image

CISA: sluit IoT-apparaten niet zomaar aan op internet

donderdag 2 januari 2020, 09:58 door Redactie, 19 reacties

Wie tijdens de feestdagen een Internet of Things-apparaat heeft gekregen doet er verstandig aan om die niet zomaar op internet aan te sluiten tenzij dit strikt noodzakelijk is. Dat adviseert het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid.

Volgens het CISA, dat onder het Amerikaanse ministerie van Homeland Security valt en zich met internetveiligheid bezighoudt, maken IoT-apparaten het leven gemakkelijker, maar moet hiervoor vaak persoonlijke en financiële informatie worden opgegeven. "De veiligheid van deze informatie en apparaten is echter niet gegarandeerd", aldus de overheidsinstantie.

Er wordt gewezen naar fabrikanten die gebruikersgegevens in databases opslaan die kwetsbaar voor aanvallen zijn, of onbedoeld via het internet toegankelijk zijn. Wanneer de gegevens worden gestolen zijn die voor phishingaanvallen en identiteitsfraude te gebruiken. Om IoT-apparaten en bijbehorende accounts te beschermen geeft het CISA verschillende adviezen.

Zo wordt aangeraden om accounts via multifactorauthenticatie te beschermen. Tevens doen gebruikers er verstandig aan om sterke wachtwoorden te gebruiken. "Sommige apparaten worden om de installatie te vereenvoudigen van standaardwachtwoorden voorzien. Deze standaardwachtwoorden zijn eenvoudig op internet te vinden, dus bieden ze geen enkele bescherming", zo laat het advies weten.

Verder moeten gebruikers tijdig beveiligingsupdates installeren en hun instellingen nalopen. Sommige features vergroten gebruiksgemak of functionaliteit, maar kunnen het aanvalsrisico vergroten, stelt het CISA. Afsluitend wordt aangeraden om IoT-apparaten niet zomaar op internet aan te sluiten. Zodra een apparaat is aangesloten staat het namelijk in verbinding met miljoenen andere systemen. "Overweeg of continue connectiviteit met het internet noodzakelijk is. Wanneer dit niet het geval is koppel het dan los", aldus het advies.

Reacties (19)
02-01-2020, 10:10 door Anoniem
Is er iemand wakker geworden?
02-01-2020, 10:26 door [Account Verwijderd]
Het Amerikaanse CISA (waar ik nog nooit van heb gehoord) adviseerd dus voor de gebruiker om goed op te letten... Dat gaat nooit werken en dat weten ze daar ook heel goed. Wat wel gaat werken is komen met wetten waarmee de fabrikant eens een keer aansprakelijk kunnen worden gezet ipv met kleine lettertjes te gaan werken voor de consument.
02-01-2020, 10:49 door Anoniem
Door donderslag: Wat wel gaat werken is komen met wetten waarmee de fabrikant eens een keer aansprakelijk kunnen worden gezet ipv met kleine lettertjes te gaan werken voor de consument.
Maar is het niet uiteindelijk die consument die besluit om zijn koelkast, verwarming en deurbel aan het internet te hangen, met alle risico's die daar bij komen kijken? Als andere internet gebruikers daar vervolgens last van krijgen, door bijvoorbeeld en DDoS aanval of het versturen van spam, is het dan niet redelijker om die gebruiker daar voor aansprakelijk te houden? Zo moeilijk is het niet om in de winkel na te vragen of je beveiligingsupdates krijgt op je koelkast, alleen is er niemand die dat doet omdat er geen gevoel voor verantwoordelijkheid is.
02-01-2020, 11:10 door Anoniem
En waar wil je die fabrikant dan voor aansprakelijk stellen?
Leuk hoor... je bent aansprakelijk want 'het is lek'. M$ kan meteen de deuren sluiten. Dus wellicht is het toch wel een goed idee!
02-01-2020, 11:43 door karma4
Door Anoniem: En waar wil je die fabrikant dan voor aansprakelijk stellen?
Leuk hoor... je bent aansprakelijk want 'het is lek'. M$ kan meteen de deuren sluiten. Dus wellicht is het toch wel een goed idee!
Gaan we weer M$ <!=> IOT (ongelijk!). Op OSS snel bij elkaar gezet omdat het werkt en goedkoop is. Aansprakelijkheid voor de OSS gemeenschap?
02-01-2020, 11:52 door [Account Verwijderd] - Bijgewerkt: 02-01-2020, 12:14
Door karma4:
Door Anoniem: En waar wil je die fabrikant dan voor aansprakelijk stellen?
Leuk hoor... je bent aansprakelijk want 'het is lek'. M$ kan meteen de deuren sluiten. Dus wellicht is het toch wel een goed idee!
Gaan we weer M$ <!=> IOT (ongelijk!). Op OSS snel bij elkaar gezet omdat het werkt en goedkoop is. Aansprakelijkheid voor de OSS gemeenschap?

Beide reacties slaan weer helemaal nergens op. Zowel Microsoft als Linux/OSS staan niet voor 100% gelijk aan IoT. Beiden hebben wel met IoT te maken. Ook Microsoft levert er software voor: https://developer.microsoft.com/nl-nl/windows/iot

IoT veiligheid staat of valt met goed beheer, ongeacht het onderliggende OS. Ik ben wel van mening dat de gemiddelde consument niet in staat is om dat goed uit te voeren wegens gebrek aan kennis.

Anoniem@11:10 stop met trollen en beste karma4 ga gewoon niet terug trollen, laat je niet uit je tent lokken.
02-01-2020, 12:18 door Anoniem
Je zult dus met centrale hardware beheertools moeten komen, die centraal via bijvoorbeeld via een app toegankelijk zijn.
Je wilt dus geen ransomware zo binnenkrijgen, toch? Dus IoT Security for your Smart TV.
Oh, en wat heeft anti-PHISHING hier van doen?

J.O.
02-01-2020, 12:50 door [Account Verwijderd]
Heren, gaan jullie hier verder en hou topics verschoond van zinloze discussies:

https://www.security.nl/posting/637563
02-01-2020, 12:55 door Anoniem
Door Anoniem: Is er iemand wakker geworden?
Welnee. Iedereen slaapt weer rustig verder. Want tja.... "het is allemaal zó handig en makkelijk!" Mensen zijn verworden tot een domme kudde makke schapen.
02-01-2020, 13:18 door Anoniem
Door Anoniem:
Door donderslag: Wat wel gaat werken is komen met wetten waarmee de fabrikant eens een keer aansprakelijk kunnen worden gezet ipv met kleine lettertjes te gaan werken voor de consument.

Maar is het niet uiteindelijk die consument die besluit om zijn koelkast, verwarming en deurbel aan het internet te hangen, met alle risico's die daar bij komen kijken? Als andere internet gebruikers daar vervolgens last van krijgen, door bijvoorbeeld en DDoS aanval of het versturen van spam, is het dan niet redelijker om die gebruiker daar voor aansprakelijk te houden? Zo moeilijk is het niet om in de winkel na te vragen of je beveiligingsupdates krijgt op je koelkast, alleen is er niemand die dat doet omdat er geen gevoel voor verantwoordelijkheid is.

Nou, nee. Een simpel voorbeeld. Je koopt een waterkoker (https://www.bbc.com/news/av/technology-32978561/infosecurity-europe-kettle-poses-a-hacking-risk). Deze is uitgerust met een Wifi adapter en/of Bluetooth dat vervolgens op eigen gelegenheid contact zoekt met het netwerk, of 24/7 loopt te broadcasten om een netwerk te vinden. Er is geen display of toetsenbord aan het apparaat om met een menu de wireless adapter uit te zetten, om nog maar te zwijgen van zoiets simpels als een schakelaar. De handleiding vermeldt niets over dat deze functionaliteit er ook nog in zit. En als er al waterkokers te koop zijn zonder WiFi/Bluetooth adapter, zie ze maar te vinden...

Het is leuk om de consument aansprakelijk te stellen. Maar de consument koopt geen computer om aan het internet te hangen. Hij koopt een waterkoker om een litertje water mee te koken. Dat is zoiets als de stuurbekrachtiging, ABS en alle andere hulpmiddelen uit autos te halen, alle autos het vermogen en temperament van Formule 1 bolides te geven (wat je in de Nederlandse files absoluut niet nodig hebt) en vervolgens de bestuurders aansprakelijk te stellen voor de schade. En dat maal alle elektrische apparaten die je in huis hebt. Ovens, wasmachines, koelkasten, vriezers, drogers, koffiezetapparaten, ...
02-01-2020, 13:19 door Erik van Straten - Bijgewerkt: 02-01-2020, 13:20
Door donderslag: Het Amerikaanse CISA (waar ik nog nooit van heb gehoord)
Het is onderdeel van US-CERT (dat al heel lang bestaat). US-CERT heeft een maillijst (die o.a. door seclists.org gearchiveerd wordt, zie https://seclists.org/cert/2019/index.html) waarop zij regelmatig waarschuwingen verspreiden en in een deel daarvan naar publicaties van CISA verwijzen.

Die publicaties vind ik overigens niet altijd even helder, zo ook deze. Het woord UPnP ontbreekt bijvoorbeeld in deze pagina en ik zie ook geen waarschuwing dat de meeste IoT meuk informatie van en over jou en jouw omgeving ongebreidelt "naar huis stuurt". Dat terwijl de meeste gebruikers niet weten dat ze, door een IoT device aan hun thuis-WiFi te koppelen, deze via UPnP wel degelijk als server aan internet kunnen hangen (dat andere aspect interesseert de meeste mensen sowieso niet, omdat ze menen niks te verbergen te hebben).

Pas als je, in die pagina (https://www.us-cert.gov/ncas/current-activity/2019/12/31/secure-new-internet-connected-devices) op de laatste link in het artikel klikt ("See Home Network Security for more information", https://www.us-cert.gov/ncas/tips/ST15-002) vind je info over UPnP, maar velen zullen dan allang hebben afgehaakt.

Door donderslag: ... CISA ... adviseerd dus voor de gebruiker om goed op te letten... Dat gaat nooit werken en dat weten ze daar ook heel goed. Wat wel gaat werken is komen met wetten waarmee de fabrikant eens een keer aansprakelijk kunnen worden gezet ipv met kleine lettertjes te gaan werken voor de consument.
Eens. UPnP zou by default uit moeten staan in thuisrouters, en zou per intern device (met de nodige waarschuwingen) aangezet moeten kunnen worden. Daarnaast zou het goed zijn als routers voor toegang tot interne devices een optioneel aanvullend identificatie- of authenticatie-mechanisme zouden ondersteunen voor "interne servers", zodat niet zomaar elke internetter ze kan benaderen. Bijv. iets als een remote-device-password, port-knocking of client-certificaat.
02-01-2020, 13:33 door Anoniem
Door karma4:
Door Anoniem: En waar wil je die fabrikant dan voor aansprakelijk stellen?
Leuk hoor... je bent aansprakelijk want 'het is lek'. M$ kan meteen de deuren sluiten. Dus wellicht is het toch wel een goed idee!
Gaan we weer M$ <!=> IOT (ongelijk!). Op OSS snel bij elkaar gezet omdat het werkt en goedkoop is. Aansprakelijkheid voor de OSS gemeenschap?

beste karma, in veel van je posts deed je die stelling dus juist wel; daar zet je gebruikers van OSS af als evangelisten en geef je linux de schuld van alle dingen die mis zijn met IoT. Ik ben blij dus blij dat je het jaar begonnen bent met een goed voornemen :). ik kan alleen maar zeggen, blijf dat volhouden, dat zal gewaardeerd worden en je zult merken dat je minder als trol aangemerkt gaat worden.
02-01-2020, 13:43 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door donderslag: Wat wel gaat werken is komen met wetten waarmee de fabrikant eens een keer aansprakelijk kunnen worden gezet ipv met kleine lettertjes te gaan werken voor de consument.

Maar is het niet uiteindelijk die consument die besluit om zijn koelkast, verwarming en deurbel aan het internet te hangen, met alle risico's die daar bij komen kijken? Als andere internet gebruikers daar vervolgens last van krijgen, door bijvoorbeeld en DDoS aanval of het versturen van spam, is het dan niet redelijker om die gebruiker daar voor aansprakelijk te houden? Zo moeilijk is het niet om in de winkel na te vragen of je beveiligingsupdates krijgt op je koelkast, alleen is er niemand die dat doet omdat er geen gevoel voor verantwoordelijkheid is.

Nou, nee. Een simpel voorbeeld. Je koopt een waterkoker (https://www.bbc.com/news/av/technology-32978561/infosecurity-europe-kettle-poses-a-hacking-risk). Deze is uitgerust met een Wifi adapter en/of Bluetooth dat vervolgens op eigen gelegenheid contact zoekt met het netwerk, of 24/7 loopt te broadcasten om een netwerk te vinden. Er is geen display of toetsenbord aan het apparaat om met een menu de wireless adapter uit te zetten, om nog maar te zwijgen van zoiets simpels als een schakelaar. De handleiding vermeldt niets over dat deze functionaliteit er ook nog in zit. En als er al waterkokers te koop zijn zonder WiFi/Bluetooth adapter, zie ze maar te vinden...

Het is leuk om de consument aansprakelijk te stellen. Maar de consument koopt geen computer om aan het internet te hangen. Hij koopt een waterkoker om een litertje water mee te koken. Dat is zoiets als de stuurbekrachtiging, ABS en alle andere hulpmiddelen uit autos te halen, alle autos het vermogen en temperament van Formule 1 bolides te geven (wat je in de Nederlandse files absoluut niet nodig hebt) en vervolgens de bestuurders aansprakelijk te stellen voor de schade. En dat maal alle elektrische apparaten die je in huis hebt. Ovens, wasmachines, koelkasten, vriezers, drogers, koffiezetapparaten, ...

Het is natuurlijk niet zo dat een dergelijk device 'zomaar' je netwerk in springt, er zal toch iemand toe moeten staan dat het ding op je WIFI netwerk mag. Dus het uitzetten van een niet geconnect WIFI device is eigenlijk ook niet strikt noodzakelijk.
02-01-2020, 13:56 door Anoniem
Weet het verder niet hoor, maar als ik verbind met Wi-Fi bij me thuis, is het nodig om een SSID te selecteren
en dan een sleutel in te voeren. Als dat niet nodig is, zijn die slimme IOT apparaten slimmer dan ik had gedacht.
02-01-2020, 15:10 door Anoniem
Door Kili Manjaro:
Door karma4:
Door Anoniem: En waar wil je die fabrikant dan voor aansprakelijk stellen?
Leuk hoor... je bent aansprakelijk want 'het is lek'. M$ kan meteen de deuren sluiten. Dus wellicht is het toch wel een goed idee!
Gaan we weer M$ <!=> IOT (ongelijk!). Op OSS snel bij elkaar gezet omdat het werkt en goedkoop is. Aansprakelijkheid voor de OSS gemeenschap?

Beide reacties slaan weer helemaal nergens op. Zowel Microsoft als Linux/OSS staan niet voor 100% gelijk aan IoT. Beiden hebben wel met IoT te maken. Ook Microsoft levert er software voor: https://developer.microsoft.com/nl-nl/windows/iot

IoT veiligheid staat of valt met goed beheer, ongeacht het onderliggende OS. Ik ben wel van mening dat de gemiddelde consument niet in staat is om dat goed uit te voeren wegens gebrek aan kennis.

Anoniem@11:10 stop met trollen en beste karma4 ga gewoon niet terug trollen, laat je niet uit je tent lokken.

Precies.
We zitten nog geen 35 uur in het nieuwe jaar en het stompzinnige al 30 decennia (30 jaar) durende welles/nietes gemiep over operating systempje zus of zo gaat weer op de oude voet verder.
02-01-2020, 16:19 door Anoniem
Gezien voor veel apparaten een account absoluut verplicht is en je zonder het apparaat vaak domweg niet kunt gebruiken, zullen veel consumenten het als 'absoluut noodzakelijk' zien deze aan het internet te hangen. Dat, samen met het afdwingen van updates, is dan ook waar we de oplossing moeten zoeken. Het is tegenwoordig bijna onmogelijk om vooraf te zien of je een verplicht cloud-account nodig hebt voor een zogenaamd slim apparaat, al kan je er eigenlijk wel vanuit gaan.
02-01-2020, 22:29 door [Account Verwijderd]
Door Anoniem: Gezien voor veel apparaten een account absoluut verplicht is en je zonder het apparaat vaak domweg niet kunt gebruiken, zullen veel consumenten het als 'absoluut noodzakelijk' zien deze aan het internet te hangen. Dat, samen met het afdwingen van updates, is dan ook waar we de oplossing moeten zoeken. Het is tegenwoordig bijna onmogelijk om vooraf te zien of je een verplicht cloud-account nodig hebt voor een zogenaamd slim apparaat, al kan je er eigenlijk wel vanuit gaan.

Simpel, dan koop je gewoon bewust apparaten die wel functioneren zonder internet verbinding. Ik heb geen enkel IoT apparaat thuis en ik mis het geheel niet.
03-01-2020, 10:02 door Anoniem
Door Kili Manjaro:
Door Anoniem: Gezien voor veel apparaten een account absoluut verplicht is en je zonder het apparaat vaak domweg niet kunt gebruiken, zullen veel consumenten het als 'absoluut noodzakelijk' zien deze aan het internet te hangen. Dat, samen met het afdwingen van updates, is dan ook waar we de oplossing moeten zoeken. Het is tegenwoordig bijna onmogelijk om vooraf te zien of je een verplicht cloud-account nodig hebt voor een zogenaamd slim apparaat, al kan je er eigenlijk wel vanuit gaan.

Simpel, dan koop je gewoon bewust apparaten die wel functioneren zonder internet verbinding. Ik heb geen enkel IoT apparaat thuis en ik mis het geheel niet.

In de praktijk blijk je dan hele categorieën apparatuur niet te kunnen kopen. Fitness-trackers, een weegschaal die je gewicht bijhoudt en tal van dergelijke apparaten zijn domweg niet te koop zonder een verplicht account. Bij iets als sociale media ontkom je er niet aan en zal je het domweg moeten laten, maar bij dergelijke apparatuur is er geen intrinsieke reden waarom er een account nodig zou zijn. IoT en 'slim' zijn twee verschillende dingen, maar worden vaak gebruikt alsof ze identiek zijn.

We zouden dan ook naar een model moeten willen waarbij het niet moeten hoeven gebruiken van een account een verkoopargument is, of desnoods waarbij wetgeving dit afdwingt, samen met verplichte en tijdige beveiligingsupdates.
03-01-2020, 16:12 door Anoniem
Een prachtige site om te volgen in verband met IoT is pentestpartners.com, een Brits bedrijf dat er een hobby (en public relations stunt) van maakt om aan de lopende band te experimenteren met het hacken van IoT apparaten. Enkele van de spectaculairder, soms humoristische, soms minder leuke, momenten:

https://www.pentestpartners.com/security-blog/burning-down-the-house-with-iot/ (Krultang).

https://www.pentestpartners.com/security-blog/hacking-the-echo-echo-echo/ (Youtube video: "Alexa, turn off the lights." via de Wifi in de TV -> Duisternis.:LOL "Alexa, turn off the burglar alarm" -> Niet zo leuk).

https://www.pentestpartners.com/security-blog/hijacking-philips-hue/ (Lampen).

https://www.pentestpartners.com/security-blog/hacking-a-talking-toy-parrot/ (Een speelgoedpapegaai laten vloeken).

Door Kili Manjaro:
Door Anoniem: Gezien voor veel apparaten een account absoluut verplicht is en je zonder het apparaat vaak domweg niet kunt gebruiken, zullen veel consumenten het als 'absoluut noodzakelijk' zien deze aan het internet te hangen. Dat, samen met het afdwingen van updates, is dan ook waar we de oplossing moeten zoeken. Het is tegenwoordig bijna onmogelijk om vooraf te zien of je een verplicht cloud-account nodig hebt voor een zogenaamd slim apparaat, al kan je er eigenlijk wel vanuit gaan.

Simpel, dan koop je gewoon bewust apparaten die wel functioneren zonder internet verbinding. Ik heb geen enkel IoT apparaat thuis en ik mis het geheel niet.

Pas op, bij de meeste apparaten wordt niet verteld dat ze IoT mogelijkheden hebben. Maar vaak zitten die er wel in, voor het gemak van onderhoud bij de fabrieken of andere redenen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.