Wat is IoT beveiliging?

IoT beveiliging is de praktijk die IoT systemen veilig houdt.

 

Leerdoelen

Na het lezen van dit artikel weet je meer over:

  • Wat is IoT beveiliging

  • Voor welke aanvallen zijn IoT apparaten het kwetsbaarst?

  • Hoe worden gehackte IoT apparaten misbruikt?

  • Hoe kan je de beveiliging van je IoT apparaten verbeteren?

 

Inleiding

Het 'Internet of Things' beschrijft direct in zijn naam een veiligheidsrisico. Het verbinden van voorheen lokale apparaten met het internet. Helaas gaat dit gepaard met veiligheidsrisico's. Door extra slimme apparaten toe te voegen aan jehuidige apparatuur, krijg je overal ter wereld toegang tot die apparaten. Een goed voorbeeld zijn autodeelplatforms die slimme controlesystemen in hun auto's installeren om ze te kunnen volgen en sloten op afstand te kunnen bedienen. Dat verandert je auto, die tot nu toe ontoegankelijk was, in een slim, maar hackbaar apparaat dat verbinding heeft met het internet.

Wat is IoT beveiliging?

Omdat IoT apparaten met het internet zijn verbonden, kunnen ze met veel veiligheidsproblemen te maken krijgen. Vanwege hun aard worden ze meestal zo kosten- en energie-efficiënt mogelijk gemaakt en zijn ze over het algemeen eenvoudig, waardoor beveiliging zelden een topprioriteit is.

Omdat het internet je in staat stelt op afstand toegang te krijgen tot je apparaat, kunnen anderen dat ook. Meestal zijn het kwaadwillende groepen die toegang proberen te krijgen tot je apparaat om het te gebruiken voor hun eigen kwaadwillende doeleinden. Op die manier kan je apparaat worden gecompromitteerd en worden gebruikt voor andere kwaadaardige doeleinden zonder dat je dit zelf weet. Bovendien kan, afhankelijk van het IoT apparaat, je gevoelige en persoonlijke informatie worden gecompromitteerd, wat een enorm risico is.

Je IoT apparaat beveiligen betekent dat je een aantal extra maatregelen neemt om ervoor te zorgen dat je apparaat niet gemakkelijk het doelwit kan worden van kwaadwillenden.

Voor welke aanvallen zijn IoT apparaten het kwetsbaarst?

Exploits voor firmware kwetsbaarheden

Ongeoorloofde toegang

Veel apparaten worden onbeheerd achtergelaten zonder enige bescherming. Soms hoef je alleen maar verbinding te maken met een open Wi-Fi-netwerk en je krijgt toegang tot apparaten die op hetzelfde netwerk zijn aangesloten. Er zijn geen beveiligingsvoorzieningen om iemand ervan te weerhouden zoiets te doen. Als je eenmaal toegang hebt tot onbeveiligde apparaten, kun je malware installeren en controle over het apparaat krijgen, zelfs als iemand er later in slaagt om deze apparaten te beveiligen. Het is ook mogelijk dat het apparaat zelf of de firmware ervan defect is en dat de beveiliging ervan met een paar regels code kan worden omzeild.


Zwakke authenticatie

Een van de meest gebruikte manieren om kwaadwillig toegang te krijgen tot IoT apparaten is door simpelweg een heleboel verschillende gebruikersnamen en wachtwoorden te proberen in de hoop dat het werkt. Veel mensen hebben ook de neiging om hetzelfde wachtwoord voor veel verschillende diensten te gebruiken. In het geval dat een van deze diensten gehackt wordt en je wachtwoord uitlekt, loop je het risico dat je andere diensten ook in gevaar komen. Om jezelf daartegen te beschermen, is het aan te raden voor elke dienst een ander wachtwoord gebruiken. Wachtwoordbeheerprogramma's zijn daar zeer geschikt voor.

Verborgen achterdeuren

Een backdoor is een soort extra code in het systeem van een apparaat waarmee toegang tot het apparaat kan worden verkregen zonder enige autorisatie. Soms wordt die code door de fabrikant zelf achtergelaten. Dit soort achterdeurtjes heeft een legitiem doel, bijvoorbeeld de fabrikant de mogelijkheid bieden om wachtwoorden van gebruikers te achterhalen. Maar als fabrikanten er toegang toe hebben, kunnen hackers dat ook, ervan uitgaande dat ze weten hoe ze dat moeten doen.

Hackers kunnen de achterdeur ook zelf installeren door fysiek bij het apparaat te komen of door er op een of andere manier in te slagen die achterdeur op afstand te installeren. Er kunnen virussen zitten in je computer of een ander apparaat dat je gebruikt om toegang te krijgen tot je IoT apparaat en bij verbinding met je IoT apparaat uploadt het virus automatisch schadelijke bestanden naar je apparaat zonder dat je het zelfs maar weet.

Wachtwoord hashes

Meestal zijn wachtwoorden versleuteld (hashed), dus als iemand toegang heeft tot je netwerk of je apparaat met een virus heeft geïnfecteerd, kunnen ze het wachtwoord dat je invoert in versleutelde vorm zien. Je kan dus 'wachtwoord' naar je apparaat sturen om er toegang toe te krijgen, maar hackers zien iets als '5F4DCC3B5AA765D61D8327DEB882CF99'. Je zou denken dat dit geweldig is, omdat je wachtwoord niet bekend is, maar in werkelijkheid hoeven ze je wachtwoord niet echt te weten - ze kunnen gewoon proberen dat gehashte wachtwoord direct door te geven om toegang te krijgen tot je apparaat, omdat IoT apparaten weinig beveiligingsmaatregelen hebben om dit soort aanvallen te voorkomen.

Encryptiesleutels

Het netwerkprotocol Secure Shell (SSH) wordt vaak gebruikt om op afstand veilig in te loggen op computersystemen. Om het netwerk te decoderen en te versleutelen heb je een SSH sleutel nodig. Er zijn twee soorten SSH-sleutels - private en publieke. Private sleutels zijn het belangrijkst, dus deze moeten veilig worden opgeslagen. Publieke sleutels kunnen worden gedeeld en opgeslagen op meerdere apparaten, omdat publieke sleutels een lijst van geautoriseerde private sleutels hebben. Als je een private sleutel hebt, dan kan je op afstand toegang krijgen tot je apparaat.

Meestal worden de private sleutels gestolen omdat ze niet op de juiste manier worden opgeslagen. Soms worden ze per ongeluk online gezet en op die manier gestolen of steelt een virus in je toestel je private sleutel. Als de sleutel eenmaal is gestolen, kunnen hackers wanneer ze maar willen je apparaat binnenkomen omdat ze dezelfde sleutel hebben als jij.

Buffer overflows

Buffer overflow treedt op wanneer een programma probeert meer gegevens in een vast geheugenblok (buffer) te schrijven, dan waarvoor dat blok is toegewezen. Dus wat er gebeurt is dat alle extra gegevens die niet in een toegewezen buffer kunnen worden opgeslagen, naar een ander geheugenblok worden verplaatst. Door zorgvuldig geschreven invoer naar een applicatie te sturen, kan een hacker de applicatie verleiden tot het uitvoeren van willekeurige code en mogelijk de controle over het apparaat overnemen.

Open source code

In plaats van hun eigen code te moeten ontwikkelen, kiezen sommige fabrikanten van IoT apparaten ervoor open source code in hun apparaat te gebruiken, omdat die gratis is. Dit kan zowel goed als slecht zijn. Open source code betekent dat iedereen toegang heeft tot de code en kan zien hoe het werkt en zelfs de code zelf kan kopiëren. Als iedereen de code kan bekijken, kunnen veel ontwikkelaars aan die specifieke code werken en eventuele kwetsbaarheden vinden. Hackers hebben echter ook een voordeel, aangezien zij de volledige code kennen en gemakkelijk kunnen werken aan het vinden van eventuele kwetsbaarheden voordat deze door anderen worden opgemerkt en gepatcht. Soms wordt de open rource code niet meer bijgehouden, wat betekent dat hij niet meer wordt bijgewerkt, en hackers kunnen dat in hun voordeel gebruiken door hun tijd te nemen om mogelijke kwetsbaarheden te vinden.

Aanvallen op basis van credentials

Elk nieuw apparaat dat je krijgt, heeft een standaard gebruikersnaam en wachtwoord. Dat omvat, maar is niet beperkt tot, CCTV-camera's, routers en trackers. Fabrikanten gebruiken dezelfde standaardgebruikersnaam en hetzelfde standaardwachtwoord omdat dat erg handig is. Ze hoeven dan geen code aan te passen en kunnen het apparaat gewoon in elkaar zetten. Helaas kiezen veel mensen er niet voor om hun standaardgegevens te wijzigen in iets veiligers en dat maakt een IoT apparaat kwetsbaar. Elke standaard gebruikersnaam en wachtwoord voor elk apparaat is online beschikbaar en als je IoT apparaat is aangesloten op het internet - is het vinden ervan eenvoudig. Zodra iemand je apparaat vindt, zal hij gevraagd worden in te loggen en kan hij proberen om de standaard gebruikersnaam en wachtwoord te gebruiken. Deze methode vereist bijna geen technische kennis, dus het is een erg populaire aanvalsmethode.

On-path aanvallen

On-path aanvallen vinden plaats wanneer iemand je verbinding onderschept door tussen twee partijen te komen - verzender en ontvanger. In plaats van gegevens rechtstreeks naar de gewenste locatie te sturen, stuur je onbewust gegevens naar de hacker die ze vervolgens doorstuurt naar de gewenste locatie, zodat zowel jij als de ontvanger denken dat je met elkaar communiceert, maar in werkelijkheid worden je berichten doorgestuurd. Dat betekent dat degene die de informatie doorstuurt, deze kan veranderen in wat hij maar wil en de inhoud kan zien van de informatie die jij stuurt (zoals je wachtwoorden).

Op fysieke hardware gebaseerde aanvallen

IoT apparaten worden vaak onbeheerd achtergelaten, wat betekent dat als het apparaat zich op een openbare plaats bevindt en gemakkelijk kan worden benaderd, het risico bestaat dat het wordt gehackt. Als iemand erin slaagt fysiek bij je apparaat te komen, dan kan hij verschillende methoden gebruiken om toegang te krijgen tot het apparaat. Fysieke toegang biedt hackers de mogelijkheid om via een kabel verbinding te maken met het apparaat en vervolgens de firmware van het apparaat in realtime te bewerken, of ze kunnen het apparaat resetten naar de fabrieksinstellingen en een op credentials gebaseerde aanval gebruiken wanneer ze de standaardgebruikersnaam en -wachtwoord gebruiken.

Hoe worden gehackte IoT apparaten misbruikt?

Botnets

Wanneer iemand kwaadaardige code naar je IoT apparaat uploadt, kan hij het apparaat veranderen in een 'zombie' of een 'bot' die deel uitmaakt van de vele andere kwaadwillig geïnfecteerde apparaten. Samen creëren deze apparaten een botnet - een verbonden netwerk van een heleboel apparaten die door 1 entiteit kunnen worden bestuurd. Eén apparaat alleen kan niet veel doen, maar wanneer je miljoenen apparaten hebt die op een gecoördineerde manier iets doen - wordt het een echt krachtig wapen. Hier zijn een paar voorbeelden van wat met een botnet kan worden gedaan:

DDoS aanvallen

Gedistribueerde denial-of-service (DDoS). Er zijn verschillende soorten DDoS aanvallen, maar ze werken allemaal hetzelfde - vanaf veel apparaten tegelijkertijd veel gegevens naar een doel sturen.

Deze botnets kunnen zelfs zo krachtig zijn dat ze het internet in de hele wereld kunnen vertragen. Het verkeer kan 1 terabyte per seconde overschrijden en dat is ongeveer hetzelfde als 250 films per seconde downloaden. Het is duidelijk dat als je een enkele server of dienst als doelwit zou nemen, deze waarschijnlijk niet in staat zou zijn dergelijk verkeer aan te kunnen en eenvoudigweg zou uitschakelen.

Cyberaanvallen

Botnets kunnen worden gebruikt voor elke vorm van cyberaanval. Vaak worden botnets gebruikt om te proberen een weg door een systeem te forceren. Elk geïnfecteerd apparaat kan bijvoorbeeld proberen in te loggen op een specifieke website met willekeurige gegevens, totdat één op de miljoen apparaten erin slaagt het juiste wachtwoord te raden.

Cryptocurrency mining

Met de opkomst van blockchain-technologie zijn mensen begonnen met het delven van verschillende soorten digitale valuta met behulp van CPU's en GPU's. De meeste apparaten hebben CPU's, dus als je apparaat is geïnfecteerd, kan iemand je apparaat gebruiken om cryptocurrencies te delven. Het delven zelf heeft gevolgen voor je datagebruik, de snelheid van je apparaat en slijtage van de hardware.

IoT apparaten gebruiken om in andere netwerken binnen te dringen

IoT apparaten zijn vaak verbonden met een router. Meestal is dit het geval met routers voor thuis en op kantoor, omdat mensen denken dat het geen zin heeft om alleen voor dat IoT apparaat een simkaart te kopen wanneer je wifi-dekking hebt. Hoewel het inderdaad goedkoper is om je apparaat op een router aan te sluiten, omdat het gebruikmaakt van het internetdataplan dat je thuis of op kantoor al hebt en je niet extra betaalt, zijn er enkele beveiligingsproblemen die daarmee gepaard gaan. Sluit je een IoT apparaat op een router aan, dan moeten beide apparaten met elkaar kunnen communiceren. Die communicatie brengt het risico met zich mee dat als iemand toegang krijgt tot je IoT apparaat, hij zijn weg kan hacken naar je router en van het router naar je andere apparaten. Dit is een enorm risico omdat je hele netwerk (pc's, printers, IoT apparaten, enz.) toegankelijk kan zijn voor een hacker.

Dat is waar simkaarten van pas komen. Ze gebruiken hun eigen mobiele netwerk (net als je telefoon), dus als je IoT apparaat wordt gehackt, blijven je andere apparaten veilig voor dit soort aanvallen.

Hoe kan je de beveiliging van je IoT apparaten verbeteren?

Software- en firmware-updates

Zorg dat firmware en software altijd up-to-date zijn, omdat deze meestal veel bugs en kwetsbaarheden verhelpen. Controleer altijd online wat de huidige versie van software is om deze te vergelijken met de versie die je op je apparaat hebt, want als iemand je apparaat al heeft gehackt, kan hij de automatische updates van de software of firmware hebben uitgeschakeld om deze kwetsbaarheden aanwezig te laten zijn.

Sterke credentials

Een veel voorkomende aanvalsmethode is het gebruik van het standaardwachtwoord om toegang te krijgen tot het apparaat. Veel mensen nemen niet de moeite om hun wachtwoorden te wijzigen en laten ze op standaard staan. Dit soort apparaten zijn de gemakkelijkste prooi voor kwaadwillende hackers. Om dat te voorkomen, gebruik je altijd een sterk wachtwoord met letters, cijfers en speciale tekens. Probeer het ook uniek en willekeurig te maken, zodat het niet kan worden geraden. Wij raden aan een goede wachtwoordmanager te gebruiken die je helpt al je wachtwoorden te beheren door ze veilig op te slaan en willekeurige wachtwoorden aan te maken voor elke website of dienst waar je een account hebt.

Authenticatiemethode

Er zijn meerdere authenticatiemethodes, waarvan de basis de bekende gebruikersnaam en wachtwoord methode is. Daarnaast raden wij aan om waar mogelijk gebruik te maken van multi-factor authenticatie (MFA). Het werkt door een manier te bieden om je login extra te authenticeren met een tijdelijke code, vingerafdruk of gezichtsherkenning op je mobiel of een ander apparaat. Op die manier moet een hacker, zelfs als hij je inloggegevens kent, zich op de een of andere manier authenticeren met een van de extra opties om succesvol op je apparaat binnen te komen.

Het 2019-rapport van Microsoft heeft geconcludeerd dat MFA echt goed werkt, aangezien het 99,9% van de geautomatiseerde aanvallen blokkeert.

Fysieke locatie

Als je apparaten zich op een openbare plaats bevinden, zoals beveiligingscamera's, kunnen ze fysiek worden benaderd en worden overgenomen of geïnfecteerd, daarom is het belangrijk ze op plaatsen te zetten die moeilijker te bereiken zijn. Dat zorgt ervoor dat kwaadwillenden er geen toegang toe hebben, waardoor ze het gemakkelijker zouden kunnen hacken.

Separate aansluiting

Om je hele netwerk te beschermen voor het geval iemand erin slaagt je IoT apparaat te hacken, moet je een simkaart met mobiele data binnen het apparaat zelf gebruiken. Op die manier kan je gehackte apparaat geen kwaadaardig acties richting je andere apparaten uitvoeren omdat het zich niet in hetzelfde netwerk bevindt.

VPN

Het gebruik van een Virtual Private Network (VPN) is een goede manier om je verbinding te versleutelen. In combinatie met een simkaart kan je jouw toestel offline en ontoegankelijk op het internet laten lijken, maar het is eigenlijk alleen toegankelijk via een specifiek VPN-profiel waartoe alleen jij toegang hebt.

Openbare IP route

In plaats van een Public IP simkaart direct te gebruiken, kan je ook kiezen voor een Public IP route. Gewone Public IP is voor iedereen toegankelijk via het internet en het enige wat je apparaat beschermt is de gebruikersnaam en het wachtwoord. Wanneer je de Public IP route gebruikt in plaats van rechtstreeks verbinding te maken met je IoT apparaat, maak je verbinding met onze service via een gateway die wordt bewaakt, gepatcht en beschermd tegen kwaadaardige aanvallen, zoals DDoS.

NAT gateway

Network Address Translation (NAT) stelt je IoT apparaten in staat toegang te krijgen tot het internet zonder je zorgen te maken over de veiligheid. Wanneer je verbinding wilt maken met het internet, wordt het verkeer omgeleid naar de NAT-gateway die een openbaar IP adres heeft en toegang krijgt tot het internet voor je apparaat. Dit beschermt je SIM tegen iedereen die vanaf het internet verbinding probeert te maken met je apparaat.

Bijvoorbeeld: Als je apparaat Google wil bezoeken, wordt dat verzoek doorgestuurd naar de NAT-gateway. De NAT gateway stuurt dat verzoek vervolgens door naar Google met zijn eigen openbare IP adres en Google stuurt de gegevens vervolgens terug naar de NAT gateway. De NAT-gateway stuurt de gegevens vervolgens door naar je apparaat (de website wordt voor je geladen). Terwijl je met het internet bent verbonden, probeert een kwaadwillende toegang te krijgen tot je apparaat door verzoeken naar de NAT-gateway te sturen, die voor je SIM bestemd zijn. De NAT-gateway controleert of je toestel om dergelijk verkeer heeft gevraagd en negeert dit verzoek gewoon.

Conclusie

IoT apparaten worden gebouwd om energie-efficiënt en zo eenvoudig mogelijk te zijn, daarom wordt er niet altijd rekening gehouden met de beveiliging. Dat betekent dat IoT apparaten op veel verschillende manieren kunnen worden gehackt en misbruikt. Er zijn echter ook veel eenvoudige manieren om dat te voorkomen en het beste is dat de meeste van deze dingen eenvoudig in te stellen zijn en helemaal gratis zijn. Door onze aanbevelingen op te volgen, kan je deze extra maatregelen implementeren die je apparaat veiliger maken. Bovendien biedt Simbase anvullende beveiligingsfuncties die je kan inschakelen in je dashboard. De tijd nemen om je toestellen te beveiligen kan je dat extra voordeel geven op de hackers.