De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel schade aanrichten dat het niet mooi meer is, en geen hond zin heeft daar wat aan te doen.
De frustratie is begrijpelijk. Aanvallen door gekaapte Internet-of-Things apparaten lopen aan alle kanten de spuigaten uit. Zo zette een denial-of-service aanval door gehackte videorecorders en webcams het wereldrecord voor grootste aanval ooit. En dat is belachelijk: hoe moeilijk is het nu werkelijk om een webcam of recorder te beveiligen tegen triviale kapingen?
Het probleem is, zoals security-expert Bruce Schneier recent mooi aangaf, dat niemand zich geroepen voelt er wat tegen te doen. Consumenten vinden het niet hun probleem dat een apparaat lek is. Leveranciers pakken de snelle winst en verwachten geen toename in de verkoop als er “Nu extra veilig tegen hacks” of “100% niet-kaapbaar garantie” op de doos staat. Internetproviders merken weinig van de aanvallen, omdat de data in één specifiek netwerk te klein is om overlast te geven. En voor toezichthouders is het probleem te diffuus om op te treden, nog los van ontbrekende wetgeving. Brakke apparaten aan internet hangen is volstrekt legaal.
De oplossing zit natuurlijk in dat laatste: verplicht leveranciers tot ICT-veilige apparatuur. Net zoals apparaten niet mogen ontploffen en niet giftig mogen zijn, mogen apparaten niet onveilig zijn in de zin van hackbaar of te kapen voor ddos-aanvallen. Dat is niet moeilijk, wel een hoop gedoe en natuurlijk kost het geld, maar als álle leveranciers dat moeten dan blijft het speelveld gelijk.
De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.
Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.
Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.
Wat vinden jullie? Terecht gepast ingrijpen of niet?
Arnoud
Ik vind het bricken van iemands apparaat niet echte zaakwaarneming. Het is een beetje het platbranden van iemands huis omdat de voordeur nog openstond en je wilde voorkomen dat er dieven binnen kwamen.
Ik snap het probleem en er moet ook echt iets gebeuren maar er moeten toch betere oplossingen voor te verzinnen zijn dan dit.
Je zou bijvoorbeeld bij een smarttv kunnen denken aan het op afstand uitzetten van de internetverbinding, als je hem kan bricken zou dat ook moeten kunnen. Irritant genoeg voor de gebruiker om er mee naar de winkel terug te gaan, maar niet zo definitief.
Ik zie het wel als zaakwaarneming, zolang het bricken door een professional (de winkel? de fabrikant?) ongedaan kan worden gemaakt. Een huis platbranden is definitief.
Ondanks dat het strafbaar is kan ik niet anders zeggen dan dat ik blij ben met brickerbot.
Ik heb eerder al eens geopperd om de eigenaar van zo’n onding IoT apparaat verantwoordelijk te houden voor schade veroorzaakt bij een DDoS waaraan zijn apparaat meedeed. Dit omdat als het geld kost men wellicht wel eens gaat kijken wat voor troep men in huis haalt.
Het nadel hiervan is dat het actie is nadat de schade veroorzaakt is. Janit0r legt de schade neer waar hij hoort te liggen, bij de eigenaars van deze brakke apparaten. Geef maar wat meer geld uit aan een apparaat of betaal iemand om het voor je te beveiligen. Netwerk beveiliging is een vak, als je er geen verstand van hebt moet je het laten doen. Je gaat toch ook niet zelf de gasleidingen in je huis verleggen als je er geen verstand van hebt?
Voor zaakwaarneming is een redelijke grond nodig. Je moet in het belang handelen van de persoon waar je de zaken voor waarneemt en ik zie dat belang hier niet. Ik acht het dan ook onredelijk om een apparaat te vernietigen, omdat er iemand dit apparaat mogelijk eventueel misschien in de toekomst zou kunnen hacken.
Beste Alex, Zou je het dan wel acceptabel vinden als het gebeurd bij apparaatjes die al gehackt zijn?
Dat hangt af van de omstandigheden.
Brickerbot handelt misschien niet in het belang van specifiek de eigenaar van het brakke IoT apparaat, maar wel in het belang van de hele maatschappij (en daarmee impliciet ook in het belang van de eigenaar). Ik kan dit soort dingen alleen maar toejuichen. Als dit een aantal keer gebeurt, worden er hopelijk eindelijk eens mensen wakker.
Het voorbeeld van het melkpannetje: als ik het goed begrijp is het zaakwaarneming als ik het gas uitdraai om erger voor de bewoner te voorkomen, maar inbraak als ik het gas uitdraai om erger voor de buren van de bewoner te voorkomen? Dat gaat wel erg ver.
Voor zaakwaarneming geldt ook een zorgplicht. Zo moet de hacker de belanghebbenden inlichten over wat hij heeft gedaan. Dat lijkt me hier sowieso niet het geval.
Probleem is denk ik dat de hacker niet weet hoeveel schade hij/zij veroorzaakt. Je ziet een brakke router, en besluit om die te bricken. Blijkt die router onderdeel te zijn van een computernetwerk dat de gemalen van een polder beheert, of de essentieel is voor de luchtverkeersleiding of zo…
Ik zie dat als extra reden om het “Ding” te bricken… Als het een essentiele functie in een organisatie vervult dat hoor je daar een bertrouwbaar apparaat neer te zetten.
Ook als dat betekent dat je met het bricken mensen in gevaar brengt om een statement te maken? Sja, dan hadden ze maar fail-safes moeten gebruiken, niet mijn schuld dat er nu doden vallen.
We praten over een organisatie die consumentenelectronica inzetten voor veiligheidsfuncties en daarbij ook nog deze apparaten via het Internet toegankelijk maken… dat is en blunder-nivo fout, gecombineerd met een kleinere fout.
Ik zou niet proberen om op het moment dat je een router gehackt hebt het LAN te scannen op lekke producten, dan loop je het risico door een firewall beschermde “dingen” kapot te maken
Dat geeft jou als hacker nog geen enkel recht om die apparaten dan te saboteren waardoor de veiligheidsfuncties mogelijk onklaar worden gemaakt. “Even testen of de failsafes het doen” is dan geen excuus, je blijft dan als hacker aansprakelijk voor alle slachtoffers en ongevallen die je veroorzaakt.
Hooguit dat de fabrikant dan een gevalletje grove nalatigheid op zijn dak krijgt, maar dit soort praktijken wil je niet op je geweten hebben.
“Janit0r” doet geen gerichte aanval op apparaten met veiligheidsfuncties, hij doet een aanval op alle onbeschermde IoT apparaten. Als hij dan (per ongeluk) een apparaat met veiligheidsfunctie raakt dat (door nalatigheid) via Internet benaderbaar is, in hoeverre is dat dan aan “Janit0r” te verwijten?
Een ander voorbeeld: Als een insluiper een deur die niet op slot zit opent en daardoor (onvoorzien en onvoorzienbaar) een tijger loslaat, is hij dan verantwoordelijk voor alle schade die de tijger aanricht of is de eigenaar van de tijger verantwoordelijk omdat hij zijn deur niet op slot doet?
Creatief? Ja. Legaal? Nee. Effectief? Oef. Ik neig toch naar “nee”. Stel iemand treft zo’n brak apparaat aan? In het beste geval gaat hij naar de winkel, en ofwel ze zetten de fabrieksinstellingen terug, ofwel de klant koopt een nieuw apparaat. Ook met bestaande brakke firmware. Kortom, het probleem is niet opgelost. Als je het op de consument wil spelen, dan is er in eerste instantie ook bewustzijn nodig. Je moet zorgen dat mensen volgende keer echt in de winkel vragen hoe veilig (in de zin van niet-hackbaar) een apparaat is. Om eerlijk te zijn. Ik weet het belang, maar ik heb er nog nooit in de winkel (of webshop) om gevraagd.
Ik zie veel meer in Arnouds advies: wettelijke eisen stellen.
Maar die wettelijke eisen zijn er niet, en er lijkt ook niet bepaald haast bij te zijn om dat te veranderen. Onveilige IoT-apparaten zijn een acuut probleem, waarvoor nu een oplossing nodig is – en laat dat nu precies zijn waar zaakwaarneming voor is…
Ik denk ook dat het wel degelijk effectief is. Dat “even fabrieksinstellingen terugzetten” (wat overigens lang niet altijd mogelijk is bij een gebrickt apparaat, soms moet je de firmware her-flashen) kost de winkel of fabrikant wel degelijk geld, en op een gegeven moment gaan de rode cijfertjes onder de streep toch echt wel opvallen, zeker als het bestaan van een ‘brickerbot’ (en de reden voor het bestaan daarvan) in het nieuws is geweest.
Als een product zoveel kosten veroorzaakt dat het de verkoop niet meer waard is, dan zullen winkeliers het uiteindelijk uit de handel nemen, en dan gaan er vermoedelijk vragen gesteld worden aan de leverancier over toekomstige modellen – want als er drie verschillende modellen zijn geweest van hetzelfde merk die allemaal constant gebrickt worden, zal de winkelier de vierde ook niet meer vertrouwen zonder harde beloftes van de leverancier. En nu is goede beveiliging ineens een vereiste.
Dit werkt uiteraard alleen maar als de ‘aanvallen’ aanhoudend zijn, en als ook nieuwe apparaten ‘aangevallen’ worden, maar het kan wel degelijk werken.
(Overigens is begrip van de consument hiervoor niet noodzakelijk; die hoeft het apparaat alleen maar terug te brengen “omdat hij kapot is”. Het is aan de winkelier om uit te zoeken waarom er ineens zoveel apparaten teruggebracht worden, en om de moeilijke vragen bij de fabrikant neer te leggen.)
Wat als je device na de wettelijke garantie wordt gebricked? Dan sta je daar schoon met je mooie bedoelingen, en verplicht je mensen om geld te betalen om hun smart-tv terug aan de praat te krijgen. Of je wifi connected droger of zo. In theorie zijn mooie bedoeling mooi, in praktijk is dit vooral voor minder technisch onderlegde en armere mensen een ramp.
De wettelijke garantie kent geen duur. Om hier aanspraak op te kunnen maken moet je aannemelijk maken dat er bij aflevering iets niet goed was met het product.
Het probleem van IoT is dat het een werkgebied is van vele electronica-amateurs die met een leuk idee komen, een KickStarter project opzetten en financiers proberen te vinden om hun idee verkocht te krijgen. De winstmarge is dan ook niet super groot, aangezien het gehele ontwikkeltraject veel onkosten heeft voordat je eindelijk een product kunt verkopen. Ikzelf heb het gemerkt bij de Tiko 3D Printer die enorm ambitieus begon maar uiteindelijk faalt omdat de onkosten dusdanig oplopen waardoor de productie ervan niet meer rendabel is. En nu hebben ze een financier nodig om hen uit de financiële beerput te halen zodat ze de rest van de KickStarter-kopers een product kunnen leveren. (Heb zelf ondertussen maar een RenkForce RF100 gekocht in afwachting…)
En dan is het eigenlijk niet terecht dat een hacker met een bot zo’n beetje alle IoT apparaten met een Internetverbinding gaat bricken. Ja, als het gaat om de grotere fabrikanten die brakke IoT producten op de markt zetten dan kan ik het wel gerechtvaardigd zien. Maar het is een enorm marktgebied met veel kleine fabrikanten die ook nog redelijk veel concurrentie hebben en daarnaast last hebben dat anderen hun projecten kunnen kapen. Immers, als het idee eenmaal openbaar is dan kunnen anderen snel iets vergelijkbaars maken.
Een ander probleem is dat de kwetsbaarheid vaak ook in de WiFi modules zelf zitten die de producenten gewoon kopen bij andere leveranciers en dan inbouwen. Dit zijn immers gewoon kant-en-klaar modules die je zo kunt kopen en niet zelf hoeft te bouwen. Het betekent dat ze moeten zoeken naar een leverancier van dergelijke modules die wel de beveiliging op orde hebben. En die informatie ontbreekt gewoon.
Natuurlijk is een andere kwetsbaarheid vaak de code die wordt gebruikt voor de WiFi module. Meestal hebben deze apparaten een standaard account/wachtwoord dat de gebruiker na de eerste keer verbinden direct moet wijzigen. Alleen, veel gebruikers zijn lui en doen dat niet. Heb ik gezien bij een WiFi router die ik in mijn werkkamer gebruik om er betere WiFi te hebben naast de kabel-aansluiting. Maar ja, dan moet je wel even de admin/admin veranderen naar je eigen gebruikersnaam en wachtwoord. Ik vraag mij af hoeveel gebruikers dit gewoon negeren en dan open zijn voor drive-by attacks waarbij de aanvaller volledige controle kan krijgen. Hetzelfde probleem heb ik ook met mijn kabelmodem met ingebouwde WiFi van UPC, die in het verleden door UPC een update kreeg waarbij de gebruikersnaam en wachtwoord weer een reset kregen. (En alle instellingen terug gingen naar de defaults.) En het is niet iets dat je niet snel opmerkt, behalve dan via je mobiele telefoon met WiFi, die nu opeens unconnected is.
Het probleem is dat het wettelijk ook niet is op te lossen. Hackers vinden toch wel snel kwetsbaarheden in zo’n beetje ieder apparaat. Okay, op dit moment zijn de vele kwetsbaarheden wel te eenvoudig te vinden maar hoe moeilijk moet het uiteindelijk zijn?
Er is een enorm verschil tussen een WiFi kwetsbaarheid en onvoldoende beveiliging van de verbinding met het internet.
Via WiFi hangt het apparaat alleen in het lokale netwerk, als dat voldoende is afgeschermt kan men vanaf het internet niets.
Je bent dan via WiFi alleen kwetsbaar voor wardrivers, niet zo’n groot issue bij voorkomen van botnets.
Er hangt een hoop meuk direct aan het internet die niet aan het internet hoort te hangen.
Beveiligingscamera’s en babycamera’s bijvoorbeeld. Die horen gewoon niet direct aan het internet te hangen. Beschikbaar maken in het lokale netwerk en vervolgens op je mobiele apparaat met een vpn verbinding maken met je lokale netwerk is hoe dat zou moeten werken.
Weliswaar maak je dan een single point of failure van je vpn server, maar vpn appliances zijn nu juist de internet connected devices die wel fatsoenlijk van updates worden voorzien.
En een enkel gehackt IoT apparaat in het netwerk maakt iedere firewall en vpn server nutteloos. Via het gehackte apparaat kan men alles op het lokale netwerk benaderen bij de meeste thuis netwerken. Hoeveel particulieren ken je die de camera in een DMZ geisoleerd hebben van de rest van het netwerk?
WiFi die kwetsbaar is voor Wardrivers is ook nog steeds een groot probleem. Want in principe is het mogelijk dat malware gewoon van hotspot naar hotspot verschuift. Je besmet een apparaat en dat apparaat gaat vervolgens in de omgeving zoeken naar andere kwetsbare apparaten.
Maar in het algemeen hebben de meeste mensen een kabelmodem en dus een intern netwerk thuis waarop alle apparaten worden aangesloten. Dus via het Internet is het niet eenvoudig om voorbij de modem te komen. Een webcam zit dus altijd standaard geïsoleerd binnen het eigen netwerk, totdat de gebruiker deze gaat openstellen via het netwerk. Moet je meestal iets als port forwarding voor aanzetten. Maar dan is de beveiliging van de camera al eigenlijk deels verbroken omdat je als gebruiker dan toegang ertoe hebt gegeven. En ja, de gebruiker zou dit gewoon via een VPN kunnen regelen, maar dat is een keuze van de gebruiker, niet de fabrikant.
Maar het blijft gewoon de WiFi die het grootste probleem vormt. BrickerBot en vergelijkbare malware maken gewoon gebruik van het feit dat gebruikers gewoon nooit de default account aanpassen van hun apparaat. Ze installeren het apparaat, passen hun netwerk netjes aan en gooien de poorten open die open moeten, maar “vergeten” dan de accountgegevens aan te passen! Stap 1 in beveiliging: pas eerst de account aan! Dan kun je als fabrikant wel met 132-punt rode letters op de handleiding wel aangeven dat de gebruiker dit als eerste moet doen, maar als gebruikers dit niet doen is het dan nog wel een probleem van de fabrikant?
Vergelijk het met de waarschuwing “Deze koffie is heet” op een kop koffie. Iedereen zou dit gewoon moeten weten.
Het probleem met het Internet of Things is dat die apparaten actief door jouw firewall prikken, om bediening met een app vanuit een andere locatie mogelijk te maken. Dat geldt voor ieder apparaat dat zonder firewall configuratie vanaf het internet te bereiken is.
Dit kan via een relay server, dan maak je feitelijk het IoT apparaat contact met jou. Hoe veilig is die relay server? Hoe veilig is het IoT apparaat?
Maar nog veel erger is UPnP, een UPnP apparaat in je netwerk en UPnP aan op je fw/router is op zich geen probleem. Behalve als er in het apparaat een security fout zit die misbruikt kan worden. Op dat moment staat in het hele netwerk open voor het internet.
Eerste stap van beveiligen is dan ook UPnP uitzetten bij oplevering van de internet verbinding of vervangen van de fw/router en handmatige portforwarding instellen waar noodzakelijk.
Wardriven is alleen een probleem als er een kwetsbare hotspot binnen bereik van een gehackte horspot is. We hebben vooralsnog geen noemenswaardige draadloze WiFI mesh netwerken, dus dat is meer een individueel risico.
Overigens is het helemaal niet moeilijk om een apparaat op te leveren zonder wachwoord en de functionaliteit pas in te schakelen als een wachtwoord is gekozen. Maar dat is natuurlijk niet gebruiksvriendelijk 😉
Nee, een IoT apparaat prikt niet door je firewall. Een IoT zit binnen je thuisnetwerk aangesloten als een der vele apparaten die via je modem met de buitenwereld communiceert en doet dat dan ook richting voorgedefinieerde adressen. Het kan wel luisteren naar verkeer op het Internet maar komt dan niet verder dan de modem, omdat het netwerk waar het toegang toe heeft beperkt is tot je thuisnetwerk. Wil je dat het apparaat van buiten je netwerk te bereiken is dan moet je als gebruiker poorten openzetten op je modem/router.
Uiteindelijk heeft de gebruiker die het apparaat installeert ook enige verantwoordelijkheden. De gebruiker moet zelf ook bewust zijn van de risico’s en weten dat ze ook de beveiliging van hun apparaat moeten controleren en goed moeten instellen. Maar gebruikers willen gewoon minder beveiliging, niet meer! Beveiliging zit hen in de weg! Je hebt tegenwoordig ook auto’s waarbij je geeneens een sleutel nodig hebt om deze te starten en weg te rijden. De sleutel is dan een zender die een bepaalde code uitzendt die je auto vervolgens opvangt. Als je dan in de auto zit (of ernaast staat) dan kun je zo wegrijden zonder een sleutel in het contactslot te plaatsen. Erg handig, toch? Geen gedoe meer voor de gebruiker, maar hoe veilig is het werkelijk?
Ik blijf erbij dat de consument gewoon beter bewust moet zijn van de IoT apparaten die ze kopen. En moeten beseffen dat de eerste stap bij installatie gewoon de beveiliging is. Maar hoeveel gebruikers lezen eigenlijk handleidingen? Hoeveel gebruikers staan stil bij het aanpassen van de beveiliging? Veel te weinig, zo blijkt dus. Dan kun je nog je best doen als fabrikant maar als een gebruiker bewust kiest voor ‘admin’ als gebruikersnaam en ‘123abc’ als wachtwoord dan ben je machteloos.
Als de slachtoffers van de aanvallen een rechtzaak beginnen tegen de internetproviders van de aanvallende apparaten , of hun servers gaan blokkeren zoals bij spam gebeurt, dan is het snel opgelost.
In de algemenevoorwaarden staat doorgaans wel iets van deugdelijke aparaten en geen overlast veroorzaken, dus de internetprovider kan en mag actie ondernemen.
Ik hoor de laatste jaren niets meer over spam door open relays van prive emailservers, omdat veel internetproviders die niet meer toestaan, en als ze dat wel doen, bij spam acuut je verbinding dichtzetten.
Dat kan bij overlast van IoT apparaten ook, en dan hoef je ook niet meer in te breken.