In huis staan steeds meer slimme apparaten die zijn verbonden via wifi. Dit internet der dingen maakt het leven van de bewoners een stuk makkelijker, maar vormt ook een potentieel gevaar. De beveiliging van al die apparaten verschilt namelijk enorm. “Mensen zijn notoir slecht in het bedenken van unieke wachtwoorden.”
Lampen die je met één klik in een app aanzet, een koelkast die bijhoudt of de melk al op is, en een koffiezetapparaat dat je ochtendkoffie klaar heeft staan als je wakker wordt. Ons huis wordt steeds slimmer. Jules Dudok, projectmanager bij het Science Center in Delft, kan erover meepraten. Zijn man, die als software engineer werkt, heeft hun hele huis voorzien van slimme snufjes. “In feite is alles in ons huis slim: het begint met de gordijnen die automatisch opengaan, ramen en deuren die sensoren hebben zodat je weet of ze openstaan, en ook de verwarming en ventilatie werken automatisch.”
En dat is handig, vindt Dudok. “We hebben zonnepanelen op het dak, dus we proberen al onze apparaten af te stemmen op hun rendement.” Zo gaat de wasmachine automatisch aan als de opbrengst het hoogst is, en zitten er tussen alle stekkers en stopcontacten slimme kastjes die het energieverbruik meten. Naast een verbazingwekkend lage energierekening levert dit volgens Dudok ook veel gebruikersgemak op: “Het uiteindelijke doel is dat het systeem echt voor jou gaat denken en je zelf geen handelingen meer hoeft uit te voeren.”
Al deze slimme apparaten communiceren met elkaar via het wifi-netwerk van de gebruiker. Dit staat bekend als het internet der dingen (Internet of Things) en is de laatste jaren enorm in populariteit gestegen. Dat je gordijnen ‘s ochtends automatisch opengaan of dat je op afstand kunt checken of je de oven wel écht hebt uitgezet, heeft inderdaad zijn voordelen, maar onder IT-experts neemt de laatste jaren ook de bezorgdheid toe over de veiligheid van al die slimme apparaten. Mattis van ‘t Schip, promovendus aan de Radboud Universiteit Nijmegen die zich vooral richt op de juridische kant van cybersecurity, ziet verontrustende kanten aan deze snelle ontwikkeling. “Ondertussen hebben al ruim driekwart van de Nederlanders een slim apparaat thuis staan. Dat worden er steeds meer, maar de beveiliging van deze apparaten verschilt enorm.” En dat komt volgens Van ‘t Schip
vooral door de enorm snelle ontwikkeling van deze markt. “De regelgeving loopt altijd achter op de werkelijkheid; de eisen aan cybersecurity vanuit de EU zijn beperkt. Dat begin je nu echt terug te zien.”
Online leger
Maar waar schuilt nu het grote gevaar? “Slimme apparaten zijn eigenlijk niets anders dan kleine computers verbonden met het internet. Elke computer kan gehackt worden, en slimme apparaten dus ook”, legt ethische hacker Sijmen Ruwhof uit. “Zodra de computer in je koelkast of slimme deurbel is gehackt, kan een hacker deze inzetten in een zogenoemde DDoS-aanval, waarbij tienduizenden gehackte apparaten tegelijkertijd een informatieaanvraag doen bij een server. De meeste servers kunnen al die verzoeken niet aan, waardoor er een storing ontstaat. Als die server bijvoorbeeld dient om de website van de rijksoverheid te hosten, maakt die storing de site onklaar. Dat kan heel vervelende gevolgen hebben.”
Zo werd in 2016 een malware ontdekt waardoor slimme apparaten die op het besturingssysteem Linux draaien, konden worden gehackt. De hackers die deze malware, genaamd Mirai, ontwikkelden, richtten zich in eerste instantie op servers van het online spel Minecraft, maar later werd de malware ook ingezet om provider Dyn aan te vallen. Daardoor hadden gebruikers in grote delen van Noord-Amerika en Europa geen toegang meer tot het internet.
De gebruikers van de slimme apparaten die in zo’n DDoS-aanval worden gebruikt, hoeven daar in principe niet eens iets van te merken, zegt Ruwhof. “Zolang je slimme koelkast het gewoon blijft doen, heb je als gebruiker niet door dat je je opeens in een online leger bevindt.”
Slimme apparaten zijn vrij eenvoudig te hacken door twee fundamentele problemen, stelt Ruwhof. “Ten eerste is het voor veel producenten helemaal niet interessant om een slim product tien jaar lang te blijven ondersteunen met software-updates voor bijvoorbeeld beveiligingslekken.” Producenten willen immers dat je een gekocht apparaat niet lang gebruikt, en zo snel mogelijk weer een nieuw product koopt. Daarnaast merkt Ruwhof op dat het ontwikkelen van veilige software veel tijd en geld kost, iets wat niet elke producent als prioriteit stelt. “Je ziet daarin bijvoorbeeld echt enorme verschillen tussen een hogere en duurdere klasse slimme camera en een vergelijkbaar product bij bijvoorbeeld Action.”
Slechte wachtwoorden
Het tweede probleem ligt bij de gebruikers zelf. Veel gebruikers zijn er niet van op de hoogte hoe gemakkelijk een slim apparaat is te hacken. Ruwhof: “Veel mensen denken dat het plug-and-play is: je sluit je camera aan, voert je wachtwoord in en klaar.” Maar juist daar ligt de zwakke plek. “Mensen zijn notoir slecht in het bedenken van unieke wachtwoorden en hebben tientallen accounts waar ze wachtwoorden voor moeten aanmaken. Wat je dan vaak ziet, is dat ze dezelfde wachtwoorden recyclen of gebruiken voor meerdere accounts.” Op internet circuleren lijsten met miljarden gebruikersnamen en wachtwoordcombinaties, die hackers gebruiken om slimme apparaten te hacken. Deze lijsten zijn afkomstig uit datalekken bij bedrijven. Als een gebruiker hetzelfde wachtwoord gebruikt voor verschillende online accounts en meerdere apparaten, is het voor een hacker een koud kunstje software te schrijven die deze wachtwoorden geautomatiseerd uitprobeert, net zolang tot een apparaat is gehackt (zie het kader ‘Hoe hack je een apparaat?’).
Gebruiker Dudok is zich bewust van de gevaren. “Mijn man en ik zijn allebei ingenieurs, dus we hebben dit zo veilig mogelijk aangepakt. Zo is ons thuisnetwerk aangesloten door een vriend die netwerkinstallateur is.” Maar hij erkent dat dat niet voor iedereen is weggelegd. “Ons netwerk is eigenlijk een bedrijfsnetwerk, met meerdere lagen. Dit is erg complex en niet zomaar in te stellen.” Persoonlijk maakt hij zich dus geen zorgen dat zijn slimme apparaten gehackt zullen worden. “Maar een gewone huis-tuin-en-keukenwifi kun je heel makkelijk kraken met een beetje kennis. Dat is ook de reden dat we het zo professioneel hebben aangepakt. Mensen beseffen vaak niet wat voor gevaar ze in huis halen. Iedereen heeft het over privacy, maar software-updates voert niet iedereen uit.”
Het Wilde Westen
Hoewel de Europese Commissie nu wel stappen aan het zetten is voor verbeterde wetgeving – de nieuwste versie wordt in 2024 verwacht – zijn de problemen daarmee de wereld nog niet uit, aldus Van ‘t Schip. “Een groot probleem vormen de toezicht en de handhaving. Zo’n beetje alle sectoren kampen met een tekort aan IT-specialisten en dat is bij de staat niet anders. Er is gewoon te weinig geld en mankracht om dit probleem goed aan te kunnen pakken.” Daar is Ruwhof het mee eens: “Het internet is echt het nieuwe Wilde Westen. We zijn aan het pionieren met nieuwe technologie, en ondernemers zien mogelijkheden tot het maken van een product, maar iedereen moet maar voor zichzelf zorgen. Veel consumenten hebben geen idee hoe ze dat moeten doen en wat de gevaren zijn.”
Een gebruiker zal niets merken van een DDoS-aanval, maar apparaten als slimme camera’s en deurbellen leveren daarnaast ook een persoonlijk risico op. Wat kunnen gebruikers doen om zichzelf te beveiligen? Ruwhof heeft wel wat tips: “Verander het standaardwachtwoord naar een uniek persoonlijk wachtwoord, en gebruik niet telkens hetzelfde wachtwoord voor al je apparaten.” Daarnaast is het volgens hem ook belangrijk om de beveiligingsupdates regelmatig uit te blijven voeren, ook al lijkt dat een beetje onzinnig voor zoiets als de wasmachine. “Als hackers eenmaal toegang hebben tot één van je slimme apparaten, hebben ze toegang tot je hele thuisnetwerk en dan is het hek van de dam.” Tot slot wil hij benadrukken dat gebruikers zich vooral bewust moeten zijn van wat ze in huis halen. “Verdiep je in de technologie erachter of vraag iemand met kennis van zaken om even mee te kijken. Ga er niet blindelings van uit dat producenten je wel veilig houden.”