Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekken, botnets en encryptie

Oude thema's werpen nieuwe vragen op

Internet of insecure things

Het thema botnets had enige tijd nodig om op stoom te komen. Dat gebeurde in september, toen onderzoeksjournalist Brian Krebs schreef dat zijn site met een ddos-aanval was platgelegd. Hij had kort daarvoor over een ddos-dienst geschreven en het leek erop dat het om een vergeldingsactie ging. Normaal gesproken is een ddos-aanval niet bijzonder interessant, in dit geval waren er echter twee aspecten die de aandacht trokken. Zo leek de aanval te zijn uitgevoerd met een netwerk van gehackte internet-of-things-apparaten en behaalde deze een dataverkeer van 620Gbit/s. Dat was twee keer zo groot als wat hoster Akamai tot dat tijdstip aan ddos-aanvallen te verwerken had gekregen. Het bedrijf besloot dan ook zijn gratis hosting voor Krebs op te zeggen, die uiteindelijk bij Google een nieuw thuis vond.

Kort daarop werd ook het Franse hostingbedrijf OVH doelwit van een ddos-aanval. Het claimde dat de gecombineerde aanvallen boven de 1Tbit/s waren uitgekomen, wat een nieuw record zou zijn. Ook hier leek de aanval te zijn uitgevoerd door een botnet dat bestaat uit 145.000 ip-camera's en digitale videorecorders. Deze aanval werd enkele dagen later opnieuw opgevolgd door opmerkelijk nieuws: een persoon, alleen bekend onder de naam 'Anna-senpai', zette de broncode van het iot-botnet online via de site Hack Forums.

Opkomst van Mirai

Deze persoon claimde dat het botnet oorspronkelijk bestond uit 380.000 apparaten en de naam 'Mirai' droeg. In het Japans betekent dit 'toekomst'. Deze naam zou later veelvuldig terugkomen in nieuwsberichten. De publicatie van de broncode was een reden voor de beveiligingscommunity om zich schrap te zetten voor nieuwe aanvallen. Iedereen met de nodige kennis en die er de tijd voor nam, zou namelijk een nieuwe aanval kunnen uitvoeren. Deze gebeurtenis bleef dan ook niet lang uit. De aanvallers, die volgens een beveiligingsbedrijf van Hack Forums afkomstig waren, kozen een opvallend doelwit: de dns-provider Dyn. Door de aanval waren verschillende grote diensten onbereikbaar, waaronder Twitter, Reddit en GitHub. Het zou gaan om een aanval met honderdduizend apparaten, wat ongeveer een derde van het totale botnet was.

Ook na de aanval waren er ongewone verschijnselen. Zo ontwikkelde een onderzoeker een 'goedaardige' worm om het Mirai-botnet te bestrijden. Dit leverde hem kritiek uit de beveiligingswereld op, omdat hij daarmee eigenlijk dezelfde actie neemt als de personen achter Mirai. Hij trok zijn onderzoek dan ook terug. Daarnaast hield de Chinese fabrikant van ip-camera's die deel uitmaakten van het botnet een terugroepactie. Zonder dat het van tevoren meteen duidelijk was, bleek dat het uitvallen van 900.000 Duitse Telekom-routers eveneens het gevolg van Mirai was. Het botnet probeerde de apparaten te infecteren, maar slaagde daar niet in. Het enige gevolg was dat de routers moeilijk of geen verbinding met het Telekom-netwerk konden maken. In Nederland zorgde dit nieuws ervoor dat de partij D66 aankondigde een initiatiefnota in te dienen voor strengere beveiliging van iot-apparaten.

Waar ligt het probleem?

Mirai was opmerkelijk, omdat dit het eerste grote botnet was dat bestaat uit iot-apparaten. Aan de andere kant was het ook een kwestie van tijd voordat een dergelijk fenomeen de kop op zou steken. Het is al langer bekend dat fabrikanten van 'slimme' apparaten het niet zo nauw nemen met de beveiliging van hun producten. In een interview dat Tweakers in maart met Mikko Hyppönen hield, zei hij dat dit komt doordat zij alleen kennis hebben van productveiligheid, bijvoorbeeld het voorkomen dat een gebruiker een stroomstoot krijgt. Van beveiliging zouden zij vanuit hun activiteiten geen besef hebben. Zijn stelling was destijds dat er een 'catastrofale gebeurtenis' nodig is om voor goed beveiligde iot-apparaten te zorgen. Dit zou bijvoorbeeld een Linux-worm kunnen zijn, die de apparaten onbruikbaar maakt door ze te infecteren met ransomware.

Op de vraag van Tweakers of de ddos-aanvallen door het nieuwe botnet een dergelijke gebeurtenis kunnen vormen, antwoordt hij nu: "Het botnet was een enorme gebeurtenis voor iot-beveiliging, maar het was niet de wake-up call die wij nodig hebben. Dat komt doordat de eigenaren van de apparaten niet eens wisten dat deze gehackt waren. En ook al stellen wij ze ervan op de hoogte, dan ondernemen zij alsnog geen actie." Ronald Prins deelt de zienswijze van Hyppönen op dit vlak: "Er is nog veel meer nodig om het iot van degelijke beveiliging te voorzien. De reactie die nu vaak terugkomt is 'hoe erg is het dan eigenlijk', bijvoorbeeld als iemand even niet op Twitter kan door een ddos-aanval." Kijkend naar de toekomst zegt Prins dat de iot-botnets tot nu toe gelukkig alleen worden ingezet voor ddos-aanvallen: "Het internet of things is verschrikkelijk kwetsbaar en er zijn nog veel meer scenario's de bedenken. Op dit moment kun je denken aan bijvoorbeeld het infecteren van thermostaten, maar daar komen in de toekomst nog veel meer apparaten bij."

Beveiligingsexpert Bruce Schneier zei in november dat overheden minimumbeveiligingseisen moeten invoeren voor apparaten die op internet zijn aangesloten. Hij kwam tot deze conclusie, omdat hij niet ziet dat de markt het probleem zelf gaat oplossen. Daarvoor zouden er niet voldoende aanleidingen zijn. Prins zegt daarover: "Ik ben heel lang tegen een zorgplicht geweest, maar ik merk dat ik er steeds meer voor word. Als wij eisen introduceren, moeten wij er wel voor oppassen dat Nederland niet op een achterstand geraakt doordat bedrijven aan te strenge regels moeten voldoen." Volgens Prins is de beveiliging van het iot niet in afzienbare tijd op orde. "Het probleem is dat wij er als eigenaren van de apparaten geen last van hebben; er is dus geen incentive om er iets aan te doen." Op dit punt komt zijn zienswijze overeen met die van Schneier. Hij is van mening dat zowel verkopers als kopers van kwetsbare apparaten niet om de lekken in de producten geven.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True