FBI: Plaats IoT-apparaten in afzonderlijk beveiligd netwerk
Eigenaren van Internet of Things-apparaten doen er verstandig aan om de apparatuur in een afzonderlijk beveiligd netwerk te plaatsen en uit te schakelen wanneer die niet in gebruik is, zo adviseert de FBI. De opsporingsdienst verwacht dat het aantal IoT-apparaten de komende jaren sterk zal toenemen.
Gebruikers moeten echter rekening houden met wat ze in huis halen, stelt FBI-agent Beth Anne Steele. Aanvallers maken namelijk misbruik van het ontbreken van beveiliging in deze apparaten, de moeite die fabrikanten hebben met het patchen van kwetsbaarheden en de onervarenheid van gebruikers met deze apparaten. "In veel gevallen maken deze apparaten gebruik van standaard gebruikersnamen en wachtwoorden, waardoor ze een eenvoudig doelwit van cyberdieven zijn", aldus Steele.
De opsporingsdienst geeft daarom verschillende tips om IoT-apparatuur te beveiligen. Zo wordt aangeraden de standaard gebruikersnamen en wachtwoorden te wijzigen en de apparaten in een afzonderlijk, beveiligd netwerk te plaatsen. Ook krijgen gebruikers het advies om de apparatuur uit te schakelen wanneer die niet in gebruik is en moet voor de aanschaf worden uitgezocht welke fabrikanten veilige apparatuur bieden en regelmatig met updates komen. Verder moet worden uitgezocht welke data de IoT-apparaten allemaal verzamelen, hoe lang de data wordt bewaard, of die versleuteld is en of het wordt gedeeld met derde partijen.
Reacties (29)
Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router? Duidelijkheid hier is belangrijk.
13-12-2017, 12:26 door
Whacko
Door Anoniem: Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router? Duidelijkheid hier is belangrijk.
Een afzonderlijk netwerk, waar ALLEEN je IOT devices op zitten, waardoor niet je andere netwerk gecompromitteerd wordt. Je kan er ook voor kiezen dat aparte netwerk geen internet toegang te geven. Dat zal voor de meeste "smart" devices zoals lampen geen probleem zijn.
Dat houdt geen steek: IOT apparaten op een geisoleerd netwerk? Dit is zeker geen advies voor de modale mens...
Door Anoniem: Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router? Duidelijkheid hier is belangrijk.
Gescheiden van andere netwerken, bijv. je lokale netwerk of een gastnetwerk. Dit helpt echter bijzonder weinig als het IoT-apparaat via een cloud aangestuurd wordt, omdat de verbinding dan meestal vanaf het apparaat geïnitieerd wordt. Ook als UPnP op de router aan staat, kan het IoT-apparaat zelfstandig een gat in de firewall boren en verkeer van het Internet ongefilterd ontvangen.
Eigenaren van Internet of Things-apparaten doen er verstandig aan om de apparatuur (...) uit te schakelen wanneer die niet in gebruik is
Lekker zinvolle tip voor mijn slimme thermostaat, slimme alarmsystem, slimme beveiligingscamera, slimme deurslot, slimme koelkast, ...Bedoelen ze daarmee bijvoorbeeld 1 van de ''gastaccounts'' die in het modem zitten?
Dat advies heb ik een jaar geleden hier al gegeven.
Maak (indien mogelijk) op je router een "guestnetwerk" aan welke je isoleert van de rest van je omgeving en hang daar je IOT dingen aan. Ik doe dan ook nog zware bandbreedte perperking voor dat netwerkje.
Maak (indien mogelijk) op je router een "guestnetwerk" aan welke je isoleert van de rest van je omgeving en hang daar je IOT dingen aan. Ik doe dan ook nog zware bandbreedte perperking voor dat netwerkje.
Door Anoniem:
Dit helpt echter bijzonder weinig als het IoT-apparaat via een cloud aangestuurd wordt, omdat de verbinding dan meestal vanaf het apparaat geïnitieerd wordt. Ook als UPnP op de router aan staat, kan het IoT-apparaat zelfstandig een gat in de firewall boren en verkeer van het Internet ongefilterd ontvangen.
Dit helpt echter bijzonder weinig als het IoT-apparaat via een cloud aangestuurd wordt, omdat de verbinding dan meestal vanaf het apparaat geïnitieerd wordt. Ook als UPnP op de router aan staat, kan het IoT-apparaat zelfstandig een gat in de firewall boren en verkeer van het Internet ongefilterd ontvangen.
Indien je IOT ding(en) in een gescheiden netwerk staat kunnen 'ze' bij binnendringen alleen op je IOT netwerk en eventuele devices, niet op de rest van je omgeving zoals b.v. een NAS etc.
"Ook krijgen gebruikers het advies om de apparatuur uit te schakelen wanneer die niet in gebruik is en moet voor de aanschaf worden uitgezocht welke fabrikanten veilige apparatuur bieden en regelmatig met updates komen. Verder moet worden uitgezocht welke data de IoT-apparaten allemaal verzamelen, hoe lang de data wordt bewaard, of die versleuteld is en of het wordt gedeeld met derde partijen"
En de gemiddelde consument kijkt hier totaal niet naar, hooguit wat tweakers...
Consumenten kopen gewoon wat ze nodig hebben, lopen de winkel in en de mooiste aanbieding wordt gekocht.
En de gemiddelde consument kijkt hier totaal niet naar, hooguit wat tweakers...
Consumenten kopen gewoon wat ze nodig hebben, lopen de winkel in en de mooiste aanbieding wordt gekocht.
Door Anoniem: Ik weet een nog veiliger netwerk: koop geen IoT apparaten.
IOT is een marketingnaam, jouw laptop/pc/NAS/....etc kan ook allemaal als IOT gezien worden.
Maar je hebt een punt, geen apparaten, geen internet, geen telefoon, geen auto/fiets maakt het allemaal een stuk veiliger.
Leuk en aardig, maar je IOT devices koppelen vaak weer naar je telefoon of laptop voor aansturing...
Dus binnen no-time hangt alles er in en dan is had je het gewoon kunnen laten zoals het was toch?
Dus binnen no-time hangt alles er in en dan is had je het gewoon kunnen laten zoals het was toch?
Door Anoniem: Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router? Duidelijkheid hier is belangrijk.
Van welke planeet kom jij?
een apart netwerk waar alleen IoT meuk zit, en dan nog een apart netwerk voor de mensen, de afdelingen en wie je nog maar verder wilt afschermen van toegang tot je kroonjuwelen
... en de onervarenheid van gebruikers met deze apparaten
Ervaren gebruikers komen bij veel IoT devices ook niet veel verder. Omdat de configuratie vaak bepaald wordt door de fabrikant, zonder de gebruiker toegang te verschaffen.
Door Anoniem: Ik weet een nog veiliger netwerk: koop geen IoT apparaten.
Nog beter trap je internet verbinding eruit.
Door Anoniem:
Van welke planeet kom jij?
een apart netwerk waar alleen IoT meuk zit, en dan nog een apart netwerk voor de mensen, de afdelingen en wie je nog maar verder wilt afschermen van toegang tot je kroonjuwelen
Door Anoniem: Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router? Duidelijkheid hier is belangrijk.
Van welke planeet kom jij?
een apart netwerk waar alleen IoT meuk zit, en dan nog een apart netwerk voor de mensen, de afdelingen en wie je nog maar verder wilt afschermen van toegang tot je kroonjuwelen
Volgens mij zijn er een paar brug pubers op de site gekomen vandaag. Gezien het niveau van de vraag stelling.
Zie ook "Wie is George Orwell" daar mist nog net de "da Fuck" toevoeging
Leuk en aardig, maar je IOT devices koppelen vaak weer naar je telefoon of laptop voor aansturing...
Een extra beveiligd netwerk wil toch niet zeggen dat je de zaken niet zo kan configureren dat de verbinding naar je telefoon of laptop wordt toegestaan ? Gewoon zorgen voor goede firewall settings. Waarbij je toestaat wat functioneel nodig is, en de rest blokkeert om de beveiliging optimaal te houden.
Dus binnen no-time hangt alles er in en dan is had je het gewoon kunnen laten zoals het was toch?
Wat hangt waarin ? Die telefoon of laptop, die kan ook op een ander vlan zitten van je netwerk. Of ergens anders, waar dan ook ter wereld. Ik snap je reactie wat dat betreft niet geheel. Er is geen enkele noodzaak om je telefoon of laptop te plaatsen binnen hetzelfde netwerk segment.
Ik zal straks drie aparte netwerken aanleggen in mijn huis, een voor de IoT's, een voor de handhelds, en een voor de desktops. En dat per verdieping. De buren worden gek van alle kanalen die ik in beslag neem.
Door Anoniem: Ik zal straks drie aparte netwerken aanleggen in mijn huis, een voor de IoT's, een voor de handhelds, en een voor de desktops. En dat per verdieping. De buren worden gek van alle kanalen die ik in beslag neem.
Dan doe je het toch niet. Je kan ook op andere manieren je veiligheid waarborgen.
Voor al diegenen die de tijd niet nemen (of hebben) om ook even te kijken wat er nu echt op die webstek van FBI Oregon staat:
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
Door Anoniem: Ik zal straks drie aparte netwerken aanleggen in mijn huis, een voor de IoT's, een voor de handhelds, en een voor de desktops. En dat per verdieping. De buren worden gek van alle kanalen die ik in beslag neem.
Die aparte netwerken hoeven geen aparte kanalen in beslag te nemen, een beetje WiFi router kan meerdere SSID'suitzenden die ieder met een andere authenticatie voor hun gebruikers werken en die op een ander virtueel netwerk
(VLAN of subnet in een router) uitkomen. Dat is een kwestie van configureren.
Ik heb dat hier inderdaad ook wel, 2 LAN netwerken ieder apart benaderbaar en daarnaast een gastennetwerk wat alleen
naar internet kan en niet naar die LAN netwerken.
Door Anoniem:
Een afzonderlijk netwerk, waar ALLEEN je IOT devices op zitten, waardoor niet je andere netwerk gecompromitteerd wordt. Je kan er ook voor kiezen dat aparte netwerk geen internet toegang te geven. Dat zal voor de meeste "smart" devices zoals lampen geen probleem zijn.
Een afzonderlijk netwerk, waar ALLEEN je IOT devices op zitten, waardoor niet je andere netwerk gecompromitteerd wordt. Je kan er ook voor kiezen dat aparte netwerk geen internet toegang te geven. Dat zal voor de meeste "smart" devices zoals lampen geen probleem zijn.
Nou de combinatie van die 2 keuzes heeft niet veel zin natuurlijk. Je kunt een apart netwerk voor je IoT devices maken
wat alleen naar internet kan en waar die devices vervolgens een cloud service connecten waardoor je ze vanaf je
telefoon of vanaf computers op je LAN (buitenom) kunt bedienen. Of je kunt je IoT devices op je LAN zetten zodat
ze direct benaderbaar zijn. Maar dan loop je dus het risico wat in dit topic wordt aangeduid. Op een apart netwerk
zetten wat geen internet toegang heeft dat doet natuurlijk niemand want je wilt ze wel kunnen bedienen en je wilt
wel kunnen internetten vanaf je telefoon of PC.
13-12-2017, 20:33 door
Briolet
Door Whacko: Je kan er ook voor kiezen dat aparte netwerk geen internet toegang te geven. Dat zal voor de meeste "smart" devices zoals lampen geen probleem zijn.
Ik denk dat als je onder de lamp zit, je app nog steeds via een externe server met je lamp praat. De lamp zal toch het internet op moeten.
Wat is eigenlijk een "eigen, beveiligd netwerk". Al deze IoT apparaten zitten toch typisch achter een router?
Ik heb sinds kort ook een nieuw IoT apparaat: een VoIP telefoon. De provider raad af UPnP aan te zetten of poorten te forwarden. Ook al zit dat ding achter dubbel-nat bij mij, hij is nog steeds toegankelijk vanaf het internet. In dit geval omdat het IoT apparaat een permanente verbinding open houdt naar een externe server.
Als het goed is, kan alleen die server binnenkomen, maar het voelt toch niet goed dat iets op mijn lan van buiten toegankelijk is zonder zelf toestemming in de router in te stellen.
Door Briolet:
Ik heb sinds kort ook een nieuw IoT apparaat: een VoIP telefoon. De provider raad af UPnP aan te zetten of poorten te forwarden. Ook al zit dat ding achter dubbel-nat bij mij, hij is nog steeds toegankelijk vanaf het internet. In dit geval omdat het IoT apparaat een permanente verbinding open houdt naar een externe server.
Als het goed is, kan alleen die server binnenkomen, maar het voelt toch niet goed dat iets op mijn lan van buiten toegankelijk is zonder zelf toestemming in de router in te stellen.
Ik heb sinds kort ook een nieuw IoT apparaat: een VoIP telefoon. De provider raad af UPnP aan te zetten of poorten te forwarden. Ook al zit dat ding achter dubbel-nat bij mij, hij is nog steeds toegankelijk vanaf het internet. In dit geval omdat het IoT apparaat een permanente verbinding open houdt naar een externe server.
Als het goed is, kan alleen die server binnenkomen, maar het voelt toch niet goed dat iets op mijn lan van buiten toegankelijk is zonder zelf toestemming in de router in te stellen.
Niks houdt je tegen (anders dan een beperkte router) om een apart LAN segment te maken wat geen contact heeft met
je normale LAN en wat via NAT naar internet kan. Daar zet je dan je telefoon in en verder niks anders of wellicht alleen
andere apparaten die je niet verterouwt maar die onderling weinig schade kunnen aanrichten.
Dat is wat de FBI ook adviseert.
Door Anoniem: Voor al diegenen die de tijd niet nemen (of hebben) om ook even te kijken wat er nu echt op die webstek van FBI Oregon staat:
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken? Nee, natuurlijk niet. Het is naïef en dom om dat te denken. We hebben met computers in het verleden (en nu nog steeds) dezelfde fout gemaakt, en we zien tot op de dag van vandaag hoe goed het bestrijden van malware gaat bij mensen die geen verstand hebben van deze zaken, niet weten wat patches zijn, niet weten wat netwerkscheiding is etc.
Neem mijn ouders als voorbeeld. Geen domme mensen, een redelijke interesse voor IT, maar niet geschoold in IoT, beveiligingskwesties, netwerk designs en risico-analyses voor IoT devices. En gelijk hebben ze. Het is volstrekt niet-relevant voor ze. Het idee al om het advies te geven "Isolate “IoT” devices on their own protected networks." 99.99% van de mensen op deze aardbol weet niet eens hoe het moet of heeft er de apparatuur niet voor. Of wat dacht je van dit: "Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party." WTF?? Hoe moet ik dit achterhalen als de fabrikant die info niet prijsgeeft? Of als mijn beheersing van de Engelse taal niet voldoende is om hun websites en juridische bladieblah te begrijpen? Dit is hetzeflde advies als te zeggen "Lees de terms and services van je Apple even na en neem vervolgens een risk-based besluit of je die telefoon wel wilt gebruiken". Wie doet dat? Juist, niemand. Ja, een verwarde jurist, die vervolgens geen fluit opschiet met zijn zorgen, want hé, dan gebruik je die telefoon, PC of tablet toch niet?
Maar nee, iedereen moet een security expert worden, want anders kunnen de IoT devices niet veilig worden gebruikt. Dan is maar één conclusie mogelijk:
De apparaten zijn
- niet gebruiksvriendelijk
- onveilig by default
- niet veilig werkbaar voor 99.9% van de mensen
- niet beschikt voor het grote publiek
- een disaster waiting to happen
Ik heb een grote voorliefde voor IT en beveiliging, maar dit gaat helemaal nergens meer over. En over 5 jaar klagen dat het ene na het andere IoT botnet apparaten heeft geïnfecteerd "doordat het volk haar koelkast niet patcht en niet in een apart VLAN heeft gezet". Iedereen die meent dat daar geen denkfout in zit adviseer ik ver van security design te blijven.
Door Anoniem:
Indien je IOT ding(en) in een gescheiden netwerk staat kunnen 'ze' bij binnendringen alleen op je IOT netwerk en eventuele devices, niet op de rest van je omgeving zoals b.v. een NAS etc.
Door Anoniem:
Dit helpt echter bijzonder weinig als het IoT-apparaat via een cloud aangestuurd wordt, omdat de verbinding dan meestal vanaf het apparaat geïnitieerd wordt. Ook als UPnP op de router aan staat, kan het IoT-apparaat zelfstandig een gat in de firewall boren en verkeer van het Internet ongefilterd ontvangen.
Dit helpt echter bijzonder weinig als het IoT-apparaat via een cloud aangestuurd wordt, omdat de verbinding dan meestal vanaf het apparaat geïnitieerd wordt. Ook als UPnP op de router aan staat, kan het IoT-apparaat zelfstandig een gat in de firewall boren en verkeer van het Internet ongefilterd ontvangen.
Indien je IOT ding(en) in een gescheiden netwerk staat kunnen 'ze' bij binnendringen alleen op je IOT netwerk en eventuele devices, niet op de rest van je omgeving zoals b.v. een NAS etc.
Yep, dat is precies het punt. Is ook al jaren onderdeel van de architectuur richtlijnen voor proces-netwerken bij bedrijven. Die horen op afgescheiden netwerken te staan (ja, ik weet dat dat op veel plekken niet zo is), en de scheiding dient zo hoog mogelijk in de stack te liggen (hoe meer dingen je over de grens deelt, hoe zwakker de scheiding; denk bijvoorbeeld aan gescheiden identiteiten).
Door Anoniem: Ik weet een nog veiliger netwerk: koop geen IoT apparaten.
Dit.Nieuwe ontwikkelingen zijn niet altijd een vooruitgang/beter.
In principe is het best wel mogelijk om dit allemaal automatisch te laten werken, de protocollen daarvoor zijn gewoon
beschikbaar (bijvoorbeeld LLDP) het is alleen een kwestie van de juiste definities maken voor dit soort apparatuur, en
de fabrikanten van IoT devices en van typische home routers zover krijgen dat ze standaard LLDP ondersteunen.
Bijvoorbeeld VoIP telefoons doen dit allemaal al. Als je in je switch configureert welk VLAN het VOICE VLAN is dan
gaat je telefoon vanzelf naar dat VLAN nog voor hij een DHCP request doet. Dus als de home router fabrikanten default
een IOT VLAN maken met een apart subnet en afgeschermd van het LAN wat via LLDP announced wordt en de IoT
devices respecteren die LLDP berichten dan is het voor elkaar zonder dat Jan met de Pet er naar hoeft om te kijken.
beschikbaar (bijvoorbeeld LLDP) het is alleen een kwestie van de juiste definities maken voor dit soort apparatuur, en
de fabrikanten van IoT devices en van typische home routers zover krijgen dat ze standaard LLDP ondersteunen.
Bijvoorbeeld VoIP telefoons doen dit allemaal al. Als je in je switch configureert welk VLAN het VOICE VLAN is dan
gaat je telefoon vanzelf naar dat VLAN nog voor hij een DHCP request doet. Dus als de home router fabrikanten default
een IOT VLAN maken met een apart subnet en afgeschermd van het LAN wat via LLDP announced wordt en de IoT
devices respecteren die LLDP berichten dan is het voor elkaar zonder dat Jan met de Pet er naar hoeft om te kijken.
Dit. Nieuwe ontwikkelingen zijn niet altijd een vooruitgang/beter.
Dank voor de zeer nuttige mededeling.
Door Anoniem:
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken?
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken?
In 2000 kreeg je van @home ook gewoon een modem in bridgemode waarmee je je desktop direct aan het openbare internet hing. Het opzetten van een NAT-router met firewall en bijbehorende configuratie was toen ook niet geschikt voor Jan met de Pet. Anno 2017 krijg je het gewoon standaard geleverd bij je abonnement en kan Jan met de Pet prima veilig internetten achter NAT zonder netwerkspecialist te zijn.
Door Anoniem:
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken? Nee, natuurlijk niet. Het is naïef en dom om dat te denken. We hebben met computers in het verleden (en nu nog steeds) dezelfde fout gemaakt, en we zien tot op de dag van vandaag hoe goed het bestrijden van malware gaat bij mensen die geen verstand hebben van deze zaken, niet weten wat patches zijn, niet weten wat netwerkscheiding is etc.
Neem mijn ouders als voorbeeld. Geen domme mensen, een redelijke interesse voor IT, maar niet geschoold in IoT, beveiligingskwesties, netwerk designs en risico-analyses voor IoT devices. En gelijk hebben ze. Het is volstrekt niet-relevant voor ze. Het idee al om het advies te geven "Isolate “IoT” devices on their own protected networks." 99.99% van de mensen op deze aardbol weet niet eens hoe het moet of heeft er de apparatuur niet voor. Of wat dacht je van dit: "Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party." WTF?? Hoe moet ik dit achterhalen als de fabrikant die info niet prijsgeeft? Of als mijn beheersing van de Engelse taal niet voldoende is om hun websites en juridische bladieblah te begrijpen? Dit is hetzeflde advies als te zeggen "Lees de terms and services van je Apple even na en neem vervolgens een risk-based besluit of je die telefoon wel wilt gebruiken". Wie doet dat? Juist, niemand. Ja, een verwarde jurist, die vervolgens geen fluit opschiet met zijn zorgen, want hé, dan gebruik je die telefoon, PC of tablet toch niet?
Maar nee, iedereen moet een security expert worden, want anders kunnen de IoT devices niet veilig worden gebruikt. Dan is maar één conclusie mogelijk:
De apparaten zijn
- niet gebruiksvriendelijk
- onveilig by default
- niet veilig werkbaar voor 99.9% van de mensen
- niet beschikt voor het grote publiek
- een disaster waiting to happen
Ik heb een grote voorliefde voor IT en beveiliging, maar dit gaat helemaal nergens meer over. En over 5 jaar klagen dat het ene na het andere IoT botnet apparaten heeft geïnfecteerd "doordat het volk haar koelkast niet patcht en niet in een apart VLAN heeft gezet". Iedereen die meent dat daar geen denkfout in zit adviseer ik ver van security design te blijven.
Door Anoniem: Voor al diegenen die de tijd niet nemen (of hebben) om ook even te kijken wat er nu echt op die webstek van FBI Oregon staat:
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
?Change default usernames and passwords. Many default passwords are collected and posted on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets.
?If you can't change the password on the device, make sure your wireless Internet service has a strong password and encryption.
?Invest in a secure router with robust security and authentication. Most routers will allow users to whitelist, or specify, which devices are authorized to connect to a local network.
?Isolate “IoT” devices on their own protected networks.
?Turn devices off when not in use.
?Research your options when shopping for new “IoT” devices. When conducting research, use reputable Web sites that specialize in cyber security analysis and provide reviews on consumer products.
?Look for companies that offer firmware and software updates, and identify how and when these updates are provided.
?Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party.
?Ensure all “IoT” devices are up to date and security patches are incorporated when available.
Lijkt me niet overdreven allemaal. Goed idee om Jan Modaal te waarschuwen voor de gevaren van die met Kerstinkopen aangeschafte IoT spulletjes.
Precies de redenen waarom IoT devices tot ellende zullen leiden. Denkt hier iemand nou werkelijk dat Jan met de Pet, die dit soort dingen min of meer door zijn strot geduwd krijgt, maar de ballen verstand heeft van het aanleggen van aparte netwerken, VLANs, het kopen van switches die dit soort dingen ondersteunen, het interpreteren van de inhoud van websites met "cyber security analyses" etc, dit allemaal braaf bij gaat houden, dit allemaal beheerst, geen fouten maakt en zich interesseert in dit soort zaken? Nee, natuurlijk niet. Het is naïef en dom om dat te denken. We hebben met computers in het verleden (en nu nog steeds) dezelfde fout gemaakt, en we zien tot op de dag van vandaag hoe goed het bestrijden van malware gaat bij mensen die geen verstand hebben van deze zaken, niet weten wat patches zijn, niet weten wat netwerkscheiding is etc.
Neem mijn ouders als voorbeeld. Geen domme mensen, een redelijke interesse voor IT, maar niet geschoold in IoT, beveiligingskwesties, netwerk designs en risico-analyses voor IoT devices. En gelijk hebben ze. Het is volstrekt niet-relevant voor ze. Het idee al om het advies te geven "Isolate “IoT” devices on their own protected networks." 99.99% van de mensen op deze aardbol weet niet eens hoe het moet of heeft er de apparatuur niet voor. Of wat dacht je van dit: "Identify what data is collected and stored by the devices, including whether you can opt out of this collection, how long the data is stored, whether it is encrypted, and if the data is shared with a third party." WTF?? Hoe moet ik dit achterhalen als de fabrikant die info niet prijsgeeft? Of als mijn beheersing van de Engelse taal niet voldoende is om hun websites en juridische bladieblah te begrijpen? Dit is hetzeflde advies als te zeggen "Lees de terms and services van je Apple even na en neem vervolgens een risk-based besluit of je die telefoon wel wilt gebruiken". Wie doet dat? Juist, niemand. Ja, een verwarde jurist, die vervolgens geen fluit opschiet met zijn zorgen, want hé, dan gebruik je die telefoon, PC of tablet toch niet?
Maar nee, iedereen moet een security expert worden, want anders kunnen de IoT devices niet veilig worden gebruikt. Dan is maar één conclusie mogelijk:
De apparaten zijn
- niet gebruiksvriendelijk
- onveilig by default
- niet veilig werkbaar voor 99.9% van de mensen
- niet beschikt voor het grote publiek
- een disaster waiting to happen
Ik heb een grote voorliefde voor IT en beveiliging, maar dit gaat helemaal nergens meer over. En over 5 jaar klagen dat het ene na het andere IoT botnet apparaten heeft geïnfecteerd "doordat het volk haar koelkast niet patcht en niet in een apart VLAN heeft gezet". Iedereen die meent dat daar geen denkfout in zit adviseer ik ver van security design te blijven.
Helemaal spot on !! De eerste zinnige bijdrage die ik lees. Het belang van de verkoper van ToI (Things On Internet) is ? Dus verkopen doen ze wel. De industrie zal nooit verantwoording nemen voor beveiliging en de eindgebruikers kunnen (en zouden het ook niet hoeven te kunnen) , behalve dan de “know it alls” van de andere bijdragen.
Ik heb bij de modem/router van mijn provider Ziggo (voorheen UPC) de mogelijkheid voor een gastnetwerk dat ik geactiveerd heb.
Ik heb al mijn IoT-apparaten ondergebracht bij het gastnetwerk dat ik daarvoor speciaal gebruik, dus een los netwerk buiten mijn thuisnetwerk om.
En als actief forumlid bij het officiële Ziggo-forum adviseer ik dat ook steeds aan mede forumleden als er een vraag over IoT-beveiliging komt binnen het forum.
Dus wat de FBI adviseert in dit artikel pas ik al ruim een jaar toe.
Ik heb al mijn IoT-apparaten ondergebracht bij het gastnetwerk dat ik daarvoor speciaal gebruik, dus een los netwerk buiten mijn thuisnetwerk om.
En als actief forumlid bij het officiële Ziggo-forum adviseer ik dat ook steeds aan mede forumleden als er een vraag over IoT-beveiliging komt binnen het forum.
Dus wat de FBI adviseert in dit artikel pas ik al ruim een jaar toe.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
