Door Anoniem: Voor al diegenen die de tijd niet nemen (of hebben) om ook even te kijken wat er nu echt op die webstek van FBI Oregon staat:
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken? Nee, natuurlijk niet. Het is naïef en dom om dat te denken. We hebben met computers in het verleden (en nu nog steeds) dezelfde fout gemaakt, en we zien tot op de dag van vandaag hoe goed het bestrijden van malware gaat bij mensen die geen verstand hebben van deze zaken, niet weten wat patches zijn, niet weten wat netwerkscheiding is etc.
Neem mijn ouders als voorbeeld. Geen domme mensen, een redelijke interesse voor IT, maar niet geschoold in IoT, beveiligingskwesties, netwerk designs en risico-analyses voor IoT devices. En gelijk hebben ze. Het is volstrekt niet-relevant voor ze. Het idee al om het advies te geven "Isolate “IoT” devices on their own protected networks." 99.99% van de mensen op deze aardbol weet niet eens hoe het moet of heeft er de apparatuur niet voor. Of wat dacht je van dit: "Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party." WTF?? Hoe moet ik dit achterhalen als de fabrikant die info niet prijsgeeft? Of als mijn beheersing van de Engelse taal niet voldoende is om hun websites en juridische bladieblah te begrijpen? Dit is hetzeflde advies als te zeggen "Lees de terms and services van je Apple even na en neem vervolgens een risk-based besluit of je die telefoon wel wilt gebruiken". Wie doet dat? Juist, niemand. Ja, een verwarde jurist, die vervolgens geen fluit opschiet met zijn zorgen, want hé, dan gebruik je die telefoon, PC of tablet toch niet?
Maar nee, iedereen moet een security expert worden, want anders kunnen de IoT devices niet veilig worden gebruikt. Dan is maar één conclusie mogelijk:
De apparaten zijn
- niet gebruiksvriendelijk
- onveilig by default
- niet veilig werkbaar voor 99.9% van de mensen
- niet beschikt voor het grote publiek
- een disaster waiting to happen
Ik heb een grote voorliefde voor IT en beveiliging, maar dit gaat helemaal nergens meer over. En over 5 jaar klagen dat het ene na het andere IoT botnet apparaten heeft geïnfecteerd "doordat het volk haar koelkast niet patcht en niet in een apart VLAN heeft gezet". Iedereen die meent dat daar geen denkfout in zit adviseer ik ver van security design te blijven.