Naar de content

Help, de slimme apparaten vallen aan!

Hoe makkelijk is het internet der dingen te hacken?

Freepik

In huis staan steeds meer slimme apparaten die zijn verbonden via wifi. Dit internet der dingen maakt het leven van de bewoners een stuk makkelijker, maar vormt ook een potentieel gevaar. De beveiliging van al die apparaten verschilt namelijk enorm. “Mensen zijn notoir slecht in het bedenken van unieke wachtwoorden.”

Lampen die je met één klik in een app aanzet, een koelkast die bijhoudt of de melk al op is, en een koffiezetapparaat dat je ochtendkoffie klaar heeft staan als je wakker wordt. Ons huis wordt steeds slimmer. Jules Dudok, projectmanager bij het Science Center in Delft, kan erover meepraten. Zijn man, die als software engineer werkt, heeft hun hele huis voorzien van slimme snufjes. “In feite is alles in ons huis slim: het begint met de gordijnen die automatisch opengaan, ramen en deuren die sensoren hebben zodat je weet of ze openstaan, en ook de verwarming en ventilatie werken automatisch.”

En dat is handig, vindt Dudok. “We hebben zonnepanelen op het dak, dus we proberen al onze apparaten af te stemmen op hun rendement.” Zo gaat de wasmachine automatisch aan als de opbrengst het hoogst is, en zitten er tussen alle stekkers en stopcontacten slimme kastjes die het energieverbruik meten. Naast een verbazingwekkend lage energierekening levert dit volgens Dudok ook veel gebruikersgemak op: “Het uiteindelijke doel is dat het systeem echt voor jou gaat denken en je zelf geen handelingen meer hoeft uit te voeren.”

Alle slimme apparaten in huis communiceren via het wifi-netwerk en zijn via een smartphone te bedienen.

Freepik

Al deze slimme apparaten communiceren met elkaar via het wifi-netwerk van de gebruiker. Dit staat bekend als het internet der dingen (Internet of Things) en is de laatste jaren enorm in populariteit gestegen. Dat je gordijnen ‘s ochtends automatisch opengaan of dat je op afstand kunt checken of je de oven wel écht hebt uitgezet, heeft inderdaad zijn voordelen, maar onder IT-experts neemt de laatste jaren ook de bezorgdheid toe over de veiligheid van al die slimme apparaten. Mattis van ‘t Schip, promovendus aan de Radboud Universiteit Nijmegen die zich vooral richt op de juridische kant van cybersecurity, ziet verontrustende kanten aan deze snelle ontwikkeling. “Ondertussen hebben al ruim driekwart van de Nederlanders een slim apparaat thuis staan. Dat worden er steeds meer, maar de beveiliging van deze apparaten verschilt enorm.” En dat komt volgens Van ‘t Schip
vooral door de enorm snelle ontwikkeling van deze markt. “De regelgeving loopt altijd achter op de werkelijkheid; de eisen aan cybersecurity vanuit de EU zijn beperkt. Dat begin je nu echt terug te zien.”

Poll
Poll

Zijn de slimme apparaten in jouw huis goed beveiligd?

Online leger

Maar waar schuilt nu het grote gevaar? “Slimme apparaten zijn eigenlijk niets anders dan kleine computers verbonden met het internet. Elke computer kan gehackt worden, en slimme apparaten dus ook”, legt ethische hacker Sijmen Ruwhof uit. “Zodra de computer in je koelkast of slimme deurbel is gehackt, kan een hacker deze inzetten in een zogenoemde DDoS-aanval, waarbij tienduizenden gehackte apparaten tegelijkertijd een informatieaanvraag doen bij een server. De meeste servers kunnen al die verzoeken niet aan, waardoor er een storing ontstaat. Als die server bijvoorbeeld dient om de website van de rijksoverheid te hosten, maakt die storing de site onklaar. Dat kan heel vervelende gevolgen hebben.”

Zo werd in 2016 een malware ontdekt waardoor slimme apparaten die op het besturingssysteem Linux draaien, konden worden gehackt. De hackers die deze malware, genaamd Mirai, ontwikkelden, richtten zich in eerste instantie op servers van het online spel Minecraft, maar later werd de malware ook ingezet om provider Dyn aan te vallen. Daardoor hadden gebruikers in grote delen van Noord-Amerika en Europa geen toegang meer tot het internet.

De gebruikers van de slimme apparaten die in zo’n DDoS-aanval worden gebruikt, hoeven daar in principe niet eens iets van te merken, zegt Ruwhof. “Zolang je slimme koelkast het gewoon blijft doen, heb je als gebruiker niet door dat je je opeens in een online leger bevindt.”

Slimme apparaten zijn vrij eenvoudig te hacken door twee fundamentele problemen, stelt Ruwhof. “Ten eerste is het voor veel producenten helemaal niet interessant om een slim product tien jaar lang te blijven ondersteunen met software-updates voor bijvoorbeeld beveiligingslekken.” Producenten willen immers dat je een gekocht apparaat niet lang gebruikt, en zo snel mogelijk weer een nieuw product koopt. Daarnaast merkt Ruwhof op dat het ontwikkelen van veilige software veel tijd en geld kost, iets wat niet elke producent als prioriteit stelt. “Je ziet daarin bijvoorbeeld echt enorme verschillen tussen een hogere en duurdere klasse slimme camera en een vergelijkbaar product bij bijvoorbeeld Action.”

Slechte wachtwoorden

Het tweede probleem ligt bij de gebruikers zelf. Veel gebruikers zijn er niet van op de hoogte hoe gemakkelijk een slim apparaat is te hacken. Ruwhof: “Veel mensen denken dat het plug-and-play is: je sluit je camera aan, voert je wachtwoord in en klaar.” Maar juist daar ligt de zwakke plek. “Mensen zijn notoir slecht in het bedenken van unieke wachtwoorden en hebben tientallen accounts waar ze wachtwoorden voor moeten aanmaken. Wat je dan vaak ziet, is dat ze dezelfde wachtwoorden recyclen of gebruiken voor meerdere accounts.” Op internet circuleren lijsten met miljarden gebruikersnamen en wachtwoordcombinaties, die hackers gebruiken om slimme apparaten te hacken. Deze lijsten zijn afkomstig uit datalekken bij bedrijven. Als een gebruiker hetzelfde wachtwoord gebruikt voor verschillende online accounts en meerdere apparaten, is het voor een hacker een koud kunstje software te schrijven die deze wachtwoorden geautomatiseerd uitprobeert, net zolang tot een apparaat is gehackt (zie het kader ‘Hoe hack je een apparaat?’). 

Veel mensen gebruiken hetzelfde wachtwoord voor verschillende online accounts en meerdere apparaten.

Freepik

Gebruiker Dudok is zich bewust van de gevaren. “Mijn man en ik zijn allebei ingenieurs, dus we hebben dit zo veilig mogelijk aangepakt. Zo is ons thuisnetwerk aangesloten door een vriend die netwerkinstallateur is.” Maar hij erkent dat dat niet voor iedereen is weggelegd. “Ons netwerk is eigenlijk een bedrijfsnetwerk, met meerdere lagen. Dit is erg complex en niet zomaar in te stellen.” Persoonlijk maakt hij zich dus geen zorgen dat zijn slimme apparaten gehackt zullen worden. “Maar een gewone huis-tuin-en-keukenwifi kun je heel makkelijk kraken met een beetje kennis. Dat is ook de reden dat we het zo professioneel hebben aangepakt. Mensen beseffen vaak niet wat voor gevaar ze in huis halen. Iedereen heeft het over privacy, maar software-updates voert niet iedereen uit.”

Het Wilde Westen

Hoewel de Europese Commissie nu wel stappen aan het zetten is voor verbeterde wetgeving – de nieuwste versie wordt in 2024 verwacht – zijn de problemen daarmee de wereld nog niet uit, aldus Van ‘t Schip. “Een groot probleem vormen de toezicht en de handhaving. Zo’n beetje alle sectoren kampen met een tekort aan IT-specialisten en dat is bij de staat niet anders. Er is gewoon te weinig geld en mankracht om dit probleem goed aan te kunnen pakken.” Daar is Ruwhof het mee eens: “Het internet is echt het nieuwe Wilde Westen. We zijn aan het pionieren met nieuwe technologie, en ondernemers zien mogelijkheden tot het maken van een product, maar iedereen moet maar voor zichzelf zorgen. Veel consumenten hebben geen idee hoe ze dat moeten doen en wat de gevaren zijn.”

Een gebruiker zal niets merken van een DDoS-aanval, maar apparaten als slimme camera’s en deurbellen leveren daarnaast ook een persoonlijk risico op. Wat kunnen gebruikers doen om zichzelf te beveiligen? Ruwhof heeft wel wat tips: “Verander het standaardwachtwoord naar een uniek persoonlijk wachtwoord, en gebruik niet telkens hetzelfde wachtwoord voor al je apparaten.” Daarnaast is het volgens hem ook belangrijk om de beveiligingsupdates regelmatig uit te blijven voeren, ook al lijkt dat een beetje onzinnig voor zoiets als de wasmachine. “Als hackers eenmaal toegang hebben tot één van je slimme apparaten, hebben ze toegang tot je hele thuisnetwerk en dan is het hek van de dam.” Tot slot wil hij benadrukken dat gebruikers zich vooral bewust moeten zijn van wat ze in huis halen. “Verdiep je in de technologie erachter of vraag iemand met kennis van zaken om even mee te kijken. Ga er niet blindelings van uit dat producenten je wel veilig houden.”

Hoe hack je een apparaat

Veel slimme apparaten hebben een mogelijkheid tot online inloggen. Een slimme luidspreker maakt bijvoorbeeld gebruik van je Amazon-account. Als je dan geen tweetrapsverificatie hebt ingesteld, is het enige wat je account beschermt een zelfverzonnen wachtwoord. “Veel mensen hebben tientallen accounts waar ze een wachtwoord voor moeten verzinnen en geen zin om al deze wachtwoorden te onthouden”, zegt ethische hacker Sijmen Ruwhof. “Je ziet dan dat veel mensen wachtwoorden gaan recyclen en voor meerdere accounts en apparaten gebruiken.”

Lekken

Bedrijven worden aan de lopende band gehackt, omdat ze onvoldoende investeren in cybersecurity of zich niet voldoende bewust zijn van de risico’s. Bij zo’n datalek krijgen hackers lijsten met tienduizenden combinaties van gebruikersnamen, e-mailadressen en wachtwoorden te pakken, die ze weer doorverkopen of op internet zetten. “Als een hacker dan specifiek bij jou wil inbreken, heeft hij een e-mailadres nodig, dat vaak is te vinden op social media. Er is dan een vrij grote kans dat er ergens wel eens een wachtwoord is gelekt dat is gekoppeld aan dat mailadres. Daarmee bestaat er een reële kans dat een hacker via je Amazon-account bijvoorbeeld je luidspreker kan bedienen. Als deze luidspreker dan ook nog beschikt over een microfoon, zijn de negatieve consequenties eindeloos”, aldus Ruwhof.

Een andere manier om apparaten te hacken is door gebruik te maken van de beveiligingslekken in het systeem van zo’n apparaat. Bepaalde apparaten, zoals slimme camera’s, hebben als optie dat ze overal ter wereld via internet zijn te bekijken. Voor gebruikers is dat fijn, omdat ze dan op afstand hun huis kunnen checken. Maar het levert ook een risico op. “Als de software van zo’n camera niet regelmatig wordt geüpdatet, dan is het een schietschijf voor geautomatiseerde aanvallen”, stelt Ruwhof. “Veel camerasystemen worden maar mondjesmaat onderhouden. Een hacker schrijft dan een stuk code om zo’n lek te gebruiken, waarna hij op zoek gaat naar camerasystemen die dat lek nog hebben.”

Veel geld waard

Gehackte apparaten in het internet der dingen zijn veel geld waard. Als een hacker miljoenen van zulke apparaten onder controle heeft, is een DDoS-aanval mogelijk. De hacker heeft dan ook toegang tot iemands interne netwerk – dit kan zowel een privé- als een bedrijfsnetwerk zijn. Als een gemeente bijvoorbeeld een Sonos-speaker heeft staan en die wordt gehackt, dan kan een hacker ook toegang krijgen tot het interne netwerk van die gemeente, en dat kan dan weer een springplank zijn voor andere hackers die zijn gespecialiseerd in _ransom_-virussen.

Tot slot zijn gehackte apparaten ook nog in te zetten als een zogenoemd trollenleger. Sociale media-websites maken gebruik van algoritmes om te bepalen of de website wordt gespamd of niet. Als er heel veel reacties komen van één verbinding, herkent de website dat als spam. Maar door een leger van gehackte apparaten in te zetten, denkt de website dat de reacties uit heel veel verschillende landen komen, en dat dit legitiem is.