De brakke spullen uit het Internet der Dingen

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud

26 reacties

  1. Ik lees altijd braaf de handleiding door 🙂 Mede doordat het vaak een vorm van ‘voorpret’ is 🙂

    Overigens ben ik het ermee eens dat een wat meer ‘dwangmiddel’ erg nuttig zou kunnen zijn. Ik zou zelf echter vraagtekens stellen bij hoe zoiets te handhaven is: wat is ‘adequaat beveiligd’ en wie gaat dat beoordelen? En werk je dan eigenlijk ook niet in de hand dat je apparatuur moet kunnen updaten, wat bij heel veel goedkoop IoT-spul lastig als het zelfs al kan?

    1. ‘adequaat beveiligd’ = ‘niemand kan binnendringen’? Dat is misschien een vrij zware eis: met de manier waarop computers nu geprogrammeerd worden is er maar 1 manier om dat voor elkaar te krijgen: loskoppelen van het internet. Exit IoT dus.

      ‘adequaat beveiligd’ = ‘er zijn geen bekende exploits’? Dat is de huidige manier van werken: als in een product een beveiligings-lek gevonden wordt, dan maakt de leverancier zo snel mogelijk een patch, hopelijk voordat er een exploit gemaakt wordt. Ik denk dat het redelijk is om dit van elke fabrikant te verwachten die iets levert dat een netwerk-interface heeft. En je kunt wel zeggen “dat is lastig bij IoT dingen”, maar dat is een keuze: je kunt je spullen ook zo ontwerpen dat het wel goed kan.

      Wie gaat dat beoordelen? Ik zou zeggen: iedereen die zich daartoe geroepen voelt. Bij afwezigheid van private initiatieven zou ik er geen probleem mee hebben als de overheid dit zou gaan doen, behalve dat ik vrij lage verwachtingen heb van de vakkundigheid van de overheid op dit gebied, en dat de overheid hierbij conflicterende belangen heeft (zie bijv. de NSA, die zowel een digitale aanvals- als verdedigings-taak heeft).

      Ik ben bij dit soort zaken meer een voorstander van optionele keurmerken dan van het verbieden van niet-conforme producten, maar dan moet de mentaliteit van consumenten natuurlijk wel veranderen. In plaats van de “verzorgingsstaat”-mentaliteit van “als het in de winkel ligt, zal het wel veilig zijn”, zouden mensen dit meer zelf moeten gaan checken. Dat moet natuurlijk wel extreem makkelijk gemaakt worden, anders doet niemand het. Dat zou wel mogelijk moeten zijn met moderne techniek: met een smartphone-app die barcodes kan scannen, eventueel geïntegreerd in een betaal-app, moet je volgens mij al een eind kunnen komen.

      Een extreem voorbeeld van wat er mis kan gaan als je dingen gaat verplichten/verbieden is het internet-bankieren in Zuid Korea. De overheid had eind jaren 90 een mooie, veilige cryptografische techniek bedacht om dat te realiseren, en verplichtte het gebruik daarvan. Probleem: de manier om die techniek eind jaren 90 te implementeren was als ActiveX plug-in in Internet Explorer. Gevolg: Zuid-Koreanen zitten nu vast aan oude Internet Explorer-versies met allerlei beveiligings-problemen, en zijn qua beveiliging slechter af.

      1. Ik denk dat “adequate beveiliging” een van de zaken is die behoort tot de “eigenschappen benodigd voor normaal gebruik” die de wet noemt. Vraag blijft dan wat in de ogen van de geïnformeerde consument adequaat is. Ik doe de volgende suggestie:

        De koper/verkrijger van het apparaat kan het apparaat bedienen/besturen, waarbij bediening/besturing door derden uitgesloten wordt. Optioneel (als het apparaat dat ondersteunt) kan de eigenaar van het apparaat specifieke personen machtigen tot medebesturing.
        De koper/verkrijger van het apparaat mag verwachten dat het apparaat de privacy respecteert. (Data delen allen met expliciete toestemming?)
        Mis ik iets fundamenteels met bovenstaande twee uitgangspunten?

        (Over Zuid Korea: Dat encryptie-mechanisme kan toch geherimplementeerd worden in een Android of iOS app?)

  2. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

    Waarom dan? Als je er – zoals bij een veiligheidsslot of auto – van uit mag gaan als consument dat het wel goed zit, en je van een consument niet kan verwachten dat ‘ie een boekdwerk aan documentatie voor z’n webcam doorleest, zou je dan niet ofwel in heel grote letters op je product moeten zetten “Dit product geeft de hele wereld toegang tot een inkijkje in uw woning”. Dan wel het toch gewoon onder (non-)conformiteit schuiven?

    1. Helemaal mee eens, de conformiteitseis lijkt me hier juist wél voor bedoeld (maar IANAL).

      De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.
      Je mag als consument verwachten dat je het veilig out-of-the-box kan gebruiken zonder dat de hele wereld mee kan kijken. Probleem is wel dat het ‘defect’ snel en makkelijk verholpen kan worden waardoor het product wel weer conform is. Dus een echte oplossing is het misschien ook weer niet.

      Een wetswijziging zie ik ook niet zitten, deze loopt al snel achter de feiten aan of wordt nodeloos ingewikkeld.

  3. Een auto is niet veilig te gebruiken zonder speciale training. En zelfs al heb je die training gedaan dan nog moet je tijdens het gebruik van een auto aan allerlei regels voldoen. Ik zie niet in waarom dat bij computer gerelateerde zaken anders zou moeten zijn. De simpelste manier om zaken veiliger te krijgen is door de WBP en dergelijke ook op privé-personen van toepassing te laten zijn. Iemand zet een foto op Facebook zonder toestemming van de personen op de foto? Boete. Iemand geeft de inhoud van z’n adresboek aan sync.me zonder toestemming van de mensen in dat adresboek? Boete. De enige manier waarop mensen dit soort gedrag aanpassen is als de gevolgen van het niet doen vervelender/kostbaarder zijn dan doorgaan op de huidige manier.

  4. Als er een standaard login getoond wordt met loginnaam ‘admin’, en het wachtwoord de lege string, is er wel een conformiteitsprobleem. Als er een standaardwachtwoord ‘12345’ of ‘welkom01’ opzit, en het vanaf het scherm direct na inloggen mogelijk is, om het wachtwoord te wijzigen, doet de fabrikant mijns inziens wel voldoende. Natuurlijk zijn consumenten dom, maar zelfs de grootste digibeet heeft weleens gehoord dat dit soort wachtwoorden niet veilig zijn en aangepast moeten worden. Als er bij de standaardwaarde van het wachtwoord ( in de handleiding dus) duidelijk staat, dat dit aangepast moet worden, ligt de verantwoordelijkheid echt bij de gebruiker.

    1. Als je een systeem hebt waar de gebruiker zelf wel remote bij moet kunnen, maar andere mensen niet, dan moet een deel van de verantwoordelijkheid van de beveiliging wel bij de gebruiker liggen. De gebruiker moet een veilig wachtwoord kiezen, en er voor zorgen dat dat wachtwoord niet uitlekt naar onbevoegde partijen.

      Je kunt daar als fabrikant wel bij “helpen”, door het apparaat uitgeschakeld te laten totdat de gebruiker bijv. zelf een wachtwoord heeft ingesteld. Bij voorkeur kan dat dan alleen via een fysieke interface, al was het maar dat je een knopje moet indrukken om je wachtwoord te bevestigen. In uitgeschakelde modus kan het apparaat aanwijzingen geven wat de gebruiker nog moet doen om het apparaat aan te schakelen.

  5. Er zijn in mijn ogen twee mogelijke opties. De eerste is technisch afdwingen dat het wachtwoord bij het eerste gebruik gewijzigd moet worden (daarna is het aan de consument wat voor wachtwoord hij er op zet) De andere is waarschuwingen afdwingen op de verpakking zoals dat ook verplicht is bij bijvoorbeeld sigaretten (waarschuwing dat je eerst de gebruikshandleiding door moet lezen voor veilig gebruik bijvoorbeeld).

    1. technisch afdwingen dat het wachtwoord bij het eerste gebruik gewijzigd moet worden

      Ja, maar dan stelt een of andere oen een moeilijk wachtwoord in wat hzij meteen daarna niet meer weet, of denkt te weten maar het werkt toch niet, en dan hangen ze aan de helpdesk met een ‘wat nu?’-vraag. En dat kost de leverancier geld. Of 0900 maar dat is niet klantvriendelijk. Dus dat wil die leverancier niet. Dat was het punt.

      1. Dan een factory-reset-knop op het apparaat (wat vele apparaten al hebben), die je terug brengt naar de first-use wizard (waar je opnieuw een wachtwoord kan instellen).

        Aan de andere kant, voor bijvoorbeeld een camera die buiten hangt lijkt me dit zeer onwenselijk. Kan de inbreker de opnames van zichzelf wissen met een tandenstoker. Niet handig…

  6. Off topic warning:

    Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.
    Ah, dus dit slot is binnen 2 minuten open met de kerntrekmethode. Een 3 sterren slot beschermt je daar een stuk beter tegen. Die kerntrekmethode was vermoedelijk ook niet bekend toen het 2 sterren slot op de markt kwam. Subtiel die verwachtingen van producten en de realiteit.

    Ergens kan dat hier ook wel opgaan. Een zwak fabriekswachtwoord is één ding, maar een zoekmachine die deze zwakke webcams makkelijk weet te vinden is weer een ander ding. Het blijft een beetje dweilen met de kraan open. Awareness is het enige wat echt helpt. Je kan toch slecht verwachten dat een goedkope webcam op het internet eeuwig veilig blijft. Alles is lek, alleen naarmate de tijd passeert wordt de zwakheid meer bekend en de webcam ook nog eens makkelijker te vinden.

  7. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.
    Hier komen we bij de kern van het probleem. Voor het slot wordt een installateur gevraagd met verstand van zaken, omdat we inzien dat het niet handig is om dit zelf te doen als we er geen verstand van hebben. Idem voor de CV-installatie. Als het over PC’s gaat denk iedereen dat hij het zelf kan.

    1. Iedereen denkt dat hij hetzelf kan, omdat de verkopers van deze aparatuur het zo in de markt zetten.

      En gedwongen door concurrentie en gebrek aan kwaliteitseisen moeten ze wel. Welk product denk je dat mensen kopen: Webcam 1: plug en play, steek er een netwerk kabel in en hij werkt. Webcam 2: Neem een expert in de hand om de webcam veilig aan te sluiten.

      Webcam 1 heeft die expert ook nodig om te beveiligen, maar mensen kopen die, want die is makkelijk en de expert komt nooit langs. Mijn advies voor iedereen met een webcam in zijn laptop is dan ook standaard: als je hem niet nodig hebt plak hem af. Als je hem nodig hebt, beveilig je PC goed en let oop de instellingen. Is de laptop voor een minderjarige? Plak de ingebouwde camera af en steek een externe camera erin, alleen als je hem ook echt wil gebruiken.

  8. Dit is te makkelijk:

    Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.
    Denk aan de onveilige Axa fietssloten. Keurig merk. En
    Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is.
    Daarbij gaat veiligheid en privacy niet samen met gemakkelijk, elk wachtwoord met minder dan 12-16 tekens moet als onveilig worden beschouwd, maar wie houdt zich daaraan?

    Niet te verzinnen/niet te onthouden, iris- en vingerafdrukscanners lijken een alternatief, maar als dat gejat wordt, zit er niks anders op om, als je wachtwoord gewijzigd dient te worden, een oogtransplantatie aan te vragen.

    Dus:

    1. 1. webcams etc dienen niet te werken out-of-the-box, maar pas als de gebruiker een sterk wachtwoord (zucht) heeft verzonnen .
    2. 2. software/drivers dienen opensource (en te updaten) te zijn. Waarom? Transparant (geen backdoors) en de gemeenschap kan dan tenminste lekken repareren, aangezien de fabrikant het nalaat/brakke software levert.

    Veiligheid is een gemeenschappelijke verantwoordelijkheid, en verantwoording af leggen in software kan alleen als het open-source is.

  9. Ales goed en wel, maar ik zou een beroep willen doen op het verstand van de consument, iets wat in Amerika nu juist niet gebeurt. Allicht dus dat ze daar ‘verder’ zijn dan wij hierin: in Amerika worden consumenten beschouwd als volslagen idioten, en moeten leveranciers/producenten/de overheid hen wijzen op alle mogelijke gevaren/gebreken/hoe (niet) te handelen (Do not put pets in the microwave!). In mijn ogen ben je dan niet verder, maar mijlenver van waar je wilt zijn: een maatschappij met mensen die zelf nadenken alvorens te handelen.

    Deze kwestie past denk ik goed in de steeds verdere betutteling van de maatschappij: een steeds verder gaande simplistische benadering van alles wat los en vast zit, met als gevolg dat mensen niet meer gedwongen worden zelf na te denken. Zo zijn daar de weercodes afgegeven door het KNMI (code oranje!), het Journaal dat in jip-en-janneketaal bericht, of politici die argumenteren in soundbites. Mensen gaan daardoor steeds minder zelf nadenken, maar varen blind op veronderstellingen (het product zal wel goed zijn), kleurtjes en tweets. Zo ook onderhavige webcam: lukraak een webcam kopen, installeren dat ding, code 0000 zal wel goed zijn, en gaan met die banaan.

    Nee dus.

    Net als dat een auto niet vanzelf op slot zit en je brood alleen vers is als je het of elke dag zelf maakt of elke dag vers bij de bakker koopt, is een webcam alleen veilig indien je het standaardwachtwoord wijzigt. Nogal wiedes. De bal ligt dus niet bij de producent maar bij de consument: cogito ergo sum!

    1. Onze maatschappij en onze producten worden steeds complexer. Niemand kan overal over nadenken en alles begrijpen. De ‘amerikaanse’ insteek om alles zo eenvoudig mogelijk en idiot-proof te maken kan ik best waarderen: het zorgt dat iedereen mee kan blijven doen (en ook een ‘idiot’ met computers en smartphones kan omgaan). Het zorgt ook dat mensen tijd over houden om andere dingen te doen 🙂 Het zou mij dan ook niet verbazen als de beste IoT (security) oplossingen uit de VS gaan komen…

    2. Lijkt me iets te makkelijk. Niet iedereen kent iets van computers en software. Zeker bij IOT is dit geen vanzelfsprekendheid. Stel je koopt een fancy koelkast met een camera erin (zodat je van in de supermarkt kan kijken of er nog mosterd en cola is). Moet die consument het dan normaal vinden dat iedereen zomaar zijn koelkast kan binnenkijken?

      Je zou verbaasd zijn hoeveel regels ons beschermen waar men nooit iets over hoort. Over voedselveiligheid bijvoorbeeld. Vroeger zou men ook kunnen zeggen hebben: Ah je wilt geen melk met water erin , of met rare chemicaliën voor de houdbaarheid, dan moet je je melk maar vers bij de boer kopen. De wereld is veranderd en dat gaat niet meer. Net zoals je niet kan verwachten dat iedereen iets van beveiliging kent, kan je niet verwachten dat mensen alles weten over voedselveiligheid. Met een beetje goede wil, moet de industrie hier wel iets aan kunnen doen. Desnoods met een (al dan niet verplicht) keurmerk. Beveiliging is een deel van het product dat je verkoopt. Je kan dat niet zomaar outsourcen naar de klant. Of toch niet zolang het algemeen geweten is dat die er niks van bakt.

  10. Vroeger kwamen (wifi-)routers ook erg onbeveiligd uit de doos. Tegenwoordig hebben die allemaal een random password, meestal na te lezen op een sticker op het apparaat zelf.

    Welke wet/regel/whatever heeft destijds getriggerd dat fabrikanten dat zijn gaan doen?

    1. De internetproviders zijn daarom gaan vragen en omdat het daar gaat om grote aantallen en kapitaalkrachtige kopers voldoen de fabrikanten graag aan die wens.
      (Waarom de internetproviders omgeslagen zijn weet ik niet zeker, maar ik meen me te herinneren dat computerverenigingen of consumentenbond hun mond opengetrokken hebben over de brakke beveiliging.)

  11. Je zou volgens mij niet meer moeten verplichten dan nodig; ik kan in de winkel ook een fiets zonder slot kopen. Maar goed, een fiets is iets anders dan een draadloos device, zeker als dat device ook nog aan internet hangt. Misschien moet er een europees security-label komen, dat verplicht op devices met wireless interfaces en/of internet-connectivity moet worden aangebracht (vergelijkbaar met het energielabel).

  12. Het valt me op dat de meeste het probleem leggen bij de wijze van een het gebruik van een sterk wachtwoord, maar bij IoT denk ik dat we te maken krijgen met een heel groter probleem. Een probleem zoals we nu al zien met de Android telefoons en tablets. Het kunnen blijven updaten van een product.

    Van telefoons en tablets weten we dat ze een kortere economische levensduur hebben dan een koelkast, diepvriezer of televisie. Hoe lang moet een fabrikant blijven updaten en hoe vang je dat weer fatsoenlijk in wetgeving? Wat moet men doen als de fabrikant failliet is gegaan?

      1. Daarom moet dit ook in de wet worden verankerd. Het is nu al zo dat een koelkast oid. veel minder lang meegaat dan zou kunnen als ze een beetje hun best zouden doen. Dat krijg je van het marktwerking-sprookje…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.