Het probleem bij dit soort apparaten is dat de leverancier 0 tot weinig onderhoud pleegt aan de software die embedded op het apparaat staat. (als het überhaupt al te updaten is). Uitzonderingen zijn er natuurlijk wel. Maar het gros van deze apparaten wordt ontwikkeld, op de markt geknald, en cashen maar..
Wat mij betreft is dit dus een schot voor open boeg, en het probleem gaat alleen nog maar groter worden in de komende jaren.
Misschien wordt het eens tijd om een label voor privacy te introduceren, zodat de consument weet wat voor risico hij loopt als men deze apparatuur aanschaft..
Laat nou toevallig iemand daar op afgestudeerd zijn: https://www.csacademy.nl/scripties/februari-2018/118-the-internet-of-things-a-privacy-label-for-iot-products-in-a-consumer-market

D66, zeg er eens wat van.

Trek uw conclusie eindelijk eens.. Zet niets open, riskeer niets, alles dichtgooien. Wanneer u een device open aan het net wilt hangen zorg ervoor dat het minstens achter een VPN zit of benaderbaar is via SSH en SSH fatsoenlijk is geconfigureerd is met key pairs en zware wachtwoorden. Niet zo zeer voor uw "super geheime data privacy gevoelige" te beschermen, maar om ervoor te zorgen dat niet uw netwerk rommel niet gaat mee doen aan IoT flood attacks, waar de webmasters enorme last van hebben en extra kosten met zich meebrengt. Want wil je nu eenmaal een goede load balancer of reverse proxy dan betaal je ook flink geld, of gooit al uw privacy van klanten in de vuilnisbak -> CloudFlare!..

Met vriendelijke groet,

een anonieme webmaster.

Zonder te willen vervallen in een hindsight bias: dit zag iedereen met een beetje verstand van IT security toch al lang aankomen? En het einde is nog lang niet in zicht. Sterker nog, mijn voorspellng is dat het alleen maar erger wordt. Kijk naar de lange weg die b.v. Microsoft heeft afgelegd sinds de befaamde interne memo van Bill Gates. En nog komen de lekken iedere maand langszeilen.

Nu is IoT helemaal hot. Componenten die via internet te benaderen/ bedienen zijn, waarbij

- de meeste IoT bedrijven geen noemenswaardige ervaring hebben met internet risico's
- de meeste IoT bedrijven geen noemenswaardige ervaring hebben met threat modeling
- veel IoT programmeurs niet getraind zijn in SSDLC met alle bijkomende facetten
- veel IoT programmeurs doorgaans weinig tot geen kennis hebben van secure coding practices
- geen straf staat op het op de markt brengen van "least acceptable quality" producten
- de interne processen niet ingericht zijn op het veranderde threat en vulnerability landschap
- IoT bedrijven vooral geïnteresseerd zijn in vergroting van de afzetmarkt, niet in verkoop van veilige producten
- veel mensen niet eens weten wat dat IoT device doet, maar in de maag krijgt gesplitst bij de aanschaf
- …

En dan heb ik het nog niet eens over managementdruk, tijdgebrek en de 1001 andere dingen waar ieder bedrijf mee te kampen heeft en waardoor kwaliteit te wensen over laat. Het gevolg: basale beveiligingsmaatregelen zijn niet getroffen. Die maatregelen mogen de klanten oppakken, "want het is na aanschaf hun product en we mogen van deze klant ook wel wat verwachten". Dan komen de tips als hierboven.


Een volstrekt onhoudbare en kansloze aanbeveling, doordat 99% van de gebruikers geen idee heeft hoe dit moet gebeuren op het eigen thuisnetwerk. Ja, er zijn uitzonderingen, maar als ik naar mijn ouders kijk, dan gaan ze toch zeker niet eigen VLANs inrichten op hun netwerk. Doe even normaal. Met de huidige stand van de brakke IoT beveiliging is er maar 1 tip mogelijk: schaf het IoT product alleen aan als u zelf 100% duidelijk hebt hoe u de beveiliging in gaat richten. Kunt of begrijpt u dat niet, voorkom dan dat uw deurbel onderdeel wordt van een botnet en uw koelkast om 23:00 automatisch in de ontdooi-stand schiet en laat het product links liggen.

Is een smart TV ook een IoT device?

Ik meen van wel.
Ik meen : alle spullenboel waar internet connectie mee wordt gemaakt is zeer kwetsbaar. Niet alleen voor de veiligheid (en privacy/soevereiniteit, etc)) van de gebruiker. Maar ook tav alle andere mensen die gebruik willen maken van internet(diensten) in welke vorm dan ook.

Internet is openbare ruimte. Net zoals alle wegen dat zijn. Dus ook uw stukje van die weg is openbare ruimte. Een vergelijking met een private weg gaat niet op. Immers, de bewust bekwame slechterik kan geen schaalbaar gebruik maken van uw prive-weg (en/of de achterliggende infrastructuur). Dat kan de bewust bekwame slechterik wel met uw vermeend private internetsnelwegoprit.

Dit in overweging nemende is het tijd dat er wetgeving komt voor alle apparatuur die het internet vormen. Ook de IoT devices. Dus net als alle vervoersmiddelen, wegen, etc. Gedragswetgeving is ook nodig. Niet per se een IT rijbewijs (voor een fiets heb je die ook niet nodig en gelukkig maar). Een IT rijbewijs zou misschien wel nodig kunnen zijn voor dienstverleners.

Wetgeving is er niet om te plagen of te hinderen.
Wetgeving is er om de burger te beschermen
en wetgeving is er om een gelijk speelveld te creëren.
Niets is perfect. Ook wetgeving niet. Het is wél een goed handvat dat effectiever wordt als er ook gehandhaafd wordt.

Je hebt kennelijk nog niet begrepen hoe dit soort devices werkt.
Ze "staan niet open" ze "zitten niet achter een VPN". Ze maken zelf verbinding via de internetverbinding die ze aantreffen
naar een cloud server (meestal een TLS verbinding via port 443 zodat er geen issues zijn met firewalls e.d.) en daar sturen
ze hun data heen en vragen ze hun instructies.
De eigenaar van het device maakt ook verbinding met die cloud server, meestal via een APP tegenwoordig maar kan ook
een browsersessie zijn. Daar authenticeert ie en krijgt toegang tot zijn eigen device.
De "inbraak" vind normaalgesproken plaats via die server, bijvoorbeeld doordat er sprake is van standaardwachtwoorden
bij uitlevering en doordat je het apparaat benadert via bijvoorbeeld een serienummer en je dan eens kunt proberen wat
er gebeurt als je serienummers in de buurt invult (met het standaardwachtwoord).
In principe hoeft zo'n device geen enkele inkomende connectie te ondersteunen, maar vaak zit er wel een of andere
telnet server op voor debugging door de fabrikant of servicetechnicus en afhankelijk van hoeveel user interface het ding
zelf heeft is er dan wellicht nog een mogelijkheid om bijv SSID en wachtwoord van de WiFi te configureren bij eerste
setup, via een app of de browser.
Het is dus niet zo als bij een website waar jij kennelijk kennis over hebt, dat dit IoT device de hele tijd staat te luisteren
op een open poort waar de hele wereld het kan connecten. Dat zou veel te lastig zijn want dan moet de gebruiker een
poort forwarden in zijn NAT router en dat kunnen de meeste consumenten helemaal niet. Er is daarvoor ooit wel een
protocol bedacht, UPnP, maar dat staat tegenwoordig meestal uitgeschakeld. Als je wilt dat je device probleemloos
werkt in het netwerk van de klant, is die methode met alleen uitgaande TLS connecties naar een cloud server de
aangewezen methode, en dat doet dan ook vrijwel iedereen zo tegenwoordig.

Nee, dat is een mini computer met een afstandsbedieding.

Op IoT devices kun je over het algemeen geen Apps installeren daar deze veelal met een of meer uC ipv een CPU/GPU werken.

Verder kloppen je stellingen wel.

Daarvoor moet het eerst prominent gebracht zijn in de media. Anders kun je er politiek niet mee scoren en loont het dus de moeite niet.

IoT stapel door de helft.

Ja, dat kan je wel verlangen, alleen de gemiddelde consument (die zonder kennis van zaken handelt) gaat dit niet doen. Ze zijn blij met de functie's die dit soort apparaten leveren, en gaan daarbij voorbij aan het security risico.
Helaas voor ons als "security" mensen zijn wij toch echt in de minderheid als het op dit soort zaken aankomt...

Heb je niet veel aan als er niets verandert.

We kunnen wel wijzen naar partijen, maar heeft cisco ons bijvoorbeeld niet groot gebracht, heeft Tp-link ons niet een betaalbaar alternatief gegeven toen we met zn allen masaal het internet op wilden, natuurlijk zijn er nog veel meer partijen, maar ik pas een paar voorbeelden die nu dan in het lijstje voorkwamen.

Zou eerder kijken naar een partij van een dergelijk apparaat die ook updates uitbrengen voor hun apparaten, ofwel goede research is het halve werk, enkel blijkt ook weer geen garantie voor de toekomst en denk na voordat je iets slims in je slaapkamer zet, uiteraard ben ik het eens met de statement dat we geen DDOS machines moeten aanschaffen, maar als er maar iets goed gehackt wordt, kan het misbruikt worden of het nou de slimme koelkast is van partij A of de super schone slimme stofzuiger van partij B. Geef mij maar het tijdperk van het pingpong virus, dat was nog grappig....wat we tegenwoordig zien is niet grappig meer.

Exact ja, helaas zijn we in de minderheid zoals altijd... Beetje om moe van te worden, ik ga me er ook niet meer aan ergeren. Heeft toch geen zin. De bedrijven doen toch lekker zelf wat ze willen, en de consument blijft consumeren zo blijft het in een vicieuze cirkel. Bij deze moeten we maar weer hopen dat de overheid het netjes oplost, anders heeft het dadelijk negatieve gevolgen voor de power users! Ben bang aangezien de geschiedenis voor dat laatste...

Als consument moeten we ook eens tegen onszelf zeggen van ho, stop. Dit gaat té ver, ik koop het product niet. Maar toch laten we over ons heen lopen of graait het grootste gros schapen er toch met de portemonnee naar en zo blijft de stand van zaken actief want de bedrijven verdienen er blijkbaar dan toch genoeg geld aan..

1. Vroeger was internet nog niet zo mainstream
2. Vroeger was alles veel simpeler
3. Vroeger was de pc niet een goudberg aan informatie en pretpark voor hackers want je kon er ook minder mee

Tegenwoordig wel dus. Je kan zo veel met computers, we hebben inmiddels al onze geldzaken via de computer draaien en noem maar op. Dat maakt het voor de hacker die geld wilt stelen ook veel interessanter. Dat niet alleen, denk ook aan de virtual goods, social media, accounts van andere websites, enzovoort.

https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/