De IoT-aanvallen die iedereen zou moeten kennen
De innovaties die IoT heeft gebracht in organisaties en het dagelijks leven van individuen hebben de afgelopen jaren een sterke toename ervaren. Bijvoorbeeld, een wandeling door de assemblagelijn van een autofabrikant zal intelligente technologieën onthullen die seriële of batchactiviteiten uitvoeren met minimale of geen menselijk toezicht.
De in het VK gevestigde online supermarkt startup – Ocado en Amazon hebben beide enorme technologieën voor het sorteren en bezorgen van boodschappen ontwikkeld, voornamelijk gebaseerd op IoT. Er zijn ook huishoudelijke apparaten en apparaten die op afstand kunnen worden bediend. Goede voorbeelden zijn bewakingscamera’s, verlichtingssystemen, geautomatiseerde opritten, sproeisystemen die het gras nat maken na het analyseren van de lokale weersvoorspelling, slimme magnetronovens en volledig gesynchroniseerde appartementen.
Slimme apparaten met IoT-mogelijkheden vereisen een actieve internetverbinding voor optimale efficiëntie. Het verbinden van IoT-apparaten met het internet stelt ze echter bloot aan potentiële beveiligingsdreigingen die gemeenschappelijk zijn voor elk netwerkapparaat. De enorme mogelijkheid tot connectiviteit die gepaard gaat met internettoegang staat bijna altijd tegenover beveiligingsuitdagingen. Er zijn nog steeds mensen op zoek naar middelen (zowel hardware als software) om het internet te exploiteren. Hackers kunnen apparaten zo onschuldig als vaatwassers of thermostaten gebruiken als een kwetsbare achterdeur in een anderszins beveiligd netwerk.
Zijn IoT-apparaten kwetsbaar?
Maar, zijn IoT-apparaten kwetsbaar, of zijn de beweringen van beveiligingsinbreuken op hen slechts samenzweringstheorieën om technologieliefhebbers te ontmoedigen van het adopteren van IoT? De geschiedenis van beveiligingsinbreuken op het internet, belicht in de volgende sectie, en overduidelijke bewijzen van IoT-apparaten als regelmatige verdachten beantwoorden onze vragen.
Beroemde Voorbeelden van IoT-aanvallen
Er zijn verschillende gevallen van IoT-aanvallen; dit zijn er een paar om een duidelijker beeld te schetsen:
1. De Mirai Aanval op Dyn
In de laatste maanden van 2016 hebben hackers het computernetwerk van een vooraanstaande Domain Name Service provider – Dyn – geschonden. Op dat moment was Dyn de DNS-provider voor bedrijven zoals Twitter, Netflix, Reddit, CNN en The Guardian. De DDoS-aanval werd uitgevoerd door hackers die ongeveer 600.000 IoT-apparaten en andere computers rekruteerden, nadat ze op afstand de controle hadden overgenomen met behulp van een malware genaamd Mirai.
De Mirai botnet-aanval verlamde Dyn enkele uren door de netwerkbronnen van het bedrijf te overweldigen.
2. Gekaapte SUV’s
De hack was in dit geval slechts een simulatie, maar wel een hack die zorgen baart. Een groep onderzoekers heeft in 2015 een kwetsbaarheid in de firmware-update van een Jeep SUV uitgebuit via een mobiel telefoonnetwerk. Nadat ze toegang hadden verkregen tot de databus van het voertuig, konden de onderzoekers de auto vertragen, stoppen en van de weg af laten zwenken.
3. Letterlijke Hartaanvallen
Vooruitgangen in de medische wetenschap hebben het mogelijk gemaakt voor individuen die hartprocedures hebben ondergaan en pacemakers of defibrillatoren geïmplanteerd hebben gekregen om hun zwakke harten te ondersteunen. De Amerikaanse Food and Drug Administration (FDA) bevestigde kwetsbaarheden in de hartapparaten die het mogelijk zouden kunnen maken om ze inactief te maken of te laten malfunctioneren onder invloed van een hacker. De FDA vond deze ontdekking met name zorgwekkend voor hartimplantaten die gebruikt worden bij patiënten in een bepaald ziekenhuis.
4. Thermo-toegang tot een Casino
Een ander veel gemeld IoT-kwetsbaarheidsgeval werd gepleegd door een groep hackers die een beveiligingslek vonden in de vorm van een thermometer die in het aquarium van het casino was geïnstalleerd. Nadat ze toegang hadden gekregen tot het netwerk van het casino, wist de groep met succes gevoelige gegevens van de instelling te bemachtigen.
5. De Big Brother Toegang
Net als George Orwell’s Grote Broer zijn verschillende met het internet verbonden camera’s toegankelijk voor hackers die de juiste gaten weten te vinden. CNN slaagde erin om te bewijzen hoe kwetsbaar deze apparaten kunnen zijn door gebruik te maken van Shodan, een IoT-zoekmachine. Met behulp van Shodan zond het particuliere nieuwsbedrijf live feeds uit van de camera’s van willekeurige mensen over de hele wereld, waarschijnlijk zonder dat zij zich bewust waren van hun blootstelling.
Oorzaken van IoT-beveiligingskwetsbaarheden
De opkomst van IoT-technologieën bevindt zich nog steeds in de bloeiperiode en moet nog enkele kritieke kwesties aanpakken in de adoptie ervan. Ja, IoT-apparaten kunnen nuttig zijn, maar innovators maken zich nog meer zorgen over de functionele stabiliteit van de apparaten voordat ze de toenemende dagelijkse meldingen van beveiligingskwetsbaarheden aanpakken.
Hieronder staan enkele van de cruciale factoren die hebben bijgedragen aan het voortduren van de beveiligingsdreigingen die worden ervaren met IoT-apparaten.
1. IoT-apparaten hacken door misbruik te maken van gebruikersonwetendheid of onachtzaamheid
Als het gaat om jezelf te beschermen tegen virussen die het besturingssysteem van je pc aanvallen of je online voetafdruk verbergen tijdens het gebruik van openbare Wi-Fi, is de gemiddelde gebruiker van dergelijke technologieën redelijk goed geïnformeerd. Maar als het gaat om nieuwere technologieën zoals IoT-apparaten, maken gebruikers zich meer zorgen over het controleren van de weersvoorspelling op de GUI van hun nieuwe koelkast dan over de beveiliging ervan. “Welk risico zou een koelkast mogelijk kunnen hebben?” is een redelijke vraag die bij de gemiddelde gebruiker opkomt.
In sommige gevallen zijn gebruikers van IoT-technologieën ronduit onwetend over de gevolgen van een inbreuk op de beveiliging van hun apparaten. Het afhandelen van ongewenste spam in de e-mailinbox is geen probleem. Toch zou een willekeurige enquête onder IoT-apparaatgebruikers onthullen dat ze de basisprincipes van het beveiligen van deze gemakkelijk te doorgronden technologieën niet begrijpen. Sommige hackers krijgen alleen toegang tot een eerder beveiligd IoT-apparaat nadat ze de gebruiker een achterdeur hebben laten openen door middel van social engineering.
2. Beveiligingskwetsbaarheid na Grote Aanvallen
Na elke significante botnetaanval die het internet op zijn grondvesten doet schudden, zouden technologiefabrikanten vanzelfsprekend apparaten moeten updaten met op beveiliging gerichte patches. Echter, de frequentie van aanvallen over het internet maakt beveiligingsupdates vermoeiend. En helaas laat de nauwgezette inspanning van hackers na elke aflevering een kwetsbare achterdeur open, die vaak herhaaldelijk wordt uitgebuit als deze niet snel wordt aangepakt.
Een andere grote uitdaging bij het updaten van IoT-apparaten is dat de meeste van dergelijke patches automatisch worden geïnstalleerd, zonder dat technische hulp nodig is. Vaker wel dan niet, maakt het IoT-apparaat back-ups van zijn documenten door ze naar de cloud te uploaden en ervaart het een korte downtime terwijl het probeert te herstarten of zijn instellingen opnieuw te configureren. Dergelijke perioden kunnen worden uitgebuit door hackers, met name wanneer de internetverbinding niet is versleuteld.
3. Blootstelling van Apparaten door Niet-Naleving van Veiligheidsnormen door Fabrikanten
Zoals eerder vermeld, zijn fabrikanten meer bezorgd en bezig met het voldoen aan de functionele behoeften van hun consumenten en produceren ze glamoureuze en innovatieve apparaten zonder de potentiële beveiligingslekken die daarmee gepaard gaan te beoordelen. Deze onthulling impliceert dat met elk nieuw IoT-apparaat op de markt, er een nieuwe maas voor hackers verschijnt om te benutten.
Fabrikanten zijn nog steeds druk bezig met het tonen van hun innovatiekracht, maar er is nog steeds geen consensus over de te volgen beveiligingsnormen. Een gemeenschappelijke basis hebben, vergelijkbaar met wat open toegangstechnologieën bieden voor IoT-beveiliging, zal veel van de toenemende uitdagingen die aan hen worden toegeschreven elimineren. Maar helaas, fabrikanten zijn erop uit om het grootste marktaandeel te veroveren door consumenten te verblinden met apparaten met verbeterde functionaliteit maar zonder voldoende beveiliging.
4. Fysieke Kwetsbaarheid van IoT-Apparaten
De functionaliteit van de meeste IoT-apparaten houdt in dat ze na installatie zonder menselijke controle kunnen werken. Bijvoorbeeld, de geautomatiseerde magazijnen van Ocado, die een fysieke ruimte beslaan die ongeveer gelijk is aan twee standaard voetbalvelden, worden voornamelijk bemand door IoT-aangedreven robots en slechts een paar menselijke werknemers. Echter, iedereen kan gemakkelijk IoT-apparaten die op afgelegen locaties zijn geïnstalleerd kapen zonder enige vorm van menselijk toezicht door malware te installeren, door gebruik te maken van beschikbare poorten op het apparaat. Bijvoorbeeld, CCTV-camera’s kunnen gemakkelijk worden gesaboteerd of zelfs gebruikt worden als een toegangspunt tot een anderszins beveiligd netwerk.
Bijvoorbeeld, fysieke toegang tot slechts één van de boodschappensorteerrobots van Ocado zou kunnen leiden tot een compromittering van de beveiliging van alle magazijnen van het bedrijf over de hele wereld, dat wil zeggen, als ze een gedeeld netwerk hebben.
5. Gemak van Rekrutering in Botnets
Vanwege de noodzaak om beveiligingspatches periodiek bij te werken, zijn IoT-apparaten *gemakkelijke doelwitten* geworden voor hackers. Voordat een botnetaanval wordt gestart, bouwen hackers hun botnetleger op door malware te installeren op kwetsbare apparaten via een van de verschillende methoden. Daarna krijgen de gecompromitteerde apparaten een Handler, meestal een besturingsserver, die ze vervolgens gebruikt om een gecoördineerde DDoS-aanval uit te voeren op een vooraf bepaalde internetgebruiker.
Ook wordt het door de toegenomen populariteit van IoT-apparaten op gevoelige systemen mogelijk voor hackers om essentiële faciliteiten zoals het elektriciteitsnet, verwarmingssysteem of verkeerscontrole te saboteren.
6. Manipulatie van IoT-apparaten tot Spy-Ware
Stel je voor dat een hacker toegang heeft gekregen tot de babycam van je kind en beelden verzendt terwijl je op zakenreis bent. Dergelijke personen kunnen de situatie uitbuiten door losgeld te vragen in ruil voor het behouden van de privacy van je gezin. De technische teams van de centrale beveiligingseenheden van technologisch capabele landen zullen waarschijnlijk IoT-apparaten gebruiken om andere mensen te bespioneren.
Conclusie — Veilig blijven tijdens het gebruik van slimme apparaten
Beveiliging zou een grote zorg moeten zijn bij de aanschaf van een IoT-apparaat, omdat er enkele kwetsbaarheden zijn die hackers zouden kunnen uitbuiten. Als het zo uitkomt dat je een IoT-apparaat moet aanschaffen, vergeet dan niet om de standaard gebruikersnaam en wachtwoord te wijzigen voordat je het apparaat in gebruik neemt. Lees de handleiding van de fabrikant om de stappen te begrijpen die betrokken zijn bij het updaten van de firmware van het apparaat. De updates houden je veilig voor bedreigingen die kunnen voortkomen uit gaten die succesvol zijn gedicht door het beveiligingsteam van de fabrikant.