Beter bouwen we een internet of secure things
- 03 oktober 2016
De website van een onderzoeksjournalist werd vorige week na een ongekend grote DDoS-aanval uit de lucht gehaald. De gigantisch hoeveelheid internetverkeer was afkomstig van gehackte videorecorders en -camera’s, verbonden met het internet. Het laat zien dat als we de beveiliging van het internet of things niet snel op orde brengen, kwaadwillenden met die apparaten onze maatschappij kunnen ontwrichten.
Journalist Brian Krebs doet bijzonder goed onderzoek naar het werk van criminelen die via het internet de wereld geld aftroggelen. Dat doet vermoeden uit welke hoek de aanval kwam, maar zoals altijd bij digitale aanvallen is attributie ontzettend lastig. Het bedrijf dat de hosting van zijn website verzorgde meldde dat de aanval twee keer zo groot was als de grootste aanval die ze tot dan toe hadden gezien. Zij konden niet anders dan de stekker uit de site trekken: de dienstverlening aan andere klanten kwam in gevaar. Dat is best opmerkelijk voor een bedrijf dat zich juist gespecialiseerd heeft in de hosting van sites die veel verkeer te verwerken krijgen.
De aanval werd gelanceerd vanaf een groot aantal apparaten die tot voor kort niet met een netwerk verbonden waren, zoals videorecorders en -camera’s. Misschien zat er ook nog wel een weegschaal, speelgoedpop of koelkast tussen. Dat internet of things stelt nu nog weinig voor: het zijn meestal gadgets die met het internet verbonden zijn “gewoon omdat kan”. Dat gaat veranderen: de verwachting is dat we over een paar jaar meer dan twintig van dit soort apparaten in huis hebben. Dat lijkt handig: de koelkast die, nadat jij je dorst gelest hebt, zelf een nieuwe fles fris bestelt. Maar als al die apparaten niet heel veel beter beveiligd zijn dan nu, dragen ze net zo goed bij aan het ontwrichten van onze maatschappij.
Veel van die apparaten zijn bijzonder slecht beveiligd. Als ze dat al zijn. De wachtwoorden zijn meestal makkelijk te raden en de gebruiker kan onmogelijk beveiligingsupdates installeren. En als al die apparaten worden misbruikt voor een aanval, kan de impact enorm zijn. En waar de aanval van vorige week op een website gericht was, kun je er nu al gif op innemen dat kwaadwillenden straks het vizier op andere doelen zullen richten. Wat zijn de consequenties van minstens zo’n grote aanval op een belangrijk internetknooppunt, een bank of de Nederlandse politie? Als supermarkten niet meer bevoorraad worden, de overheid onbereikbaar wordt of dagenlang niemand nog kan pinnen, stelt de ergernis over een dag zonder Facebook niets meer voor.
Kortom: we worden steeds afhankelijker van onze digitale infrastructuur die we tegelijkertijd enorm vergroten, maar zonder de beveiliging daarvan mee te laten groeien. Dat gaat vroeg of laat fout.
Daarom is het belangrijk dat de makers van dit soort gadgets hun verantwoordelijkheid nemen. Een koelkast die lekt is vervelend voor de eigenaar. Op zijn best is er wat wateroverlast in de keuken, op zijn slechtst ligt de boodschappenlijst op de straat en weet de hele wereld wanneer de bewoner van huis is. Maar een lekke koelkast kan ook door kwaadwillenden misbruikt worden om andere computers op het internet aan te vallen en uit de lucht te halen. De maker van een slimme koelkast die de beveiliging niet op orde heeft zou daarom verantwoordelijk moeten kunnen worden gehouden voor de schade die hij (mede) veroorzaakt. Nog beter komt het niet zo ver en is internet of things een internet of secure things.