Alle berichten
Wat is IoT-beveiliging?
IoT-beveiliging is de praktijk die uw IoT-systemen veilig houdt.
Leerdoelen
Na het lezen van dit artikel zul je het begrijpen:
Wat is IoT-beveiliging
Voor welke aanvallen zijn IoT-apparaten het meest kwetsbaar?
Hoe worden gehackte IoT-apparaten uitgebuit?
Hoe u de beveiliging van uw IoT-apparaten kunt verbeteren
Inleiding
Het 'internet der dingen' beschrijft direct in zijn naam een beveiligingsrisico. Voorheen lokale apparaten verbinden met het internet. Helaas gaat dit gepaard met beveiligingsrisico's. Door extra slimme apparaten op je andere apparaten te installeren, heb je overal ter wereld toegang. Een goed voorbeeld zijn autodeelplatforms die slimme besturingssystemen in hun auto's installeren om ze te kunnen volgen en sloten op afstand te kunnen bedienen. Dat verandert je auto, die van afstand ontoegankelijk was, in feite in een slim, maar hackbaar apparaat dat verbinding heeft met het internet.
Wat is IoT-beveiliging?
Omdat IoT-apparaten verbonden zijn met het internet, kunnen ze te maken krijgen met veel beveiligingsproblemen. Door hun aard worden ze meestal gemaakt om zo kosten- en energie-efficiënt mogelijk te zijn en eenvoudig in het algemeen, waardoor beveiliging zelden een topprioriteit is.
Omdat je via het internet op afstand toegang kunt krijgen tot je apparaat, kunnen anderen dat ook. Meestal zijn het kwaadwillende groepen die toegang proberen te krijgen tot je apparaat om het te gebruiken voor hun eigen kwaadwillende doeleinden. Op die manier kan je apparaat worden gecompromitteerd en gebruikt voor andere kwaadaardige doeleinden zonder dat je het weet. Bovendien kunnen, afhankelijk van het IoT-apparaat, je gevoelige en privégegevens in gevaar komen, wat een enorm risico is.
Het beveiligen van je IoT-apparaat betekent dat je een aantal extra maatregelen neemt om ervoor te zorgen dat je apparaat niet gemakkelijk het doelwit kan worden van kwaadwillende entiteiten.
Voor welke aanvallen zijn IoT-apparaten het meest kwetsbaar?
Firmware kwetsbaarheid exploits
Ongeoorloofde toegang
Er zijn veel apparaten die gewoon onbeheerd worden achtergelaten zonder enige bescherming. Soms hoef je alleen maar verbinding te maken met een open Wi-Fi-netwerk en je hebt toegang tot apparaten die op hetzelfde netwerk zijn aangesloten. Er zijn geen beveiligingsfuncties die iemand ervan kunnen weerhouden om zoiets te doen. Als je eenmaal toegang hebt tot onbeveiligde apparaten, kun je malware installeren en controle krijgen over het apparaat, zelfs als iemand er later in slaagt om deze apparaten te beveiligen. Het is ook mogelijk dat het apparaat zelf of de firmware defect is en dat de beveiliging omzeild kan worden met een paar regels code.
Zwakke verificatie
Een van de meest gebruikte manieren om kwaadwillig toegang te krijgen tot IoT-apparaten is door simpelweg veel verschillende gebruikersnamen en wachtwoorden te proberen in de hoop dat het werkt. Ook hebben veel mensen de neiging om hetzelfde wachtwoord voor veel verschillende diensten te gebruiken. Als een van deze diensten wordt gehackt en je wachtwoord uitlekt, loop je het risico dat je andere diensten ook worden gehackt. Om jezelf daartegen te beschermen, moet je voor elke dienst een ander wachtwoord gebruiken. Programma's voor het beheren van wachtwoorden zijn daar heel geschikt voor.
Verborgen achterdeuren
Een backdoor is een soort extra code in het systeem van een apparaat waarmee toegang kan worden verkregen tot het apparaat zonder toestemming. Soms wordt die code door de fabrikant zelf achtergelaten. Dit soort backdoors hebben legitieme toepassingen, zoals een manier voor de fabrikant om wachtwoorden van gebruikers te achterhalen. Maar als fabrikanten er toegang toe kunnen krijgen, kunnen hackers dat ook, ervan uitgaande dat ze weten hoe ze dat moeten doen.
Hackers kunnen de achterdeur ook zelf installeren door fysiek bij het apparaat te komen of door op een of andere manier die achterdeur op afstand te installeren. Er kunnen virussen zitten in je computer of een ander apparaat dat je gebruikt om toegang te krijgen tot je IoT-apparaat en bij verbinding met je IoT-apparaat uploadt het virus automatisch schadelijke bestanden naar je apparaat zonder dat je het weet.
Wachtwoord hashes
Meestal zijn wachtwoorden versleuteld (gehasht), dus als iemand toegang heeft tot je netwerk of je apparaat heeft geïnfecteerd met een virus, kunnen ze het wachtwoord dat je invoert versleuteld zien. Je stuurt dus misschien 'wachtwoord' naar je apparaat om toegang te krijgen, maar hackers zien een wartaal als '5F4DCC3B5AA765D61D8327DEB882CF99'. Je zou denken dat dit geweldig is, omdat je wachtwoord niet bekend is, maar in werkelijkheid hoeven ze je wachtwoord niet echt te weten - ze kunnen gewoon proberen om dat gehashte wachtwoord als zodanig door te geven om toegang tot je apparaat te krijgen, omdat IoT-apparaten niet veel beveiligingsmaatregelen hebben om dit soort aanvallen te voorkomen.
Encryptiesleutels
Secure Shell (SSH) netwerkprotocol wordt vaak gebruikt voor veilig inloggen op computersystemen op afstand. Om het netwerk te ontsleutelen en versleutelen heb je een SSH-sleutel nodig. Er zijn twee soorten SSH-sleutels: privésleutels en openbare sleutels. Privé sleutels zijn het belangrijkst, dus moeten ze veilig worden opgeslagen. Publieke sleutels kunnen gedeeld en opgeslagen worden op meerdere apparaten omdat publieke sleutels een lijst hebben met geautoriseerde private sleutels. Als je een privésleutel hebt, heb je op afstand toegang tot je apparaat.
Meestal worden de privésleutels gestolen omdat ze niet op de juiste manier worden opgeslagen. Soms worden ze per ongeluk online geüpload en op die manier gestolen, of een eenvoudig virus in je apparaat steelt je privésleutel. Als de sleutel eenmaal gestolen is, kunnen hackers je apparaat binnenkomen wanneer ze maar willen, omdat ze dezelfde sleutel hebben als jij.
Buffer overflows
Bufferoverloop treedt op wanneer een programma meer gegevens in een vast geheugenblok (buffer) probeert te schrijven dan dat blok kan bevatten. Wat er dus gebeurt, is dat alle extra gegevens die niet in een toegewezen buffer kunnen worden opgeslagen, naar een ander geheugenblok worden verplaatst. Door zorgvuldig geschreven invoer naar een applicatie te sturen, kan een hacker de applicatie misleiden om willekeurige code uit te voeren en mogelijk de controle over het apparaat overnemen.
Open broncode
In plaats van hun eigen code te moeten ontwikkelen, kunnen sommige fabrikanten van IoT-apparaten ervoor kiezen om open source code te gebruiken in hun apparaat, omdat die gratis is. Dit kan zowel goed als slecht zijn. Open source code betekent dat iedereen toegang heeft tot de code en kan zien hoe het werkt en zelfs de code zelf kan kopiëren. Als iedereen de code kan bekijken, kunnen veel ontwikkelaars aan die specifieke code werken en kwetsbaarheden vinden. Hackers hebben echter ook een voordeel, omdat ze de volledige code kennen en gemakkelijk kwetsbaarheden kunnen vinden voordat ze door anderen worden opgemerkt en gepatcht. Soms wordt de open source code niet meer bijgehouden, wat betekent dat deze niet meer wordt bijgewerkt en hackers kunnen dat in hun voordeel gebruiken door de tijd te nemen om mogelijke kwetsbaarheden te vinden.
Aanvallen met referenties
Elk nieuw apparaat dat je krijgt, wordt geleverd met een standaard gebruikersnaam en wachtwoord. Dat is inclusief, maar niet beperkt tot, CCTV-camera's, routers, trackers enzovoort. Fabrikanten gebruiken dezelfde standaard gebruikersnaam en wachtwoord omdat dat erg handig is, omdat ze geen code hoeven aan te passen en het apparaat gewoon kunnen monteren zoals het is. Helaas kiezen veel mensen er niet voor om hun standaardgegevens te wijzigen in iets veiligers en dat maakt een IoT-apparaat zo kwetsbaar als maar kan. Elke standaard gebruikersnaam en wachtwoord voor elk apparaat is online beschikbaar en als je IoT-apparaat verbonden is met het internet, is het eenvoudig te vinden. Zodra iemand je apparaat vindt, wordt hij gevraagd om in te loggen en kan hij proberen om de standaard gebruikersnaam en wachtwoord te gebruiken. Deze methode vereist bijna geen technische kennis, dus het is een zeer populaire aanvalsmethode.
Aanvallen op het pad
On-path aanvallen gebeuren wanneer iemand je verbinding onderschept door tussen twee partijen te komen - zender en ontvanger. Wat er gebeurt is dat in plaats van data direct te sturen naar waar je wilt, je onbewust data stuurt naar de hacker die het vervolgens doorstuurt naar waar jij wilt, zodat zowel jij als de ontvanger denken dat jullie met elkaar communiceren, maar in werkelijkheid worden jullie berichten gewoon doorgestuurd. Dat betekent dat degene die de informatie doorstuurt deze kan veranderen in wat hij maar wil en de inhoud van de informatie die je verstuurt kan zien (zoals je wachtwoorden).
Fysieke aanvallen op hardware
IoT-apparaten worden vaak onbeheerd achtergelaten, wat betekent dat als ze zich op een openbare plaats bevinden en gemakkelijk toegankelijk zijn, ze het risico lopen gehackt te worden. Als iemand erin slaagt om fysiek bij je apparaat te komen, kunnen ze verschillende methoden gebruiken om toegang te krijgen tot het apparaat. Fysieke toegang stelt hackers in staat om verbinding te maken met het apparaat via een kabel en vervolgens de firmware van het apparaat in realtime te bewerken of ze kunnen het apparaat resetten naar de fabrieksinstellingen en een op credentials gebaseerde aanval uitvoeren door gebruik te maken van de standaard gebruikersnaam en wachtwoord.
Hoe worden gehackte IoT-apparaten uitgebuit?
Botnets
Wanneer iemand kwaadaardige code uploadt naar je IoT-apparaat, kan hij het veranderen in een 'zombie' of een 'bot' die deel uitmaakt van de vele andere kwaadaardig geïnfecteerde apparaten. Samen vormen deze apparaten een botnet - een verbonden netwerk van een heleboel apparaten die door 1 entiteit kunnen worden bestuurd. Eén apparaat alleen kan niet veel doen, maar als je miljoenen apparaten hebt die gecoördineerd iets doen, wordt het een heel krachtig wapen. Hier zijn een paar voorbeelden van wat er met een botnet kan worden gedaan:
DDoS-aanvallen
Distributed denial-of-service (DDoS). Er zijn verschillende soorten DDoS-aanvallen, maar ze werken allemaal hetzelfde - veel gegevens tegelijkertijd naar een doelwit sturen vanaf veel apparaten.
Deze botnets kunnen zelfs zo krachtig zijn dat ze het internet in de hele wereld kunnen vertragen. De verkeersbelasting kan meer dan 1 terabyte per seconde bedragen en dat is ongeveer zoals het downloaden van 250 films per seconde. Het is duidelijk dat als je je richt op een enkele server of service, deze een dergelijk verkeer waarschijnlijk niet aankan en gewoon wordt uitgeschakeld.
Cyberaanvallen
Botnets kunnen worden gebruikt voor elke soort cyberaanval. Vaak worden botnets gebruikt om te proberen een weg door een bepaald systeem te forceren. Elk geïnfecteerd apparaat kan bijvoorbeeld proberen om in te loggen op een specifieke website met willekeurige gegevens totdat één op de miljoen apparaten erin slaagt om het juiste wachtwoord te raden.
Mijnbouw van cryptocurrency
Met de opkomst van blockchaintechnologie zijn mensen begonnen met het delven van verschillende soorten digitale valuta door CPU's en GPU's te gebruiken. De meeste apparaten hebben CPU's, dus als je apparaat geïnfecteerd is, kan iemand je apparaat gebruiken om cryptocurrencies te delven. Het delven zelf heeft invloed op je dataverbruik, de snelheid van je apparaat en slijt je hardware.
IoT-apparaten gebruiken om toegang te krijgen tot andere netwerken
IoT-apparaten zijn vaak verbonden met een router. Meestal is dit het geval met routers voor thuis en op kantoor, omdat mensen denken dat het geen zin heeft om alleen voor dat IoT-apparaat een simkaart te kopen als je Wi-Fi-dekking hebt. Hoewel het inderdaad goedkoper is om je apparaat op een router aan te sluiten, omdat het gebruik maakt van het internet data-abonnement dat je thuis of op kantoor al hebt en je niet extra betaalt, zijn er een aantal beveiligingsproblemen die daarmee gepaard gaan. Wanneer je je IoT-apparaat aansluit op een router, moeten beide apparaten met elkaar kunnen communiceren. Die communicatie brengt het risico met zich mee dat als iemand toegang krijgt tot je IoT-apparaat, hij je router kan hacken en van je router naar je andere apparaten. Dit is een enorm risico omdat een hacker toegang kan krijgen tot je hele netwerk (pc's, printers, IoT-apparaten, enz.).
Daar komen SIM-kaarten om de hoek kijken. Ze gebruiken hun eigen mobiele netwerk (net als je telefoon), dus als je IoT-apparaat wordt gehackt, blijven je andere apparaten veilig voor dit soort aanvallen.
Hoe u de beveiliging van uw IoT-apparaten kunt verbeteren
Software- en firmware-updates
Zorg ervoor dat je firmware en software altijd up-to-date zijn, omdat deze meestal veel bugs en kwetsbaarheden verhelpen. Zorg er altijd voor dat je online controleert wat de huidige versie van je software is om deze te vergelijken met de versie die je op je apparaat hebt staan, want als iemand je apparaat al gehackt heeft, kan deze de automatische updates van je software of firmware hebben uitgeschakeld om deze kwetsbaarheden aanwezig te laten zijn.
Sterke referenties
Een veelvoorkomende manier van aanvallen is door het standaard wachtwoord van het apparaat te gebruiken om toegang te krijgen. Veel mensen nemen niet de moeite om hun wachtwoorden te wijzigen en laten ze op standaard staan. Dit soort apparaten zijn de makkelijkste prooi voor kwaadwillende hackers. Om dat te voorkomen, moet je altijd een sterk wachtwoord hebben met letters, cijfers en speciale tekens. Probeer het ook uniek en willekeurig te maken, zodat het niet geraden kan worden. We raden je aan om een goede wachtwoordmanager te vinden die je helpt om al je wachtwoorden te beheren door ze veilig op te slaan en willekeurige wachtwoorden te maken voor elke website of service waar je een account hebt.
Authenticatiemethode
Er zijn meerdere verificatiemethoden, de basis is de bekende gebruikersnaam en wachtwoordmethode. Daarnaast raden we aan om waar mogelijk gebruik te maken van multifactorauthenticatie (MFA). Dit werkt door een manier te bieden om je login extra te verifiëren met een tijdelijke code, vingerafdruk of gezichtsherkenning op je mobiel of een ander apparaat. Op die manier moet een hacker, zelfs als hij je inloggegevens kent, zich op de een of andere manier authenticeren met een van de extra opties om met succes toegang te krijgen tot je apparaat.
Het 2019-rapport van Microsoft heeft geconcludeerd dat MFA heel goed werkt, omdat het 99,9% van de geautomatiseerde aanvallen blokkeert.
Fysieke locatie
Als je apparaten op een openbare plek staan, zoals beveiligingscamera's, kunnen ze fysiek worden benaderd en worden overgenomen of geïnfecteerd, daarom is het belangrijk om ze op plekken te zetten die moeilijker te bereiken zijn. Dat zorgt ervoor dat kwaadwillende entiteiten er geen toegang toe hebben, waardoor ze ze gemakkelijker zouden kunnen hacken.
Aparte aansluiting
Om je hele netwerk te beschermen in het geval iemand erin slaagt om je IoT-apparaat te hacken, moet je een simkaart met cellulaire data in het apparaat zelf gebruiken. Op die manier kan je gecompromitteerde apparaat niet kwaadaardig reageren op je andere apparaten, omdat het zich niet op hetzelfde netwerk bevindt.
VPN
Het gebruik van Virtual Private Network (VPN) is een goede manier om je verbinding te versleutelen. In combinatie met een simkaart kun je je toestel offline en ontoegankelijk op het internet laten lijken, maar het is eigenlijk alleen toegankelijk door een specifiek VPN-profiel te gebruiken waar alleen jij toegang toe hebt.
Openbare IP-route
In plaats van rechtstreeks een Public IP SIM-kaart te gebruiken, kun je ook kiezen voor een Public IP-route. Reguliere Public IP is voor iedereen toegankelijk via het internet en het enige dat je apparaat beschermt is je gebruikersnaam en wachtwoord. Als je de Public IP-route gebruikt in plaats van een directe verbinding met je IoT-apparaat, maak je verbinding met onze service via een gateway die wordt bewaakt, gepatcht en beschermd tegen kwaadaardige aanvallen zoals DDoS.
NAT gateway
Network Address Translation (NAT) geeft je IoT-apparaten toegang tot het internet zonder dat ze zich zorgen hoeven te maken over de beveiliging. Wanneer je verbinding wilt maken met het internet, wordt het verkeer omgeleid naar de NAT gateway die een openbaar IP-adres heeft en toegang krijgt tot het internet voor je apparaat. Dit beschermt je SIM tegen iedereen die vanaf het internet verbinding probeert te maken met je apparaat.
Bijvoorbeeld: Als je apparaat Google wil bezoeken, wordt dat verzoek doorgestuurd naar de NAT-gateway. De NAT gateway stuurt dat verzoek dan door naar Google via zijn eigen publieke IP-adres en Google stuurt dan de gegevens terug naar de NAT gateway. De NAT gateway stuurt de gegevens vervolgens naar je apparaat (de website wordt voor je geladen). Terwijl je verbonden bent met het internet, probeert een kwaadwillende entiteit toegang te krijgen tot je toestel door verzoeken te sturen naar de NAT gateway, bedoeld voor je SIM. De NAT-gateway controleert of uw toestel dergelijk verkeer heeft aangevraagd en zal een dergelijk verzoek gewoon negeren.
Conclusie
IoT-apparaten worden gebouwd om energiezuinig en zo eenvoudig mogelijk te zijn, daarom wordt er niet altijd rekening gehouden met de beveiliging. Dat betekent dat IoT-apparaten op veel verschillende manieren kunnen worden gehackt en misbruikt. Er zijn echter ook veel eenvoudige manieren om dat te voorkomen en het beste is dat de meeste van deze dingen eenvoudig zijn op te zetten en helemaal gratis zijn. Door onze aanbevelingen op te volgen, kun je deze extra maatregelen nemen om je apparaat veiliger te maken. Daarnaast biedt Simbase nog meer beveiligingsfuncties die je kunt inschakelen in je dashboard. De tijd nemen om je apparaten te beveiligen kan je dat extra voordeel geven ten opzichte van hackers.
