Kaspersky: we leven in de middeleeuwen van internetbeveiliging

Een "slim" koffiezetapparaat met zwakke beveiliging kan een makkelijke manier zijn om op een netwerk binnen te komen. Hackers zoeken immers de zwakste plekken in beveiliging op. Heb je 10 apparaten goed beveiligd op je netwerk, en een zwak- (of niet-) beveiligd koffiezetappareaat, dan is het een ideale manier om via daar binnen te dringen. Printers worden hier ook vaak voor gebruikt.

Onbeperkt water laten lopen, zodat de boel onder komt te staan. Of de boiler oververhitten zodat er brand ontstaat?

De koffieautomaten kun je via het lokale netwerk of via internet aanpassen door middel van een interface, hierin kun je het apparaat helemaal afstellen zoals jij wil, hoeveelheid water, koffie, melk, suiker etc. Ook kan er voor gekozen worden dat zodra de koffie bijna op is er automatische nieuwe koffie besteld wordt bij een leverancier. En bij een storing kunnen leveranciers op de automaten inloggen om de storingen uit te lezen en eventueel verhelpen waardoor er geen servicemonteur langs hoeft te komen.
Als dit dus niet over een beveiligde verbinding loopt of er standaard wachtwoorden gebruikt worden heb je al een redelijk gat waar gretig gebruik van gemaakt kan worden.

[Reactie gewijzigd door Cowamundo op 22 juli 2024 22:22]

Buiten al het gevaar voor je netwerk kan ik me voorstellen dat inbrekers het wel makkelijk vinden als de weten wanneer iemand van zijn normale ritme (ochtend koffie bijv.) afgeweken is en wellicht niet thuis is. Het zou een moderne truck kunnen zijn om te kijken of iemand langere tijd niet thuis is.

Ik schrijf al jaren over de IOT en hoe het geen goed idee is om ICT toe te passen in apparaten die daar goed zonder kunnen. Ik schrijf vrijwel constant over die cycle of innovation. Hoe technologie eerst wordt ingevoerd en pas daarna wordt gekeken hoe de problemen die ze veroorzaakt moeten worden opgelost.

Die cyclus is vaut. We zouden eerst moeten nadenken over de gevolgen, daarmee vervolgens rekening houden en waar nodig nog veranderingen aanbrengen en daarna invoeren.

Het bedrijfsleven wil dat natuurlijk niet. Enerzijds willen ze snel winst maken voor de concurrent klaar is om met iets gelijkwaardigs te komen. Anderzijds zijn bepaalde problemen juist een pluspunt voor bedrijven. Missende functies of features en zelfs gebrek aan beveiliging kan een reden zijn om een nieuwe versie op de markt te brengen. Dat levert winst op, over de ruggen van de gebruikers, de early majority and early adopters.

Het is leuk dat Kapersky het met mij eens is zo te zien. Als ie me dat nu jaren geleden effe had gebeld... Ik schrijf ook al jaren dat ICT beveiliging zwaar achter loopt bij de innovaties. Ook niets nieuws.

Het punt dat hij vergeet is dat we een inhaalslag moeten doen rond ICT beveiliging maar dat we ICT als geheel niet zo kritiekloos moeten omarmen en toestaan dat koffiemakers en koelkasten een netwerkkaart krijgen. Dat is zinloos, het voegt niets toe aan het leven of je levensgeluk. Het zorgt voor meer risico's, wanneer je huishoudelijke apparaten te pas en te onpas verbinding zoeken met je modem om contact te maken met lokale winkels of globale corporaties voor updates, voor de lijst met aanbiedingen of om data te versturen over je gebruik, om de reden 'we gebruiken die informatie voor productverbetering' zoals vrijwel alle gebruiksovereenkomsten tegenwoordig stellen.
Waarmee ze hetzelfde doen als Steam: early access; producten, die niet helemaal naar behoren werken, of aan minimale eisen voldoen, maar eigenlijk minder af zijn dan de apparaten die je vroeger kocht, omdat de testfase nu overlapt met de verkoopfase.

De risico's van beveiliging zitten op elk punt, het product en de wireless verbinding, de modem, de pc, de huiscomputer in geval van huizen van mensen die niet een pc hebben of gebruiken, de hub in het bejaardentehok, waar een niet al te snuggere hobby ICT'er rond waggelt, de provider en de bedrijven waar uiteindelijk contact mee wordt gezocht, dan wel hun privaatrechtelijke partners die genoemd worden in de TOS en waar ze je data mee kunnen delen.

IOT is iets wat we niet moeten willen. Als 'normaal' internet al niet goed beveiligd is, terwijl er nog steeds talloze 'innovaties' gaande zijn die rücksichtslos in de markt worden gestort, terwijl men berekend dat cybercrime ons miljarden kost op jaarbasis, denk ik dat het stom is om apparaten te gaan kopen of ontwikkelen die net als bij thermostaten, slecht beveiligd zijn.

Beveiliging is te veel een na-gedachte. Het gaat bedrijven om winst. Maar het kost ons privacy en mogelijk worden we slachtoffer van cybercrime.

Een koffiezetapparaat, gewoon zo'n standaard dingetje kost tegenwoordig minder dan 15,- euro. Tijdens het gebruik van zo'n IOT variant wordt er meer winst gemaakt met de data die het genereert dan met de winst via de aanschafprijs.

De economie verandert van een van producten naar informatie. Informatie is het fundament van de economie, niet de materie. Apparaten zullen slechts het excuus of het middel zijn om te komen tot profilering. En daar hoor je Kapersky niet over want zij maken winst juist omdat ICT slecht functioneert.

Kapersky kan niet wachten tot mensen zo dom zijn om IOT apparaten aan te schaffen. Zij geven niet om onze data net zo min als een sleutelmaker geeft om onze inboedel.

Kijk, als je via ICT zaken met elkaar verbind krijg je een opschaling van de mogelijkheden en de risicos.

We maken ons druk over de 'slimme energiemeter'. Hoe zit dat met uitlezen op afstand? Welke data wordt verzameld en verstuurd, hoe vaak en naar wie? Maar als je koelkast ook energie gebruikt en aan je modem hangt, dan kun je met een app je stroomgebruik per apparaat meten, Mooi toch? Wel ja en nee.

Want wat jij weet, kan een ander ook weten, doordat je toestemming geeft om tips te ontvangen over energie zuinigheid, maar je kunt ook reclame krijgen welke koelkast momenteel beter is dan de jouwe. Voor het klimaat en de opoffering van grondstoffen is dat mogelijk niet beter, omdat er voor de productie al wel veel energie en materiaal is gebruikt, zo veel, dat het vroegtijdig omruilen van die koelkast in feite schadelijker is. Dit is een kwestie van break-even point. Op welk moment heb je de kostprijs in NMK bereikt en ga je 'winst' maken.
Voor jezelf kan het betekenen dat je je opgejaagd voelt om toch weer iets 'beters' aan te schaffen. Maar bedrijven hebben inzage in je gebruik, omdat een connectie met je energiemeter snel gelegd is. En dan is er een TOS die bepaald hoe en wat gedeeld wordt. Helaas is een TOS een veelal ongelezen juridisch document dat 'eenvoudig' zou moeten lezen maar vaak nog zo ingewikkeld is, net als een referendum over een associatieverdrag blijkbaar, dat mensen het maar laten zitten.

Zo zal er vrijwel niemand de Occulus Rift terugsturen vanwege de TOS, waar je je haren van uitrukt.

Het kan ook betekenen dat je koelkast praat met alle andere IOT apparaten, er is immers een protocol voor dat soort communicatie. En als we dan ook rfid chips toestaan in alle producten, dan weet je koelkast hoe veel melk je nog hebt, wat dat betekent voor je energiegebruik (als je pak melk warm werd in de auto moet ie extra koelen) hoeveel koppen melkschuim dat is voor je koffiemaker en welke aanbiedingen in de lokale supermarkten je kunnen helpen geld te besparen, mist je je email adres opgeeft aan de merken van je apparaten etc.

Profilering komt tot in je koelkast, in je apparaten, en dus tot in je mond, welke smaak koffiepad je het meeste gebruikt. Let op! Gebruikt! Niet eens 'koopt'! Kopen is nog niet gebruiken. Je kunt ook kopen voor je buurvrouw.

Terwijl google al zo'n 100 velden in je profiel spreadsheet heeft, kan via IOT dat veld vrijwel eindeloos uitgebreid worden tot elk aspect van je leven. Van koffievoorkeur tot voorkeur voor type melk, mager, halfvol, volle melk, tot voorliefde voor merken, waar je het koopt, wanneer, hoe lang het duurt voor het gepind is bij de supermarkt tot het gescand wordt door je koelkast, hoe lang je er mee doet, hoe vaak je melk uit de koelkast pakt, want elke keer scant de koelkast het weer in voor een inhoudsupdate... en ga zo maar door.

De inzicht die je mogelijk via een app waar je drie keer op kijkt en daarna nooit meer, zoals dat ook ging bij mijn verbruik meet apparaatje, is kleiner dan wat de corporaties over je weten. Het zal dus in zo'n wereld vrijwel onmogelijk worden je te verzetten tegen diep op je psyche inwerkende persoonlijke reclames.

Dat is slecht voor NMK omdat je waarschijnlijk meer consumeert, omdat waar je ook bent, je koelkast je kan bereiken omdat de melk op is en je dus nooit de kans zult missen om voor sluitingstijd nog iets te kopen.

De overheid is blij want het levert meer omzet op bij bedrijven. Maar de winst gaat naar aandeelhouders, die via de brievenbusfirma belasting ontwijken of ontduiken waarschijnlijk.

Dus IOT is een vorm van technologie, een combinatie van verschillende met als vast onderdeel ICT, is een van de grootste komende sociaal-maatschappelijke crises van de afgelopen 150 jaar.

[Reactie gewijzigd door Anoniem: 399807 op 22 juli 2024 22:22]

De thermische beveiliging afzetten en de boel oververhitten?

https://en.wikipedia.org/wiki/Air_gap_malware

Onderschat social engineering niet. Onderschat Offline acties niet.
De combinatie van beide is nog erger.

Energie centrales moeten hun energie uitgaven regelen aan de hand van de vraag op dat moment, en het aanbod op dat moment (kan nogal tricky zijn met zond en wind energie)
Dus die moeten wel communiceren.

Of de beheerder van het regelsysteem wil graag remote toegang voor support. Via een VPN, dat wel. Maar via een hack op de laptop van de medewerker (die ook thuis op de bank wordt gebruikt voor algemene zaken) kan er dan toch worden ingebroken. Trojan planten op laptops met VPN client, zodra er verbinding is wat injecteren in de terminalsessie. En gewoon volhouden tot er een treffer is.

Denk dat ze met linux enkel de kernel+userland bedoelen en met Android, de android kernel, userland EN android OS bedoelen.

Het zijn het aantal bestanden, niet het aantal kwetsbaarheden. En als je dat onderscheid ziet dan is het logisch dat er veel meer van zijn voor Android want er zijn gewoon veel meer kwetsbare Android gebruikers dan Linux gebruikers. Van die laatste zijn er al minder, en over het algemeen zijn het geavanceerdere gebruikers (of het gaat om servers die door een IT-er beheerd worden). Bovendien kampt Android met het probleem dat telefoons vaak geen updates krijgen van de fabrikant. Dat alles maakt Android tot een veel aantrekkelijker doelwit voor malware schrijvers.

Ik denk dat je het op twee manieren kunt lezen. Misschien is de winst van een hack niet altijd financieel interessant, het kan ook gaan over de prijs om de hack te realiseren.