Onveilig apparaat op internet? Gehackt worden is kwestie van tijd
Dat het aansluiten van een webcam, harde schijf, thermostaat of zelfs koelkast op internet onveilig kan zijn, is inmiddels wel bekend. Maar wat niet iedereen beseft, is dat als je een onveilig apparaat aansluit een hack niet alleen theoretisch mogelijk is - het is een kwestie van tijd.
Criminelen speuren continu het internet af, op zoek naar onveilige apparaten. Gemiddeld duurt het maximaal tien minuten voordat een apparaat wordt gekraakt, melden meerdere onderzoekers die voor de NOS onderzoek hebben gedaan.
"Dat is voor jouzelf een risico, omdat iemand misschien kan meekijken met je camera", zegt Patricia Zorko, de directeur van het Nationaal Cyber Security Centrum (NCSC) van de overheid. "Maar een ander risico is dat jouw apparaat onderdeel wordt van een netwerk van geïnfecteerde systemen, dat wordt gebruikt om internetaanvallen uit te voeren." In 2016 zijn op die manier bijvoorbeeld Twitter, Netflix en Airbnb platgelegd.
4 tot 5 minuten
Als een apparaat wordt aangesloten, komen de eerste hackpogingen binnen een minuut binnen. Succes is er vaak al binnen 4 tot 5 minuten, ondervond beveiligingsonderzoeker Remco Verhoef van DutchSec. Voor de NOS plaatste hij vijf sensoren die zichzelf voordeden als slimme - maar onveilige - apparaten, die in werkelijkheid aanvallen registreerden.
Er wordt continu gescand om te kijken of apparaten te hacken zijn.
In een week tijd kwamen vanuit ruim 24.000 ip-adressen aanvallen binnen op de sensoren van Verhoef. "Er wordt continu gescand om te kijken of apparaten te hacken zijn", zegt Verhoef. Aanvallers kijken of apparaten standaardwachtwoorden gebruiken, of een kwetsbaarheid bevatten die makkelijk te misbruiken is.
Dat gebeurt meestal niet met de hand, maar geautomatiseerd, zegt Sille Kamoen, die aan de TU Delft afstudeeronderzoek doet naar hackpogingen. "Ik schat dat 99,9 tot 100 procent van de hackpogingen geautomatiseerd is", zegt hij.
Ook Kamoen merkt dat het een kwestie van tijd is tot een onveilig apparaat wordt gehackt. "Op een apparaat krijg je tussen de één en tientallen aanvallen per minuut binnen", zegt de onderzoeker.
Webcam
Beveiligingsonderzoekers Rik van Duijn en Wesley Neelen van Dearbytes namen de proef op de som en tikten een onveilige webcam op de kop, "van tussen de vijftig en zestig euro", zegt Van Duijn. Doel was om te onderzoeken hoe snel de webcam was gehackt. Het gaat om een losse webcam, die bijvoorbeeld als beveiligingscamera kan worden gebruikt.
Vijf minuten na het koppelen van de webcam zien we dat er direct wordt geprobeerd om in te loggen.
De webcam in kwestie had een standaardwachtwoord ( '123456'), dat niet te wijzigen was. "Vijf minuten na het koppelen van de webcam zien we dat er direct wordt geprobeerd om in te loggen", zegt Van Duijn.
De hackpoging was - ook tot de verbazing van de onderzoekers zelf - direct geslaagd. "Als je dit apparaat aansluit is een risico dat een aanvaller kan binnenkomen op jouw thuisnetwerk en kan meekijken", zegt Van Duijn. "Maar die aanvaller kan ook jouw rekenkracht en internetverbinding gebruiken om verdere hackaanvallen uit te voeren."
DDoS-aanvallen
Een aanvaller kan een gehackte webcam, thermostaat of ander slim apparaat gebruiken om zijn werkterrein uit te breiden naar andere kwetsbare apparaten, maar ook om grootschalige DDoS-aanvallen uit te voeren. In 2016 werden daarmee hackaanvallen uitgevoerd die veel websites plat wisten te leggen. Dat kwam door het Mirai-botnet, een netwerk van geïnfecteerde computers.
Sindsdien is de dreiging allerminst geweken. De broncode van Mirai is op internet geplaatst, en daardoor kan iedereen relatief eenvoudig een netwerk van geïnfecteerde computers opzetten dat zichzelf verder verspreidt. Ook het versturen van spam en phishingmails via de gehackte apparaten behoort tot de mogelijkheden voor aanvallen.
Hoewel een slim apparaat doorgaans niet veel rekenkracht heeft, helpen alle beetjes, zegt onderzoeker Neelen. "Doordat je er zo veel hebt, kun je toch heel grote aanvallen uitvoeren", zegt Neelen. "Zo kun je bijvoorbeeld de site van een bank platleggen."
Maar ook de kritieke infrastructuur - denk aan telecomproviders en banken, maar ook aan sluizen, waterkeringen en andere cruciale systemen - kunnen daarvan het slachtoffer worden, waarschuwt het NCSC.
Het wordt steeds makkelijker om dat soort botnets op te zetten, vanwege alle onveilige apparaten die we aansluiten op internet, zegt Verhoef van DutchSec.
Per saldo wordt het internet door dit soort slimme apparaten onveiliger.
Dat herkent ook het Nationaal Cyber Security Centrum. "Per saldo wordt het internet door dit soort slimme apparaten onveiliger, omdat er meer apparaten zijn en er bij die apparaten minder aandacht is voor veiligheid", aldus directeur Zorko.
Niet alles
Zeker niet álle slimme apparaten zijn zo makkelijk te hacken. Het gaat mis als een apparaat rechtstreeks op een bepaalde manier aan internet wordt gekoppeld en makkelijk te raden wachtwoorden worden gebruikt. Voor de gemiddelde consument is echter niet te zien op welke manier een apparaat op internet wordt aangesloten.
"Maar je kunt in ieder geval onderzoeken of je bij een apparaat het standaardwachtwoord kan wijzigen", zegt Zorko van het NCSC. Als dat niet zo is, is dat een teken dat een apparaat onveilig is.
Bovendien is het goed om dat standaardwachtwoord dus ook meteen te wijzigen, en daar niet mee te wachten. "Het beste zou zijn als een apparaat je zou dwingen om het wachtwoord te wijzigen, nog voordat je het in gebruik neemt", zegt Van Duijn.
Maar er is ook een rol voor de overheid. Het nieuwe kabinet werkt aan maatregelen om slimme apparaten veiliger te maken. "Er wordt nog gewerkt aan de invulling, maar je moet denken aan de verplichting om beveiligingsupdates uit te geven en betere informatie te verstrekken, zodat consumenten beter kunnen zien wat veilig is", aldus Zorko.