image

FBI waarschuwt consument voor Internet of Things

zondag 13 september 2015, 11:02 door Redactie, 10 reacties

De FBI heeft het publiek gewaarschuwd voor het Internet of Things (IoT), aangezien dit allerlei kansen voor cybercriminelen biedt om toegang tot vertrouwelijke en persoonlijke gegevens te krijgen, en adviseert daarom het Universal Plug and Play protocol (UPnP) op routers uit te schakelen.

Onder het Internet of Things vallen apparaten en objecten die met internet verbonden zijn en automatisch data kunnen versturen of ontvangen. Nu er steeds meer apparaten verschijnen die met het web verbonden zijn krijgen cybercriminelen ook steeds meer mogelijkheden om aanvallen uit te voeren. "Net als andere computerapparaten, zoals computers of smartphones, vormen IoT-apparaten een risico voor consumenten", aldus de waarschuwing van de FBI.

Zo kunnen criminelen toegang krijgen tot babyfoons en beveiligingscamera's die op het web zijn aangesloten, maar ook garagedeuren, thermostaten, verlichting en geautomatiseerde beveiligingssystemen die via internet bereikbaar zijn. De problemen liggen volgens de FBI onder andere in het Universal Plug and Play protocol dat aanvallers kunnen gebruiken om op afstand toegang tot systemen op het interne netwerk te krijgen. Andere risico's zijn standaardwachtwoorden.

De FBI adviseert consumenten dan ook om Internet of Things-apparaten op hun eigen netwerk te isoleren en UPnP op routers uit te schakelen. Ook moet de consument zich afvragen of een IoT-apparaat wel voor het beoogde doel geschikt is en moeten er alleen producten worden gekocht van fabrikanten die in het verleden hebben bewezen om veilige apparatuur af te leveren. Verder moeten consumenten niet vergeten om hun IoT-apparaten te patchen en standaardwachtwoorden te wijzigen.

Reacties (10)
13-09-2015, 11:28 door Anoniem
Gelukkig draait 90% van de Internet of Things op Linux dus standaard meteen en voor altijd veilig......

LoL.....
13-09-2015, 12:54 door Anoniem
Door Anoniem: Gelukkig draait 90% van de Internet of Things op Linux dus standaard meteen en voor altijd veilig......

LoL.....

Heeft weinig met Linux te maken maar met hoe fabrikanten van IoT-apparatuur deze apparaten afstellen (denk aan open poorten, admin/admin wachtwoorden, UPnP, afwezigheid van update-systeem), etc.
13-09-2015, 13:16 door Anoniem
Door Anoniem: Gelukkig draait 90% van de Internet of Things op Linux dus standaard meteen en voor altijd veilig......

LoL.....
Zelfs als dat waar zou zijn (is het niet...) kan je maar beter rekening blijven houden met de overige 10%.
13-09-2015, 14:23 door karma4
Door Anoniem: Zelfs als dat waar zou zijn (is het niet...) kan je maar beter rekening blijven houden met de overige 10%.
Als je bedoelt dat het OS system voor IOT nog geen winnaar heeft dan heb je gelijk. Riot Contiki en veel meer komen langs. Google Brillo Ubnuntu wil ook en o ja Apple/IBM en ook Microsoft. Het meeste is gebaseerd op een Unix achtergrond. Ook Linux was ooit bedoeld was om goedkoop zelf een UNIX alike te hebben.

Nu staat security geheel los van een OS. Echter met de IOT Hype en dat het: 1/ snel 2/ goedkoop 3/ kwalittief goed moet zijn is er een vraag. Security is een aspect van het laatste. Er is een management dogma dat je niet alle drie van deze eigenschappen kan hebben. Welke ga je inleveren ? Juist de kwaliteit en met name security is wat er bij inschiet.

Nee Unix (Linux) is echt niet veiliger dan wat dan ook als een techniek. In de praktijk maak ik helaas mee dat de OS beheerders in dat soort omgevingen de grootste bedreigingen voor security zijn. Dat zal met IOT niet anders zijn.
En ook helaas zijn er te veel nerds bezig met een eigen OS strijd. Die opmerking over die laatste 10% doet zo iets vermoeden.
13-09-2015, 16:14 door Anoniem
Je gaat straks door de industrie het IOT door de strot geduwd krijgen, en zult heel erg veel moeite moeten doen om apparaten van het internet te ontkoppelen of om ze werkelijk veilig te maken. Ze zullen je voor van alles uitmaken, onwillig reageren op je wensen of je regelrecht om de tuin leiden. Als de IT-industrie het al niet voor elkaar krijgt om dat IOT tot een verplichte standaard uit te roepen. Ik zie wel een markt voor dienstjes en cursusjes "hoe maak ik op mijn apparaat het IOT onklaar?"
14-09-2015, 01:27 door Anoniem
Door Anoniem: Je gaat straks door de industrie het IOT door de strot geduwd krijgen, en zult heel erg veel moeite moeten doen om apparaten van het internet te ontkoppelen of om ze werkelijk veilig te maken. Ze zullen je voor van alles uitmaken, onwillig reageren op je wensen of je regelrecht om de tuin leiden. Als de IT-industrie het al niet voor elkaar krijgt om dat IOT tot een verplichte standaard uit te roepen. Ik zie wel een markt voor dienstjes en cursusjes "hoe maak ik op mijn apparaat het IOT onklaar?"

Je hebt helemaal gelijk hier, behalve een ding en dat is het door je strot laten duwen. IOT is voornamelijk een marketing speeltje waarvoor de toepassingen weinig aan cruciale functionaliteit gevoegen. Neem de online ijskast; enige extra functionaliteit is dat supermarkten de consument kunnen bestoken met gerichtere aanbiedingen. Als consument zou ik in ieder geval niet willen dat een apparaat met belangenverstrengeling zelfstandig mijn geld uitgeeft. Als jij als ITer dat kan uitleggen aan een leek; dat het enige wat je ermee in huis haalt een extra aanvalsvectory op hun privéleven en geheimen is, en elke IT er dat doet, dan verkoopt men niets van deze producten meer en worden fabrikante gedwongen hun producten veilig en privacy-centraal te maken. Ook kun je beroepsmatig fabrikanten boycotten. Maar dat werkt alleen als iedereen er aan mee doet.

Ook is het goed, voor het onder de aandacht brengen onder de massa, dat deze waarschuwing uit de hoek van de FBI komt, want het is namelijk werkelijk een potentiële ramp als straks miljarden publieke IPv6 adressen met geen of zwakke beveiliging in de vuurlinie van kwaadwillenden komen te liggen.
Stel je eens voor een DDOS botnet van miljoenen of miljarden thermostaten, koelkasten en alarminstallaties en auto's; die impact is wel heftig. Om maar niet te spreken of miljarden devices die als springplank gebruikt gaan worden om crucialere systemen aan te vallen. Om ook maar niet te spreken over de privacy impacts als al deze devices in jouw woning gekaapt zijn door een kwaadwillende.

Wat zeggen ze ook alweer; voorkomen is beter dan genezen. Met een LCD design thermostaat met logische in en uitgangen kun je met een raspberry pi of iets in die trand een slimme thermostaat maken die veel beter werkt dan zon domme thermostaat van Eneco; het mooiste is ook dat jouw stookgewoonten en aan- of afwezigheid in de woning, gewoon privé blijft. Domotica oplossingen hetzelfde, die werken alleen verplicht via een cloud omdat ze de status van het hele huis dan aan de fabrikant kunnen doorgeven. Als je raspbmc kan draaien om films te kijken, dan ben je ook niet te stom om plights te gebruiken ipv een of ander klik-aan klik-uit cloud prulletje.
14-09-2015, 06:19 door Anoniem
Weer zo'n typisch no s* sherlock moment...

alles met een verbinding is kwetsbaar dat zou iedereen toch wel moeten begrijpen.
En inderdaad zoals boven al gezegd werdt. Alles zal standaard open aan en makkelijk staan.. lang leven gebruikers gemak.


maar zolang je het uit kan zetten vind ik het best dan heb ik er persoonlijk iig geen last van. De meeste mensen willen toch niets weten/horen en worden opstandig zodra security genoemd wordt en het ook maar een beetje gebruikers gemak afneemt (sta nog regelmatig verbaasd over mijn 'technische' collega's en hoe weinig besef er is, heb af en toe het gevoel dat ik de enige van mijn collega's ben die sites zoals dit leest)
14-09-2015, 10:20 door Anoniem
Door Anoniem: Gelukkig draait 90% van de Internet of Things op Linux dus standaard meteen en voor altijd veilig......

LoL.....
Mijns inziens heeft Android wel bewezen dat de legendarische veiligheid van Linux niet meer dan een mythe is.
14-09-2015, 22:32 door Anoniem
Laten we antivirus software en een firewall voor de slimme koelast kopen schat.
15-09-2015, 01:03 door Anoniem
Mijns inziens heeft Android wel bewezen dat de legendarische veiligheid van Linux niet meer dan een mythe is.

Dat is natuurlijk een oliedomme opmerking. Android is een systeem met als hart een Linux-kernel, maar daaromheen een door Google ontworpen besturingssysteem waarbij ze, om het de gebruiker makkelijk te maken, alle standaard veiligheidslagen er compleet uitgesloopt hebben.

Android is in geen velden of wegen meer te vergelijken met een gemiddelde Linux distributie. Zo'n opmerking zoals je plaatste doet me vermoeden dat je ergens de melk hebt horen klotsen, maar dat je totaal niet weet waar de tepel hangt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.