn van een beveiliging of er wordt gebruikgemaakt van een standaard wachtwoord. Al deze mooie toepassingen zijn gemaakt vanuit het oogpunt van gemak en toepasbaarheid. Zoals ik al jaren propageer, beveiliging moet vanaf dag één meegenomen worden in het ontwerp.

IoT-toegang; gemaakt voor het gemak 2
Search engine for webcams
Er zijn recentelijk al aanvallen bekend gemaakt, die gebruikmaakten van IoT devices. Het Mirai-botnet is daar een goed voorbeeld van. Dit Mirai botnet heeft onder andere gezorgd voor het platleggen van het betalingssysteem van het OV-systeem in de San Francisco Bay Area, dat bijna een miljoen Deutsche Telekom gebruikers geen toegang kregen tot het internet, en dat de Netflix- en Spotify-diensten niet beschikbaar waren. Dit zijn een aantal sprekende voorbeelden die geld hebben gekost en zeker de reputatie van deze bedrijven hebben geschaad. De enige partij die qua reputatie er een voordeel uitgehaald heeft, is het openbaar vervoer systeem. Deze werd aangevallen tijdens het Thanksgiving weekend en men dacht dat je gratis mocht reizen. Er zullen helaas ook onbekende IoT Botnets in gebruik zijn en zoals ik al aangaf zijn er miljoenen IoT-botnets, met hun ‘lekken’ beschikbaar.

Toegangscontrole van IoT devices

Wat is er nu aan te doen? We kunnen natuurlijk een poging doen om het apparaat te voorzien van anti-malware, maar ja hoe doe je dat met een lamp of een koelkast? Een andere optie is om ieder apparaat te voorzien van een firewall, maar ja dan lopen we weer tegen hetzelfde probleem aan, plus beide opties brengen ook nog eens een vertragend effect met zich mee.

Zelf denk ik meer aan een toegangscontrole op de wireless-omgeving, waarbij we ervoor zorgen dat alleen de legitieme ‘eigenaar’ daadwerkelijk het apparaat kan aansturen. Een altijd toepasbare oplossing is om het verkeer dat op zoek gaat naar zijn controller, ‘de botnetbaas’, te blokkeren met behulp van OpenDNS. Dit is natuurlijk zakelijk, maar ook thuis toepasbaar. In de zakelijke omgeving kunnen we het verkeer dat naar de IoT devices gaat nog via Advanced Malware Protection filteren. Deze beschermingsmaatregelen zijn met een Wireless en Wired toepassing ook voor de IoT-wereld te gebruiken.

In huis gebruiken we via onze provider een router met veelal een toegangscontrole, die we dan moeten aanscherpen. Voor apparatuur die bijvoorbeeld in een auto zit, moet dit geregeld worden via de leverancier van de SIM-kaart. Netwerken zoals Mirai zullen niet snel verdwijnen, maar er moet nu ingegrepen worden en regulering worden toegepast. We kunnen niet lijdzaam afwachten en toezien.

Geïnteresseerd?

Ron Hehemann
Neem contact op met onze Security- specialist Ron Hehemann

Ron Hehemann is Security Consultant bij Telindus. Ron heeft meer dan 30 jaar internationaal ervaring op het gebied van besturingssystemen, networking, virtualisatie, informatietechnologie en -beveiliging. Als trainer en consultant op het gebied van CISSP, Ethical Hacking en voorheen Foundstone, heeft beveiliging al sinds het begin van de jaren negentig een grote invloed gehad op zijn manier van denken. Het draait nog veel meer om de mindset dat wat jij triviaal vindt voor de kwaadwillende medemens, een ingangspunt is in jouw organisatie. Vandaag de dag zijn er nog veel gebruikers in kleine en grote organisaties die dat bewustzijn ontberen. Men beseft nog te weinig dat imagoschade heel erg moeilijk te herstellen is en veel tijd kost. De associatie die men heeft met goede en matige merknamen kan je zelf invullen. Na werktijd is Ron actief in de sportschool, op de tennisbaan en is hij duikinstructeur.

geen reacties
Plaats een reactie