SIDN luidt noodklok over risico van onveilige IoT-apparaten
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, luidt de noodklok over het toenemend aantal onveilige Internet of Things-apparaten dat op internet wordt aangesloten en de gevolgen die dit voor onze veiligheid en privacy kan hebben.
"Het gemak waarmee consumenten allerlei goedkope apparaatjes direct aanschaffen via online marktplaatsen over de hele wereld om die vervolgens aan te sluiten op hun thuisnetwerk is zowel onthutsend als zorgwekkend", aldus SIDN. De organisatie verwacht dat veel onveilige IoT-apparaten nooit beveiligingsupdates voor gevonden kwetsbaarheden zullen ontvangen. Sommige van deze apparaten hebben niet eens het geheugen dat voor een software-update is vereist.
Hierdoor ontstaat het risico dat kwaadwillenden de onveilige IoT-apparaten overnemen en voor allerlei soorten aanvallen gebruiken. Het kan dan gaan om ddos-aanvallen, maar ook om aanvallen waarbij wordt geprobeerd om andere apparaten in het netwerk over te nemen. Het probleem wordt vergroot door de opkomst van het "smart home", dat uit steeds meer apparaten bestaat. "Als we geen stappen ondernemen om de risico's die aan deze nieuwe hyper-connected wereld kleven te beperken, zouden we de controle over onze smarthomes weleens kunnen verliezen", waarschuwt SIDN.
SPIN
Om het probleem tegen te gaan ontwikkelde SIDN een oplossing genaamd SPIN, wat staat voor Security and Privacy for In-home Networks. Het is een 'omgekeerde firewall' voor IoT-apparaten. De SPIN-software is gebaseerd op OpenWRT, een populair opensourcebesturingssysteem dat voornamelijk voor routers wordt gebruikt. SPIN heeft als doel om het internet te beschermen tegen aanvallen die via gecompromitteerde IoT-apparaten worden uitgevoerd. Het gaat dan bijvoorbeeld om ddos-aanvallen.
De software fungeert als een 'omgekeerde firewall' en blokkeert aanvalsverkeer van IoT-apparaten dat vanaf het thuisnetwerk van de gebruiker afkomstig is. SPIN verwerkt alle gegevens lokaal. Volgens SIDN verlaten persoonlijke gegevens dan ook nooit het apparaat. De organisatie stelt dat access providers de SPIN-functionaliteit in hun bestaande security management-infrastructuur en zelfhulp-portals kunnen integreren. "Daarmee wordt geautomatiseerde interactie met eindgebruikers over veiligheidsaangelegenheden mogelijk en kunnen gebruikers zelf hun problemen verhelpen."
SPIN is momenteel als een werkend prototype beschikbaar. De software werd eerder gedemonstreerd als onderdeel van de TrustBox thuis-router op de laatste Consumer Electronics Show (CES) in Las Vegas. Andere partijen die met SPIN werken zijn CZ.NIC (de Tsjechische registry voor de .cz-zone), CIRA (de Canadese registry voor de .ca-zone) en DistributIT. Daarnaast is SPIN ook beschikbaar als image voor de Raspberry Pi.
Eigenlijk zal het zo doormodderen blijven.
Misschien moet het eerst goed mis gaan willen mensen wakker worden?
Leuk man.
Leuk man.
Beter lezen: dit beschermt niet zozeer het internet maar voorkomt dat een gehackt 'ding' jouw gegevens het internet op stuurt.
Leuk man.
Beter lezen: dit beschermt niet zozeer het internet maar voorkomt dat een gehackt 'ding' jouw gegevens het internet op stuurt.
Ja ja:
SPIN heeft als doel om het internet te beschermen tegen aanvallen die via gecompromitteerde IoT-apparaten worden uitgevoerd.
Als ik dat als security specialist doe dan staan de wouten zo aan de deur maar SIDN sponsort die criminelen. Ongevraagd scannen van websites is strafbaar in de aangepaste wet computercriminaliteit. Dat maakt SIDN onderdeel van een criminele organisatie dus zou aangepakt moeten worden. Waar blijft Grapperhouse nu?
Waar precies in de naam van SIDN staat een verwijzing naar de taakomschrijving het hele internet te beschermen tegen IoT devices bij thuisgebruikers?
SIDN heeft geen opsporings bevoegdheid (geen politie),
SIDN heeft geen relatie met thuisgebruikers (het is geen ISP),
SIDN heeft geen relatie met IoT devices of hun leveranciers
...
SIDN doet sites als security.nl en nu.nl faciliteren om hun site te kunnen resolven. Dit zegt evenveel als dat ik als niets betekenend Nederlands staatsburger de noodklok ga luiden over drugs toestanden in Mexico - waar ik verder nog nooit ben geweest en niemand ken.
Als CERT.NL nou een waarschuwing zou afgeven omdat ze een gigantische toename van veroorzaakte ellende detecteren, of als de Politiek het zich eens zou aantrekken en (in Europees verband kwaliteitskeurmerken zou verplichten, dan praten we ergens over. Dat het ruk is met de beveiliging van IoT is allang bekend en er is allang door meer zeggende organisaties alarm over geslagen.
Wat is de basis dat SIDN nu meent een toontje in de fanfare mee te moeten blazen en daarmee denkt gewicht in de schaal te leggen dat het ook nog ergens toe leidt? Of is het meer een noodkreet om te laten weten dat zij ook nog bestaan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
