Home » Technology » Security » Philips hoeft niet te weten wanneer ik thuis ben

Philips hoeft niet te weten wanneer ik thuis ben

Tech Page One

Philips hoeft niet te weten wanneer ik thuis ben

 

Aan mijn thuisnetwerk is een flink aantal apparaten verbonden waar ik in deze moderne tijd veel gemak van ondervind. Allemaal apparaten met een uniek IP-adres die onderdeel uitmaken van het Internet of Things (IoT). Welke apparaten heeft u allemaal verbonden aan uw netwerk? En bent u zich bewust van de gevolgen voor uw privacy en veiligheid? Ik wil toch liever niet dat Philips weet wanneer ik thuis ben.

Momenteel doen steeds meer IoT-devices hun intrede in de huiselijke omgeving. Zo hangt er bij ons thuis op een gemiddelde dag in het netwerk: vijf Philips Hue-lampen, drie Rasberry Pi’s, een Google Chromecast, een smart TV, twee routers, een wifi-repeater, een digitale thermostaat, een Pineapple (soms), een modem, een NAS, vijf telefoons, twee computers en zes laptops. Deze apparaten maken ons leven aangenamer met zaken als draadloos internet en mediastreaming tot thuisautomatisering, waarbij de verwarming of verlichting automatisch aangaan als we thuis komen, of de camera een screenshot naar je telefoon doorstuurt als er iemand op de bel drukt. Het IoT is een snel opkomende markt, die vanuit de huiskamer op termijn ook binnen bedrijven zal doorbreken. Niet voor niets betaalde Google maar liefst 3,2 miljard dollar voor de overname vanNest, de maker van slimme thermostaten. Dit is de op een na duurste overname ooit van Google. Ook bedrijven als Apple en Amazon richten zich op het IoT, wat al aangeeft dat deze trend niet te stuiten is. Al deze cloud-apparatuur opent echter talloze nieuwe potentiële beveiligingslekken in de thuisomgeving, nog afgezien van de gevolgen voor je privacy.

Een onbekend risico

Philips hoeft niet te weten wanneer ik thuis benHet is in mijn optiek een wetmatigheid dat, hoe meer thuisapparaten aan internet gekoppeld zijn, hoe groter het risico wordt op een beveiligings- of privacy-lek. Het probleem is dat weinig mensen zich hiervan bewust zijn. Het zijn immers veelal consumentenproducten, en ik denk niet dat er van een doorsnee consument verwacht kan worden dat ze veel kennis hebben van informatiebeveiliging. Weet een consument bijvoorbeeld dat deze apparaten eigenlijk ook beheerd en ge-updated moeten worden, en wie daarvoor verantwoordelijk is? Een belangrijk risico daarbij is de zogenoemde ‘one-to-many’ attack: omdat de apparaten bijna allemaal op dezelfde manier zijn geconfigureerd – en op dezelfde manier van nieuwe versies worden voorzien – kan iemand die toegang krijgt tot de centrale (update) server een achterdeur installeren op alle verbonden apparaten. Hierdoor kunnen criminelen zich ongemerkt op thuisnetwerken van gebruikers begeven.

Daarnaast zijn de gebruiksvoorwaarden ook niet altijd even duidelijk. IoT-apparaten zijn vaak verbonden met externe cloud-diensten maar het is vaak onduidelijk welke (persoonlijke) data nou wordt verzameld en opgeslagen, voor welk doeleinden dat wordt gedaan en wie daar bij mag. Het gebruik van dit soort apparaten kan ongemerkt een negatieve impact op je privacy hebben, bijvoorbeeld als de gebruikersgegevens worden gestolen of worden doorverkocht.

Security pas achteraf ingeregeld

Inspelend op het momentum van het IoT willen fabrikanten volgens mij te snel nieuwe producten lanceren, waardoor er te weinig aandacht is voor beveiliging in de ontwikkelketen. Security zou in de basis verankerd moeten zijn, maar wordt in veel gevallen pas achteraf ingeregeld. Meestal pas na een incident of onderzoek van ‘white hat’ hackers. Zelf constateerde ik recent een lek in de centrale updateserver van een IoT-leverancier, waarmee het mogelijk was om malafide software te installeren op alle verbonden devices (de ‘one-to-many’ attack waar ik eerder over sprak). Dat is zeer ernstig, omdat er hiermee beveiliging van de thuisnetwerken van alle gebruikers in gevaar komt.

Ik verwacht daarom dat er een moment komt dat domotica-apparatuur met ‘ransomware’ wordt geïnfecteerd. Dat er een bericht op de telefoon of pc binnenkomt, waarin geld wordt gevraagd om bijvoorbeeld de beveiligingscamera’s of thermostaat weer in te schakelen.

Daarom is het nu al raadzaam om precies in kaart te brengen welke connected devices in huis worden gebruikt, en vooral hoe de leverancier met beveiliging en privacy omgaat. Er is nu namelijk nog geen digitaal keurmerk voor dit soort apparaten (zoals bijvoorbeeld het keurmerk ‘Veilig Wonen’).

Wees je bewust van de risico’s en de privacy-aspecten en doe daar iets mee. Ik heb bijvoorbeeld mijn Philips Hue-lampen bewust niet met de cloud verbonden. Ook al geeft dit gemak in de vorm van allerlei geautomatiseerde functionaliteit, ik wil toch liever niet dat Philips precies weet wanneer ik thuis ben. Het voordeel hiervan is dat ik minder kwetsbaar ben als Philips wordt gehackt en nog belangrijker: het is een achterdeur minder in mijn thuisnetwerk. Echter, ik kan niet constant bijhouden of de apparatuur toch niet stiekem een verbinding maakt… Uiteindelijk zal dus toch de leverancier zijn verantwoordelijkheid moeten nemen en al in het ontwikkelproces informatiebeveiliging moeten meenemen, in plaats van achteraf met houtje-touwtje-oplossingen te komen. In een wereld waar alles om de consument draait, kan dat zeker een concurrentvoordeel bieden voor leveranciers die hun databescherming goed op orde hebben.

 

 

Martijn Sprengers

Martijn Sprengers

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Laatste Artikels:

 

Tags: Security, Technology