Gegijzeld door je thermostaat

We sluiten steeds meer dingen aan op internet. Van de routeplanner in de auto tot de slimme thermostaat in huis die gedetailleerd bijhoudt – en, wat niet iedereen weet, dus ook precies aan het energiebedrijf doorgeeft – welk apparaat hoeveel stroom verbruikt, en wanneer dan wel.

Dat we de thermostaat op afstand kunnen bedienen, betekent dat het ding een internetverbinding heeft. Alleen daardoor kunnen we commanderen: ‘CV: ga nu aan, want binnen het uur kom ik thuis.’ De slimme koelkast die je boodschappenlijstje voor je bijhoudt en desgevraagd zelfstandig bij de supermarkt de frisdrank, de melk en de rosbief voor je bestelt? Ook die doet dat via zijn eigen internetconnectie.

Zulke verbindingen worden alleen maar frequenter. Tezamen heten ze: het internet of things. De foto’s uit je camera worden zomaar, zelfs zonder dat je ergens een kabeltje in prikt, naar je computer overgezet? Dat is dankzij the internet of things: je camera praat achter je rug om met je tablet of je laptop, en regelt alles voor je, zonder dat jijzelf nog enige moeite hoeft te doen.

Reuze handig.

Totdat je je realiseert dat vrijwel al die connecties volkomen onbeschermd zijn. Een paar maanden geleden bewezen Duitse hackers dat ze andermans slimme thermostaten eenvoudig op afstand konden overnemen. Ze konden die zelfs gijzelen, naar het voorbeeld van ransomware: ‘Tenzij je me nu xxx euro betaalt, laat ik alle bestanden op je computer verdwijnen / beheers ik nu het klimaat in je huis. Zal ik de temperatuur in je huis vastzetten op 15 graden? Of vind je 40 graden fijner? Zeg het maar – ik heb nu de rechten over de temperatuur in je huis, en jij niet meer.’

Internetjournalist Brian Krebs onderzoekt criminelen die mensen via internet geld afhandig trachten te maken. De afgelopen weken werd zijn website geteisterd door een heftige DDoS-attack, waarbij de aanvallers zoveel verkeer genereren dat de site eronder bezwijkt. De aanvallen bleken afkomstig te zijn van camera’s en videorecorders.

Niet dat de eigenaars van die apparaten zich tegen Brian Krebs hadden gekeerd. Nee: hun apparaten waren stiekem door criminelen gekaapt en werden door hen ingezet als een zombieleger. Ondertussen hadden de eigenaars van die camera’s, koelkasten, thermostaten en koelkasten geen idee dat zijzelf grandioos werden misbruikt om iemand die wilde vertellen over de risico’s waaraan zijzelf als gebruikers blootstonden, de mond te snoeren.

We moeten serieus gaan eisen dat elk bedrijf dat ons als consument ‘slim’ verbindt met internet, de boel zelf terdege op orde heeft. Leuk dat je koelkast kan praten met Albert Heijn of de Jumbo, maar hoe veilig is die verbinding?

Want zodra onze camera’s en koelkasten achter onze rug om kunnen worden misbruikt om critici over het internet of things de mond te snoeren, of onze eigen apparaten te gijzelen, is er iets fundamenteel mis.


Deze column verscheen eerder in het Parool

  1. 1

    Security is altijd het ondergeschoven kindje. Bij netwerken en internetsites zijn bedrijven en overheden door schade en schande wijs geworden, maar voor IoT maken ze gewoon weer dezelfde fouten. Eerst die leuke nieuwe mogelijkheden uitrollen en pas gaan nadenken als het misgaat.

  2. 2

    is er iets fundamenteel mis

    Ja, namelijk dat we helemaal geen koelkast nodig hebben die voor ons de boodschappen bestelt. Niet omdat het niet veilig is, maar omdat we door dat soort dingen evolueren tot lillende vleeszakken op wieltjes.

  3. 4

    Via reclamespotjes wordt ons wijsgemaakt dat het prettig is dat je de verwarming alvast kunt aanzetten, een kwartiertje voordat je thuiskomt. Maar is dat echt nodig? Is het echt zo vervelend als je in een huis van 15 graden thuiskomt en 20 min. moet wachten voordat het 18 graden is?

  4. 5

    @4: Het is nogal off topic, maar ik zou mijn huis helemaal niet overdag gaan laten afkoelen naar 15 graden om het ’s avond weer op te warmen naar 18 graden.

  5. 10

    “Totdat je je realiseert dat vrijwel al die connecties volkomen onbeschermd zijn”.

    Die “connecties” moeten ook de hele dag allemaal warm gehouden worden (net als e-mail die we niet weggooien) met fabelachtige hoeveelheden stroom. Het verhaal profileert maar weer eens de triviale dimensies waarin we leven; Aan de ene kant zeloten die willen dat we oneindige hoeveelheden geld gooien naar “nieuwe” inefficiente stroombronnen om stroom te besparen, en aan de andere kant volslagen losgeslagen “innovaties” zonder enige meerwaarde, die zorgen dat we juist nooit af zullen raken van onze stroomverslaving

  6. 12

    Ik kreeg als jongen van 14 voor het eerst een pornoboekje onder ogen, tegenwoordig heeft een internettend kind van 4 alles al gezien op sexueel gebied, dat vindt ik nou de grote schadelijkheid van de digitale wereld.

  7. 14

    Totdat je je realiseert dat vrijwel al die connecties volkomen onbeschermd zijn.

    Dat is nu nog zo met IPv4 welke niet is ontwikkeld met veiligheid als uitgangspunt, tijdens de ontwikkeling in 1981 had men nog geen idee hoe het internet zou evolueren. Dit wordt grotendeels opgelost met IPv6 en het daarin ingebakken IPsec.

  8. 15

    Ik ben blij dat ik hopeloos ouderwets ben. Het is al een wonder dat ik een computer bezit. Maar de fase van de smartfoon ben ik nog niet in gegaan. Laat staan the internet of things. Het heeft als voordeel dat als ik ergens iets moois zie, ik dat ook in mij opneem. Ipv dat ik later ga bekijken wat ik nu eigenlijk gezien heb. Het heeft als voordeel dat ik mensen ook écht ontmoet. Ipv dat ik telkens aandacht moet hebben voor een berichtje.

    En Appie komt mijn koelkast niet in;-)

  9. 16

    Op zichzelf is er niets mis met een “Internet of Things”. Handig. Zolang je als eigenaar/gebruiker van al die dingen maar zelf controleert waarmee verbinding gemaakt wordt en met welk doel, en dat je dat niet uitbesteedt aan commerciële entiteiten die vooral op je gegevens uit zijn. Dat vereist dus wel dat mensen kennis hebben van hoe de dingen werken.

    Dat vereist dan weer dat er al in het onderwijs aandacht aan wordt besteed. Er is een flinke achterstand in te halen op dit moment. Als ik het voor het zeggen had zou ik IT een verplicht vak maken vanaf de basisschool en daarbij zou het niet (alleen) mogen gaan over hoe je een tekstverwerker of een presentatieprogramma van een bekende softwaregigant moet bedienen, maar vooral ook over achtergronden zoals netwerktechniek, versleuteling, programmeren enzovoorts.

    Dat je het Internet of Things zelf ook naar je hand kan zetten kan je kinderen al aardig jong duidelijk maken door ze te laten experimenteren met Arduino e.d.

    Wat betreft de ingebouwde encryptie (#14) in IPv6: die mogelijkheid is inderdaad in het protocol ingebouwd, maar daar wordt eigenlijk nauwelijks gebruik van gemaakt. Er wordt wereldwijd ook nog helemaal niet bijzonder veel haast gemaakt met de uitrol van IPv6. Menige ISP heeft nog helemaal geen idee hoe ze dit gaan aanpakken, if ever. Men is lui op dit gebied, en lijkt het vooral ingewikkeld (d.w.z. duur) te vinden.

    Buiten dat: echt veiliger wordt het ook niet per se als elke “slimme” deurbel, kattenluikje of massagestaaf straks versleuteld verbinding maakt met Google of een vage server in China om de gebruiksstatistieken door te geven. Niet-versleutelde gegevens is één probleem, maar dat gebruikers van spullen meestal niet eens weet hebben van de datastromen die ze veroorzaken lijkt me een nog veel groter probleem.

  10. 18

    @17:
    Bij zeer goed geïsoleerde woningen met vloerverwarming al dan niet met enkele radiators zul je die winst niet beteiken. Het op temperatuur houden van vloerverwarming zal zelfs in veel gevallen voordeliger zijn.

  11. 19

    Vandaag bood Volkswagen een app aan waarmee je alles te weten kunt komen over je benzinegebruik; tips kunt krijgen over je rijgedrag; wanneer je voor onderhoud naar de garage moet enzo. Moet je eerst wel even langs de dealer om iets aan je VW te laten doen. Kunnen zij ook gelijk meekijken met alles wat je doet en waar je bent.
    Handig voor mij of voor VW?
    Meerwaarde van dit alles? Ik zou het niet weten.
    Gewoon omdat het kan…

  12. 20

    @16:

    Wat betreft de ingebouwde encryptie (#14) in IPv6: die mogelijkheid is inderdaad in het protocol ingebouwd, maar daar wordt eigenlijk nauwelijks gebruik van gemaakt. Er wordt wereldwijd ook nog helemaal niet bijzonder veel haast gemaakt met de uitrol van IPv6.

    Zo vreemd is dat niet, er is veel oude hard- en software in omloop die niet overweg kan met IPv6. Bij particulieren kan je nog zeggen zoek het maar lekker uit en koop wat nieuws, bij veel industrie ligt dat wat anders, je wilt niet dat een fabriek of erger boem zegt omdat een provider de stekker uit IPv4 trekt.

    en waarom een vage server in China als je een tunnel kan opzetten tussen je telefoon en thermostaat waar verder niemand bij kan?

  13. 21

    @20:

    je wilt niet dat een fabriek of erger boem zegt omdat een provider de stekker uit IPv4 trekt.

    De stekker uit IPv4 trekken is natuurlijk sowieso ondenkbaar, maar zelfs dual stack draaien is nog steeds teveel gevraagd voor veel internetboeren. Overigens is een fabriek die boem zegt omdat er geen connectiviteit is een fabriek die ik niet in mijn omgeving wil – maar ik maak me geen illusies.

    (Het interne netwerk van zo’n fabriek hoort natuurlijk netjes geïsoleerd te zijn van het Internet middels firewalls.)

    en waarom een vage server in China als je een tunnel kan opzetten tussen je telefoon en thermostaat waar verder niemand bij kan?

    Maar dat bedoel ik nu net: dat zoiets mogelijk is moet je dus wel even weten. De meeste mensen hebben geen idee en de leveranciers van die spullen zeggen het er in het algemeen ook niet bij. Die wilen vooral dat je hun geweldige “diensten” gebruikt.

  14. 22

    Als je pas echt de bibbers wil krijgen, kun je eens opzoeken wat er met dat HbbTV-protocol allemaal mogelijk is. Het zit in alle moderne tv’s en staat standaard onbeperkt aan. Je kunt het uitzetten, maar dat vinkje zit bij elke fabrikant weer ergens anders. Zonder dit protocol gaat een belangrijk deel van de functionaliteit van die slimme tv’s verloren, maar het is wel zaak het voldoende kort* te houden, want de fabrikant van je tv heeft er immers niets mee te maken welke bestandsnamen je bijv via usb-sticks afspeelt.

    *via de eigen instellingen van de tv en anders in de router

  15. 24

    Relevant: [img]http://www.geekculture.com/joyoftech/joyimages/2340.png[/img]

    Als computernerd merk ik steeds vaker een zekere onderwaardering voor de analoge wereld. Misschien dat een paar jaar gehackte termostaten, tosti-apparaten en wat niet al kunnen bijdragen aan het minder blindvaren op ‘digitale veiligheid’.

    Kortom: We doen het zelf. En eigenlijk al sinds de jaren ’80, toen banken ons wijsmaakten dat de pinpas heus wel veilig was…