Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tweede Kamer maant regering tot maatregelen slechte beveiliging slimme apparaten

Door , 70 reacties

De Nederlandse regering gaat waarschijnlijk onderzoeken hoe zij mensen en bedrijven kan beschermen tegen het slechte updatebeleid van leveranciers van slimme apparaten. Dergelijke internet-of-things-apparatuur is vaak matig beveiligd en krijgt mondjesmaat updates.

De Tweede Kamer heeft met een overgrote meerderheid van 148 stemmen een motie aangenomen van Kamerleden Maarten Hijink van de SP en Kees Verhoeven van D66, die de regering oproept om onderzoek te doen naar de bescherming van mensen en bedrijven tegen slecht beveiligde iot-apparatuur. "Niemand zit te wachten op een massale cyberaanval via gehackte waterkokers of koelkasten", stellen de Kamerleden in de motie.

De Kamerleden stellen voor dat de regering onderzoekt welke minimale eisen de overheid mag stellen aan de beveiliging van zulke apparatuur. Bovendien wil de Kamer weten hoe de overheid deze eisen kan afdwingen bij fabrikanten van zulke apparatuur.

Het onderwerp van beveiliging van iot-apparatuur staat op de politieke agenda, sinds het Mirai-botnet gebruikmaakte van kwetsbare apparaten met een internetverbinding. Daarbij ging het onder meer om ip-camera's en digitale videorecorders met standaardwachtwoorden. De Europese Commissie kwam eerder met een plan voor certificering van iot-apparatuur als maatregel tegen slechte beveiliging.

Moderatie-faq Wijzig weergave

Reacties (70)

Reactiefilter:-170067+127+210+31Ongemodereerd38
Bovendien wil de Kamer weten hoe de overheid deze eisen kan afdwingen bij fabrikanten van zulke apparatuur.
Simpel, je houdt het bij de douane tegen. Als ze het al bij invoerrechten kunnen doen, waarom in deze context niet?

Dan maar geen 4K webcam van $4,99 bij Alibaba :+

[Reactie gewijzigd door RoestVrijStaal op 14 juni 2017 20:30]

Waarschijnlijk moet er ook goed nagedacht worden over de definitie van deze eisen. Wat is slecht beveiligd? Hoe herken je aan de grens dat een gloednieuw product een slecht updatebeleid heeft?
En wat valt onder IoT, wat mij betreft vallen modems, routers en accesspoints daar ook onder. vind het wel een goede eerste stap, handhaven moet gemakkelijk kunnen denk ik.
In deze context is het niet van belang wat onder IoT valt. Het maakt niet uit of een IoT device of een niet-IoT device onveilig is. Het is hoogstens zo dat devices die we onder IoT scharen de kans kleiner is dat gebruikers meldingen krijgen over updates. Bij een smartphone of laptop is het vrij simpel: popup schermpje en de gebruiker is geinformeerd. Bij een IoT device moet het of automatisch gebeuren. Zelfs een optie waarbij het device of deviceleverancier een email naar de eigenaar stuurt is niet veilig genoeg.
De optie waarbij zonder jouw medeweten of toestemming updates aan (de firmware van) je devices gedaan kunnen worden, heeft ook zo zijn nadelen.
Misschien is de eindconclusie wel dat dat hele IoT één grote nadelige ontwikkeling is ten opzichte van de apparaten die we hiervoor al hadden.

Dat is op deze site vloeken in de kerk, maar aan de andere kant, wat moeten we nou werkelijk met IoT dat we nu niet kunnen? Ik vind het grotendeels een grote schijninnovatie.

Qua software wordt al enkele tientallen jaren met grote regelmaat bewezen dat security nooit prioriteit heeft en bugvrije werking ook niet. Zeker als het om 'kleine' vervangbare apparaatjes gaat. We kennen dat gezeik allemaal. De elektronica die wel probleemvrij blijft werken, hangt nooit aan het internet - denk aan versterkers, wasmachines en dergelijke. De reden dat die ermee ophouden is slijtage of mechanisch defect en niet één of ander stom bugje.

[Reactie gewijzigd door Vayra op 15 juni 2017 15:45]

Straks krijgt je IoT onderbroek nog meer updates dan je smartphone.
niet een IOT pepermolen, die aangeeft dmv een camera wat de optimale bereiding voor het huidige gerecht wat in realtime word doorgegeven apparaat heeft dan geen interne opslag, dus elk item moet gedownload worden.
Al krijgt 'ie er maar 1, dan is dat in veel gevallen al waarheid...
Ja want alle slechte implementaties komen uit china :S :
NAS van Iomega
https://www.shodan.io/search?query=set-cookie+iomega

FTP toegang van een Asus Router
https://www.shodan.io/search?query=ASUS+port%3A21+230

LogitechMediaServer
https://www.shodan.io/search?query=logitech+media+server

Zo kan ik er nog wel een aantal opnoemen.
Waarschijnlijk ook allemaal door Upnp :S

[Reactie gewijzigd door Biersteker op 14 juni 2017 20:35]

Helaas werken niet alle merken mee aan het oplossen van beveiligingsproblemen:

https://www.security.nl/p...aanvaller+laten+meekijken

Ik raak geneigd de apparatuur van dit soort bedrijven terug te sturen.

Misschien is dat een goede methode (voor spullen gekocht in Nederland). Het recht om op basis van onvoldoende beveiliging het apparaat binnen 2 jaar terug te kunnen sturen voor compleet geld terug (inclusief een kleine schadevergoeding en verzendkosten etc).

Geld is de 'enige' motivatie voor veel bedrijven.
De vraag is natuurlijk ten eerste of je alle apparaten moet gaan beveiligen. Het probleem is dat vele apparaten veel langer mee gaan dan je redelijkerwijs kan verwachten aan gratis updates en support. Moet je straks na 2 jaar je wasmachine wegdoen omdat de fabrikant geen updates meer uitbrengt?

Niet alles in mijn huis is vastgeketend tegen diefstal. Ik heb een deugdelijk slot op mijn deuren zitten en op die manier zorg ik er voor dat dieven buiten blijven. De digitale evenknie van deuren is je netwerkapparatuur. In principe kan je prima er voor zorgen dat IOT apparaten alleen te benaderen zijn door andere apparaten die daarvoor van te voren toestemming hebben gekregen. Je legt dan de beveiliging daar waar hij hoort.
Binnen bepaalde grenzen ben ik het met je eens.

Echter, wij komen op deze tech site en weten wat een vlan is.

Zodra de router die door provider X geleverd wordt vlans ondersteund op zo'n manier dat een willekurige gebruiker dat kan zonder hulp van wie dan ook, oke.

Echter, zodra ik mijn ip-camera ook via het internet wil benaderen moet dat ding fatsoenlijk veilig zijn. Ongeacht of het apparaat 1 dag of 3 jaar oud is. (even afgezien van zelf het ww wijzigen)

Dit lijkt op google met zijn "Auto OS" - je gaat geen 10 jaar upgrades ontvangen.
Helaas, een auto heeft een levensduur van minstens 10 jaar - dus de auto moet gedurende de normaal te verwachten levensuur updates krijgen.
En anders zul je een andere - klantvriendelijke - oplossing moeten bedenken.

Enfin, my 2cents.
(edit: ik moet dringend op een type-cursus)

[Reactie gewijzigd door twcm op 16 juni 2017 09:34]

De vraag is natuurlijk ten eerste of je alle apparaten moet gaan beveiligen. Het probleem is dat vele apparaten veel langer mee gaan dan je redelijkerwijs kan verwachten aan gratis updates en support. Moet je straks na 2 jaar je wasmachine wegdoen omdat de fabrikant geen updates meer uitbrengt?
Nee, dan moet je die apparaten niet voorzien van internettoegang.
In principe kan je prima er voor zorgen dat IOT apparaten alleen te benaderen zijn door andere apparaten die daarvoor van te voren toestemming hebben gekregen. Je legt dan de beveiliging daar waar hij hoort.
Klopt, maar huis-tuin-en-keuken-routers hebben die functionaliteit niet en als ze het wel hebben, dan hebben de gebruikers niet de kennis om dit te configureren. Enkel als je de router zou voorzien van een automatische functie aangestuurd vanuit het IoT-apparaat dat een code (met zijn dhcp-request) meestuurd dat hij onveilig is, dan gaat dit praktisch zijn.

Verder sluit ik me aan bij wat @twcm op je heeft geantwoord.
Klopt. Er worden veel lekken gevonden de laatste tijd, ook bij niet Chinese apparatuur.

Toch is er wel degelijk een verschil, alle 3 de voorbeelden die jij noemt zijn merkproducten.
Iomega, Asus, Logitech zullen alle 3 nadat een lek is gevonden en het een recent product is zorgdragen voor een patch.

Dit kan echter niet gesteld worden bij chinese producten van Alibaba waar al 10 wederverkopers tussen hebben gezeten en wat wat verkocht wordt als een echt orgineel OEM product.

Bugs en hacks kunnen overal voorkomen, het verschil met China is dat je echter geen patch hoeft te verwachten ;)

Ook maakt het de chinezen niet so veel uit, ook al weten ze dat het product zo lek is als een mand, de kans dat ze het zullen patchen is nihil, want het verkoopt immers toch wel..
Ik denk dat je in de bewustwording moet gaan zitten. Heb je geen goede IT kennis? Koop dan geen no-name IP camera die je vervolgens leuk in je kamer hangt. Dat geeft een hoger risico op meekijkers en hackers.

De it-er onder ons kan vaak zelf de apparaten wel onderhouden, en hoort wel wanneer er een patch ivm een lek is, of zet hem wellicht niet wagenwijd open naar de buitenwereld.
Koop dan geen no-name IP camera die je vervolgens leuk in je kamer hangt. Dat geeft een hoger risico op meekijkers en hackers.
Het is geen slecht advies, maar het is helaas niet genoeg. Ook de gerenommeerde merken hebben regelmatig grote lekken. De betere merken brengen dan wel patches uit maar veel (de meeste?) gebruikers zullen die nooit installeren, al is het maar omdat ze niet weten dat er iets aan de hand is.
Sommige apparatuur probeert dat op te lossen door e-mailtjes te sturen of een applicatie op de PC van de gebruiker te zetten die een waarschuwing laat zien, maar dat is meer de uitzondering dan de regel en over het algemeen niet erg tijdsbestendig.

Ik denk dat de oplossing is dat we allemaal een soort centraal punt in ons huis moeten maken om alle apparatuur op aan te sluiten. Er zijn nu al verschillende soorten "hubs" die proberen om zo veel mogelijk IoT-apparatuur aan te sluiten maar er is nog geen universele standaard die alle apparatuur ondersteunt. Andersom kunnen bouwer van IoT-spul er niet op vertrouwen dat de gebruiker zo'n hub heeft om updates aan te sturen.

De regering zou een rol kunnen spelen door te verplichten dat alle apparatuur kan worden geupdate en dat er een standaard manier is om dat te doen.
Precies waar ik aan dacht. Misschien een soort firewall voor dummies. Waarbij je via een app oid kan selecteren of je bepaalde verbindingen wilt accepteren. Beetje zoals dat bij apps op mobiele telefoons gaat.

Maar ja. Het blijft een beetje pleisters plakken...
[...]
Het is geen slecht advies, maar het is helaas niet genoeg. Ook de gerenommeerde merken hebben regelmatig grote lekken. De betere merken brengen dan wel patches uit maar veel (de meeste?) gebruikers zullen die nooit installeren, al is het maar omdat ze niet weten dat er iets aan de hand is.
Daarom moeten dit soort devices onder een managed service van een leverancier komen te hangen. Verhoogd weliswaar de kosten (eenmalig, of abonnement, daar kunnen fabrikant mee gaan concurreren), maar zorgt wel voor een betere veiligheid. Zoals je zelf zegt kunnen/willen/doen de meeste gebruikers dit niet. Ik snap wel dat Tweakers allergisch zijn voor dit soort oplossingen maar het grootste deel van de gebruikers is geen Tweaker.
Dat lost een deel van het probleem op maar is nog niet genoeg. Het zou prettig zijn als er een centraal punt is waar je kan zien dat je apparatuur inderdaad veilig is. Je weet nooit of de fabrikant niet failliet is gegaan en je dus niet meer van patches kan voorzien.
Daarnaast is het afhankelijk van een open internet verbinding met de fabrikant. Dat zal lang niet altijd mogelijk zijn. Misschien dat het allemaal geen probleem is als er toch geen internetverbinding is maar daar zou ik niet te hard op willen rekenen. Zo'n security hub zou dan als proxy kunnen dienen.
een andere optie is om de camera uit te schakelen vanuit de fabrikant op het moment dat er een patch is. De camera kan dan alleen weer ingeschakeld worden als de patch is geïnstalleerd. Hierdoor zal de gebruiker een soort van gedwongen worden om zijn systeem goed te onderhouden...
Leuk idee, ik zou zelfs nog verder gaan en de camera uitschakelen als er 48 uur geen contact is geweest met de update-server.
Het nadeel is wel dat je beveiligingscamera's natuurlijk liever nooit uitschakelt, maar daar moet de gebruiker dan maar een keuze maken tussen fysieke veiligheid en digitale veiligheid. (Heb je liever dat ze in je huis inbreken of dat ze in je camera kraken?)
Er is eigenlijk geen verschil, op het moment dat je camera gekraakt is kunnen ze alles laten zien wat ze maar willen, dus je fysieke veiligheid is ook niet meer...
[...]
Ik denk dat de oplossing is dat we allemaal een soort centraal punt in ons huis moeten maken om alle apparatuur op aan te sluiten. Er zijn nu al verschillende soorten "hubs" die proberen om zo veel mogelijk IoT-apparatuur aan te sluiten maar er is nog geen universele standaard die alle apparatuur ondersteunt. Andersom kunnen bouwer van IoT-spul er niet op vertrouwen dat de gebruiker zo'n hub heeft om updates aan te sturen.
je bedoelt, een computer en een router? :+
Ja, dat ook, maar het moet breder zijn dan dat. In mijn eerste draft had ik het inderdaad over een homerouter maar heb dat vervangen door "hub" om het breder te maken. Maar een router is natuurlijk de ideale plek om toegangscontrole te regelen en toe te zien op op het netwerk aangesloten apparatuur. Een paar jaar geleden leek het er nog op dat iedereen een server in z'n meterkast ging zetten. Tegenwoordig denk ik dat die rol eerder wordt vervuld door zo'n Alexa speaker of een vergelijkbaar apparaat dat in de woonkamer staat en de gebruiker (letterlijk) kan aanspreken als dat nodig is.
Ik ben het helemaal met je eens!

Alleen een groot probleem wat hier niet bij helpt is dat deze websites steeds meer uitbreiden naar Nederland.

Lightinthebox bijvoorbeeld, heeft een Nederlandstalige website, maakt nota bene zelfs reclame met china kwaliteit en troep spul in Google shopping. ;(

De domme consument weet het niet meer, die google'en op IP camera en zien keurig aan de rechterkant een site in het Nederlands, met 5-6 dagen levertijd .
Waar ze vervolgens 1 van de 1000'en IP camera's bestellen van een fabrikant waar nog nooit iemand van heeft gehoord met firmware die nooit gecontroleerd zou worden.

Vervolgens pakken ze de het kleine papiertje dat bij de camera zit, waarop staat:
Stap 2: Pak de telefoon en ga naar instellingen en zet untrusted APK's aan
Stap 3: Ga naar untrusted china url.cn en installeer de app
Stap 4: Gooi je camera in het netwerk.

Consument blij omdat ze 5 euro hebben bespaart op de camera |:(

Een probleem is dat je eigenlijk onmogelijk kunt handhaven als overheid

[Reactie gewijzigd door mmjjb op 14 juni 2017 21:28]

Tja, dan heb je gewoon een gevalletje karma. Mensen zullen toch moeten leren dat als het merk chinatek of iets is, en geen Asus of linksys wat je in de winkels vind, dat het dan niet hetzelfde is.

Mensen kopen ook geen auto van een onbekend merk. En sluiten meestal ook geen betaalrekening af bij een vage partij.

dat zou hiervoor ook moeten gelden op zich.
Het probleem is dat anderen ook last hebben van die minkukels, bijvoorbeeld omdat hackers een botnet maken van gehackte waterkokers.

Het is een beetje als inenten. Niet alleen die inenting zelf beschermt je, maar ook het feit dat veruit de meeste mensen waar je mee te maken hebt ook ingeënt zijn. Die domme consument is dus bijna even gevaarlijk als al die antivaccinatiedwazen die je tegenwoordig hebt.
Gelukkig worden in Nederland en de EU een heleboel consumenten producten eerst gecontroleerd voordat ze op de markt worden toegelaten.
Hiervoor bestaat (oa) het CE keurmerk. Overigens, dat is nog geen garantie voor een goed product, maar hopelijk wordt daarmee het cadmium speelgoed en de licht ontvlambare hooverboards uit de winkel geweerd.

Ook voro autos geld dat er strenge tests worden gedaan, kijk maar naar de ophef destijds over de chinese Landwind (wat een soort clone van de Opel Frontera was, maar dan wat 'kreukelbaarder').

Echter, als die auto te koop was geweest, dan kun je er donder op zeggen dat mensen die auto gekocht zouden hebben (een derde van de prijs van de Opel? Doe maar!)

Je kunt dan moeilijk zeggen, dat is karma, hadden mensen maar verstand van autos moeten hebben. Er is een zeker zorgplicht vanuit de staat voor haar burgers, daar betalen we ze immers voor middels belastingen. Dus ook voor deze computer producten mag je een zeker kwaliteitscontrole verwachten.
De door jou gesuggereerde controle bestaat slechts voor heel specifieke productgroepen. 99% van wat je koopt is zonder enige controle door de EU of andere instanties het land binnengekomen. Er bestaan natuurlijk wel allerlei regeltjes, maar pro-actieve controle daarop is nihil.

De CE markering is overigens geen keurmerk. De definitie van een keurmerk vereist een onafhankelijke derde die een "keuring" uitvoert. Dat is bij de CE markering niet het geval. De CE markering is een verklaring van de fabrikant dat hij zelf denkt aan de regels te voldoen.

Of zoals de EU het op hun website verwoord: Please note that a CE marking does not indicate that a product have been approved as safe by the EU or by another authority.*

Bron 1: https://ec.europa.eu/growth/single-market/ce-marking_nl
Bron 2: eigen ervaring - veel vanuit China naar de EU en VS geëxporteerd.
Hiervoor bestaat (oa) het CE keurmerk. Overigens, dat is nog geen garantie voor een goed product, maar hopelijk wordt daarmee het cadmium speelgoed en de licht ontvlambare hooverboards uit de winkel geweerd.
Pas op, CE is een zelfkeuring. De fabrikant verklaard aan de regels te voldoen, niemand heeft het gecontroleerd.
Daarnaast is er logo dat "China Export" heet. Uiteraard geheel toevallig lijkt dat sprekend op het logo van het CE-keurmerk.

Zoek de verschillen: http://siloscordoba.com/w...7/CE-and-China-Export.jpg
Mwah, dat China Export logo bestaat officieel helemaal niet.

Het klopt dat een bedrijf zelf aan moet geven dat ze voldoen aan het CE keurmerk, maar als er iets mis gaat, en er staat dat logo op: Dan moeten ze kunnen overleggen waaruit blijkt (uitgebreide onafhankelijke tests) ze inderdaad voldeden. Anders komen ze alsnog in de problemen.
Mwah, dat China Export logo bestaat officieel helemaal niet.
Dat doet er eigenlijk niet toe, ze zetten het wel op hun product. Het is uiteraard de bedoeling dat mensen denken dat het om CE gaat. Als je zou gaan vragen om het CE-testrapport dan zullen ze je lachend vertellen dat je het logo verkeerd hebt begrepen en dat het heel jammer is dat het CE-keurmerk toevallig er zo veel op lijkt maar dat ze daar echt niks aan kunnen doen.
Ik heb uiteindelijk chinese IP cam's neergehangen omdat een A-merk gewoon echt te duur is. De B-merken niet de spec's hadden die ik zocht (ONVIF, Full HD, ir-cut, dome met PoE). En de C-merken gewoon echt niet de kwaliteit haalde die ik hebben wou.
De camera's die ik nu heb doen prima wat ze moeten doen.
Maar de web interface werkt met ActiveX en een software update kun je inderdaad wel vergeten :(

[Reactie gewijzigd door NBK op 15 juni 2017 09:07]

het is zelfs nog erger bij die china-cams.

daarbij staat telnet gewoon open, bij veel modellen.
hebben ze nog niet eens beveiligd, kan zo gehackt worden vanuit (noem land hier)
Dat klopt niet helemaal. Als telnet open staat betekent dat niet direct dat iedereen daar bij kan. Je hebt ook nog zoiets als NAT
Ik wilde laatst een slimme deurbel kopen, was een aanbieding van eentje uit China. Shop deed iig alsof ze direct vanuit de fabriek leverden, geen idee of dat ook zo was.

Aangezien dit soort dingen tegenwoordig meer en meer spelen was het eerste dat ik vroeg of hij verbinding maakte met een externe server en of dit uitgeschakeld kon worden. Het antwoord was 'nee kan niet uit, maar we schenden je privacy heus niet hoor'. Nou ik ga die Chinees niet op zijn woord geloven...

Dat soort dingen moeten gewoon prima kunnen met alleen verbinding in je eigen netwerk. Nu komen er weer allerlei gevaren bij alleen maar omdat de fabrikant ook nog eens aan je gegevens wil verdienen.
Zelfs auto's van BMW zijn brak die ook dan verbieden? Hangen wel niet aan internet maar geen eens SSL. De overheid loopt zo als gewoonlijk weer achter de feiten aan.
Ik zie het anders: de industrie heeft vele jaren gehad om te bewijzen dat ze het zonder gezeur van burocraten kan. De industrie heeft verschrikkelijk gefaald en zal nu gepest worden met irritante, moeilijk te controleren, dure wetgeving, die nouwelijks helpt.

En dan komt weer het gezeur over de EU die zich overal mee bemoeit.
Het is altijd makkelijk de overheid de schuld te geven, of liever nog 'Europa', maar waarom kan een auto van 80.000¤ niet vanuit de fabrikant fatsoenlijk zijn beveiligd?

Veel mensen willen minder bureaucratie, overheidsbemoeienis en onnodige regels. En als het dan mis gaat, heeft alsnog de overheid het gedaan...
Dat klopt ook maar je ziet dat het niet werkt beveiliging komt op de laatste plek. En bij de overheid hebben ze vaak weer niet het verstand van de techniek
Daarom kan het alleen maar mis gaan.

De bedrijven vinden het onbelangrijk
De overheid wil wel helpen maar loopt achter de feiten aan
De consumenten hebben geen kennis.

Er is eigenlijk geen makkelijke oplossing die echt werkt.
Ho even. Als burger willen we alle mogelijke consumentenbescherming en productveiligheid. En jij denkt dat dat gratis kan? We kunnen het hier net zo goedkoop maken als buiten NL/EU, maar dan moet je wel behoorlijk wat opgeven.
the last time I checked, that was the IT department...of zeg ik nou iets geks? o, money.....ja. is belangrijker dan klanten met goede en veilige software. Vindt je het gek dan er dan naar de politiek gekeken wordt.
Precies dit.

Ik werk als software engineer en ik zou graag wetgeving zien die fabrikanten aansprakelijk maakt voor de gevolgen van beveiligingslekken in hun software. Ik heb het enkele keren serieus meegemaakt dat van mij of collega's verwacht werd fouten, waarvan we wisten dat ze beveiligingsrisico's meebrachten voor de eindgebruiker, te negeren. Dit omdat tijd daar aan spenderen geld kost en de tussenhandelaar (die wij "klant" noemen) niet de eindgebruiker is en dus niet het geld over heeft voor het voorkomen van schade die deze zelf toch niet lijd.

De enige manier om het ontbreken van die financiele prikkel tot veiligheid op te lossen zie ik door financieel aansprakelijk te stellen voor de gevolgen van beveiligingsfouten. Wellicht zelfs crimineel aansprakelijk bij het bewust negeren van bekende problemen (zonder de eindgebruiker daarover te informeren).
ik kan me voorstellen dat er vooraf een overeenkomst is gemaakt over hoeveel er betaald gaat worden. vast bedrag minus de kosten, meer kosten = minder geld over = minder winst. waarom tijd (dus geld) besteden als het niet vereist is?

wat Muggenhor zegt is dat de *baas* moet betalen voor de fouten, niet de klant
Ik vind dit een goed punt.

In eerste instantie ben ik helemaal voor dat bedrijven aansprakelijk gesteld kunnen worden voor troep die ze online gooien.

Maar wat inderdaad als het softwarehuis erachter steken heeft laten vallen, en dit niet doorgecommuniceerd heeft naar het bedrijf? Is het softwarehuis dan verantwoordelijk?

En ook al kun je de meeste beveiligingsfouten op het web makkelijk voorkomen ( dit gebeurt niet altijd vanwege gebrek aan kennis, dit vind ik wel ernstig ), er kan altijd wel een randvoorwaarde insluipen waar niet aan gedacht is. Hoe 'verantwoordelijk' ben je dan nog?

Wat als ze geen steken hebben laten vallen, maar de bug zit niet in de PHP code ( ik noem maar een taal ) maar in de PHP core zelf? (Zero-days).
Aan de ene kant laten ze alles afluisteren, willen ze 'backdoors' in encryptie en minder sterke encryptie. En dus alles onveiliger hebben als dat het kan zijn. Maar aan de andere kant willen ze dat het allemaal veilig is en niet door kwaadwillenden -anders dan zij zelf- kan worden misbruikt.
Lijken mij tegenstrijdige belangen.
De tweede kamer is niet een persoon of een groep, dus ook meerdere partijen met verschillende belangen. Verder is het gehalte aan technische kennis in onze politiek belabberd laag. Dus verbaast het me ook niet wanneer dezelfde personen deze zelfde tegenstrijdige wensen hebben. Vooral omdat veel van onze politici niet of nauwelijks zullen begrijpen dat die belangen tegenstrijdig zijn.
Dan wil ik het in dit geval wel opnemen voor Kees Verhoeven. Deze man is woordvoerder van D66 als het gaat om privacy, ict en dat soort zaken. Hij lijkt me wel enig verstand van zaken te hebben. Zie ook zijn AMA's op Reddit: #1 en #2.
Sterker nog: op dit dossier heeft hij aanzienlijk meer verstand dan de gemiddelde tweaker. Dus enig verstand is een understatement.
Die dingen moeten alleen via een 'kastje' thuis (lees Nas of Raspberry Pi- achtige server) naar het Internet mogen bellen. Dan hoef je alleen het kastje up-to-date te houden.
Raspberry Pi die dient als een Firewall oid? Not bad idea IMO.
Geen idee hoe deze op Raspberry's zouden draaien maar een PfSense of Sophos XG (of UTM) i.c.m. VPN naar huis voor remote access van al je 'smart' devices zou al helpen. Uiteraard heeft Jantje de niet IT-er daar geen zak aan. Die gaat ervan uit dat het wel goed zit.

Gelukkig weten we hier dat: assumptions are the mother of all f*ckups :Y)
Maar vaak hebben die dingen internet acces nodig. Als de inlog pagina dan lek is dan een deftige firewall je ook niet heel veel helpen.
routing snelheid van een Pi is niet snel genoeg voor een hoop mensen. Internal Lan van die pi is iets van 60Mbit (100Mbit theoretisch)??

Ik denk eerste stap is dat die via de providers moet lopen, die leveren allemaal een router. Dan verplichten Upnp uit zetten is al een goede stap.
Moet je koekast die snelheid hebben?
Nee (maar mischien wel), maar dan zie je wel met twee verbindingen naar het internet. Dat is ook niet wenselijk voor een hoop mensen.

Als je koelkast trouwens een internet youtube a achtige verbinding moet onderhouden, bv, tonen van recepten in video dan heb je wel snel internet nodig.
Je zou van alle apparatuur die je aan internet hangt mogen verwachten dat er enige mate aan de veiligheid is gedacht. Een standaard wachtwoord die op je externe verbinding werkt is natuurlijk voor alle apparaten een slecht idee.
Software updates voor het oplossen van beveiligingslekken zou natuurlijk erg prettig zijn maar in praktijk mogelijk erg lastig. Hoe lost je een probleem op voor een populair apparaat waarbij net het bedrijf failliet is gegaan bv. Het open-source maken van zo'n firmware zou mogelijk een optie zijn, maar ook dat zie ik niet altijd gebeuren.
Iemand die weet waarom FvD (als enige) tegenstemde? Kon dat nergens terugvinden...
Mijn invulling is dat dit komt door hun standpunt op internet gebied: "Drastische vermindering regulering" (bron)
ze moeten teminste deze "clausule's" toevoegen

clausule 1
GEEN BACKDOOR
clausule 2
zie clausule 1
clausule 3
volledig open-source
clausule 4
GEEN REMOTE ACCES, zonder toestemming van de gebruiker
clausule 5
zie clausule 4
Het hoeft helemaal niet bewust te zijn in de eerste instantie.
Daarnaast echter, als het (kunnen) uitrollen van deze updates meer tijd (en dus geld) en potentieel risico met zich mee brengt, waarom zou je het dan doen? (helaas).
dat is dus de reden waarom ALLES open source moet zijn.
dan kan je zelf nog alles aanpassen als je wilt.

bv: een home system van apple en van samsung koppelen. (zou normaal als vuur en water zijn, zonder het opensource regeltje)
Dat is interessant voor een miniem deel van de gebruikers en lost het probleem van de beveiliging niet op.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*