Tweede Kamer maant regering tot maatregelen slechte beveiliging slimme apparaten

De Nederlandse regering gaat waarschijnlijk onderzoeken hoe zij mensen en bedrijven kan beschermen tegen het slechte updatebeleid van leveranciers van slimme apparaten. Dergelijke internet-of-things-apparatuur is vaak matig beveiligd en krijgt mondjesmaat updates.

De Tweede Kamer heeft met een overgrote meerderheid van 148 stemmen een motie aangenomen van Kamerleden Maarten Hijink van de SP en Kees Verhoeven van D66, die de regering oproept om onderzoek te doen naar de bescherming van mensen en bedrijven tegen slecht beveiligde iot-apparatuur. "Niemand zit te wachten op een massale cyberaanval via gehackte waterkokers of koelkasten", stellen de Kamerleden in de motie.

De Kamerleden stellen voor dat de regering onderzoekt welke minimale eisen de overheid mag stellen aan de beveiliging van zulke apparatuur. Bovendien wil de Kamer weten hoe de overheid deze eisen kan afdwingen bij fabrikanten van zulke apparatuur.

Het onderwerp van beveiliging van iot-apparatuur staat op de politieke agenda, sinds het Mirai-botnet gebruikmaakte van kwetsbare apparaten met een internetverbinding. Daarbij ging het onder meer om ip-camera's en digitale videorecorders met standaardwachtwoorden. De Europese Commissie kwam eerder met een plan voor certificering van iot-apparatuur als maatregel tegen slechte beveiliging.

Door Arnoud Wokke

Redacteur

Feedback • 14-06-2017 20:2670

14-06-2017 • 20:26

70 Linkedin

Lees meer

Agentschap Telecom wil minimumeisen voor beveiliging iot-apparatuur Nieuws van 4 juni 2018
Kabinet neemt motie aan om in Europa te pleiten voor certificering iot-apparaten Nieuws van 7 maart 2018
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten' Nieuws van 20 oktober 2017
Slimme camera's detecteren artsen die in ziekenhuis hun handen niet wassen .Geek van 16 augustus 2017
Amerikaans wetsvoorstel moet beveiliging internet-of-things verbeteren Nieuws van 2 augustus 2017
'Lek in gSOAP-softwarebibliotheek maakt veel iot-apparaten kwetsbaar' Nieuws van 19 juli 2017
Cyber Security Raad wil waarschuwing aan alle bedrijven bij internetaanval Nieuws van 5 juli 2017
'Verbetering van Nederlandse digitale weerbaarheid gaat niet snel genoeg' Nieuws van 21 juni 2017
Europa komt met certificering als maatregel tegen slechte beveiliging apparaten Nieuws van 10 mei 2017
Mirai-malware had tijdelijk een add-on voor bitcoinmining aan boord Nieuws van 11 april 2017
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar Nieuws van 7 april 2017
Meer producten en artikelen
Gadgets internet of things Nederland

Reacties (70)

-Moderatie-faq
70
67
27
10
1
38
Wijzig sortering
RoestVrijStaal
14 juni 2017 20:28
Bovendien wil de Kamer weten hoe de overheid deze eisen kan afdwingen bij fabrikanten van zulke apparatuur.
Simpel, je houdt het bij de douane tegen. Als ze het al bij invoerrechten kunnen doen, waarom in deze context niet?

Dan maar geen 4K webcam van $4,99 bij Alibaba :+

[Reactie gewijzigd door RoestVrijStaal op 14 juni 2017 20:30]

84hannes
@RoestVrijStaal14 juni 2017 22:24
Waarschijnlijk moet er ook goed nagedacht worden over de definitie van deze eisen. Wat is slecht beveiligd? Hoe herken je aan de grens dat een gloednieuw product een slecht updatebeleid heeft?
mrdemc
@84hannes14 juni 2017 23:14
En wat valt onder IoT, wat mij betreft vallen modems, routers en accesspoints daar ook onder. vind het wel een goede eerste stap, handhaven moet gemakkelijk kunnen denk ik.
Anoniem: 855731
@mrdemc15 juni 2017 09:18
In deze context is het niet van belang wat onder IoT valt. Het maakt niet uit of een IoT device of een niet-IoT device onveilig is. Het is hoogstens zo dat devices die we onder IoT scharen de kans kleiner is dat gebruikers meldingen krijgen over updates. Bij een smartphone of laptop is het vrij simpel: popup schermpje en de gebruiker is geinformeerd. Bij een IoT device moet het of automatisch gebeuren. Zelfs een optie waarbij het device of deviceleverancier een email naar de eigenaar stuurt is niet veilig genoeg.
Origin64
@Anoniem: 85573115 juni 2017 13:23
De optie waarbij zonder jouw medeweten of toestemming updates aan (de firmware van) je devices gedaan kunnen worden, heeft ook zo zijn nadelen.
Vayra
@Origin6415 juni 2017 15:42
Misschien is de eindconclusie wel dat dat hele IoT één grote nadelige ontwikkeling is ten opzichte van de apparaten die we hiervoor al hadden.

Dat is op deze site vloeken in de kerk, maar aan de andere kant, wat moeten we nou werkelijk met IoT dat we nu niet kunnen? Ik vind het grotendeels een grote schijninnovatie.

Qua software wordt al enkele tientallen jaren met grote regelmaat bewezen dat security nooit prioriteit heeft en bugvrije werking ook niet. Zeker als het om 'kleine' vervangbare apparaatjes gaat. We kennen dat gezeik allemaal. De elektronica die wel probleemvrij blijft werken, hangt nooit aan het internet - denk aan versterkers, wasmachines en dergelijke. De reden dat die ermee ophouden is slijtage of mechanisch defect en niet één of ander stom bugje.

[Reactie gewijzigd door Vayra op 15 juni 2017 15:45]

jpsch
@mrdemc14 juni 2017 23:22
Straks krijgt je IoT onderbroek nog meer updates dan je smartphone.
darknessblade
@jpsch14 juni 2017 23:35
niet een IOT pepermolen, die aangeeft dmv een camera wat de optimale bereiding voor het huidige gerecht wat in realtime word doorgegeven apparaat heeft dan geen interne opslag, dus elk item moet gedownload worden.
Raventhorn
@jpsch14 juni 2017 23:40
Al krijgt 'ie er maar 1, dan is dat in veel gevallen al waarheid...
Biersteker
@RoestVrijStaal14 juni 2017 20:34
Ja want alle slechte implementaties komen uit china :S :
NAS van Iomega
https://www.shodan.io/search?query=set-cookie+iomega

FTP toegang van een Asus Router
https://www.shodan.io/search?query=ASUS+port%3A21+230

LogitechMediaServer
https://www.shodan.io/search?query=logitech+media+server

Zo kan ik er nog wel een aantal opnoemen.
Waarschijnlijk ook allemaal door Upnp :S

[Reactie gewijzigd door Biersteker op 14 juni 2017 20:35]

twcm
@Biersteker15 juni 2017 06:44
Helaas werken niet alle merken mee aan het oplossen van beveiligingsproblemen:

https://www.security.nl/p...aanvaller+laten+meekijken

Ik raak geneigd de apparatuur van dit soort bedrijven terug te sturen.

Misschien is dat een goede methode (voor spullen gekocht in Nederland). Het recht om op basis van onvoldoende beveiliging het apparaat binnen 2 jaar terug te kunnen sturen voor compleet geld terug (inclusief een kleine schadevergoeding en verzendkosten etc).

Geld is de 'enige' motivatie voor veel bedrijven.
RazorBlade72nd
@twcm15 juni 2017 14:55
De vraag is natuurlijk ten eerste of je alle apparaten moet gaan beveiligen. Het probleem is dat vele apparaten veel langer mee gaan dan je redelijkerwijs kan verwachten aan gratis updates en support. Moet je straks na 2 jaar je wasmachine wegdoen omdat de fabrikant geen updates meer uitbrengt?

Niet alles in mijn huis is vastgeketend tegen diefstal. Ik heb een deugdelijk slot op mijn deuren zitten en op die manier zorg ik er voor dat dieven buiten blijven. De digitale evenknie van deuren is je netwerkapparatuur. In principe kan je prima er voor zorgen dat IOT apparaten alleen te benaderen zijn door andere apparaten die daarvoor van te voren toestemming hebben gekregen. Je legt dan de beveiliging daar waar hij hoort.
twcm
@RazorBlade72nd16 juni 2017 09:32
Binnen bepaalde grenzen ben ik het met je eens.

Echter, wij komen op deze tech site en weten wat een vlan is.

Zodra de router die door provider X geleverd wordt vlans ondersteund op zo'n manier dat een willekurige gebruiker dat kan zonder hulp van wie dan ook, oke.

Echter, zodra ik mijn ip-camera ook via het internet wil benaderen moet dat ding fatsoenlijk veilig zijn. Ongeacht of het apparaat 1 dag of 3 jaar oud is. (even afgezien van zelf het ww wijzigen)

Dit lijkt op google met zijn "Auto OS" - je gaat geen 10 jaar upgrades ontvangen.
Helaas, een auto heeft een levensduur van minstens 10 jaar - dus de auto moet gedurende de normaal te verwachten levensuur updates krijgen.
En anders zul je een andere - klantvriendelijke - oplossing moeten bedenken.

Enfin, my 2cents.
(edit: ik moet dringend op een type-cursus)

[Reactie gewijzigd door twcm op 16 juni 2017 09:34]

BeosBeing
@RazorBlade72nd20 juni 2017 13:34
De vraag is natuurlijk ten eerste of je alle apparaten moet gaan beveiligen. Het probleem is dat vele apparaten veel langer mee gaan dan je redelijkerwijs kan verwachten aan gratis updates en support. Moet je straks na 2 jaar je wasmachine wegdoen omdat de fabrikant geen updates meer uitbrengt?
Nee, dan moet je die apparaten niet voorzien van internettoegang.
In principe kan je prima er voor zorgen dat IOT apparaten alleen te benaderen zijn door andere apparaten die daarvoor van te voren toestemming hebben gekregen. Je legt dan de beveiliging daar waar hij hoort.
Klopt, maar huis-tuin-en-keuken-routers hebben die functionaliteit niet en als ze het wel hebben, dan hebben de gebruikers niet de kennis om dit te configureren. Enkel als je de router zou voorzien van een automatische functie aangestuurd vanuit het IoT-apparaat dat een code (met zijn dhcp-request) meestuurd dat hij onveilig is, dan gaat dit praktisch zijn.

Verder sluit ik me aan bij wat @twcm op je heeft geantwoord.
mmjjb
@Biersteker14 juni 2017 21:13
Klopt. Er worden veel lekken gevonden de laatste tijd, ook bij niet Chinese apparatuur.

Toch is er wel degelijk een verschil, alle 3 de voorbeelden die jij noemt zijn merkproducten.
Iomega, Asus, Logitech zullen alle 3 nadat een lek is gevonden en het een recent product is zorgdragen voor een patch.

Dit kan echter niet gesteld worden bij chinese producten van Alibaba waar al 10 wederverkopers tussen hebben gezeten en wat wat verkocht wordt als een echt orgineel OEM product.

Bugs en hacks kunnen overal voorkomen, het verschil met China is dat je echter geen patch hoeft te verwachten ;)

Ook maakt het de chinezen niet so veel uit, ook al weten ze dat het product zo lek is als een mand, de kans dat ze het zullen patchen is nihil, want het verkoopt immers toch wel..
geerttttt
@mmjjb14 juni 2017 21:17
Ik denk dat je in de bewustwording moet gaan zitten. Heb je geen goede IT kennis? Koop dan geen no-name IP camera die je vervolgens leuk in je kamer hangt. Dat geeft een hoger risico op meekijkers en hackers.

De it-er onder ons kan vaak zelf de apparaten wel onderhouden, en hoort wel wanneer er een patch ivm een lek is, of zet hem wellicht niet wagenwijd open naar de buitenwereld.
CAPSLOCK2000
@geerttttt14 juni 2017 22:24
Koop dan geen no-name IP camera die je vervolgens leuk in je kamer hangt. Dat geeft een hoger risico op meekijkers en hackers.
Het is geen slecht advies, maar het is helaas niet genoeg. Ook de gerenommeerde merken hebben regelmatig grote lekken. De betere merken brengen dan wel patches uit maar veel (de meeste?) gebruikers zullen die nooit installeren, al is het maar omdat ze niet weten dat er iets aan de hand is.
Sommige apparatuur probeert dat op te lossen door e-mailtjes te sturen of een applicatie op de PC van de gebruiker te zetten die een waarschuwing laat zien, maar dat is meer de uitzondering dan de regel en over het algemeen niet erg tijdsbestendig.

Ik denk dat de oplossing is dat we allemaal een soort centraal punt in ons huis moeten maken om alle apparatuur op aan te sluiten. Er zijn nu al verschillende soorten "hubs" die proberen om zo veel mogelijk IoT-apparatuur aan te sluiten maar er is nog geen universele standaard die alle apparatuur ondersteunt. Andersom kunnen bouwer van IoT-spul er niet op vertrouwen dat de gebruiker zo'n hub heeft om updates aan te sturen.

De regering zou een rol kunnen spelen door te verplichten dat alle apparatuur kan worden geupdate en dat er een standaard manier is om dat te doen.
machomann
@CAPSLOCK200015 juni 2017 08:25
Precies waar ik aan dacht. Misschien een soort firewall voor dummies. Waarbij je via een app oid kan selecteren of je bepaalde verbindingen wilt accepteren. Beetje zoals dat bij apps op mobiele telefoons gaat.

Maar ja. Het blijft een beetje pleisters plakken...
Anoniem: 855731
@CAPSLOCK200015 juni 2017 09:13
[...]
Het is geen slecht advies, maar het is helaas niet genoeg. Ook de gerenommeerde merken hebben regelmatig grote lekken. De betere merken brengen dan wel patches uit maar veel (de meeste?) gebruikers zullen die nooit installeren, al is het maar omdat ze niet weten dat er iets aan de hand is.
Daarom moeten dit soort devices onder een managed service van een leverancier komen te hangen. Verhoogd weliswaar de kosten (eenmalig, of abonnement, daar kunnen fabrikant mee gaan concurreren), maar zorgt wel voor een betere veiligheid. Zoals je zelf zegt kunnen/willen/doen de meeste gebruikers dit niet. Ik snap wel dat Tweakers allergisch zijn voor dit soort oplossingen maar het grootste deel van de gebruikers is geen Tweaker.
CAPSLOCK2000
@Anoniem: 85573115 juni 2017 11:51
Dat lost een deel van het probleem op maar is nog niet genoeg. Het zou prettig zijn als er een centraal punt is waar je kan zien dat je apparatuur inderdaad veilig is. Je weet nooit of de fabrikant niet failliet is gegaan en je dus niet meer van patches kan voorzien.
Daarnaast is het afhankelijk van een open internet verbinding met de fabrikant. Dat zal lang niet altijd mogelijk zijn. Misschien dat het allemaal geen probleem is als er toch geen internetverbinding is maar daar zou ik niet te hard op willen rekenen. Zo'n security hub zou dan als proxy kunnen dienen.
vSchooten
@CAPSLOCK200015 juni 2017 10:59
een andere optie is om de camera uit te schakelen vanuit de fabrikant op het moment dat er een patch is. De camera kan dan alleen weer ingeschakeld worden als de patch is geïnstalleerd. Hierdoor zal de gebruiker een soort van gedwongen worden om zijn systeem goed te onderhouden...
CAPSLOCK2000
@vSchooten15 juni 2017 11:55
Leuk idee, ik zou zelfs nog verder gaan en de camera uitschakelen als er 48 uur geen contact is geweest met de update-server.
Het nadeel is wel dat je beveiligingscamera's natuurlijk liever nooit uitschakelt, maar daar moet de gebruiker dan maar een keuze maken tussen fysieke veiligheid en digitale veiligheid. (Heb je liever dat ze in je huis inbreken of dat ze in je camera kraken?)
vSchooten
@CAPSLOCK200015 juni 2017 12:11
Er is eigenlijk geen verschil, op het moment dat je camera gekraakt is kunnen ze alles laten zien wat ze maar willen, dus je fysieke veiligheid is ook niet meer...
Origin64
@CAPSLOCK200015 juni 2017 13:24
[...]
Ik denk dat de oplossing is dat we allemaal een soort centraal punt in ons huis moeten maken om alle apparatuur op aan te sluiten. Er zijn nu al verschillende soorten "hubs" die proberen om zo veel mogelijk IoT-apparatuur aan te sluiten maar er is nog geen universele standaard die alle apparatuur ondersteunt. Andersom kunnen bouwer van IoT-spul er niet op vertrouwen dat de gebruiker zo'n hub heeft om updates aan te sturen.
je bedoelt, een computer en een router? :+
CAPSLOCK2000
@Origin6415 juni 2017 16:24
Ja, dat ook, maar het moet breder zijn dan dat. In mijn eerste draft had ik het inderdaad over een homerouter maar heb dat vervangen door "hub" om het breder te maken. Maar een router is natuurlijk de ideale plek om toegangscontrole te regelen en toe te zien op op het netwerk aangesloten apparatuur. Een paar jaar geleden leek het er nog op dat iedereen een server in z'n meterkast ging zetten. Tegenwoordig denk ik dat die rol eerder wordt vervuld door zo'n Alexa speaker of een vergelijkbaar apparaat dat in de woonkamer staat en de gebruiker (letterlijk) kan aanspreken als dat nodig is.
mmjjb
@geerttttt14 juni 2017 21:27
Ik ben het helemaal met je eens!

Alleen een groot probleem wat hier niet bij helpt is dat deze websites steeds meer uitbreiden naar Nederland.

Lightinthebox bijvoorbeeld, heeft een Nederlandstalige website, maakt nota bene zelfs reclame met china kwaliteit en troep spul in Google shopping. ;(

De domme consument weet het niet meer, die google'en op IP camera en zien keurig aan de rechterkant een site in het Nederlands, met 5-6 dagen levertijd .
Waar ze vervolgens 1 van de 1000'en IP camera's bestellen van een fabrikant waar nog nooit iemand van heeft gehoord met firmware die nooit gecontroleerd zou worden.

Vervolgens pakken ze de het kleine papiertje dat bij de camera zit, waarop staat:
Stap 2: Pak de telefoon en ga naar instellingen en zet untrusted APK's aan
Stap 3: Ga naar untrusted china url.cn en installeer de app
Stap 4: Gooi je camera in het netwerk.

Consument blij omdat ze 5 euro hebben bespaart op de camera |:(

Een probleem is dat je eigenlijk onmogelijk kunt handhaven als overheid

[Reactie gewijzigd door mmjjb op 14 juni 2017 21:28]

geerttttt
@mmjjb14 juni 2017 21:35
Tja, dan heb je gewoon een gevalletje karma. Mensen zullen toch moeten leren dat als het merk chinatek of iets is, en geen Asus of linksys wat je in de winkels vind, dat het dan niet hetzelfde is.

Mensen kopen ook geen auto van een onbekend merk. En sluiten meestal ook geen betaalrekening af bij een vage partij.

dat zou hiervoor ook moeten gelden op zich.
debroervanhenk
@geerttttt14 juni 2017 21:43
Het probleem is dat anderen ook last hebben van die minkukels, bijvoorbeeld omdat hackers een botnet maken van gehackte waterkokers.

Het is een beetje als inenten. Niet alleen die inenting zelf beschermt je, maar ook het feit dat veruit de meeste mensen waar je mee te maken hebt ook ingeënt zijn. Die domme consument is dus bijna even gevaarlijk als al die antivaccinatiedwazen die je tegenwoordig hebt.
Unipuma
@geerttttt15 juni 2017 09:10
Gelukkig worden in Nederland en de EU een heleboel consumenten producten eerst gecontroleerd voordat ze op de markt worden toegelaten.
Hiervoor bestaat (oa) het CE keurmerk. Overigens, dat is nog geen garantie voor een goed product, maar hopelijk wordt daarmee het cadmium speelgoed en de licht ontvlambare hooverboards uit de winkel geweerd.

Ook voro autos geld dat er strenge tests worden gedaan, kijk maar naar de ophef destijds over de chinese Landwind (wat een soort clone van de Opel Frontera was, maar dan wat 'kreukelbaarder').

Echter, als die auto te koop was geweest, dan kun je er donder op zeggen dat mensen die auto gekocht zouden hebben (een derde van de prijs van de Opel? Doe maar!)

Je kunt dan moeilijk zeggen, dat is karma, hadden mensen maar verstand van autos moeten hebben. Er is een zeker zorgplicht vanuit de staat voor haar burgers, daar betalen we ze immers voor middels belastingen. Dus ook voor deze computer producten mag je een zeker kwaliteitscontrole verwachten.
tweatbook
@Unipuma15 juni 2017 10:38
De door jou gesuggereerde controle bestaat slechts voor heel specifieke productgroepen. 99% van wat je koopt is zonder enige controle door de EU of andere instanties het land binnengekomen. Er bestaan natuurlijk wel allerlei regeltjes, maar pro-actieve controle daarop is nihil.

De CE markering is overigens geen keurmerk. De definitie van een keurmerk vereist een onafhankelijke derde die een "keuring" uitvoert. Dat is bij de CE markering niet het geval. De CE markering is een verklaring van de fabrikant dat hij zelf denkt aan de regels te voldoen.

Of zoals de EU het op hun website verwoord: Please note that a CE marking does not indicate that a product have been approved as safe by the EU or by another authority.*

Bron 1: https://ec.europa.eu/growth/single-market/ce-marking_nl
Bron 2: eigen ervaring - veel vanuit China naar de EU en VS geëxporteerd.
CAPSLOCK2000
@Unipuma15 juni 2017 16:32
Hiervoor bestaat (oa) het CE keurmerk. Overigens, dat is nog geen garantie voor een goed product, maar hopelijk wordt daarmee het cadmium speelgoed en de licht ontvlambare hooverboards uit de winkel geweerd.
Pas op, CE is een zelfkeuring. De fabrikant verklaard aan de regels te voldoen, niemand heeft het gecontroleerd.
Daarnaast is er logo dat "China Export" heet. Uiteraard geheel toevallig lijkt dat sprekend op het logo van het CE-keurmerk.

Zoek de verschillen: http://siloscordoba.com/w...7/CE-and-China-Export.jpg
Arokh
@CAPSLOCK200015 juni 2017 17:26
Mwah, dat China Export logo bestaat officieel helemaal niet.

Het klopt dat een bedrijf zelf aan moet geven dat ze voldoen aan het CE keurmerk, maar als er iets mis gaat, en er staat dat logo op: Dan moeten ze kunnen overleggen waaruit blijkt (uitgebreide onafhankelijke tests) ze inderdaad voldeden. Anders komen ze alsnog in de problemen.
CAPSLOCK2000
@Arokh15 juni 2017 18:39
Mwah, dat China Export logo bestaat officieel helemaal niet.
Dat doet er eigenlijk niet toe, ze zetten het wel op hun product. Het is uiteraard de bedoeling dat mensen denken dat het om CE gaat. Als je zou gaan vragen om het CE-testrapport dan zullen ze je lachend vertellen dat je het logo verkeerd hebt begrepen en dat het heel jammer is dat het CE-keurmerk toevallig er zo veel op lijkt maar dat ze daar echt niks aan kunnen doen.
NBK
@geerttttt15 juni 2017 09:07
Ik heb uiteindelijk chinese IP cam's neergehangen omdat een A-merk gewoon echt te duur is. De B-merken niet de spec's hadden die ik zocht (ONVIF, Full HD, ir-cut, dome met PoE). En de C-merken gewoon echt niet de kwaliteit haalde die ik hebben wou.
De camera's die ik nu heb doen prima wat ze moeten doen.
Maar de web interface werkt met ActiveX en een software update kun je inderdaad wel vergeten :(

[Reactie gewijzigd door NBK op 15 juni 2017 09:07]

darknessblade
@mmjjb14 juni 2017 23:34
het is zelfs nog erger bij die china-cams.

daarbij staat telnet gewoon open, bij veel modellen.
hebben ze nog niet eens beveiligd, kan zo gehackt worden vanuit (noem land hier)
geerttttt
@darknessblade15 juni 2017 11:22
Dat klopt niet helemaal. Als telnet open staat betekent dat niet direct dat iedereen daar bij kan. Je hebt ook nog zoiets als NAT
mark-k
@mmjjb15 juni 2017 08:24
Ik wilde laatst een slimme deurbel kopen, was een aanbieding van eentje uit China. Shop deed iig alsof ze direct vanuit de fabriek leverden, geen idee of dat ook zo was.

Aangezien dit soort dingen tegenwoordig meer en meer spelen was het eerste dat ik vroeg of hij verbinding maakte met een externe server en of dit uitgeschakeld kon worden. Het antwoord was 'nee kan niet uit, maar we schenden je privacy heus niet hoor'. Nou ik ga die Chinees niet op zijn woord geloven...

Dat soort dingen moeten gewoon prima kunnen met alleen verbinding in je eigen netwerk. Nu komen er weer allerlei gevaren bij alleen maar omdat de fabrikant ook nog eens aan je gegevens wil verdienen.
TheDudez
@RoestVrijStaal14 juni 2017 22:29
Zelfs auto's van BMW zijn brak die ook dan verbieden? Hangen wel niet aan internet maar geen eens SSL. De overheid loopt zo als gewoonlijk weer achter de feiten aan.
_Pussycat_
@TheDudez14 juni 2017 23:27
Ik zie het anders: de industrie heeft vele jaren gehad om te bewijzen dat ze het zonder gezeur van burocraten kan. De industrie heeft verschrikkelijk gefaald en zal nu gepest worden met irritante, moeilijk te controleren, dure wetgeving, die nouwelijks helpt.

En dan komt weer het gezeur over de EU die zich overal mee bemoeit.
TheDudez
@_Pussycat_15 juni 2017 07:55
Dat ook
Arokh
@TheDudez15 juni 2017 09:12
Het is altijd makkelijk de overheid de schuld te geven, of liever nog 'Europa', maar waarom kan een auto van 80.000€ niet vanuit de fabrikant fatsoenlijk zijn beveiligd?

Veel mensen willen minder bureaucratie, overheidsbemoeienis en onnodige regels. En als het dan mis gaat, heeft alsnog de overheid het gedaan...
TheDudez
@Arokh15 juni 2017 17:04
Dat klopt ook maar je ziet dat het niet werkt beveiliging komt op de laatste plek. En bij de overheid hebben ze vaak weer niet het verstand van de techniek
Arokh
@TheDudez15 juni 2017 17:23
Daarom kan het alleen maar mis gaan.

De bedrijven vinden het onbelangrijk
De overheid wil wel helpen maar loopt achter de feiten aan
De consumenten hebben geen kennis.

Er is eigenlijk geen makkelijke oplossing die echt werkt.
Anoniem: 855731
@theduke198915 juni 2017 09:19
Ho even. Als burger willen we alle mogelijke consumentenbescherming en productveiligheid. En jij denkt dat dat gratis kan? We kunnen het hier net zo goedkoop maken als buiten NL/EU, maar dan moet je wel behoorlijk wat opgeven.
pizzafried
14 juni 2017 20:45
the last time I checked, that was the IT department...of zeg ik nou iets geks? o, money.....ja. is belangrijker dan klanten met goede en veilige software. Vindt je het gek dan er dan naar de politiek gekeken wordt.
MuggenHor
@pizzafried14 juni 2017 21:38
Precies dit.

Ik werk als software engineer en ik zou graag wetgeving zien die fabrikanten aansprakelijk maakt voor de gevolgen van beveiligingslekken in hun software. Ik heb het enkele keren serieus meegemaakt dat van mij of collega's verwacht werd fouten, waarvan we wisten dat ze beveiligingsrisico's meebrachten voor de eindgebruiker, te negeren. Dit omdat tijd daar aan spenderen geld kost en de tussenhandelaar (die wij "klant" noemen) niet de eindgebruiker is en dus niet het geld over heeft voor het voorkomen van schade die deze zelf toch niet lijd.

De enige manier om het ontbreken van die financiele prikkel tot veiligheid op te lossen zie ik door financieel aansprakelijk te stellen voor de gevolgen van beveiligingsfouten. Wellicht zelfs crimineel aansprakelijk bij het bewust negeren van bekende problemen (zonder de eindgebruiker daarover te informeren).
doctorcapslock
@Zer015 juni 2017 15:13
ik kan me voorstellen dat er vooraf een overeenkomst is gemaakt over hoeveel er betaald gaat worden. vast bedrag minus de kosten, meer kosten = minder geld over = minder winst. waarom tijd (dus geld) besteden als het niet vereist is?

wat Muggenhor zegt is dat de *baas* moet betalen voor de fouten, niet de klant
Oerdond3r
@Anoniem: 85573115 juni 2017 13:54
Ik vind dit een goed punt.

In eerste instantie ben ik helemaal voor dat bedrijven aansprakelijk gesteld kunnen worden voor troep die ze online gooien.

Maar wat inderdaad als het softwarehuis erachter steken heeft laten vallen, en dit niet doorgecommuniceerd heeft naar het bedrijf? Is het softwarehuis dan verantwoordelijk?

En ook al kun je de meeste beveiligingsfouten op het web makkelijk voorkomen ( dit gebeurt niet altijd vanwege gebrek aan kennis, dit vind ik wel ernstig ), er kan altijd wel een randvoorwaarde insluipen waar niet aan gedacht is. Hoe 'verantwoordelijk' ben je dan nog?

Wat als ze geen steken hebben laten vallen, maar de bug zit niet in de PHP code ( ik noem maar een taal ) maar in de PHP core zelf? (Zero-days).
MrMonkE
14 juni 2017 20:45
Aan de ene kant laten ze alles afluisteren, willen ze 'backdoors' in encryptie en minder sterke encryptie. En dus alles onveiliger hebben als dat het kan zijn. Maar aan de andere kant willen ze dat het allemaal veilig is en niet door kwaadwillenden -anders dan zij zelf- kan worden misbruikt.
Lijken mij tegenstrijdige belangen.
MuggenHor
@MrMonkE14 juni 2017 21:40
De tweede kamer is niet een persoon of een groep, dus ook meerdere partijen met verschillende belangen. Verder is het gehalte aan technische kennis in onze politiek belabberd laag. Dus verbaast het me ook niet wanneer dezelfde personen deze zelfde tegenstrijdige wensen hebben. Vooral omdat veel van onze politici niet of nauwelijks zullen begrijpen dat die belangen tegenstrijdig zijn.
OrangeTux
@MuggenHor14 juni 2017 21:56
Dan wil ik het in dit geval wel opnemen voor Kees Verhoeven. Deze man is woordvoerder van D66 als het gaat om privacy, ict en dat soort zaken. Hij lijkt me wel enig verstand van zaken te hebben. Zie ook zijn AMA's op Reddit: #1 en #2.
Anoniem: 855731
@OrangeTux15 juni 2017 09:20
Sterker nog: op dit dossier heeft hij aanzienlijk meer verstand dan de gemiddelde tweaker. Dus enig verstand is een understatement.
theMob
14 juni 2017 20:29
Die dingen moeten alleen via een 'kastje' thuis (lees Nas of Raspberry Pi- achtige server) naar het Internet mogen bellen. Dan hoef je alleen het kastje up-to-date te houden.
GiGaN00B
@theMob14 juni 2017 20:33
Raspberry Pi die dient als een Firewall oid? Not bad idea IMO.
Mobzy
@GiGaN00B14 juni 2017 20:42
Geen idee hoe deze op Raspberry's zouden draaien maar een PfSense of Sophos XG (of UTM) i.c.m. VPN naar huis voor remote access van al je 'smart' devices zou al helpen. Uiteraard heeft Jantje de niet IT-er daar geen zak aan. Die gaat ervan uit dat het wel goed zit.

Gelukkig weten we hier dat: assumptions are the mother of all f*ckups :Y)
Mr_gadget
@Mobzy14 juni 2017 21:44
Maar vaak hebben die dingen internet acces nodig. Als de inlog pagina dan lek is dan een deftige firewall je ook niet heel veel helpen.
rvt1
@GiGaN00B14 juni 2017 20:38
routing snelheid van een Pi is niet snel genoeg voor een hoop mensen. Internal Lan van die pi is iets van 60Mbit (100Mbit theoretisch)??

Ik denk eerste stap is dat die via de providers moet lopen, die leveren allemaal een router. Dan verplichten Upnp uit zetten is al een goede stap.
memphis
@rvt114 juni 2017 20:42
Moet je koekast die snelheid hebben?
rvt1
@memphis14 juni 2017 21:05
Nee (maar mischien wel), maar dan zie je wel met twee verbindingen naar het internet. Dat is ook niet wenselijk voor een hoop mensen.

Als je koelkast trouwens een internet youtube a achtige verbinding moet onderhouden, bv, tonen van recepten in video dan heb je wel snel internet nodig.
tedades
14 juni 2017 20:35
Je zou van alle apparatuur die je aan internet hangt mogen verwachten dat er enige mate aan de veiligheid is gedacht. Een standaard wachtwoord die op je externe verbinding werkt is natuurlijk voor alle apparaten een slecht idee.
Software updates voor het oplossen van beveiligingslekken zou natuurlijk erg prettig zijn maar in praktijk mogelijk erg lastig. Hoe lost je een probleem op voor een populair apparaat waarbij net het bedrijf failliet is gegaan bv. Het open-source maken van zo'n firmware zou mogelijk een optie zijn, maar ook dat zie ik niet altijd gebeuren.
Master FX
15 juni 2017 10:22
Iemand die weet waarom FvD (als enige) tegenstemde? Kon dat nergens terugvinden...
Ruuuuuubje
@Master FX15 juni 2017 11:03
Mijn invulling is dat dit komt door hun standpunt op internet gebied: "Drastische vermindering regulering" (bron)
darknessblade
14 juni 2017 23:38
ze moeten teminste deze "clausule's" toevoegen

clausule 1
GEEN BACKDOOR
clausule 2
zie clausule 1
clausule 3
volledig open-source
clausule 4
GEEN REMOTE ACCES, zonder toestemming van de gebruiker
clausule 5
zie clausule 4
DJF5
@darknessblade14 juni 2017 23:54
Het hoeft helemaal niet bewust te zijn in de eerste instantie.
Daarnaast echter, als het (kunnen) uitrollen van deze updates meer tijd (en dus geld) en potentieel risico met zich mee brengt, waarom zou je het dan doen? (helaas).
darknessblade
@DJF515 juni 2017 08:17
dat is dus de reden waarom ALLES open source moet zijn.
dan kan je zelf nog alles aanpassen als je wilt.

bv: een home system van apple en van samsung koppelen. (zou normaal als vuur en water zijn, zonder het opensource regeltje)
Anoniem: 855731
@darknessblade15 juni 2017 09:52
Dat is interessant voor een miniem deel van de gebruikers en lost het probleem van de beveiliging niet op.
AceAceAce
15 juni 2017 10:10
Goede blog over IoT security:
https://blog.ul-ts.com/posts/iot-security-top-20/

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee