Dinsdag 22/10/2019

Technologie

Onveilige deurbel of camera in huis? TU Delft brengt het in kaart

Een onbeveiligde camera kan als een loopjongen fungeren voor criminele organisaties. Beeld Getty Images

In opdracht van de Nederlandse overheid gaan onderzoekers van de universiteit van Delft onderzoeken welke apparaten in huis onveilig zijn. Uiteindelijk moeten onwetende consumenten een seintje krijgen van hun provider als ze bijvoorbeeld een makkelijk te hacken beveiligingscamera in huis hebben.

Een man die – op een minieme heupslip na – naakt op een stretcher, tussen de drogende was, in zijn betegelde achtertuintje ligt. Een kinderkamer met een bedje vol knuffels. Of een oudere man die gezeten in een leunstoel recht in de camera kijkt. Het zijn zomaar een paar actuele beelden die op gespecialiseerde websites staan die onbeveiligde webcams in kaart brengen. De beelden van de camera’s illustreren feilloos dat er een probleem is met alle apparaten in huis die tegenwoordig aan het internet hangen. Dat zijn al lang niet meer alleen de computer, telefoon of laptop.

De methode die nu door de Technische Universiteit Delft wordt toegepast om voor het ministerie van Economische Zaken in kaart te brengen welke apparaten in huis onveilig zijn, staat bekend onder de term ‘honey pot’. Het idee is om zoveel mogelijke verschillende webcams, wasmachines, lampen, deurbellen, routers en andere apparatuur in gebruik te nemen om vervolgens te zien wat er dan gebeurt. Bij de slecht beveiligde exemplaren zullen de geautomatiseerde bots van kwaadwillende criminelen als bijen op de honing afkomen.

Notoir onveilig 

Dat er een probleem is met al dit soort zogeheten Internet of Things-apparaten is al langer duidelijk. Het worden er niet alleen steeds meer, veel ervan zijn notoir onveilig. Fabrikanten hebben lang niet altijd veel verstand van beveiliging of geven er domweg geen prioriteit aan, omdat hun product zo goedkoop mogelijk in de schappen moet liggen. Het gevolg is dat al die op het oog aantrekkelijke spullen – vaak van Chinese makelij –doodeenvoudig gehackt kunnen worden. 

Volgens beveiligingsonderzoeker Rik van Duijn van KPN Security is het een kwestie van een paar minuten voordat hackers binnen zijn. Apparatuur met standaardwachtwoorden als ‘admin’ of met andere beveiligingsproblemen worden namelijk voortdurend gescand. Kwaadwillenden kunnen er vervolgens malware op zetten, zonder dat de eigenaar het doorheeft. Vanaf dat moment fungeert die fijne deurbel of camera als digitale loopjongen voor de crimineel. Ze worden bijvoorbeeld ingezet voor DDoS-aanvallen, of kunnen met hun rekenkracht – ook een deurbel is een computertje – bijdragen aan het minen van cryptomunten. Elk gekaapt apparaat betekent simpelweg geld voor een crimineel. En het is kinderlijk eenvoudig, zegt Van Duijn.

Concrete stappen

Naar verwachting zullen er volgend jaar al 30 miljard apparaten zijn verbonden met het internet. “Consumenten en bedrijven kunnen daar veel voordeel uithalen, maar alleen als de beveiliging in orde is”, zegt de Nederlandse staatssecretaris Mona Keijzer (Economische Zaken). Het kabinet heeft al langer plannen om dit probleem aan te pakken, ook op Europees niveau. Daarop vooruitlopend komen nu al een paar concrete stappen. Zo wil het Digital Trust Center (onderdeel van Economische Zaken) in gesprek gaan met fabrikanten en importeurs om hun kwetsbare apparaten veilig te maken. Binnenkort moeten al de eerste lijsten van die apparaten bekend worden gemaakt. 

Volgens Carlos Ganan, onderzoeker bij de TU Delft, zal het onderzoek dat nu begint veel meer inzichten geven dan nu via bestaande sites als Shodan (‘Google voor hackers’) wordt gedeeld. “We kunnen op die sites bijvoorbeeld zien welke camera’s onbedoeld beelden openbaren, maar niet wat voor malware erop staat. Dat gaan wij onderzoeken”, aldus Ganan.

Beter geïnformeerd

Fabrikanten moeten niet alleen betere spullen maken, de consument moet ook beter worden geïnformeerd, is het plan van Keijzer. Internetproviders kunnen volgens haar “een belangrijke rol” spelen om consumenten te bereiken om maatregelen te nemen. Met de data die nu door de TU Delft worden verzameld, zouden de providers hun klanten moeten informeren als blijkt dat ze onveilige apparatuur in huis hebben. Uit onderzoek dat in opdracht van het ministerie is verricht, blijkt dat een op de vijf consumenten überhaupt geen flauw idee heeft hoe apparaten die met het internet verbonden zijn, moeten worden beveiligd. Van Duijn vindt het dan ook een goed idee om op deze manier het bewustzijn te vergroten.

Voor de langere termijn wordt op Europees niveau gekeken naar minimale digitale veiligheidseisen voor Internet of Things-apparatuur. Hierbij kan worden gedacht aan een verplichting om regelmatig updates uit te voeren of aan het gebruik van veilige wachtwoorden.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234