Zaterdag 20/08/2022

Tech

De thermostaat staat op 40° tot u losgeld betaalt

De slimme thermostaat kan uw leven niet alleen makkelijker, maar ook zuur maken. Beeld Thinkstock
De slimme thermostaat kan uw leven niet alleen makkelijker, maar ook zuur maken.Beeld Thinkstock

Stel u voor dat booswichten vanop duizenden kilometers afstand uw slimme thermostaat kunnen opvoeren naar 40 graden, totdat u puffend losgeld betaalt? Het is geen ondenkbaar scenario meer, zeggen computerbeveiligers.

Ronald Meeus

Wat is het warm in huis. U kijkt op uw slimme thermostaat, die 40 graden aangeeft. U probeert het ding opnieuw bij te regelen, maar het display springt steeds naar dezelfde temperatuur. Dan komt de boodschap: betaal een ontraceerbare Bitcoin, de virtuele munt die vandaag een slordige 2.500 euro waard is, en alles wordt terug zoals het was.

Het klinkt als een vergezocht scenario uit de tv-reeks Mr. Robot, maar het kan. Dat bewezen afgelopen zomer twee Britse 'ethical hackers' op de jaarlijkse Defcon-beurs in Las Vegas: ze slaagden erin om een stuk malafide software vanop een afstand te installeren op een slimme thermostaat, die de temperatuur vastzette op 37 graden Celsius, en de fictieve eigenaar van het ding om losgeld vroeg.

Ransomware

Dat was natuurlijk nog maar een proof of concept. En toen begin dit jaar dezelfde veiligheidsexperts hadden ontdekt dat op het internet geconnecteerde ovens van het merk Aga eveneens vanop een afstand kunnen worden aan- en uitgezet, waren ze gelukkig hackers voor met hun ontdekking.

"Het verleden heeft ons geleerd dat er een belangrijke constante is in computerinbraken: wanneer bewezen is dat het kan, zal het ook ooit worden uitgevoerd", zegt Eddy Willems, security evangelist bij het Duitse bedrijf G Data. "Ik durf er geen termijn op plakken, maar ik ben er honderd procent van overtuigd dat we in de toekomst ransomware-aanvallen op dit soort 'smart'-toestellen zullen zien opduiken. De populariteit van dat soort apparaten is aan het groeien, dus je kunt erop rekenen dat hackers ze als een potentieel doelwit zien."

Sinds de recente WannaCry-computeraanval is het hoge woord van de 'ransomware' gevallen: booswichten breken in op een computerapparaat, houden de bestanden vast, en laten ze pas vrij wanneer u hen er losgeld in Bitcoins voor betaalt. WannaCry was gericht op oudere computers, maar dezelfde principes gelden voor zogeheten 'Internet of Things' (IoT)-apparaten, zoals slimme thermostaten, lampen, koelkasten, ovens en andere toestellen.

"Ransomware op IoT-apparaten is een van de weinige dingen waarvan ik wakker lig", zegt Peter Alexander, specialist in computerbeveiliging en chief marketing officer bij het Israëlische bedrijf Check Point Security. "Het geeft exponentieel meer opportuniteiten. Stel je bijvoorbeeld voor dat een hacker ervoor kan zorgen dat je toekomstige slimme waterkraan blijft lopen. Water is duur, dus het punt waarop je gewoon betaalt om een hogere rekening te voorkomen komt er snel."

Pover beveiligd

Een relatief recente computeraanval die de potentiële kracht van ransomware aantoont was de zogeheten Mirai-aanval, die vorig jaar een aantal prominente websites en -diensten platlegde, en die in niet geringe mate vertrok van een leger gekaapte internetrouters. Hoe dat kwam? De eigenaars hadden nooit het standaardwachtwoord uit de handleiding veranderd.

"Het enige wat hackers ervan tegenhoudt om grote aantallen IoT-toestellen te kapen, is dat er nog geen al te grote aantallen zijn, en dat ze niet op gemeenschappelijke standaardsoftware draaien", zegt Willems. "Maar die toestellen zijn notoir slecht beveiligd, dus het lijkt me dat inbrekers gewoon zitten te wachten tot ze wél op grotere schaal worden gebruikt. Zoiets zou het eeuwenoude principe van de gijzeling ook democratiseren: bij traditionele gijzelingen mikt men op één doelwit, waarvan men weet dat het de middelen heeft om het losgeld te betalen. Via digitale weg hebben ze de schaal om een groot volume aan slachtoffers een klein bedrag afhandig te maken."

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234