'Goede beveiliging voor het internet-of-things komt pas na een tweede Stuxnet'

Voordat er degelijke beveiliging komt voor het internet-of-things is er opnieuw een gebeurtenis nodig die mensen wakker schudt, zoals de Stuxnet-affaire. Dat zegt Mikko Hyppönen, chief research officer van beveiligingsbedrijf F-Secure, in een interview met Tweakers.

mikko hypponen "Bruce Schneier heeft gelijk, zoals hij dat heel vaak heeft. Het is een zeer intelligente man", antwoordt Hyppönen op de vraag of hij het eens is met de schatting van de Amerikaanse beveiligingsonderzoeker Schneier dat de mensheid bezig is een 'world-sized web' te bouwen. Dat web is opgebouwd uit allerlei sensoren uit verschillende apparaten die deel uitmaken van het internet-of-things en vormt als het ware een enorme robot. Deze kan op een gegeven moment ook zonder menselijke tussenkomst fungeren, schrijft Schneier.

"Het is nog niet zover, maar we gaan wel die kant op", vervolgt Hyppönen. "Het is ontzettend goedkoop om een apparaat te voorzien van internettoegang en als het maar een klein voordeel oplevert, bijvoorbeeld in de vorm van analytics, gaan fabrikanten daar gebruik van maken." Deze fabrikanten hebben volgens de Finse onderzoeker echter vaak alleen kennis van productveiligheid, bijvoorbeeld om ervoor te zorgen dat je niet zomaar een stroomstoot krijgt van een toaster. "Ze weten over het algemeen alleen iets van safety en niet van security", legt hij uit. "Security is geen selling point voor deze fabrikanten en gebruikers realiseren zich vaak niet dat de apparaten geen doelwit zijn voor kwaadwillenden, maar een manier om bijvoorbeeld een netwerk in te komen, een vector."

Om de beveiliging van alle apparaten die het internet-of-things vormen op de agenda te krijgen, is volgens Hyppönen een tweede catastrofale gebeurtenis als de Stuxnet-affaire nodig. Stuxnet is een zeer geavanceerde vorm van malware, die hoogstwaarschijnlijk door overheden is ontwikkeld om kerncentrales in Iran te saboteren. "Net als Stuxnet tot betere beveiliging van industriële installaties leidde, zal dit ook het geval zijn bij slimme apparaten", legt hij uit. "Je kunt bijvoorbeeld denken aan een zichzelf verspreidende worm die gericht is op internet-of-things-apparaten die Linux draaien. Die worm zou niet eens een doel hoeven te hebben, zolang hij maar apparaten onbruikbaar maakt, bijvoorbeeld door de inhoud te versleutelen." Hyppönen sprak de hoop uit dat er dan vanzelf betere beveiliging wordt ontwikkeld, zonder te veel regulering via wetgeving.

Tweakers sprak ook met de onderzoeker over zijn mening in de zaak die speelt tussen Apple en de FBI. "Ik ben het helemaal met de houding van Apple eens. Het doet alles wat het kan om zijn klanten te beschermen", stelt hij. "Ik moet echter ook de FBI ermee complimenteren dat zij de telefoon uiteindelijk zonder de hulp van Apple gekraakt hebben. Dat is immers hoe het systeem hoort te werken. Het verzoek tot medewerking aan Apple ging ook niet zozeer over het verschaffen van een masterkey, maar om het creëren van iets nieuws, namelijk een kwaadaardige versie van het iOS-besturingssysteem."

Ook heeft Hyppönen een idee over de manier waarop de FBI toegang heeft weten te krijgen tot de telefoon. "Ik sprak toevallig Andrea Barisani van (beveiligingsbedrijf, red.) Inverse Path daarover en wij kwamen tot de conclusie dat het waarschijnlijk om een softwaremethode gaat en niet om nand mirroring, zoals over het algemeen wordt gedacht. Er was namelijk ook al remote code execution mogelijk in iOS 9.2 en in dit geval zou het om een soortgelijke kwetsbaarheid kunnen gaan." Dat zou ook kunnen verklaren waarom de FBI onlangs zijn hulp bood bij het kraken van een iPhone 6 in een andere zaak.

Tot slot licht Hyppönen nog een tipje van de sluier van zijn langetermijnonderzoek bij F-Secure op. "Veel kwetsbaarheden komen voort uit bugs en bugs zijn het gevolg van menselijke fouten. Wat als wij nu eens de menselijke factor uit het programmeren konden verwijderen en software door software konden laten schrijven? Ik heb hiermee al een aantal experimenten uitgevoerd. De programma's die eruit rolden waren slecht, maar ze deden het wel. De dag waarop een programma net zo goed kan programmeren als ik, is de laatste dag dat programmeurs nog werk hebben."

IT-banen

Reacties (68)

CAPSLOCK2000

Privacy
Netwerk en systeembeheer

1 april 2016 16:29

De tweede stuxnet hebben we al lang gehad, en de derde ook net als de vierde. Ze heten Duqu, Flame en Regin en dat zijn de eerste de beste die ik kan bedenken, er zijn er meer. Daarnaast zijn er vast nog tientallen anderen die we niet kennen.

Ik geloof niet dat een nieuwe StuxNet genoeg is, ik denk dat er een nieuwe 9/11 nodig is.

Anoniem: 55563 @CAPSLOCK2000 • 2 april 2016 23:13

9/11 heeft natuurlijk weinig te maken met een aanslag als gevolg van slechte internetbeveiliging. Bovendien zijn er na 9/11 alweer genoeg aanslagen geweest in westerse landen. Misschien waren die niet zo visueel dramatisch als 9/11 maar desondanks zorgden ook die voor genoeg chaos en ellende. Maar laten we voor deze discussie de eventuele motieven achter al deze gebeurtenissen even buiten beschouwing laten.

Ik sluit niet uit dat er in de toekomst aanslagen worden gepleegd via het internet. Waar Stuxnet bepaalde reactoren nog onklaar maakte, kan een nieuwe versie wel eens met heel andere bedoelingen gemaakt worden. Dammen kunnen opengezet worden, energiecentrales kunnen stilgelegd worden, vliegtuigen uit de lucht gehaald. Eigenlijk materiaal uit een slechte Hollywoodfilm en het verbaast het mij dat dergelijke zaken niet allang dagelijks nieuws zijn. Moeten mensen met slechte bedoelingen deze relatief makkelijke doelwitten nog ontdekken of is er wat anders aan de hand?

Persoonlijk ben ik niet zo happig om alles maar met elkaar te verbinden. Wat is bijvoorbeeld werkelijk het nut om je thermostaat aan te kunnen passen als je niet thuis bent? Misschien moeten we maar bepaalde gemakken inleveren als dat veel grotere veiligheid oplevert. Misschien moet die dam maar volledig off the grid. Dan maar on-site beheer als dat ervoor zorgt dat er niemand van buitenaf mee kan klooien.

CAPSLOCK2000

Privacy
Netwerk en systeembeheer

@Anoniem: 55563 • 3 april 2016 13:11

9/11 heeft natuurlijk weinig te maken met een aanslag als gevolg van slechte internetbeveiliging. Bovendien zijn er na 9/11 alweer genoeg aanslagen geweest in westerse landen. Misschien waren die niet zo visueel dramatisch als 9/11 maar desondanks zorgden ook die voor genoeg chaos en ellende. Maar laten we voor deze discussie de eventuele motieven achter al deze gebeurtenissen even buiten beschouwing laten.

Het ging mij vooral over de sociale impact van 9/11. De schok van 9/11 was enorm en heeft de wereld in korte tijd enorm veranderd. Opeens was het Amerikaans congres weer in staat om snel te reageren en heeft er in paniek een stel noodwetten doorgejaagd die nog steeds van invloed zijn zoals de Patriot Act. Tot op de dag van vandaag zijn er een aantal grote conflicten die rechstreeks zijn terug te voeren naar 9/11 en de reactie daar op.
Er zijn daarna nog veel meer aanslagen geweest (Madrid, Londen, Parijs, Brussel, etc) maar die verbleken bij impact die 9/11 heeft gehad op onze samenleving.

Vroeg of laat gaat er een digitale aanval komen die net zo'n grote gevolgen heeft. Waarschijnlijk wordt dan in een paar dagen tijd een pakket draconische wetten aangenomen om de digitale veiligheid te waarborgen. Niet dat we weten hoe dat moet maar dat heeft ons ook niet tegengehouden om onze vliegvelden vol te zetten met scanners en controleurs.

Moeten mensen met slechte bedoelingen deze relatief makkelijke doelwitten nog ontdekken of is er wat anders aan de hand?

Ik denk dat het al zo ver is maar dat we het nog niet door hebben. De meeste krakers zijn er niet op uit om mensen te doden maar doen het voor het geld of voor de lol. Ik denk dat er heel wat dammen, bruggen, electriciteitscentrales en ziekenhuizen zijn gechanteerd met hun beveilingsproblemen maar als er betaald wordt horen wij er nooit iets van.
Daarnaast is onze IT is zo slecht dat we het verschil niet zien tussen een bug en een kraker. Omdat het ook zonder krakers wel fout gaat hebben we vaak meerdere lagen beveiliging om te beschermen wat echt belangrijk is.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 02:14]

Ge Someone @CAPSLOCK2000 • 3 april 2016 14:38

Ik denk dat (terroristische) aanslagen alleen maar zorgen voor meer bevoegdheden van inlichtingen diensten en die hebben voor hun afluister / monitoring activiteiten juist weinig belang bij goede beveiliging.
Als gebrek aan beveiliging bedrijven geld gaat kosten, dat zou ze kunnen motiveren.

Tukk @CAPSLOCK2000 • 2 april 2016 20:21

Dat was ook mijn eerste reactie.

Je vergeet een recente Dark Energy, die een energiecentrale plat legde in de Oekraine.

Er is al heel veel gebeurd sinds Stuxnet. Daarbij is et niet het beste voorbeeld. Het aantal bedrijven dat geraakt is, is minimaal. Het rijtje voorwaarden (Siemens PLC, centrifuge binnen bepaalde frequentie) zorgde er voor dat er relatief weinig schade is berokkend.

Anoniem: 63072 1 april 2016 16:31

Mijn energiemeter hoeft niet aan het internet te hangen. Wat is daar in vredesnaam het nut van? Zelf thuis verzamelen kan prima, maar dan wel de energiemeter achter een dikke firewall, zodat er extern niet mee gekloot kan worden.

Mijn TV hoeft niet aan het internet te hangen, SMART TVs zijn alleen maar goed voor de fabrikanten: planned obsolence! Alles wat die smart TV kan, kan een Chromecast of Apple TV beter en als dat niet genoeg is, of je Google en Apple niet vertrouwt, dan hang je er een PC aan. De eerste optie is goedkoper dan een hele TV vervangen, de laatste optie kan je zelf updaten en gaat langer mee.

Waarom denken mensen dat het IoT zo'n grote toekomst heeft? Wat zijn de voordelen? Ik lees de artikelen, maar ik zie ze niet.

simon @Anoniem: 63072 • 1 april 2016 16:56

De reden dat het interessant is om je energiemeter aan het internet te hangen is dat je zo een smart grid kan opzetten waarbij we load kunnen verdelen over de dag, en deze beter kunnen laten aansluiten op productie van zonnepanelen, of je auto beter als accu kan fungeren voor het stroomnetwerk. IoT heeft als grote voordeel dat veel van dergelijke projecten (zoals een smart grid) pas echt functioneren als je de massa pakt. Een smart grid kan pas functioneren als een grote groep er op aangesloten is en het netwerk effect het systeem in balans brengt.

YangWenli @simon • 2 april 2016 14:57

De energiemeter begrijp ik.

Maar mijn koelkast of TV? Ja dat levert mij niks op maar is natuurlijk erg handig voor de marketing industrie.

En die wil ik niet helpen. Ik blokkeer alle trackers en delete cookies.

laptopleon @YangWenli • 3 april 2016 13:45

Het staat of valt niet met jou / een paar gebruikers meer of minder.

Als het significant wat opbrengt kan de (tussen)handel dat product goedkoper leveren en wordt dat product aantrekkelijker, dus meer verkocht en worden de alternatieve versies steeds ongebruikelijker en dus omslachtiger / duurder.

Als je bijvoorbeeld per se je belastingaangifte, bankbetalingen, energieverbruik etc op papier wil blijven doen, zal je daar steeds meer voor moeten betalen.

Het is overigens de vraag of dit je niets oplevert. Reclame op tweakers, cookies en een goedkoop internet etc leveren je deze site op die er anders waarschijnlijk niet zo zijn.

Ge Someone @YangWenli • 3 april 2016 14:39

TV is dan weer niet zo vreemd. Netflix, Uitzending gemist, YouTube enz.

CAPSLOCK2000

Privacy
Netwerk en systeembeheer

@simon • 3 april 2016 13:42

De reden dat het interessant is om je energiemeter aan het internet te hangen is dat je zo een smart grid kan opzetten waarbij we load kunnen verdelen over de dag, en deze beter kunnen laten aansluiten op productie van zonnepanelen, of je auto beter als accu kan fungeren voor het stroomnetwerk.

Ik snap de voordelen en heb geen principele bezwaren tegen IoT of het koppelen van mijn energiemeter of koelkast aan internet. Ik heb wel problemen met bepaalde implementaties. Er zijn nogal wat systemen die vooral veel informatie geven aan de producenten en niet aan de consumenten. Nu is het zo dat zo'n meter regelmatig doorgeeft wat het verbruik is en zodat de productie daar op kan worden aangepast. Er gaat dus eenzijdig informatie van de klant naar de producent, en iedereen die op een of andere manier mee kan luisteren. Ik zou het liever omdraaien. Laat de producenten publiceren hoeveel electriciteit er beschikbaar is en hoeveel geld ze er voor willen hebben. Mijn slimme meter kan er dan voor kiezen om de wasmachine aan te zetten als het aanbod groot en de prijs laag is.
Ik snap dat ons huidige netwerk daar nog niet geschikt voor is maar ik investeer liever niet in een inferieure oplossing (het huidige) systeem want dat zal de ontwikkeling van een goed systeem maar afremmen.

jeroen_loeffen @simon • 1 april 2016 23:39

Dat is het voordeel voor de leverancier, niet voor de gebruiker. De extra winst die het oplevert zal ook niet uitgekeerd gaan worden.

laptopleon @jeroen_loeffen • 3 april 2016 13:59

Naarmate er extra winst te behalen is, wordt het interessanter voor concurrenten een dergelijk product aan te bieden, dus er komt meer concurrentie, wat de prijs weer drukt.

Als consument merk je in de praktijk weinig van prijsschommelingen bij de producenten. Kijk maar naar de prijs van melk. Nu het melkquotum verdwenen is, is de prijs die de koeienboeren krijgen flink gezakt. Veel boeren maken nu verlies en er zullen er moeten stoppen als dit niet op korte termijn weer aantrekt, maar de prijs van een pak vla in de winkel gaat niet meteen 20% omlaag of strak weer omhoog. De tussenhandel verdiend namelijk veel meer aan een liter melk dan de boer en kan het zich daardoor veroorloven dat langzaam aan te passen. Het gaat daarbij om meer factoren dan alleen de kostprijs van de grondstof.

Proxx @laptopleon • 4 april 2016 08:54

maar met die concurrentie krijgen we weer verndor locking

krijgt we dat gezeik weer.

laptopleon @Proxx • 7 april 2016 20:21

Ontsnappen aan vendor lock-in is juist alleen mogelijk als er überhaupt andere opties, oftewel concurrenten zijn

Het is mogelijk dat die ook aan vendor lock-in doen maar dan kun je in ieder geval nog zelf bepalen aan wie je vast zit.

simon @jeroen_loeffen • 2 april 2016 10:26

Uiteindelijk worden ook wij leverancier. Dan wordt zo'n systeem relevant. Om moderne duurzame vormen van energieproductie goed werkend te hebben wil je de lasten verdelen, en dan is IoT opeens erg handig

daellat @jeroen_loeffen • 2 april 2016 13:01

Economisch misschien niet maar op zich kan je ook ecologisch denken. Dan zit het (als het goed geregeld is) niet in de weg maar ben je toch minder aan het vervuilen / verspillen

Niemand_Anders @Anoniem: 63072 • 1 april 2016 17:19

Hetzelfde werd 25 jaar geleden ook geroepen over het internet. Het was slechts een netwerk welke door universiteiten en research labs werd gebruikt. Zelfs toen xs4all in 1993 begon met internet was er weinig animo. Compuserve was lange tijd veel populairder dan het 'internet' en nog steeds staat 'internet' voor de mensen mensen synoniem aan het World Wide Web. Ofwel de websites..

IoT gaat voor alledaagse apparaten doen, wat de CAN-bus voor onderdelen in jouw auto heeft betekend. Ook die bus is niet altijd beschermd geweest. En eigenlijk is deze nog steeds niet beschermd, maar hebben bepaalde berichten een ondertekenings hash. Je kunt bijvoorbeeld wel over de CAN bus de positie van je gas pedaal voorbij zien komen, maar je zult niet zelf deze berichten over de CAN-bus kunnen versturen. Ook niet helemaal correct, je kunt ze wel versturen, maar omdat de hash incorrect is, zullen deze berichten genegeerd worden door je ECU.

Net zoals dat de automatisering in de auto de afgelopen jaren in een stroomversnelling is gekomen, zal op een gegeven moment ook IoT een bepaald momentum krijgen waardoor het niet meer is weg te denken zoals we nu eigenlijk ook niet meer zonder websites/webservices kunnen.

IoT heeft zoals alle automatiserings- en monitor initiatieven een aantal grote voordelen. Helaas is het een beetje naief te denken dat IoT volledig veilig is, als de mensheid nog steeds websites heeft waarop injections, session (cookie) hijacking en XSS scripting mogelijk zijn..

Persoonlijk zou ik zelf liever een Network of Things (NoT) zien dan een Internet of Things. NoT devices hebben we namelijk al in de IT in de vorm van SNMP. IoT zou al veel veiliger zijn als data alleen via PULL is te benaderen. Het is dus niet je TV welke verbinding maakt met andere apparaten over het internet, maar jij maakt verbinding met je (smart)TV, slimme thermostaat- en/of meter.

Je slimme gasmeter is dan in eerste instantie slechts een digitale meter. Echter zou je remote de huidige stand kunnen uitlezen. Volgens zou je deze data weer kunnen plotten op een MRTG graph. Je zou dat ook kunnen doen met de data van je slimme thermostaat. Maar op die manier zou je ook het energie verbruik van huishoudelijk apparaten kunnen uitlezen.

Bij een NoT apparaten zijn 'security' updates ook veel minder van belang omdat deze apparaten niet zelf pro-actief internet (rest) services benaderen. Veel apparaten kunnen via deze services ook weer instructies krijgen. Als jij op je werk met je telefoon op het werk je thermostaat kunt bedienen en niet het IP en poort van je thermostaat hoeft op te geven, is het apparaat ook vatbaar dat anderen opdrachten in de queue zetten..

En veiligheid zal zoals vrijwel overal in de IT het ondergeschoven kindje blijven..

Anoniem: 63072 @Niemand_Anders • 1 april 2016 17:23

Ik snap wel het nut van sommige apparaten in het netwerk hangen, maar waarom aan het internet?

Met goede afspraken kan je ze aan een eigen C&C server in je huis hangen en kan je statistieken maken zoveel je wilt. En aan jou de keus of je die server aan het internet wil hangen.

Als je dan ook nog eens een gescheiden netwerk segment gebruikt daarvoor, dan is het niet eens zo interessant meer of de maker van je termostaat zijn zaakjes op orde heeft. Het gaat er dan om dat er een goede beveiliging op jouw server zit.

Niemand_Anders @Anoniem: 63072 • 1 april 2016 20:47

Dat is ook precies de reden waarom ik liever een Network of Things zie dan een Internet of Things. Zelfs bij een NoT kun je er altijd nog voor kiezen middels port forwarding op je ISP router om een apparaat vanaf het internet bereikbaar te maken.

Alleen het is dan een bewuste keuze welke je maakt. Heel veel mensen wisten niet dat de Smart TV zo'n beetje je gehele kijkgedrag doorsturen naar de fabrikant. Het is weer een ander punt dat als jij een probleem met je TV ervaart en dat je dan een vraag krijgt of de Smart TV gegevens mag verzamelen en deze doorsturen samen met de bugmelding naar de fabrikant. Opt-in gebruiks statistieken verzamelen zou van mij ook nog wel mogen.

Echter bij IoT is het belangrijk dat de consument weet welke informatie een apparaat over het internet naar een webservice stuurt en met wel doel. Ook moet die data stream zijn uit te zetten..

Liberteque @Niemand_Anders • 2 april 2016 13:49

Je begrijpt dat je bij de woorden port forwarding 99% vd mensen buitenspel zet? Die weg zullen ze echt niet nemen, hoe beangstigend het dan ook is voor ITers onder ons

Proxx @Niemand_Anders • 4 april 2016 08:57

IPv6

CAPSLOCK2000

Privacy
Netwerk en systeembeheer

@Anoniem: 63072 • 3 april 2016 13:51

Ik snap wel het nut van sommige apparaten in het netwerk hangen, maar waarom aan het internet?

De Wet van Metacalfe: "De waarde van een netwerk neemt kwadratisch toe met het aantal aangesloten apparaten."

Je apparten aansluiten op een groot netwerk biedt veel meer waarde dan ze aansluiten op een klein netwerk. Het kan ook nadelen hebben of, zo je wil, de voordelen kunnen bij iemand anders liggen. Als je puur kijkt naar wat je kan bereiken en de nadelen vergeet dan is een groot netwerk altijd beter dan een klein netwerk.

Het is erg menselijk om de nadelen uit het oog te verliezen, er van uit te gaan dat alles altijd goed zal gaan en zich puur te richten op de voordelen zoals gemak.

ToolBee @Anoniem: 63072 • 1 april 2016 18:52

De beroemde koelkast die zelf "appie" belt om aan te vullen of zo?
Ik ken genoeg mensen die dat wel grappig vinden en als ze er eenmaal aan gewend zijn willen ze niet meer terug waarschijnlijk!

Maar "slimme" energiemeters laten mijn nekharen ook onhoog komen!

enneh...

6 april, stem wat je wil!!!

kozue @ToolBee • 2 april 2016 09:25

Slimme koelkasten vind ik net zo erg. Die zullen dan alleen samen kunnen werken met specifieke ondersteunde aanbieders. Dus waarschijnlijk wel AH, aangezien die de grootste en bekendste zijn, maar niet de Deka, Vomar, Jumbo en/of Lidl. Ik kom nooit bij AH (genoeg andere supermarkten waar je gewoon korting krijgt zonder tracking-kaart), en zou een koelkast die zelf AH belt helemaal niet kunnen waarderen.

En dat is naar mijn mening de zwakte van elk "smart" apparaat: je bent altijd afhankelijk van de producent, wat die toevallig belangrijk genoeg vond om aan te bieden, of hun keuze in partijen. Daarom hoor je zoveel verhalen over smart-TV's die binnen een jaar functionaliteit verliezen (voor mij dus geen smart-TV). En daarom kan ik nu dus ook mijn iphone niet met openvpn verbinden, omdat Apple opensource vpn's niet belangrijk genoeg vond en alleen commerciële implementaties aanbiedt. En daarom zal ik ook geen Nest producten kopen: omdat ze alleen samenwerken met Google en ik Google niet vertrouw met gegevens, door al hun profiling en tracking.

Roeligan @Anoniem: 63072 • 2 april 2016 14:28

Mijn TV hoeft niet aan het internet te hangen, SMART TVs zijn alleen maar goed voor de fabrikanten: planned obsolence! Alles wat die smart TV kan, kan een Chromecast of Apple TV beter en als dat niet genoeg is, of je Google en Apple niet vertrouwt, dan hang je er een PC aan.

Netflix via je tv werkt een stuk makkelijker dan via de chromecast (bedienen met je TV AB), en daar gaat het de meerderheid om.

De voordelen van IoT ga je pas zien als er echt out of the box gedacht gaat worden en/of sensoren dirt-cheap zijn. Bijvoorbeeld in je to-do app je boodschappenlijst auto aanvullen als iemand net de laatste melk heeft ingeschonken en de sensor al had doorgegeven dat het pak leeg is. Of dat deze over de datum zou zijn. Enfin, de toekomst zal het leren, toen ik in '94 mijn eerste internet aansluiting kreeg (DDS en later WorldOnline) was dat ook de tendens; pfff waarom zou internet in elk huis aanwezig moeten zijn.

jeroen_loeffen 1 april 2016 16:24

Ook na een tweede stuxnet zal het kalf nog niet volledig verdronken zijn. Ik hoef geen slimme thermostaat zolang daar geen twintig jaar aan securitypatches aan gegarandeerd wordt. De fabrikanten zullen kosten tegen baten afwegen; klanten zullen een korte tijd geinteresseerd zijn in veiliger oplossingen en daarna maken we ons op voor stuxnet 3.

World Citizen @jeroen_loeffen • 1 april 2016 16:33

Al snap ik helemaal wat je bedoeld, maar de techniek groei exponentieel, en technieken verouderen heel snel.

Vereisen dat een apparaat zoals in de jaren 80 gewoon 20 jaar mee gaat is lastig daardoor.
Je kunt niet een platform ontwikkelen wat over 20 jaar nog up to date is.. Daar gaat het veel te snel voor. Toen Philips een beeldbuis bedacht.. konden ze daar jaren mee doen. Nu is er elke maand wel weer een betere techniek dan de maand ervoor. Dus na 20 jaar loop je echt bizar achter.

Tevens koste indertijd een apparaat ook vele malen duurder dan nu,. Door het globaliseren van producten en in en export gaan de kosten stukken omlaag ten opzichte van vroeger.. Kijk naar wat de eerste TV's kosten in verhouding tot salaris.

Dus ik denk dat we niet meer 20 jaar met een product moeten willen doen. Met een degelijk recycle proces is 10 jaar prima, en na 10 jaar is de techniek dusdanig veranderd dat je er toch niet onverstandig aan doet te upgraden.

[Reactie gewijzigd door World Citizen op 23 juli 2024 02:14]

jeroen_loeffen @World Citizen • 1 april 2016 17:02

Juist het punt dat technieken zo snel verouderen maakt dat ik me erg bewust ben van wat ik allemaal niet aan het net wil hangen.

eheijnen @jeroen_loeffen • 1 april 2016 17:26

Je kunt dat ook zien aan het updaten van smartphones. Wat veel te weinig gebeurt door de hoeveelheid aan diverse types.

supersnathan94 @eheijnen • 1 april 2016 18:07

Nouja. Als we dan toch over smartphones gaan beginnen. Bij Apple staat het nu op 4- 5 jaar security patches met de iPhones en iPads. Het kan dus prima, maar dit betekent inderdaad wel dat je als bedrijf een enorme afzet markt moet hebben met een beperkt scala aan producten.

Ik zie eneco en nuon nog niet uitleveren op de schaal waarop Apple dat doet.

eheijnen @supersnathan94 • 1 april 2016 18:15

Het gaat nog verder.

Stel je hebt een slimme koelkast. En de RFID chips op verpakkingen worden vervangen door een ander exemplaar dat jouw koelkast niet meer kan uitlezen. Ondanks dat jouw koelkast nog heel wat jaren mee kan... Om maar iets te noemen.

Dat beperkte aanbod van Appe is voorwat upgraden betreft zonder meer een sterk punt. Daarnaast ben je voor hun producten ook een flinke bats geld kwijt.

World Citizen @eheijnen • 1 april 2016 18:45

En mis je functionaliteiten. Een iPhone 6s met het laatste ios systeem heeft meer functies dan een iPhone 6.

Daar is niks mis mee. Maar het laat zien dat als je extra fysieke sensors of dergelijk nodig hebt dan gaat een platform niet altijd mee.

Een koelkast kun je uitvoeren met een "lees-module" die je zou kunnen upgraden met nieuwe lees/rfid technieken. Maar stel er is ontwikkeling en je hebt ineens een 5 extra sensors nodig in je koelkast.. Dan zit daar simpelweg de aansluiting niet.

Dus doe mij maar een kortere levensduur met lagere prijs en goede recycling. Als het netto over 100 jaar ongeveer even duur is dan vind ik het prima. Al moet daar nog wel een hoop voor gebeuren.

supersnathan94 @World Citizen • 1 april 2016 21:12

De enige functie die de 6s extra heeft ten opzichte van de 6 is live photos (wat in prjncipe een stukje software is) en 3d touch (wat idd ook echt hardware is, maar deels ook is op te lossen met software).

kozue @World Citizen • 2 april 2016 09:36

Met zulke gedachten krijg je een wegwerpmaatschappij. Juist als de techniek sterk verbetert is dat een trigger om een andere (onderbelichte) kant van de techniek te verbeteren en apparaten zo te ontwerpen dat ze langer mee zullen gaan en ook nieuwe software zullen ondersteunen. De hardware is niet zo heel anders dan vroeger. Ze zijn nu een stuk sneller, maar we hebben nog steeds x86 en ARM chips, net als decennia geleden. Een moderne Linux kernel kun je nog steeds op een 386 van 20 jaar oud draaien.

De draaischijftelefoon van m'n ouders ging vroeger tientallen jaren mee. Waarom moet een smartphone, die veel krachtiger is, dan na 2 jaar vervangen worden? Het zijn voornamelijk beperkingen in de software, niet de hardware. Door apparaten modulair op te zetten kom je al een heel eind. Net zoals je in computers een nieuwe videokaart of extra geheugen kunt steken als de oude niet meer voldoet. Maar omdat er meer geld te verdienen valt aan iedereen om de 2 jaar een nieuwe telefoon op te dringen gaan ze daar gewoon mee verder. Het is niet zo dat de techniek er niet is, de motivatie bij fabrikanten is er gewoon niet. Misschien is een oplossing voor deze wegwerpmaatschappij gewoon betere wetgeving om fabrikanten te dwingen hun apparaten klaar te maken voor de toekomst en niet alleen naar de korte termijn te kijken.

Jack77 @kozue • 2 april 2016 10:04

@Ivm levensduur: wat als alle toestellen nu eens gewoon "terminals" zouden zijn, met individuele rekenkracht in de cloud. Dan heb je vooral een scherm en netwerkconnectiviteit nodig. Dus zolang er hardwarematig geen toestelaanpassingen nodig zijn om nieuwe functies te bieden, kan de cloud computing gewoon meeschalen met de functionaliteit van de software.

Terracotta @World Citizen • 1 april 2016 16:56

Niet alle technieken groeien exponentieel. Sommige appareten zijn obsolete na een jaar sommige na 10, sommige na 100.
Waarom dus 10 jaar? Laat iedereen maar om de 2 jaar zijn hele huis helemaal opnieuw inrichten, er zijn toch betere technieken en methodes.

Ik had gedacht dat we nu enfin toch al door zouden hebben dat dit soort denken niet sustainable is? Bij deze schaar ik me ook bij de oproep dat software fabrikanten maar voor langere ondersteuning moeten zorgen. Dat dat met proprietary software en vendor lock-in haast niet te doen is, is het probleem van de fabrikant, niet van de maatschappij.

[Reactie gewijzigd door Terracotta op 23 juli 2024 02:14]

Xanaroth @jeroen_loeffen • 1 april 2016 16:37

Inderdaad, het gaat niet alleen om nu maar ook morgen en of de veiligheid dan ook nog voldoende is.
Kijk naar mobieltjes. Vaak redelijk beperkt voorzien van updates. Moet er toch niet aan denken elke 3-4 jaar al mijn electronica te moeten vervangen omdat de software niet (of niet meer) ondersteund wordt.

Snap in de basis eigenlijk zowiezo al niet waarom mensen erin trappen, zichzelf blind aan het internet aansluiten zonder beveiliging ertussen. Totaal geen idee wat voor deuren ze openzetten (en vaak open laten, want praktisch geen beveiliging) en vroeg of laat wordt dat een hele koude douche.

Denk alleen dat de ransomware ondertussen al aardig hoog op het lijstje staat als 'volgende stuxnet' gezien dat het in staat is hele bedrijven plat te leggen.

[Reactie gewijzigd door Xanaroth op 23 juli 2024 02:14]

Iblies @Xanaroth • 1 april 2016 17:45

Mobieltjes zijn een voorbode.

De volgende stap zijn (semi)robots voor industrie/magazijn/huishouden.

www.imdb.com/title/tt0343818/ Is een film die de meeste zich nog wel kunnen herinneren, de vraag is hoe zal worden omgegaan wanneer er een dergelijk apparaat gruwelijk de mist ingaat.

Moet er niet aan denken dat random-ware daadwerkelijk ransom-ware wordt met een dergelijk apparaat die in je nek hijgt.

fantafriday @jeroen_loeffen • 1 april 2016 16:40

Security patches zijn leuk tegen aanvallen van niet betalende micro data afnemers

. Die slimme termostaat hoef ik niet te hebben zolang er een verbinding met een of andere server nodig is die tussen mij en de thermostaat zit.

*snelle edit: VPN server naar huis natuurlijk wel aanwezig in dit scenario

[Reactie gewijzigd door fantafriday op 23 juli 2024 02:14]

eheijnen @jeroen_loeffen • 1 april 2016 16:57

Het zou interessant zijn om eens een goed onderzoek te doen naar hoeveel mensen eigenlijk weten van de beveiliging en de gevaren van dit soort apparaten.

Las net nog op Heise een stuk over VNC Servers die "open en bloot" aan het internet hangen.

LOTG 1 april 2016 16:32

Maar de software die software moet programmeren moet ook geprogrammeerd worden. En dan krijg je dus dat bugs in de generator leiden tot kwetsbaarheden in de gegenereerde software.

Of wil je een AI maken (met mogelijke bugs) die je kunt vertellen wat je wilt en die dan voor jou de software bouwt?

Het zal er wel op neer komen dat we op een steeds hoger niveau gaan programmeren, maar uit eindelijk moet er toch ook aan de onderkant nog steeds van alles gemaakt worden. Ook al schrijven de meeste mensen geen assembler en machine instructies meer, ze zijn er toch (en nodig) en er kunnen ook daar fouten zitten.

Overigens ben ik het helemaal eens met het IoT verhaal en dat heb ik mij zelf ook al meerdere malen afgevraagd. Alles aan het internet met de beveiliging van niks.

[Reactie gewijzigd door LOTG op 23 juli 2024 02:14]

Splorky @LOTG • 1 april 2016 22:03

De software die "wij" programmeren met het doel om software te maken zal doormidden van (door zich zelf geleerde) algoritmes zichzelf kunnen verbeteren. Er moet van wel spraken zijn van AI en niet van de huidige software die doet wat geprogrammeerd is.

Als voorbeeld kan ik niet wachten op dat de metro met AI werkt.
Hoe zwaar is iedere wagon, hoeveel kracht kost het om op gang te komen tot een bepaalde snelheid, hoe snel moet het rijden om de extra lange of korte laad en los tijd te compenseren. Iedere keer dat een bepaald traject wordt afgelegd wordt hier van geleerd zodat het comfortabel en efficiënt gereden kan worden. (Vooral verbanden leggen met verschillende waardes en hier van leren). (Ok misschien erger ik me wel aan het rijgedrag.)

Beter voorbeeld: Big data toepassen op medicijnen, dna en patiënt dossiers en AI kan hier denk erg helpen Door persoonlijke medicatie te samenstellen voor iemand waarbij meerdere pillen vervangen worden Door 1 pil (waarvan niemand niemand meer kan zeggen waarom het werkt maar de computer ligt het de beste samenstelling) (weer verbanden leggen en resultaat gebruiken)

IK vermoed dat kwantum computing een grote stap vooruit kan zijn in AI, dan is het "Humans need not Apply" (op YouTube een naar mijn idee interessante gedachte dat veel banen overgenomen kunnen worden).

Los hier van ligt momenteel de focus totaal niet op security en dit zal ben ik bang nog lang een probleem blijven omdat "voor kwaliteit doeleinden" het echt nodig is om alles te monitoren en door te sturen naar de fabrikant. Security is niet nodig want schijnheiligheid is veel kosten efficiënter

azortje @LOTG • 1 april 2016 18:12

Er zullen altijd situaties te bedenken zijn in welke een machine een mens niet kan vervangen, al doet het dat maar voor 50% dan zal dat nog desastreuze gevolgen hebben voor de werkgelegenheid in een vakgebied.

Zeker bij vooruitgang die exponentieel is zul je het waarschijnlijk niet eens op tijd aan zien komen.

maussie95 1 april 2016 16:37

En dat is de reden dat ik geen internet of things in mijn huis wil hebben. De beveiliging is gewoon nog veel te fragiel.

629110 @maussie95 • 1 april 2016 17:22

Welke beveiliging ?

DarkJack 1 april 2016 16:31

Doet me denken aan http://dothack.wikia.com/wiki/Pluto's_Kiss

PloLeider 1 april 2016 16:40

Hij zal ongetwijfeld op bepaalde punten gelijk hebben, ik denk ook dat als er pas iets heel ergs gebeurt, dat de bewustheid van internetgebruikers weer wat zal toenemen.

Aan de andere kant heeft F-Secure ook een commercieel belang in het geheel, dus hoe gekleurd zijn de bevindingen van deze man. Desalniettemin is het belang van goede cybersecurity alleen maar groeiende.

Dennisdn 1 april 2016 17:31

Grappig. Toevallig afgelopen week nog een keer de TED-talk gezien. https://www.ted.com/talks...y_cyberweapon?language=nl

En vroeg me daarna al af... Als dit mogelijk is... Kunnen ze dan ook mijn Nefit Easy en dus de ketel zo hard op hol laten slaan dat er brand uit breekt? Met Domoticz een schakelaar zo over zijn toeren jagen met hetzelfde resultaat?

goarilla 1 april 2016 18:00

Zijn SCADA systemen nu echt veel veiliger post stuxnet ? Wat met medische apparatuur ? Ik denk dat zolang features en kosten primeren security altijd laks zal zijn.

Anoniem: 721593 @goarilla • 4 april 2016 10:36

Indien je geen uranium verrijkings centrifuges hebt, dan was je systeem altijd al redelijk safe geweest.

Kalief 1 april 2016 18:01

De dag waarop een programma net zo goed kan programmeren als ik, is de laatste dag dat programmeurs nog werk hebben.

Mwah. Wie geeft die software de opdracht een bepaalde applicatie te produceren? Dezelfde die die opdracht nu geeft aan programmeurs. Diens functie degradeert als hij als ondergeschikten geen programmeurs maar software heeft. En dus zullen diens taken worden overgedragen aan een lager liggende functie. Dat zijn die oude programmeurs weer. Met als uiteindelijk gevolg dat de oude programmeurs slechts ander gereedschap hanteren maar nog steeds werk hebben.

Op dit item kan niet meer gereageerd worden.

'Goede beveiliging voor het internet-of-things komt pas na een tweede Stuxnet'

Lees meer

IT-banen

Reacties (68)

Sorteer op:

Weergave: