‘IoT-apparaten zijn zo lek als een mandje’
Een interview met cybersecurityprofessor Michel van Eeten door iBestuur
Het internet of things (IoT) geeft cyberdreigingen een nieuwe dimensie. Des te erger is het dat het met de beveiliging van IoT-apparaten rampzalig is gesteld. Smart-tv’s, beveiligingscamera’s, slimme espressomachines, stofzuigers; zodra er een internetaansluiting in zit, dreigt infiltratie van de botnets.
“Als je het in één term wilt samenvatten. Wij doen aan empirische cybersecurity”, aldus hoogleraar Cybersecurity Michel van Eeten van de TU Delft. Zijn groep heeft via noeste arbeid een unieke ‘asset’ opgebouwd: een wereldkaart met daarop datacentra van providers en hosts in 85 landen, in totaal zo’n 45.000 aanbieders. “Veel van ons onderzoek bestaat uit het koppelen van deze marktspelers aan technische metingen van incidenten. Zo kunnen we bijvoorbeeld laten zien hoeveel gehackte computers van een botnet in hun netwerk of bij hun gebruikers zitten.”
Dat levert veel nieuwe inzichten en verrassende informatie op. Zoals wie ervoor zorgt dat Nederland in de top drie verspreiders van ‘digitale ellende’ staat. De betrokken hostingbedrijven waren volgens Van Eeten onaangenaam verrast: “Hun zelfbeeld was heel anders. Na die vaststelling kun je een ander soort vragen gaan stellen. Komt het alleen doordat er zoveel hostingbedrijven in Nederland zitten? Verhuren zij computerruimte aan foute partijen? Hosten ze botnet-commandocentra of worden hun bonafide klanten vaker gehackt? Is hun beveiliging wel adequaat? En waarom scoort de een slechter dan de ander? In ons vervolgonderzoek richten we ons nu in samenwerking met hostingpartijen en politie op dit soort vragen.”
De groep van Van Eeten heeft inmiddels relaties opgebouwd met tal van internationale organisaties die incidenten registreren, waaronder partijen die botnets in kaart brengen. Botnets staan aan de basis van de meeste DDoS-aanvallen, een oude maar hardnekkige bekende in cybersecurityland. Deze technologie kent allerlei varianten, maar de basisidee is niet gewijzigd: een site platleggen door er vanuit een groot aantal geronselde computers op hetzelfde moment datapakketjes naar toe te sturen. Maar botnets worden ook voor andere schimmige praktijken ingezet, zoals klikfraude en het ‘mijnen’ van cryptomunten. Van Eeten: “Anders dan DDoS, phishing en spam valt cryptomining veel minder op. Maar het is natuurlijk wel stroomdiefstal en computervredebreuk.”
Espressomachine gehackt
Botnets beperken zich niet meer tot computers. Elk apparaat met een internetaansluiting kan worden geronseld, van smart-tv’s, beveiligingscamera’s tot slimme espressomachines, stofzuigers en voertuigen. Welkom bij de wereld van het internet of things. Het eerste grote botnet van gehackte IoT-apparaten was Mirai. De enorme impact daarvan heeft de dader zelf ook verrast, vermoedt Van Eeten: “We hebben gemeten dat over een periode van een jaar in totaal drie miljoen apparaten zijn betrokken in dit netwerk.” Je kunt een gehackt IoT-apparaat niet zo breed inzetten als een computer, maar voor DDoS, klikfraude en cryptomining zijn ze volgens Van Eeten soms prima bruikbaar. “Maar de criminelen zijn ook nog aan het ontdekken.”
Het internet of things geeft de botnetdreiging in ieder geval een nieuwe dimensie. Des te erger is het dat het met de beveiliging van IoT-apparaten rampzalig is gesteld. Reden genoeg voor de vaderlandse Cyber Security Raad om alarm te slaan en een speciaal advies voor IoT-apparaten op te stellen. Van Eeten was één van de opstellers. “Ten eerste willen we dat die apparaten aan een aantal normen gaan voldoen. Dan gaat het echt om hele basale eisen, net als de Europese CE-goedkeuring voor elektrische apparaten. Zoals de eis dat apparaten een bepaalde periode van security-updates worden voorzien. Op die manier kun je de grootste troep van de markt weren.”
De Europese Commissie komt binnenkort met een voorstel. De Raad adviseert bovendien dat Nederlandse overheden, zorginstellingen en belangrijke nutsvoorzieningen sowieso een pakket veiligheidseisen gaan opnemen in hun inkoopvoorwaarden voor IoT-apparaten.
Van Eeten: “Uiteindelijk moeten we naar een situatie toe dat we IT-fabrikanten verantwoordelijk kunnen stellen. Waarom geldt er bij een auto wel productaansprakelijkheid en bij een smartphone in de praktijk niet? Tot nu toe zijn IT-fabrikanten de dans ontsprongen. Zet je nieuwe iPhone aan en het eerste wat je moet doen, is een gebruikersovereenkomst van 300 pagina’s ondertekenen met ‘Oké, ik heb het gelezen’. Je wordt dus gedwongen te liegen om je smartphone te kunnen gebruiken. En vervolgens heb je een contract waarin Apple zich vrijwaart van alle ellende die voortkomt uit het gebruik ervan. Probeer dat eens met een auto.”
Samsung maakt het volgens Van Eeten minstens zo bont. Hij wijst op de rechtszaak die de Consumentenbond tegen het Koreaanse bedrijf voert om af dwingen dat alle modellen ten minste vier jaar worden voorzien van veiligheidsupdates. “Als je dat als fabrikant niet doet, ben je bewust nalatig. Fabrikanten nemen bijzonder weinig verantwoordelijkheid. Daar moet een correctie op komen.” Europese overheden moeten volgens hem ook de hand in eigen boezem steken. “Ze handhaven niet. Iedereen wist dat Facebook al jaren Europese privacyregels schendt. Maar de 28 Europese privacytoezichthouders hebben het aan de Oostenrijkse student Max Schrems overgelaten om tot aan het Europese Hof te procederen om dat aan te tonen. Ierland stelde nota bene sámen met Facebook hoger beroep in tegen Schrems, nadat hij de eerste rechtszaak had gewonnen. Het heeft geen zin om regels te ontwerpen als er niet wordt gehandhaafd. Je moet straks wel zo’n container met IoT-apparaten willen terugsturen naar China als die niet aan Europese normen voldoen.”
ISP’s prikkelen
Vooralsnog zijn, volgens Van Eeten, vanuit beveiligingsperspectief de snelste successen te boeken via de internetproviders. Overheden zouden zich er daarom op moeten toeleggen providers (ISP’s) te prikkelen om hierin het voortouw te nemen. Dat dit succes kan hebben blijkt uit AbuseHUB, in 2013 opgericht door acht ISP’s en Surfnet, met financiële steun vanuit EZ en SIDN. AbuseHUB verwerkt centraal informatie over botnetbesmettingen in Nederland, met als doel besmette computers sneller te detecteren. Van Eeten: “Een Ziggo of KPN plaatst je direct in quarantaine als je gehackt bent. Daarin lopen ze wereldwijd voorop. Dat is goed voor de klant, goed voor internet. Maar voor de ISP is het gewoon een kostenpost. Dat is begrijpelijkerwijs niet iets waar ze uit zichzelf mee komen. Onze metingen hebben mede het inzicht gebracht dat er voor hen een zorgplicht lag. Dat bedoel ik met prikkelen.”
Internetproviders zijn volgens Van Eeten in de beste positie om de dreiging van botnets via IoT-apparaten te pareren. Bijvoorbeeld door zelf bepaalde routerpoorten dicht te zetten, door klanten daartoe in staat te stellen en door klanten te helpen gehackte apparaten op te schonen. “In vergelijking met virusbestrijding is de aanpak van botnets een stuk lastiger voor providers en eindgebruikers. We werken nu met KPN samen aan een pilot rond IoT-botnets. We blijken op afstand in zo’n 70 procent van de gevallen niet te kunnen vaststellen wat voor soort apparaat er is gehackt. Is het een tv, een camera, een digitale videorecorder? Geen idee! Het goede nieuws is dat KPN ondanks die summiere informatie toch een hele succesvolle campagne heeft kunnen voeren onder klanten met besmette apparaten. Tot ieders verbazing is een groot deel van de besmette nodes al binnen een paar dagen verdwenen. Veel gebruikers hebben succesvol opgeschoond zonder dat ze precies begrijpen waar het probleem zat. Wellicht hebben ze het apparaat gewoon uitgezet of zelfs weggegooid. Maar het bevestigt wat ik net zei. Voor een succesvolle aanpak van IoT-beveiliging hebben we ook de ISP’s nodig.”
Dit artikel is gepubliceerd door iBestuur en geschreven door Fred van der Molen (28 juni 2018)