Amerikaans wetsvoorstel moet beveiliging internet-of-things verbeteren

Een Republikeinse en een Democratische senator willen in de VS een wetsvoorstel indienen dat de beveiliging van internet-of-things-apparaten moet verbeteren. De senatoren willen bijvoorbeeld eisen stellen rond het uitbrengen van updates voor kwetsbaarheden.

Het wetsvoorstel met de naam Internet of Things Cybersecurity Improvement Act, is opgesteld mede op basis van advies van de Harvard-universiteit en de Atlantic Council, een denktank op het gebied van internationale betrekkingen. In een interview met Reuters legt de Democratische senator Mark Warner uit dat het voorstel alleen 'de meest evidente tekortkomingen van de markt' moet aanpakken. Daarmee wil hij inspelen op het feit dat fabrikanten veelal onvoldoende reden zouden hebben om veilige apparaten te bouwen.

Onder de wetgeving moeten fabrikanten ervoor zorgen dat hun apparaten in staat zijn om beveiligingsupdates te ontvangen. Daarnaast bevat het voorstel een verbod op het instellen van voorgeprogrammeerde wachtwoorden en gebruikersnamen die niet door consumenten te wijzigen zijn. Het voorstel introduceert bovendien wettelijke bescherming voor beveiligingsonderzoekers die 'te goeder trouw' apparaten onderzoeken op kwetsbaarheden en deze aan fabrikanten melden, aldus Reuters.

In Nederland pleitte Kamerlid Kees Verhoeven eind vorig jaar voor een Europees verbod op onveilige internet-of-things-apparaten, waarbij fabrikanten aansprakelijk kunnen worden gesteld voor tekortkomingen op beveiligingsgebied. Dit kwam later terug in een motie van de Tweede Kamer. Over aansprakelijkheid zei staatssecretaris Klaas Dijkhoff onlangs dat die ook geldt voor softwaremakers onder het huidige recht.

Cryptograaf Bruce Schneier stelde eind vorig jaar in algemenere zin dat consumenten en fabrikanten er niet om geven dat iot-apparaten onveilig zijn. Hij zag daarom geen andere oplossing dan ingrijpen door de overheid. Hij reageerde daarbij op een grote ddos-aanval, die door het uit iot-apparaten bestaande Mirai-botnet was uitgevoerd.

IT-banen

Reacties (21)

Verwijderd 2 augustus 2017 12:14

Klinkt leuk maar uiteindelijk gaat er dus bar weinig veranderen, dat je je wachtwoord moet kunnen aanpassen ligt zo voor de hand dat het voor de meeste apparaten al kan, en software updates doen kan bij het gros ook al.

Uiteindelijk zijn dat ook niet de veiligheids-problemen met IoT spul, de grootste problemen zijn slecht tot niet beveiligde verbindingen tussen apparaten, slecht tot niet beveiligde access points die sommige IoT hardware aanbieden, oude/halfbakken software (denk aan oude versies van OpenSSL bijvoorbeeld), überhaupt niet genoeg 'power' voor goeie encryptie, poorten die gewoon op het web open staan, en zo kan ik nog wel even door gaan.

Voorlopig zijn we dus nog afhankelijk van initiatieven als Hajime, een worm die door 'white hat' hackers is gemaakt die IoT devices juist beter beveiligd tegen IoT worms/botnets.

Mathi159 2 augustus 2017 11:25

Zo'n 30 jaar te laat, maar nog steeds fijn als er zoiets komt. Of vallen alleen IOT apparaten hieronder? Dan mogen ze hun oogkleppen wel even afdoen namelijk.

reneflo @Mathi159 • 2 augustus 2017 11:36

In het wetsvoorstel staat: "INTERNET-CONNECTED DEVICE.—The term "Internet-connected device" means a physical object that— (A) is capable of connecting to and is in regular connection with the Internet; and (B ) has computer processing capabilities that can collect, send, or receive data."
Dus dat lijkt me elk apparaat wat met het internet is verbonden.

[Reactie gewijzigd door reneflo op 22 juli 2024 20:20]

kazz1980 @reneflo • 2 augustus 2017 11:48

En dus missen ze volgens mij de apparaten die wel onderling verbonden zijn en met elkaar communiceren maar op zichzelf niet verbonden zijn met 'het internet' (wat is dat precies??). Denk aan de smartlamp die verbonden is met een hub en niet met het internet (de hub zit vervolgens wellicht wél weer op het internet), of de lantaarnpaal die communiceert met naderende auto's en de lantaarnpalen ernaast maar niet met het internet...?

reneflo @kazz1980 • 2 augustus 2017 12:01

Denk dat ze dat misschien wel expres gedaan hebben. Apparaten die niet aan het internet hangen kunnen natuurlijk kwetsbaar zijn, maar zijn veel moeilijker op grote schaal te misbruiken. Neem bijvoorbeeld een camera die alleen 1 op 1 te benaderen is. Hiervoor zul je naar het huis zelf moeten om deze te hacken en hem te bekijken, terwijl er genoeg sites al te vinden zijn die alle camera's laten zien die onbeveiligd op het internet hangen.
Ook bijvoorbeeld het uitvoeren van een DDOS met IoT apparaten is niet mogelijk als ze niet aan het internet hangen.

kazz1980 @reneflo • 2 augustus 2017 12:11

Het risico zit er in dat een dergelijk apparaat zelf niet met 'het internet' verbonden is, maar andere apparaten waar connectie mee gemaakt wordt wellicht weer wel. En zo kan de hacker er alsnog in komen. Je hackt in genoemd voorbeeld 1 lantaarnpaal (die zelf dus niet aan het internet hangt en dus matig/niet beveiligd is) en vervolgens heb je via het IoT toegang tot alle lantaarnpalen én de centrale hub die wel aan internet hangt. In de hub zet je de beveiliging gewoonweg uit en je kunt vanaf dan ook op afstand alle straatlampen aan en uit zetten...

Plus als je enkel de hub veilig maakt en alles dat daar vervolgens aan verbonden is niet (goed) creëer je wel een enorm single point of failure.... Door het hacken van één enkel apparaat heeft de hacker meteen toegang tot vele daaraan gekoppelde apparaten die volgens dit wetsvoorstel dus niet beveiligd hoeven te worden...

[Reactie gewijzigd door kazz1980 op 22 juli 2024 20:20]

Simyager @kazz1980 • 2 augustus 2017 16:03

"INTERNET-CONNECTED DEVICE.—The term "Internet-connected device" means a physical object that— (A) is capable of connecting to and is in regular connection with the Internet; and(B ) has computer processing capabilities that can collect, send, or receive data."

Lijkt me praktisch elk elektronisch apparaat inclusief mijn rekenmachine?

[Reactie gewijzigd door Simyager op 22 juli 2024 20:20]

kazz1980 @Simyager • 2 augustus 2017 16:18

Nope. Die zit niet verbonden met internet (neem ik aan dan). Het device moet voldoen aan regel A én B. Niet A of B....

Simyager @kazz1980 • 2 augustus 2017 16:19

Aah ik zie het, gemiste kans natuurlijk

robvanwijk

Verenigde staten
Politiek en recht
Netwerk en systeembeheer
Wetgeving

@kazz1980 • 2 augustus 2017 20:01

Er staat "connecting to [..] the Internet", niet "directly connecting to [..] the Internet"; dat er een hele lading bridges, routers en ander netwerkspul tussen zit maakt niet uit: ook al is het nog zo indirect, het apparaat heeft een verbinding met het Internet en zal dus aan deze wet moeten voldoen.

Het is me overigens een raadsel waar dat "B" vandaan komt; alles wat met het Internet verbonden is heeft toch "computer processing capabilities" (hoe ga je anders de inhoud van je netwerkpakketjes bepalen?) en kan op zijn minst data verzenden of ontvangen (in nagenoeg alle gevallen zelfs beide)...!? Je zou zelfs kunnen stellen dat de wet te breed is; als je in een collegezaal over Internet leert en handmatig pakketjes uitrekent en invoert in WireShark, dan ben jijzelf het "physical object" dat security patches moet kunnen ontvangen.

RoestVrijStaal 2 augustus 2017 11:46

Dat dit uit de koker komt van de Amerikaanse overheid van beide kampen.

In een land waar de tendens van zo min mogelijk overheidsbemoeienis heerst en dat de marktwerking het maar moet oplossen.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 20:20]

Verwijderd @RoestVrijStaal • 2 augustus 2017 11:52

Dat betekent dat de overheid daar haar verantwoordelijkheid neemt als het moet. Het was al duidelijk dat fabrikanten van IoT apparaten zich niet bekommerden om het feit dat hun apparaten in een botnet deelnamen. Consumenten klaarblijkelijk ook niet, zolang hun internet het maar bleef doen.

Verwijderd 2 augustus 2017 11:48

Eigenlijk zou het ook verboden moeten zijn om met apparaten het internet op te gaan waarvan het default wachtwoord niet is veranderd.

Voor de rest is dit een goed idee, het zorgt in elk geval voor een minimum aan eisen. Toch weer brak dat de luitjes in de Tweede Kamer hier niet mee kwamen en weer wachten op wat grote broer Amerika gaat doen.

Chuk 2 augustus 2017 11:52

Eigenlijk wat je zoals altijd nodig hebt bij dit soort problemen is een soort van globale standaard doorvoeren waar IoT devices aan moeten voldoen qua security (bepaalde regels om veilig de software te patchen, etc). Een beetje zoals in Europa de food quality ook voortdurend wordt gecheckt en aan bepaalde eisen moet voldoen.

Uiteraard is dit geen waterdichte oplossing en gaat dit meer geld kosten omdat je voor controlerende instanties moet zorgen, meer testing en dergelijke. Maar goed, dit zal er waarschijnlijk nooit van komen.

Fevzi 2 augustus 2017 11:59

Zou IOTA hier een rol in kunnen spelen om de veiligheid te verbeteren? Ze adverteren er wel mee.
https://youtu.be/h09z2N0MtuQ

elijazz1991 2 augustus 2017 14:57

Jammer dat de private sector zich hier weinig tot niet om heeft bekommerd de afgelopen jaren. Al met al een verstandig wetsvoorstel imo. Ook mooi dat ze de (financiele) verantwoordelijkheid bij de industrie neerleggen.

Kheos 2 augustus 2017 11:31

euh, er staat in bijna elke paragraaf dat het over IOT apparaten gaat, dus... ja?

Lawrentium 2 augustus 2017 11:34

Zolang de hidden backdoor voor de NSA maar beschikbaar blijft natuurlijk

rob079 @Lawrentium • 2 augustus 2017 11:39

Mooi afkorting levert dat op: Internet of Things Cybersecurity Improvement Act -> IoT-CIA...

EddoH @Verwijderd • 2 augustus 2017 11:47

Dat staat er niet. Het gaat om een aantal functies waarover het apparaat moet beschikken, waaronder het kunnen downloaden van beveiligingsupdates en het niet ondersteunen van hardcoded wachtwoorden. Dat heeft niets met programmeerofuten te maken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (21)

Sorteer op:

Weergave: