Er zit een hacker in mijn diepvries!

Als er rond één term een hype was het laatste jaar, dan was het wel het “Internet of Things”, kortweg IoT. Dit “internet der dingen” uit zich in allerhande alledaagse en steeds meer persoonlijke toestellen die zich kunnen verbinden aan het internet of netwerk, en met elkaar kunnen praten. Endat is niet zonder risico.

Intelligente dingen

We kennen intussen allemaal wel een smartphone en smart-TV, maar er zijn een hele resem aan andere toestellen, groot en klein, die van intelligentie en een netwerkverbinding worden voorzien. Dat gaat van koelkasten tot lampen, van stappentellers tot electriciteitsmeters en allerlei sensoren. Alle grote IT-spelers zijn hiermee bezig, met als recentste voorbeeld de overname van Nest (intelligente thermostaat en rookmelder) door Google.

Het doel van deze genetwerkte “dingen” is de mogelijkheid scheppen om informatie van onze omgeving te capteren, kunnen verwerken en terug aan te bieden ter consumptie. Dit kan zijn door de eindgebruiker zelf (hoeveel melk staat er nog in de koelkast?) maar ook door andere toestellen die deze info gebruiken (de wasmachine en vaatwas spreken af wie wanneer stroom verbruikt) tot dienstverleners die deze info gebruiken, zoals de bedoeling is van intelligente electriciteitsmeters om de elektriciteitsvoorziening te optimaliseren.

Al deze toestellen en sensoren moeten uiteraard kunnen communiceren met hun omgeving. Afhankelijk van het soort toestel, zijn er diverse protocollen die hiervoor gebruikt kunnen worden. Een Smart-TV zal zich meer als een computer gedragen met de klassieke communicatieprotocollen (HTTP/S), waarbij een temperatuursensor eerder zal gebruik maken van MQTT.

Maar wat met de veiligheid?

Een eerste observatie is dat de gebruikte protocollen en functies van bij de start moeten voorzien worden van de nodige veiligheidsmechanismen. Zonder enige vorm van authenticatie, autorisatie en gegevensbeveiling ziet het er niet goed uit met de veiligheid van de miljoenen en miljoenen toestelletjes die communiceren met hun omgeving. Een voorbeeld uit een gerelateerd domein is GPS. De communicatie met GPS-satellieten is van bij het begin opgezet zonder beveiliging. Dit heeft nu als resultaat dat met behulp van een GPS-zender een toestel kan overtuigd worden dat het op een andere lokatie is of in een andere richting beweegt dan werkelijk het geval is.

Maar zelfs indien de communicatiedragers voldoende beveiligd zijn is er echter nog een ander probleem. Het inbouwen van intelligentie vereist een technisch platform of besturingssysteem voor deze objecten. Zoals we dit kennen in de computerwereld zijn informatiesystemen gevoelig voor veiligheidslekken en zijn frekwente updates noodzakelijk om niet onbeschermd het internet op te gaan. Een eenvoudige sensor zal hier wel minder gevoelig aan zijn dan een intelligente televisie, gezien de lage complexiteit.

De laatste maanden zijn er redelijk wat vermeldingen geweest in de pers rond veiligheidslekken in allerlei toestellen zoals Samsung Smart TV’s, internet routers van diverse merken, Android en heel recent het WeMo “Home Automation” systeem van Belkin.

De intelligentie in die toestellen zit vervat in de firmware. Om veiligheidsissues op te lossen moet die firmware vernieuwd worden. Het probleem bij veel huishoudtoestellen en consumentenelektronica is dat de release cyclussen voor nieuwe modellen redelijk kort zijn. Elke 6 tot 12 maand is er wel een nieuw model of een verbeterde versie. De firmware van de oudere toestellen wordt echter door leveranciers slechts gedurende een beperkte tijd onderhouden. Kijken we maar naar onze smartphones waar Android updates, afhankelijk van de telefoonleverancier, slechts beschikbaar zijn voor 18 maand.

Dit is uiteraard ideaal voor leveranciers om gebruikers naar nieuwere toestellen te brengen maar zeg nu zelf, ga je na 2 jaar een nieuwe interactieve koelkast of wasmachine kopen omdat er een veiligheidsprobleem is in de firmware?

Safety first

Leveranciers zullen dus moeten leren omgaan met langere levensduur van intelligente toestellen en mogelijkheden om deze nog te kunnen voorzien van de nodige veiligheidspatches. Ze zullen ook moeten zorgen voor de meest veilige standaardinstellingen van hun toestellen zodat de consument à priori maximaal wordt beschermd.

De consument zal zich ook bewust moeten zijn van de risico’s die verbonden zijn aan deze nieuwe genetwerkte wereld. Maar het moet hem wel zo gemakkelijk mogelijk gemaakt worden om toestellen af te schermen voor onbevoegden of bepaalde extra veiligheidsmaatregelen te treffen zonder hiervoor een uitgebreide technische opleiding te genieten.

Derde partijen zullen zich uiteraard ook wel mengen in het ecosysteem en de nodige apps en toestellen voorzien om de beveiliging op zich te nemen, net zoals we nu virusscanners en firewalls hebben voor onze PC’s.

Kortom, het internet der dingen belooft ons te introduceren in interessante tijden. De kinderziekten die het nu ondervindt, moeten toelaten om deze voldoende gewapend tegemoet te treden zonder te veel veiligheidsrisico’s.

This entry was posted in Security and tagged , by Bob Lannoy. Bookmark the permalink.
avatar

About Bob Lannoy

Na een doctoraat in Experimentele Fysica te hebben beëindigd aan de UGent startte Bob in 2000 als Consultant Onderzoek bij Smals tot eind 2017. Vanaf januari 2018 zet Bob zijn carrirère verder binnen Smals als als initiator en coördinator van synergieinitiatieven tussen overheidsinstellingen.

Leave a Reply

Your email address will not be published.