Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Privacy, Security | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

Internet der dingen gaat dood door DRM?

| AE 8303 | Innovatie | 35 reacties

robot-wetHet internet der dingen kan ten onder gaan aan DRM, schreef Bruce Schneier onlangs. Steeds meer apparaten worden slim en hangen aan internet, maar iedere fabrikant lijkt de neiging te voelen een stukje controle in te bouwen en dat via DRM-wetgeving of gewoon botweg veranderingen aan de firmware af te dwingen. En dat gaat in tegen de kerngedachte van internet: alles praat met elkaar, bedient elkaar en wisselt informatie uit. DRM als dood voor dingen?

Het meest recente geval betrof de Zigbee-lampen van Philips. Via het Zigbeeprotocol kunnen lampen op afstand worden bediend in een netwerk. Een recente firmwareupdate van Philips zorgde er echter voor dat dit niet meer werkte met lampen van andere fabrikanten, ook al waren die lampen compliant met het protocol. Met de marketingmeelbal over iets met gebruikskwaliteit werd dit teruggedraaid, maar de boosheid bij gebruikers zal nog wel even blijven hangen.

Dit was dus een ingebouwde wijziging (firmware update), hij doet het gewoon niet meer. Andere fabrikanten gebruiken DRM: beveiligingsroutines die bepaald gebruik afdwingen of juist blokkeren. Schneier noemt het voorbeeld van de Keurig koffiecups. Het koffiezetapparaat van het bedrijf herkent cups als al dan niet authentiek van henzelf, en weigert dienst als die herkenning mislukt. Hetzelfde is bij diverse printers bekend met inktcartridges van andere fabrikanten. Alsof je Senseo geen koffie van Perla-pads meer wil zetten omdat “een perfecte gebruikservaring niet kan worden gegarandeerd”.

Dergelijke routines zijn te omzeilen. Die cups hebben een chipje aan boord met daarin een of ander controlegetal. Achterhaal dat getal (of hoe je dat maakt) en stop in je eigen cups een vergelijkbaar chipje met hetzelfde getal, en hoepla alsnog perfecte gebruikservaring. Alleen: dat mag niet, want DRM.

Digital Rights Management (DRM) is eind jaren negentig als concept opgekomen om muziek en films te beschermen tegen ongeautoriseerd kopiëren. In de basis komt het erop neer dat software bepaalde acties met die muziek of films blokkeert, en omdat het wettelijk verboden is die software uit te schakelen of te omzeilen, is het probleem van ongeautoriseerd kopiëren dan opgelost. Ahem, ja ik weet het.

Ergens begin jaren nul hebben wat slimme advocaten bedacht dat DRM-wetgeving niet alleen over muziek en films gaat. Er staat in de wet “ongeautoriseerde toegang tot een beschermd werk” en daaronder kun je ook de firmware van een apparaat rekenen. Je bent dus illegaal bezig als je een printercartridge maakt die in andermans printer werkt, want jouw chipje met nummer is een ongeautoriseerd toegangsmiddel. Er wordt nu immers toegang verkregen tot de routines uit de firmware die het printen mogelijk maken, terwijl die routines alleen benaderd mochten worden door cartridges van de fabrikant zelf. Ja, die is heel gezocht. Specifiek voor printers té gezocht, want in 2004 verklaard een Amerikaans beroepshof deze interpretatie van printerfabrikant Lexmark als in strijd met de wet.

Lexmark was lang niet de enige die het probeerde. Anderen riepen (en roepen) hetzelfde, met wisselend succes bij de rechter. En dan krijg je te maken met een beetje vervelende bug uit het Amerikaanse recht: ook al denk je dat je gelijk hebt, het duurt zó lang en het is zó duur om je recht te halen dat het meestal niet de moeite waard is. Nog afgezien van de kans dat je verliest. Dus als tractorfabrikant John Deerde dan roept dat je je tractor slechts in licentie hebt en je de DRM schendt door het ding te tunen, wat kun je dan?

Dit gaat dus niet werken. Als je werkelijk een Internet der Dingen wil, dan moeten Dingen met elkaar Inter-operabel zijn. Dat vereist protocollen die gezamenlijk afgesproken zijn en door iedereen te implementeren. Geen eenzijdige controle vanuit één fabrikant, en geen technisch/juridische Frankenstein-constructies die dat tegen kunnen houden (of die indruk kunnen wekken). Maar omdat het voor veel fabrikanten eenvoudig en logisch lijkt om iets dicht te timmeren, zie ik dat er niet snel van komen. Hoe veranderen we dat?

Arnoud