Het was een oproep waar zelfs de grootste technofoob nog een beetje om moest gniffelen: Samsung raadde televisiekijkers aan hun smart-tv's regelmatig te scannen op malware. Een virus op je televisie, wat moet je je daar nou bij voorstellen? Een datalogger die meekijkt welke programma's je opzet? Een cryptominer die het kleine chipje in je televisie misbruikt om een digitale munt te mijnen? Of ransomware, waarbij je moet betalen om Netflix weer te kunnen starten? Ook Samsung bleek uiteindelijk toch niet zo goed uit te kunnen leggen wat het bedoelde en verwijderde na veel hoon de tweet.
Het bedrijf is echter niet alleen. Eens in de zoveel tijd steken er weer nieuwe verhalen op over hoe onze huizen steeds slimmer worden, maar dat we daardoor ook steeds kwetsbaarder zijn voor grote hacks. Slimme televisies en slimme thermostaten zouden op grote schaal kunnen worden misbruikt door cybercriminelen en dat zou schadelijk kunnen zijn voor individuen en de maatschappij in het algemeen. De praktijk lijkt wat anders. Er zijn amper voorbeelden van virussen op slimme huishoudelijke apparatuur en het is maar de vraag of je écht een virusscanner nodig hebt voor je thuisnetwerk. Zit er wel malwaregevaar in het slimme huis?
Privacy vs. security
Slimme apparaten komen met ruwweg twee gevaren. Aan de ene kant zijn er de privacyimplicaties; de apparaten weten veel van je, bijvoorbeeld waar je woont, wanneer je thuis bent en soms zelfs hoe je huiskamer eruitziet. Dat soort informatie wordt door de bedrijven niet alleen verzameld om 'de service te verbeteren', maar in sommige gevallen ook omdat die data nu eenmaal waardevol is om door te verkopen. Wie denkt dat hij daar veilig voor is omdat hij betaald heeft voor een product, komt vaak bedrogen uit. Apparaten die soms honderden euro's kosten, verzamelen alsnog bakken informatie en die kan door fabrikanten vervolgens worden doorverkocht aan marketeers of worden gebruikt om persoonlijke advertentieprofielen op te stellen. iRobot, het bedrijf achter de Roomba-stofzuigers, opperde ooit dat plan. Het bedrijf sprak er twee jaar geleden over dat het verdienmodel in de toekomst mogelijk ligt bij data van gebruikers, bijvoorbeeld door informatie zoals room maps beschikbaar te stellen aan andere bedrijven, die vervolgens op basis daarvan andere apps 'te verbeteren'. Later voegde de ceo van het bedrijf dat het 'data nooit zonder toestemming van klanten zou delen met derde partijen', en dat geen data verkoopt aan adverteerders.
Roomba's huiskamerkaarten zijn waardevolle informatie
Gebruikers hebben vaak ook niet door dat hun private gegevens op veel grotere schaal beschikbaar zijn voor bedrijven dan zij dachten. Dat bleek bijvoorbeeld eerder deze maand toen de Vlaamse omroep VRT en de NOS berichtten dat Google-medewerkers meeluisteren naar spraakopnames van de slimme Assistant en uit de ophef die daarop volgde.
In dit artikel kijken we niet zozeer naar de privacyimplicaties van slimme apparatuur. We kijken vooral naar de veiligheid. Soms zijn de twee nauw met elkaar verbonden; een apparaat dat lek is en daardoor een keylogger kan installeren, is uiteindelijk net zo privacyschendend als een slimme speaker die met je meeluistert. Maar hoe groot is nou het risico dat je een virus op je smart-tv krijgt? Is Samsungs advies over het scannen écht belangrijk? Of kun je dat veilig negeren en met een gerust hart je eigen Huis Van De Toekomst maken?
Update: aanvankelijk stond in dit artikel dat iRobot room maps verkocht. Dat is niet zo; het bedrijf verduidelijkt dat data nooit verkoopt, en zonder toestemming van de klant deelt met derde partijen.
Theoretische aanvallen en proof-of-concepts
Zeker beveiligingsbedrijven hebben er nogal een handje van om te waarschuwen voor de gevaren van deze connected devices. In angstaanjagende rapportages en blogposts wijzen ze op het feit dat nieuwe ontwikkelingen ook nieuwe risico's met zich meebrengen. Om de voorspelde hel en verdoemenis van die bedrijven in kaart te brengen, is het belangrijk eerst de markt voor iot-apparaten in het algemeen te bekijken. Want als we zogenaamd steeds meer risico's lopen op onveilige slimme huizen, dan is het belangrijk te weten waar dat risico ligt. Dit is gelijk waar je tegen problemen aanloopt, want 'de markt' is nog niet zo makkelijk te definiëren. In sommige onderzoeken wordt gesproken over miljoenen slimme apparaten in huishoudens en vaak wordt zelfs met termen als miljarden gestrooid. Maar het is onmogelijk te zeggen hoeveel 'slimme apparaten' mensen in hun huis hebben.
Zo moet je eerst definiëren wat een 'slim' apparaat in huis is. Dat je daar een verbonden thermostaat toe rekent, lijkt logisch en een smart-tv ook. Maar vallen onder die berekeningen ook smartphones en tablets? En hoe zit het met desktops en laptops? En moderne auto's zijn inmiddels als verlengstuk van je smarthome rijdende computers, vaak met een internetverbinding; is dat 'smart'? Beveiligingsbedrijven en analisten houden er allemaal hun eigen definities op na en dat zorgt ervoor dat er ook veel verschillende cijfers zijn.
Ericsson denkt bijvoorbeeld dat het er 18 miljard in 2022 zijn, Statista houdt het voor datzelfde jaar op 42 miljard. IoT Analytics is wat conservatiever met 13,5 miljard, terwijl Strategy Analytics het juist heeft over 50 miljard apparaten.
Het is niet te zeggen hoeveel 'slimme' apparaten er straks zijn, maar het zijn er in ieder geval veelEchte cijfers over het aantal iot-apparaten zijn dus niet te noemen, maar de algemene trend mag duidelijk zijn; iot-apparaten zijn overal in huis. Je hoeft ook heus geen Chriet Titulaer te zijn om je huis een stukje slimmer te maken. Als je anno 2019 een televisie koopt, moet je veel moeite doen een 'dom' toestel te vinden, een beveiligingscamera is voor de meeste mensen wel handig en printers worden steeds makkelijker op netwerken aangesloten. Het is mede daarom dat beveiligingsbedrijven maar wat graag op die trend inspringen en kopers waarschuwen voor de gevaren die erbij komen kijken. Ze hebben dan ook niet toevallig allemaalhuneigensoftwarepakketten te koop.
De meeste beveiligingsbedrijven die waarschuwen voor de gevaren van iot, wijzen graag naar concrete voorbeelden van gehackt witgoed. Die zijn er genoeg. Het bekendste voorbeeld waren de onderzoekers die ransomware op een slimme thermostaat wisten te zetten, maar andere hacks verschijnen aan de lopende band. Vorige maand nog toonde beveiligingsbedrijf Avast hoe het een slim koffiezetapparaat hackte met gijzelsoftware. Een andere onderzoeker wist in 2017 een Amazon Echo over te nemen door een sd-kaartlezer aan de hardware te koppelen. Zo wist hij roottoegang te krijgen tot het Linux-besturingssysteem en er zo malware op te installeren die bijvoorbeeld authenticatietokens kon stelen of die livefeeds van de microfoon doorstuurde.
Ook bij auto's zijn meer dan genoeg voorbeelden te vinden van hackers die ze op de een of andere manier weten te kraken, uit te buiten, of waar ze malware of ransomware op weten te zetten. Neem het bekende voorbeeld waarover Wired een aantal jaren schreef, over onderzoekers die een Jeep Cherokee van een afstandje wisten over te nemen terwijl de auto op de snelweg reed. En beveiligingsbedrijf McAfee zette in 2017 ransomware op het infotainmentsysteem van een auto.
Vooral ransomware is bij dit soort hacks een populair voorbeeld. Het is relatief makkelijk te maken en in te zetten. Ook vanuit een cybercrimeperspectief is ransomware een lucratieve business: weinig moeite, veel schade en slachtofferszijnsnelbereidhetlosgeldtebetalen. Het aantal besmettingen steeg in 2016 en 2017 dan ook explosief en de gemiddelde consument is inmiddels wel op de hoogte van de risico's ervan, in tegenstelling tot bijvoorbeeld cryptojacking, dat nog steeds een ver-van-hun-bedshow is.
Beveiligingsbedrijven springen vaak in op zulke trends. Naast het aanbieden van beveiligingsproducten zoals antivirus doen zij aan advies en rapportages waarin de grootste dreigingen worden opgespoord. Dat gebeurt meestal met kwartaalrapporten, zoals dit van Symantec of dit van Proofpoint. Daarin staan de meest voorkomende soorten malware die de bedrijven de maanden ervoor hebben gedetecteerd, maar ook informatie zoals hoe die het systeem hebben aangevallen of in welke landen dat gebeurt. Ze doen dat vaak door te kijken naar telemetrie van systemen waar die antivirus op staat. Dat zorgt vaak voor een wat vertekend beeld; je bent immers afhankelijk van een niet-representatieve groep bedrijven of consumenten. Als het gaat om de beveiliging van iot-producten is het helemaal een grote gok, want als er weinig praktijkvoorbeelden te vinden zijn van malware op die apparaten, hoe ontdek je dan of er veel virussen in het echt voorkomen?
Neem dit rapport van Bitdefender over kwetsbaarheden in slimme huizen. Hoewel het bedrijf analyseert welke potentiële gevaren er zijn voor iot-apparaten, zoals dos-aanvallen, sql-injecties en code-executions, wordt niet geanalyseerd hoe vaak dat soort aanvallen in de praktijk voorkomen. Je moet er veel moeite voor doen om zulke cijfers te vinden.
Onderzoekers wisten ransomware op een thermostaat te zetten als concept van een hack
Internet of industry
Er is in ieder geval één gebied waar iot een echt gevaar vormt. Dat is bij industriële systemen. In fabrieken of andere bedrijven wordt ook in toenemende mate gebruikgemaakt van apparatuur die aan internet hangt, bijvoorbeeld om systemen van een afstand in de gaten te houden. Dat is een gevaar, want het worden dan meteen systemen die een doelwit worden voor aanvallers.
Zulke aanvallen zijn voorgekomen. In 2017 ontdekten onderzoekers van Symantec bijvoorbeeld de Triton-malware, die werd ingezet om safety instrument systems in industriële organisaties uit te schakelen. Zulke systemen houden de normale processen in de gaten en kunnen bij afwijkingen automatisch andere systemen uitschakelen. De Triton-malware blokkeerde de sis in fabrieken in het Midden-Oosten, waardoor de kritieke infrastructuur van verschillende landen moest worden stopgezet. Iot-malware kan dus wel degelijk grote gevolgen hebben voor bedrijven, maar de situatie is niet te vergelijken met die van slimme huishoudens. In het geval van Triton ging het bijvoorbeeld om een gerichte aanval die als doel had om te saboteren. Hoogstwaarschijnlijk werd de aanval door een ander land uitgevoerd, al zijn de echte daders nooit gevonden.
Botnets
Wie goed zoekt op fora en helpsites, vindt hier en daar wel weleens voorbeelden van personen die een smarthomeapparaat per abuis hebben geïnfecteerd met malware. Dat lijken uitzonderingen, zoals deze persoon, die een trojan op zijn smart-tv kreeg door een geïnfecteerde schijf. Je kunt dat vergelijken met hoe je malware op je smartphone kunt krijgen; door apps te sideloaden uit dubieuze bronnen en niet goed op te letten waar die vandaan komen.
Toch zijn er ook voorbeelden bekend van malwareaanvallen die iot-devices op grotere schaal aanvallen. De bekendste, of in ieder geval beruchtste, is BrickerBot. Die speurde het internet af naar kwetsbare apparaten. Zodra het virus die vond, probeerde het ze te bricken. BrickerBot maakte iot-apparaten stuk door via fdisk -l te zoeken naar partities en zo willekeurige data van /dev/random naar mounted schijven te schrijven. In het beste geval betekende dit dat het apparaat naar de fabrieksinstellingen moest worden teruggezet, maar in sommige gevallen overschreef de malware ook de firmware van een apparaat, zodat het helemaal onbruikbaar was. De verspreider van BrickerBot stopte er vorig jaar mee, vertelde hij aan Bleepingcomputer. Hij had tegen die tijd meer dan tien miljoen apparaten geïnfecteerd.
Opvallend was vooral de motivatie van de maker van BrickerBot. Die wilde daar geen geld mee verdienen, maar 'internet een lesje leren'. Niet voor niets noemde hij BrickerBot ook wel 'Internet Chemotherapie'. De malware was volgens hem bedoeld om slecht beveiligde iot-apparatuur helemaal van internet af te krijgen door ze stuk te maken of door de eigenaren te dwingen de firmware te patchen of de beveiliging op een andere manier bij te werken.
Botnets
Daar zit namelijk het échte gevaar van slecht beveiligde apparatuur; botnets. ip-camera's, smart-tv's en printers worden op gigantische schaal verzameld en in grote botnetnetwerken opgenomen, die vervolgens voor verschillende doelen kunnen worden ingezet. Er zijn verschillende grote botnets beschikbaar, maar één steekt met kop en schouders boven de rest uit: Mirai. Dat botnet werd in 2016 ontworpen door twee makers die inmiddels zijn opgepakt en die hebben bekend achter de destructieve malware te zitten. Aanvankelijk werd het botnet ingezet om gamediensten aan te vallen, maar de schade bleek veel groter toen het botnet ook werd gebruikt in een aanval op DynDNS. Daardoor waren honderden grote websites lange tijd niet bereikbaar. De geest ging uit de fles toen de broncode van Mirai werd vrijgegeven door de makers. Sindsdien zijn er tientallen botnets verschenen die voor een groot deel op Mirai lijken.
De makers lieten de originele code van van het Mirai-botnet uitlekken en openden zo een doos van Pandora
Het Mirai-botnet is geen staaltje hogere wiskunde. Het is zelfs vrij simpel in zijn aanpak; het botnet zoekt op internet naar apparaten die op open poorten zijn aangesloten en zet vervolgens brute forcing in om een beperkt aantal standaardwachtwoorden te proberen, zoals root, admin, password en 1234. Er zijn vaak verschillende botnetversies beschikbaar voor verschillende cpu-architecturen, zoals x86 of juist ARM, maar ze struinen allemaal internet af naar apparaten die ze makkelijk kunnen infecteren. Net zoals er veel verschillende soorten ransomware zijn, bestaan er ook verschillende botnets die allemaal nét iets anders werken. Mirai is dan ook zeker niet de geavanceerdste. Botnets als IoT_Reaper kunnen bijvoorbeeld veel sneller scannen naar kwetsbare apparaten en zoeken ook naar apparaten waarin bekende kwetsbaarheden zitten. Er is ook Hide N Seek, een aangepaste versie van IoT_Reaper die juist cryptominers installeert, en VPNFilter dat specifiek op zoek gaat naar kwetsbare routers en daar probeert de inloggegevens van te bemachtigen.
Een paar bekende botnets:
Hajime
Gebruikt peer-to-peernetworking in plaats van een command-and-controlserver
IoT_Reaper
Richt zich voornamelijk op ip-camera's met bekende kwetsbaarheden
Hide N Seek
Aangepaste versie van IoT_Reaper die een cryptominer installeert op een apparaat
ADB.Miner
Botnet dat zich richt op de Android Debug Bridge en zo Android-apparaten infecteert
Fbot
Installeert cryptominers door via blockchain-based dns met een c&c-server communiceert
Torii
Anonimiseert zichzelf met het Tor-protocol
VPNFilter
Zoekt vooral naar slecht beveiligde routers en probeert daar inloggegevens van te stelen
Vooral die laatste is een ander gevaar. Een slecht beveiligde router kan een gateway zijn naar de rest van het hele netwerk in een huis. Daarom zijn zwakke wachtwoorden juist in het geval van routers zo ernstig; met de onjuiste configuratie is het voor een aanvaller makkelijker om door het netwerk te gaan en zo apparaten te infecteren die daarop aangesloten zijn.
Waarom iot-malware zo ineffectief is
Het grote gevaar van slimme iot-apparaten zit dus voornamelijk in botnets, die grotendeels geautomatiseerd het internet afstruinen op zoek naar apparaten om te infecteren. Je kunt je afvragen hoeveel last je daarvan hebt als gebruiker. Ethisch is het zeker niet, maar in tegenstelling tot ransomware op je pc is een ip-camera in een botnet een stuk minder vervelend voor de eindgebruiker. Sterker nog, de kans is groot dat je er als 'slachtoffer' niet eens iets van merkt, behalve misschien een energierekening die iets hoger is dan normaal.
Er zijn een paar redenen waarom andere vormen van malware in de praktijk amper voorkomen op iot-apparaten. Onderzoekers van het Institute for Critical Infrastructure Technology wijzen bijvoorbeeld naar de grootte van traditionele virussen. Iot-apparaten hebben niet veel computerkracht of (werk)geheugen, en malware die te groot en complex is, kan daar niet op draaien. Bij ransomware is dat soms een ander verhaal, al hangt het wel van de functie af. Destructieve malware zoals BrickerBot hoeft alleen wat code naar het apparaat te schrijven. Als je geld wil verdienen met ransomware, heb je ook een verbinding nodig met een command-and-control-server. Daarvoor moet de wifichip worden aangesproken, er moet een losgeldbrief als tekst of afbeelding worden ingeladen enzovoort. Dat is allemaal te ingewikkeld voor een simpel virus.
Een ander probleem is het feit dat veel malware op iot-apparaten makkelijk op te lossen is met een reset naar fabrieksinstellingen. Dat geldt bij de meeste vormen van malware. Neem bijvoorbeeld de ransomwareaanval op vervoerder Maersk. Bij de infectie werden in totaal 45.000 pc's en 4000 servers getroffen. Het bedrijf koos ervoor om alle systemen opnieuw te installeren. Dat kostte zo'n tien dagen, blijkt uit een fascinerende reconstructie van Wired. In die periode daalde het aantal containers dat het bedrijf verscheepte met twintig procent. Het terugzetten van systemen is dus een goede remedie tegen ransomware, maar met gewone computers en bedrijfsnetwerken een peperdure operatie. Maar een smart-tv of thermostaat? Daarbij moet je waarschijnlijk even opnieuw inloggen en dan ben je er al. Het lucratieve aspect van ransomware houdt verband met de hoge kosten en de grote moeite om ervan af te komen, maar bij iot-apparaten is dat nihil.
Er is niet veel geld te verdienen met malware op iot-apparatuur Misschien is het belangrijkste probleem echter wel dat er geen brood te verdienen valt met iot-virussen. Bij de meeste vormen van cybercrime komt geld wel ergens om de hoek kijken; ransomware werd groot omdat het zo lucratief was, cryptojacking omdat het midden in de cryptobubbel van 2017 zat. Maar ransomware werkt op desktops en netwerken vooral omdat het makkelijk op grote schaal te versturen is. Een phishingcampagne is snel opgezet, en veel potentiële slachtoffers gebruiken dezelfde besturingssystemen, zoals Windows, waarvan lekken bekend zijn. Ransomware op een iot-apparaat is lastiger, want er zijn duizenden verschillende apparaten met allemaal hun eigen firmwares en het is voor gebruikers heel makkelijk om de apparaten terug te zetten naar fabrieksinstellingen.
Ddos-aanvallen met botnets worden makkelijker ingezet door trollen, bijvoorbeeld toen Tweakers vorig jaar werd aangevallen door jonge jongens die ze bijvoorbeeld gebruiken om gameservers van concurrenten plat te leggen of die gewoon wat aandacht of prestige willen. Er is echter ook een andere trend te bespeuren, waarbij criminelen een ddos-aanval als afpersingsmiddel gebruiken: "Betaal ons en we zetten de aanval stop."
De ddos-aanval op Tweakers kwam van een webstresser die gebruikmaakte van een iot-botnet
Tot slot
De beveiliging van iot-apparaten is al jaren een veelbesproken onderwerp. De Nederlandse overheid legde het vast in het regeerakkoord en begon vorige maand met de eerste concrete stappen om die verbeteren, maar ook organisaties als de Consumentenbond waarschuwen voor slecht beveiligde apparaten. Beveiligingsbedrijven roepen al jaren op om maatregelen te nemen, al dan niet met dure software die zij toevallig zelf beschikbaar hebben. En inmiddels waarschuwt ook de Autoriteit Persoonsgegevens voor de gevaren. De risico's díé er zijn rondom internet of things, hebben echter niet zozeer betrekking op de individuele slachtoffers van een malwareaanval. Die zijn er weinig, en als ze er zijn, is de overlast die zij ervaren, gering.
Het grote gevaar lijkt vooral te bestaan voor de samenleving in het algemeen. Voor banken die getroffen worden door een ddos-aanval, of voor websites als Tweakers die inkomsten mislopen omdat de site niet bereikbaar is. Of, erger nog, wanneer vitale infrastructuur kan worden getroffen. Er zijn in Nederland genoeg partijen, zoals de Nationaal Coördinator Terrorisme en Veiligheid, die waarschuwen dat er een grote kans op maatschappelijke ontwrichting is als belangrijke infrastructuur wordt geraakt. Als veel gebruikers hun slimme apparatuur niet goed beveiligen, kan dat een rol spelen bij dergelijke aanvallen.
Wat er te doen is om die situatie te verbeteren, is zowel een open deur als een onmogelijke opgave. Idealiter worden alle iot-apparaten, van camera's tot aan smart-tv's, beter beveiligd. Wachtwoorden zijn een belangrijke, want de meeste botnets die voor destructie zorgen, bruteforcen een beperkt aantal standaardwachtwoorden waarvan al jaren bekend is hoe onveilig ze zijn. Je kunt daarvoor kijken naar de consument, maar daarbij komen twee problemen om de hoek kijken. Het mag inmiddels wel bekend zijn dat grote groepen mensen uit onwil, onkunde of onwetendheid hun wachtwoorden niet veranderen of geen sterke wachtwoorden kunnen bedenken, dus misschien moeten we daar niet meer van uitgaan. Een ander probleem is dat veel van de wachtwoorden helemaal niet te veranderen zijn. Die staan hardcoded in de firmware en zijn niet door een gebruiker te wijzigen, tenzij je zin hebt om in een weekend je thermostaat te debuggen. Misschien leuk voor de gemiddelde tweaker, maar niet voor de gemiddelde koper.
Er wordt steeds meer naar Europees niveau gekeken als het gaat om de beveiliging van het internet of things. De AVG was een goed voorbeeld van hoe internationale bedrijven zich op grote schaal moesten aanpassen om in Europa actief te kunnen blijven en Europese beleidsmakers hopen dat hetzelfde geldt voor hardware. Inmiddels is er bijvoorbeeld een Europese standaard voor iot-beveiliging en wordt erover gesproken om die verplicht te maken voor alle verkochte apparatuur in de EU. Nederland hoopt zelf volgend jaar een dergelijke standaard te introduceren.
Het hart van het iot-voor-thuis is de router. Zou de router hierin niet een veel belangrijkere rol moeten gaan spelen? Als die een nóg zwaardere rol gaat spelen als gatekeeper is het wat minder spannend welke chinese smart-things er allemaal achter hangen. Mijn Asus 68u doet het al een heel klein beetje, waarschuwen voor slechte sites of besmette devices in het netwerk. Ik kan mij voorstellen dat daar de oplossing kan liggen.
Veel mensen hebben commentaar op je reactie want router is geen firewall maar je hebt 100% gelijk.
Voor 99% van de gebruikers is de router het apparaat wat de beveiliging moet regelen. Of dat nu gebeurd door Firewall functionaliteit, Antivirus, Intrusion Detection Systems of Intrusion Prevention Systems.
Dit apparaat moet gewoon bij de gewone gebruiker veel intelligenter, veiliger en agressiever worden. Zo moet standaard de toegang naar buiten dicht. Standaard veilig uit de doos in plaats van alles maar door laten. Zaken als UPNP moeten helemaal verbannen worden. Communicatie tussen apparaten (jaja, de router is tevens vaak ook het Wifi Access Point) moet standaard geblokkeerd worden en als laatste moet er goed en eenvoudig worden genotificeerd als er verdachte zaken zijn.
Mijn aandacht is momenteel gericht op Apple hiervoor. Zij willen Homekit voor routers uitbrengen:
Apple heeft nog weinig details vrijgegeven over de HomeKit-ondersteuning door routers. De eerste geschikte routers komen voor eind 2019 beschikbaar. Ze creëren een automatische firewall rondom je smart home-accessoires, zodat je beschermd blijft als je netwerk of andere aangesloten apparaten worden aangevallen door een hack op afstand.
De HomeKit-routers verschijnen in de Woning-app, waar je extra functies kunt instellen. Je kunt bijvoorbeeld regelen met welke diensten je HomeKit-accessoires mogen communiceren. Dit geldt zowel binnen het netwerk als met de buitenwereld via internet. In het verleden zijn er problemen geweest waarbij een via aangesloten accessoires zoals lampen een netwerk aangevallen kon worden. Apple wil dit voorkomen. https://www.iculture.nl/nieuws/homekit-routers/
Apple staat bekend om zijn eenvoud en privacy. Ik zeg niet dat iemand homekit routers moet aanschaffen maar het kan wel de push zijn die nodig is zodat andere router fabrikanten ook eens van hun kont af komen.
Je voorstel is redelijk maar gaat tegen de principes van (lokale) netwerken in. Apparaten communiceren met elkaar op laag 2 in het zelfde netwerk. Je router / firewall komt pas in het plaatje vanaf laag 3. Ofwel je moet middels VLANs gaan segmenteren of op de devices lokaal een softwarematige firewall installeren.
Voor communicatie naar buiten valt er wel een boel winst te halen. Maar beveiliging en gemak zullen nooit samen gaan. De Apple kit die jij noemt is leuk, maar dit goed aanpakken is erg lastig. Je kan niet de standaard web en mail poorten open zetten en verwachten dat je Whatsapp nog steeds werkt. Dat is voor de gebruiker niet veilig, dat is een obstakel die ze niet hebben bij een fabrikant die de boel wel wagenwijd open laat staan.
De features zoals IPS, IDS, Antivirus, Antispam, SSL decryptie etc. helpen, maar gaan gepaard met hogere maandelijkse licentie / abonnement kosten of een hogere aanschafprijs. Het lijkt mij erg onwaarschijnlijk dat een fabrikant deze weg gaat bewandelen door zijn producten niet meer gunstig te positioneren tegenover de concurrentie.
Er is ook weinig markt voor. Normale gebruikers willen snelle toegang dat gewoon werkt, zonder filtering. Bedrijven en echte security minded "Tweakers" hebben toch al een firewall die strak staat ingesteld, daar hebben ze geen intuïtieve Apple doos voor nodig.
Je hebt een prima punt en ik ben het volledig met je eens maar daarom reageerde ik ook met: Communicatie tussen apparaten (jaja, de router is tevens vaak ook het Wifi Access Point) moet standaard geblokkeerd worden
Voor de meeste mensen is de router het enige netwerk apparaat in huis. de segmentering moet dan hier plaats vinden (en dit kan ook prima naar mijn mening). We doen dit in bedrijven al tientallen jaren en tegenwoordig op microsegmentatie niveau (Cloud / SDN).
Ofwel je moet middels VLANs gaan segmenteren of op de devices lokaal een softwarematige firewall installeren.
De devices zelf laten firewallen gaat helaas niet want dan hadden we dit probleem niet gehad. Als ik iets op AliExpress koop dan houdt het zich aan geen enkele regel (europees of niet). Met Software Defined Networking kunnen we echter wel hetzelfde bereiken. Het probleem is echter inderdaad de interface, hoe maak ik het simpel.
Normale gebruikers willen snelle toegang dat gewoon werkt, zonder filtering.
Yes, maar ik ben er van overtuigt dat het best een stuk strakker kan zonder dat het echte problemen geeft...Gewoon bijvoorbeeld een melding: "nieuw apparaat gevonden, mag deze het internet op?" zou al een mooi begin zijn...
Een groter probleem (waar geen antwoord op is) is dat iedereen tegenwoordig communiceert via TCP:443 (HTTPS). Zoals Whatsapp werkt prima met alles dicht behalve web: The default port for the WhatsApp Business API client is 5222. If that port is not available, the application will fallback to port 443. Port 443 needs to be opened for HTTPS at the minimum for application registration and restarts. https://developers.facebo...des/network-requirements/
Je kunt natuurlijk moeilijk HTTPS blokkeren voor gebruikers...
@jobvr heeft een mooi voorbeeld over Chineese omvormers van zonnepanelen die regelmatig naar huis bellen en ook op afstand te misbruiken zijn. Dat ga je met geen enkele firewall tegenhouden, simpelweg omdat die apparaten een legale reden hebben om met het internet te communiceren.
Elke standaard gebruiker zal (zeker als het simpel is) de modem zodanig configureren dat zijn, in dit geval: omvormer, met het net kan communiceren. Zo ook de tv de camera, de WiFi-radio enz.
Een state-actor kan nog steeds zijn gang gaan.
Ik denk echt dat de beveiliging voornamelijk aan de andere kant moet zitten. Het elektriciteitsnet moet gewoon beveiligd zijn tegen onverwachte stroompieken. Er zijn meerdere, zelfs natuurlijke oorzaken waardoor het net overbelast kan raken. Er moet een plan en een voorraad drinkwater overal in het land zijn voor als het waterleidingnet 'ns een keertje onbruikbaar wordt. Sluizen moeten een 'manual override' kennen. Enz. enz....
Men moet denken "Wat als... ?" en wanneer dan het risico groot, of de inspanning klein is, dan moeten er alternatieven achter de hand zijn.
Laatst lag 112 er uit door een storing van de telco. Dan wordt pijnlijk duidelijk dat we alle wijk bureautjes van de politie hebben gesloten en die geen eigen nummer meer hebben. Oh wacht even..., het zijn er minder, maar ze zijn er nog wel én ze hebben allemaal telefoon. Maar dat nummer is niet publiekelijk bekend, want iedereen moet maar 112 bellen. Door het wijkbureau-nummer duidelijk te publiceren heb je al een extra systeem achter de hand waarop mensen óók hulp konden krijgen.
Het zijn vaak kleine simpele dingen die veel ellende kunnen voorkomen. Maar er moet over nágedacht worden. Er moet niet puur op het gemak vertrouwd worden.
Maar we doen het allemaal: Heel vaal open alle communicatiekanalen via 1 provider. Hoeveel van ons kunnen nog telefoneren wanneer de ISP geheel plat ligt ? We moeten van het gas af... koken en de verwarming gaat straks bij iedereen elektrisch. Tja, als dan straks midden in de winter de elektriciteit uitvalt, dan is er ook geen ontsnappen meer aan.
Ik denk het wel, maar dan zal de overheid wel in moeten stappen om bepaalde eisen aan de fabrikanten te stellen.
Zoals het artikel al beschreef denk ik ook dat het voornamelijk een gevaar voor de samenleving is. Ik zat ook laatst naar het IP-verkeer van mijn Chinese omvormer van de zonnepanelen te kijken en naast de 5 minuten update haalt hij ook elke 12 uur een aantal grote data pakketen op uit China. Vanaf de website van de fabrikant (die je niet kan bereiken via een VPN) kan de omvormer opnieuw opgestart worden en kunnen ze waarschijnlijk ook een firmware upgrade forceren. Ik vermoed dat meer dan 50% van de omvormers uit china komt (gewoon een aanname) als deze worden overgenomen kan je denk ik wel het energie net in Nederland plat gooien, door ze allemaal afwisselend maximaal en daarna geen stroom te laten leveren.
Op deze manier zouden deze IOT omvormers als wapen kunnen worden ingezet door een state-actor. En in tegenstelling tot een DoS attack wat vervelend is kan een dag geen stroom, de samenleving echt ontwrichten..
Naast dit grote gevaar voor de samenleving bestaat er ook nog het gevaar van brand. Op dit soort dagen levert het systeem 3000watt bij mij. Als je daarmee gaat rotzooien kan je denk ik best brand laten uitbreken. Deze omvormer zit op het internet, en ik ben er zelf voor verantwoordelijk, maar geen idee hoe ik hem moet beveiligen, anders dan van het internet afhalen..
[Reactie gewijzigd door jobvr op 25 juli 2024 07:52]
Ik maak me hier ook zorgen om. Ik heb ook zo'n Growatt omvormer met smart functionaliteit. De front end ziet er zo onverzorgd uit dat ik mij afvraag hoe waterdicht het allemaal is.
Dat heb ik ook. Ik wil graag het systeem monitorene. Maar het feit dat hij daarvoor aan het internet moet hangen wordt ik niet intens gelukkig. Ass in de toekomst de salderingsregeling weg valt wil ik alles zo in kunnen stellen dat groot gebruikers aan slaan als de zonnepanelen meer leveren dan ik verbruik (warmtepomp boiler etc. Is een druppel op een gloeiende plaat, maar toch). Op dit moment heb ik de iptables in mijn router aangepast zodat ik al het verkeer van en naar de Omnik omvormer ook naar mijn raspberry gaat zodat ik het systeem lokaal kan monitoren en de data eventueel kan gebruiken in domoticz. Als ik de monitoring helemaal goed heb staan gaat de Omvormer in een VLAN of direct in de raspberry en laat ik hem niet meer direct communiceren met het internet. Maar ik begrijp dat dit niet een optie voor iedereen is.
[Reactie gewijzigd door jobvr op 25 juli 2024 07:52]
Met een simpele monitoring vanuit de P1 poort van je slimme meter kan je ook kiezen om grootverbruikers in te schakelen op het moment dat de zonnepanelen goed vermogen leveren.
Klopt, alleen sommige doen dat beter dan andere. Mijn feroli warmteboiler (ja ik weet het, italiaanse rotzooi) werkt alleen met een maak contact die zorgt voor inschakelen bij extra opbrengst. Hier zal ik even een stukje regeltechniek tussen moeten zetten
De Growatt die ik heb heeft een RS232 naar Ethernet converter. (Dus mogeljik is de data ook nog uit de ruwe RS232 aansluiting te peuteren) Uit voorzorg staat deze in een eigen (en verder leeg) VLAN.
DNS/NTP draait helemaal lokaal (verkeer voro deze diensetn naar niet lokale addressen worden omgeleidt naar lokale adressen).
En de Growatt kan alleen communiceren met "server.growatt.com" over poort TCP 5279, de data die hier bij mij over gaat is heel beperkt en zal nauwlijks meer dan de status van de omvormer bevatten.
Ja, mijn Omnik omvormer staat op de vliering van mijn jaren 30 woning. Toen waren ze nog niet zo vooruitstrevend met ethernet poorten. De omvormer heeft een WiFi module die gelukkig goed werkt. Ik kan de WiFi module er uit trekken en dan komen er twee ethernet poorten te voor schijn. Als ik de RS232 poort wil gebruiken zal ik de raspberry op zolder moeten zetten en deze dan via de WiFi op de rest van het netwerk aansluiten. Dat heeft alleen niet de voorkeur want daar draai meer zaken op die ik liever via ethernet laat lopen
Je router scheidt nu WAN van LAN door alleen uitgaand verkeer toe te staan. In veel thuisnetwerken praten computers weinig met elkaar behalve dan de enkelen die een thuisgroep instellen of inmiddels een NAS hebben.
Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu). Eventueel alleen toestaan welke server contact mee gemaakt mag worden.
Verhelpt natuurlijk niet wat je zelf open zet naar internet maar voorkomt in ieder geval dat er binnen je netwerk wat verspreidt wordt.
Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu). Eventueel alleen toestaan welke server contact mee gemaakt mag worden.
Het hele doel van een intern netwerk is dat apparaten met elkaar verbinding kunnen hebben, je pc's met je nas.
Als je verkeer wil verhinderen zul je een netwerk switch moeten hebben waarbij je die (als dat) kan op poort niveau moet instellen. Dus de poort waarop je nas zit met ip 192.168.1.100 mag alleen verbonden worden met ip 101 102 103 104 op het einde.
Heb je een smartphone zal die in je netwerk via wifi een vast ip adres moeten krijgen of op basis van mac adres mag je dan ook weer toegang hebben tot je nas.
Het zal allemaal best mogelijk zijn voor een tweaker maar de massa dit laten doen, vergeet het maar.
wat ook mogelijk is om ze allemaal subnet /32 te geven via dhcp
Hierdoor moeten ze over de gateway (router/firewall) om naar een ander apperaat te gaan.
Echter zie het nu al gebeuren het gekanker in normale huishoudens van smartphone kan niet streamen of ...
voor iemand met wat netwerk kennis niet zo mogelijk als hij tijd en goesting heeft.
Er is echter iets makelijker hangt die dingen niet aan het netwerk.
Erger me ook dood dat ik de miracast van mijn lg tv niet kan uitzetten.
Tot hiertoe hebben de buren die functie van hun eigen tv/smartphones nog niet ondekt maar hou men hart van als ze dat toch ondekken.
Fabrikanten zouden verplicht moeten worden om al die functie togglebaar te maken ipv altijd aan.
Dit is geen beveiliging, niets houdt je tegen om de /32 aan te passen en gewoon vrolijk overal mee te gaan praten binnen het L2 domein, zat firewalls van end-devices houden dit niet/nauwelijks tegen.
Dit is vriendelijk aan je apparaten vragen niet vals te spelen en niet gehackt te worden...
Zelfs als ze zich aan de /32 houden en alles via de router sturen vergeet je te vermelden om de firewall dan ook daadwerkelijk in te stellen om dat te blokeren, de meeste routers doen dat intern niet en zullen alles door laten.
Dit is niet eens meer security through obscurity, dit valt op geen enkele manier onder security.
ok fair point dat de malware de netwerk settings kan aanpassen maar lijkt me praktisch niet te doen om voor elk apperaat een dedicated firewall te zetten.
En al zeker niet voor wifi.
Trouwens de malware kan zijn netwerk settings wel aanpassen maar een "goed apperaat" luisterd dan enkel maar naar de gateway.
dus dan moet de malware al zich gaan voor doen als de gateway.
wat mogelijk is maar vereist meer werk van de hacker.
wat je wel kan doen bij de betere switchen en accespoints is port/client issolation aanzetten.
komt eigenlijk op neer poorten kunnen onderling niet met elkaar praten buiten de poort die als toegangs poort dient.
Zelfde gaat ook voor wifi accespoints dat het verkeer eerst naar de gateway/router/switch moet voor terug te keren en wifi client > accespoint > wifi client verkeer niet gaat
maar aangezien de meeste mensen met een isp brol router zitten voor heel hun netwerk kan je heel dit verhaal van de apperaten isoleren van elkaar.
En de mensen die nog zo een router gebruiken voor heel hun netwerk intereseerd netwerk beveiliging niet en maakt ook niet uit voor zo een mensen.
Zolang hun laatste speelgoed maar "werkt"
Test het maar eens met Windows of je favoriete Linux distro, vaak zat zullen ze doodleuk verkeer uit een /24 subnet gewoon aannemen als lokaal verkeer terwijl ze in een veel kleiner subnet zitten.
Een hacker hoeft dan niet een gateway te spoofen/MITM-en. Port isolation kan helpen, maar dan hoeven de devices niet eens op eigen /32's te zitten aangezien communicatie onderling gestopt wordt op layer 2, een laag voordat IP een rol speelt.
[Reactie gewijzigd door RGAT op 25 juli 2024 07:52]
Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu).
Wat je hier beschrijft is een firewall. Een router heeft simpelweg de functie om verkeer tussen verschillende netwerken te routeren. Met een firewall verkeer filteren of blokkeren tussen devices kan al.
Na het lezen van dit artikel en jouw reactie, moest aan het volgende denken: Bitdefender Box. Dit is een apparaat die je achter je router hangt en vooraf scant. Daarnaast krijg je er antivirus licenties bij.
Persoonlijk heb ik een Box2, maar en dit is een zeer grote maar dit toestel is ook niet perfect.
belangrijkste issue is dat BOX de volgende items NIET supporteerd
- VLAN Tagging (Porblematisch bij mijn huidige ISP)
- Een andere DNS Server (Piehole)
- Outgoing traffiek controleren en in details bekijken.
Wat blokkeerd box wel goed.
- Phishing
- Shadelijke bestanden
- Valse/gevaarlijke Certificaten
- Detectie van apparaten
- Netwerk scannen
- Mobile App
- Setup-&-forget
- Integratie met bvb. netgear
Maar als tweaker, vraag ik me af of er geen betere opensource mogelijkheden zijn waar meer uit te halen valt. Denk bvb. aan een piehole, wireshark + Iptables of een PFSence op een RaspBSD of zo iets
[Reactie gewijzigd door Ryaka op 25 juli 2024 07:52]
Ik zit al lang met het idee van gebruiksvriendelijke IOT-capable router. Om enkele features te noemen:
- Gebruiksvriendelijke interface
- Aparte VLAN voor IOT devices
- Gemakkelijk configureren welke apparaten naar het internet mogen vanuit het IOT-VLAN, of naar het HOME-VLAN. De interface moet even makkelijk zijn als bijvoorbeeld iOS (gewoon met toggle-switches instellen).
- Secure by default: Router interface is niet bereikbaar via IOT-VLAN of WAN interface.
- Compatible: zaken als mdns-repeater, zodat zaken als AirPlay gewoon werken als je AppleTV in het IOT-VLAN staan.
Een dd-wrt met aangepaste UI zou dit in principe mogelijk maken, maar heb er zelf de tijd niet voor om er mij mee bezig te houden
Mooi woord gebruiksvriendelijk. Als tweaker kun je dan misschien beter vlans en andere zaken instellen, De massa gebruiker heeft totaal geen kaas gegeten van deze zaken.
Een gebruiker heeft inderdaad geen boodschap aan het woord VLAN. Bedoeling is net om dat soort terminologie te vermijden. "Thuis netwerk" en "apparaten netwerk" bijvoorbeeld zeggen meer voor de gemiddelde gebruiker dan IOT-VLAN.
Ik heb uiteindelijk een mini-pc van aliexpress ertussenin gehangen met atom-processortje als firewall met dan PfSense; niet voor elke eindgebruiker een handig alternatief though. Daarachter hangt dan weer mijn interne router.
Maar het lijkt mij eigenlijk ook wel dat de markt rijp kan zijn voor fabrikanten die voorgeconfigureerde versies van zoiets willen implementeren. Al lijkt het mogelijk een probleem dat mensen veelal een enkel magisch kastje wensen te hebben die zegmaar al het netwerk geneuzel zou regelen; ik ben zelf echter bang dat het niet heel goed mogelijk is zo'n swiss-army knife te maken...
Oplossing vind ik hier een beetje een verkeerd woord.
De 'oplossing' zou zijn, als of fabrikanten hun verantwoordelijkheid nemen, of dat Europa eist dat alle apparaten minimaal 10 jaar na het uitbrengen van het apparaat beveiligingsupdates krijgen (bij voorkeur met terugwerkende kracht).
Het eerste zie ik niet gebeuren, het tweede is moeilijk te handhaven, maar dan moet er maar iets voor worden opgezet. (iets met registratie wat er allemaal de EU in komt ofzo)
Dergelijke wetgeving heeft nogal wat voeten in de aarde. Behalve een eis van bijvoorbeeld tien jaar, wil je ook niet dat de fabrikant pas een patch na zes maanden uitbrengt voor een RCE wat triviaal te verhelpen is. Misschien is een betere insteek om met een certificeringssysteem te komen; zoals "de fabrikant geeft X jaar na aanschaf updates". En als ze dat niet waarmaken, fikse boetes uitdelen.
En hoe om te gaan met producten die bijvoorbeeld op AliExpress aangeschaft zijn?
Daar zat ik inderdaad ook al aan te denken. Hoewel ik dan wel verwacht dat de meeste mensen daar niks mee zullen doen bij gebrek aan kennis of interesse.
De meest waarschijnlijke route is om dat via de isp's te gaan organiseren zoals @ehvc hierboven suggereert. En voor de echte tweakers met vrije modemkeuze natuurlijk
Nee, dat is niet de functie van een router. Dat is de functie van een firewall.
Verkeersstromen opgeven met de juiste acties etc. Maar dan nog blijft verkeer in het zelfde netwerk (lees het thuisnetwerk) in het zelfde broadcast domain en kan dit op laag 2 babbelen. Dit is hoe netwerken nu eenmaal werken en is essentieel voor gevestigde protocollen.
Eindbeveiliging en een software firewall op de end devices is een betere optie. Je zou middels private vlans op laag 2 kunnen segmenteren maar aan het einde van de dag praten we over een thuisgebruiker en niet een netwerkbeheerder.
Overigens werkt NAT nu als trechter: verkeer binnenshuis mag naar buiten en niet andersom. Maar de komst van IPv6 gaat hier verandering in brengen, gezien de host adressen ook global routed zijn. Dit in tegenstelling tot IPv4 waarbij de adressen private zijn. Kortom, mocht een host een IPv6 adres hebben is de kans groot dat iedereen op het internet er bij kan. Dan word een "echte" firewall pas echt noodzakelijk.
[Reactie gewijzigd door Yariva op 25 juli 2024 07:52]
Hoewel het zeker een stap de juiste kant op zou zijn, ben je er nog lang niet daarmee. Om jouw RT-AC86U als voorbeeld te pakken; met een anti-malware oplossing (die overigens volledige get requests doorstuurt naar Trend Micro) kun je een deel van het slechte verkeer tegenhouden. Dat gaat jou niet tegenhouden om in een paar kliks je volledige NAS via internet te exposen. De gemiddelde off-the-shelve NAS bevat functionaliteit die dat kinderspel maakt, zonder dat je aan portforwarding hoeft te zitten.
Daarnaast zijn er zaken als firmware-updates over HTTP, zonder signature checking, het doorsturen van data naar een derde partij ("statistieken" - hoewel dat meer een privacy issue is dan beveiliging), etc. Als de fabrikant geen medewerking geeft, wat dan? Zou de default moeten zijn om dan maar al het verkeer te blokkeren? Zeker als het user-facing functionaliteit breekt krijg je de wind van voren van consumenten.
In mijn ogen bestaat een goede oplossing uit meerdere facetten. Zowel technisch (via een gateway/firewall/router), als organisatorisch/juridisch (een label met niveau van veiligheid, door de overheid gereguleerd?), als educatie (voorlichting van de gebruikers, wat zijn de risico's met een dergelijk apparaat).
Voor nu gaat dat goed helpen. In de toekomst met uitrol van 5g ga je steeds meer systemen zien die zelf verbinding maken met het internet, zonder jouw router.
Niet alle malware moet perse door je router heen. Een doodgewone (fysieke) inbreker zou best een extraatje in je Google Home kunnen achterlaten.
Daarnaast kan de malware ook een intern device als "trampoline" gebruiken. Een TV is volgens dit artikel geen interessant doelwit, maar de TV zit achter de router op hetzelfde netwerk als bijvoorbeeld de PC, en kan naar hartelust gaan scannen op kwestbare apparaten die wel interessant zijn. Via de TV naar de thermostaat, van de thermostaat naar je mobiel, etcetera.
De router als sentinel voor je hele huis is wel een aardige gedachte, maar lang niet dekkend.
Hoeveel mensen gebruiken niet gewoon de modem/router van ISP en vinden het allemaal wel best zolang de WiFi het doet, de Smart TV niet hapert en vanuit de auto de thermostaat kan worden aangezet. Ik zie de euro-tekens al in de ogen van Ziggo; mensen lekker bezig extra laten betalen voor IoT beveiliging. Nee, het modem/router is niet de oplossing. De oplossing is educatie en verbannen van tech meuk van AliExpress van de Europese markt.
Ik denk uiteindelijk dat mensen die een kant en klaar product willen hebben onder motto "het moet out the box werken en verder wil ik er niet veel van afweten" een beetje dobberen op de motieven van de fabrikanten. Die zullen het moeten hebben van EU wetgeving en waakhonden.
Mensen die maximaal interoperabiliteit tussen smarthome-iot willen hebben, en alles aan elkaar willen kunnen knopen en aansturen... Dat gaat je nooit lukken met off the shelf producten. Dat gaat perfect met arduino/raspberry pi projecten. Het houdt je wel van de straat want kost tijd. Ik heb een switch die vlans los trekt, zodat ik eigenlijk mijn experiabox niet meer nodig heb, aan de switch hangt een Soekris compu met OpenBSD voor routing. En nu bezig met een raspberry pi als smarthome hub. Daarna de mega klus van actuatoren en sensoren op arduinos/raspberry pi's. Liever dat het even duurt iets zelf te bouwen dan wachten op dingen waar ik nauwelijks geen invloed op heb. Security is echt wel goed te regelen. Nu is het nog zo dat het schrijven van nasty virussen nauwelijks loont ivm lage processing power... Maar die raspberries kosten ook weinig (signicant meer dan arduino's maar toch weinig), en er zitten grote voordelen aan deze overdreven processor kracht voor simpele iot devices te gebruiken, vanwege de netwerk interface, capabiliteit van linux, 3GL programmeer talen, bash, etc. Die overkill aan processorkracht voor puur en alleen het functioneren, is een prima resource voor open source security en dan in eigen hand.
Ik heb een tuin waarbij ik ook de irrigatie, maairobot en weerstation allemaal DIY projecten als onderdeel van de smarthome wil maken. Sja, tweaking your living takes a life!
[Reactie gewijzigd door simon999 op 25 juli 2024 07:52]
Wat mij van dit artikel vooral is bijgebleven dat je honderden euro's betaald voor bijvoorbeeld een robotstofzuiger en je data alsnog wordt doorverkocht.
Dit viel mij inderdaad ook op! Als ik kijk naar de FAQ van iRobot dan halen ze dit meerdere malen aan, waarbij ze aangeven dat ze geen gegevens van klanten zoals door Tweakers en het artikel worden beweert worden verkocht ( http://nlsupport.irobot.c...eling-irobot-roomba?cc=nl ).
De verdere privacy statement heb ik nog niet doorgelezen, maar het klinkt nu al een beetje dubbel.
Dat wordt niet gedaan, althans, volgens het gequote bericht. Dit staat in de aangehaalde link:
Angle told Reuters that iRobot, which made Roomba compatible with Amazon’s Alexa voice assistant in March, could reach a deal to share its maps for free with customer consent to one or more of the Big Three in the next couple of years.
Zo worden gebruiksgegevens van de app met derden gedeeld op uw verzoek, en worden gegevens over de ruimtes waar de robot zich in bevindt gedeeld met bedrijven die eigendom zijn van of onder gemeenschappelijk eigendom zijn als iRobot. Wat dan wel eng is is dat deze gegevens ook met dienstverleners kunnen worden gedeeld die uit naar van iRobot handelen of diensten voor iRobot verlenen. Om erachter te komen wie dit zijn en hoe deze dienstverleners met de data omgaan ben je wel weer een paar dagen verder.
Bovendien, als een bedrijf zegt iets niet te doen, betekent het nog niet dat ze het inderdaad niet doen en zie dat maar eens te controleren...
Ja precies, vroeguh werd heel netjes alleen je dataziel verkocht als je gratis gebruiker was. En zo verschuift het latje elke keer weer een stukje verder.
Er bestaat geen smet vrije slimme huis. Of je moet alles zelf gaan programmeren en weten wat je doet.
Zodra alles achter het iot hangt of wat dan ook door de tcp protocol etc is de gap groot genoeg om in te breken. Of je moet een dedicated firewall met minimalistic settings toepassen ?
Het huis van de Tweaker oprichter is vrijwel zelf gecodeerd. Maar als nog heb ik haken en ogen er aan omdat alles by human is gemaakt en we fouten maken.
De aansturing ervan heeft @Femme zelf inderdaad geschreven (althans, binnen een beheerpakket). En veel van de iot-apparaten (zeker veel van de schakelaars/sensoren en lampen) zijn vrij simpel; die reageren op een commando en kunnen zelf niks beslissen. Sterker nog, die nemen daardoor effectief geen deel aan het internet, dus ook niet aan iot.
Maar andere "slimmere" apparatuur die hij erin heeft gehangen, heeft hij echt niet allemaal zelf geprobeerd te programmeren Dus daarvoor zal de beveiliging en privacy zeker relevant zijn voor hem.
Voor wat betreft firewalling; een groot voordeel van de meeste iot-apparatuur is dat ze niet zelf een poort openen, zeker niet op je router (hoewel upnp daar natuurlijk soms roet in het eten gooit) en dus publieke netwerkkant. Daardoor is het relatief lastig ze aan te treffen door derden, een port-scan van 'buitenaf' zal die apparaten niet zichtbaar maken.
Ze maken vaak wel verbinding met e.o.a. server van de leverancier; wat vanuit beveiliging pas echt relevant is als die leverancier zelf succesvol wordt aangevallen.
[Reactie gewijzigd door ACM op 25 juli 2024 07:52]
Ik heb de smarthomehardware die niets op internet heeft te zoeken (o.a. interfaces, plc's en ip-camera's) in een vlan die geen route heeft naar internet. In mijn huis gaat het dan om bijna alle hardware uitgezonderd de single board computer waar de besturing op draait.
Ik vind de term 'internet of things' ook een moeilijke omdat hij vaak generiek wordt gebruikt voor alle soorten meet- en regelapparatuur die op een of andere manier kan communiceren. In de praktijk hangen ze vaak in een lokale netwerklaag die helemaal los staat van internet, bijv. via z-wave, 1-wire, rs-485 of canbus.
Hoe zit t met Smart TVs die een klein cameratje in zich hebben?
Ik dacht dat t eerst broodje aap verhaal was tot ik bij iemand kwam waarbij hij zn TV kon laten reageren op beweging. Camera was nagenoeg niet te zien in t frame/de bezels. Maar er zat er dus 1 in.
Maar malware zou bij deze dan dus makkelijk de beelden kunnen verkrijgen en zien wat jij allemaal zit te flikflooien op je bank.
Tijdje geleden een lading Smart TV's gezien met camera die dat promootte, zodat je kan skypen met alleen je tv, bijv. (handig voor oma ofzo, al lijkt een tablet mij een beter idee).
Wordt er hierin nog iets van isp’s verwacht?
Ik weet dat er wasstraten zijn voor DDOS aanvallen en je hebt cloudflare voor sites. https://www.nbip.nl/nawas/
Je zou kunnen zeggen dat je isp, actief mee kijkt en op hun niveau poorten blokkeert als ze onraad ruiken.
Dat doet Ziggo ook, de "grap" is alleen dat als ze je blokken, jij al een ton aan (spam) mails hebt verstuurd.
Dus een beetje put dichten na het verdrinken van de kalf
Ethisch is het zeker niet, maar in tegenstelling tot ransomware op je pc is een ip-camera in een botnet een stuk minder vervelend voor de eindgebruiker. Sterker nog, de kans is groot dat je er als 'slachtoffer' niet eens iets van merkt - behalve misschien een energierekening die iets hoger is dan normaal.
Hoezo een hogere energie rekening?
In theorie staan de meeste ip cams toch 24/7 aan.?
En ook al zou dat niet het geval zijn, je gaat het echt niet financeel merken als je cam 24/7 draait , terwijl jij in de veronderstelling bent dat hij alleen aanspringt bij (bv) beweging , dus ook "uit" zal hij iets verbruiken, de sensor werkt immers niet op lucht.
Dan nog het feit dat het doorgaans 12 volt verbruikt..... knappe jongen die doorheeft dat ie een euro meer betaald, en meteen doorheeft dat zijn cam de oorzaak is.
"behalve misschien een energierekening die iets hoger is dan normaal." lijkt mij juist te slaan op een PC met malware (die gaat zitten cryptominen ofzo als hij idle is). Lijkt mij voor een IP Cam inderdaad verwaarloosbaar (als het al een verschil maakt, zoals je zegt, staan doorgaans toch al 24/7 te draaien).
En dit is nou de rede waarom ik (de zo genaamde) slimme apparatuur NIET in me huis wil hebben, nee sorry meer dingen die het beetje privacy die je nog hebt kunnen weg pikken door bedrijven of door hackers, die lekker van alles kunnen doen met al je slimme apparatuur, wat je echt niet wil hebben, zo als je camera's en microfoons aanzetten, apparatuur dingen laten doen die het niet horen te doen, zelf misschien brand maken als ze iets extreem heet laten woorden, TV, koelkast, wasmachine, je verwarming, je zonnepanelen, je slimme energie meter en ga maar zo door, voor hakkers is het "The world is oyster"
Ook een van de rede dat ik de Logitech C925e Webcam gekocht had, die kan je zo dicht schuiven, ja weet je kan van die dingen kopen op AliExpress en zo, die je op je camera plakt en dan kan open en dicht schuiven, niet alleen de schuif is de reden dat ik de Logitech C925e Webcam kocht maar ook omdat het een goede web camera is.
[Reactie gewijzigd door AmigaWolf op 25 juli 2024 07:52]
En ze hoeven er niet eens direct iets kwaadaardigs mee te doen. Als ze enkel en alleen activiteit kunnen inzien wordt het erg snel een handige tool voor inbrekers om optimale doelwitten uit te zoeken. Kunnen ze wellicht met IP cams letterlijk binnen even rondkijken of het gebouw leeg is en wat de snelste route naar die 100inch tv is.
Dus buitenom privacy gevoelige info die mogelijk uitlekt, hackers die je pesten door je thermostaat steeds te veranderen etc wordt het erg makkelijk voor anderen te zien wanneer je wel of niet thuis bent, wanneer je je op je kwetsbaarst bent etc. Zou toch al eng genoeg moeten zijn, lijkt me (locatie logging via bijv facebook wordt daarom imo ook zwaar onderschat, maar goed, andere discussie).
Precies, als je echt slim bent als persoon, neem je geen enkele slimme apparatuur in je huis, en als je het doet maak ze dan dom en zet ze niet op de internet, zo als met een TV waar je geen keuze meer mee heb, en ga maar zo door.
Helemaal mee eens. Behalve mijn desktop, laptop, telefoon, tablet en PS3 heb ik helemaal geen apparaten die smart zijn en met internet verbonden kunnen worden. Ook mijn TV is niet smart, dus ook geen problemen met apps die het niet meer doen en apparaten die geen updates meer krijgen. Helaas uitgezonderd de PS3, heb ik dus alleen maar apparaten die ik zelf up-to-date en beveiligd kan houden (ik heb ESET Internet Security op al mijn apparaten - uitgezonderd dus die PS3 - draaien). En een zelfgekozen wachtwoord op het modem.
Ik weet dat XS4ALL, actief reageert op bekende verkeerde activiteiten. Dan wordt je tijdelijk geïsoleerd. Zodat je, je bende kan opruimen.
Soort van. In dit geval is het me afgelopen maand nog voorkomen, dus ik kan in dit geval uit ervaring spreken. Ik had een Raspberry Pi in m'n netwerk staan waarvan ik was vergeten het wachtwoord te veranderen terwijl ik wel poorten open had staan (ik moest wat dingen kunnen doen terwijl ik niet thuis was). Enorme fout, en snel genoeg werd hij onderdeel van een botnet. Het duurde nog steeds een tijdje voordat XS4ALL hierop reageerde, waarbij ze blokkeerden nadat m'n raspi verbinding maakte met een specifiek IP.
Na intensief contact met de security afdeling maakten ze me ook duidelijk dat ze niet na konden gaan of het gestopt was vanuit m'n netwerk, aangezien ze alleen maar reageren op last van een partij die wordt ge(D)DoS't, of wanneer je verbinding maakt met een honeypot. Dus ja, ze reageren actief, maar alleen als iemand hier melding van maakt.
Desalniettemin enorm fijn voor iedereen dat ze het op die manier hadden gemitigeerd!
Dit zou een leuke test zijn voor Tweaker of HWI. Koop een pi.. hang zoals @stuiterveer beschrijft in netwerk van ISP en kijk wat er gebeurd vanuit de kant van de ISP. Easy peasy lemon squezy. *tik-tik-tik-tik-tik-tik* Artikel klaar.
Ik heb zelf nog nooit begrepen waarom zo veel mensen geil worden van IoT. Het zijn allemaal oplossing voor niet bestaande problemen. Oplossing die weer nieuwe problemen introduceren. Doet me altijd denken aan de classic jaren 90 Linux quote "If Windows is the solution, please give me the problem back", maar dan voor IoT ipv Windows.
Hier een stukje quote die het naar mijn mening perfect omschrijft van iemand die Hue lampen gekocht heeft:
Although I’ve integrated the bulbs with IFTTT recipes and enough “friends of Hue” apps to fill an entire smartphone screen, fact is, the lights are without power most of the time. Nobody else in my family of five thinks that pulling out a phone, unlocking it, launching an app, and clicking an “off” icon is better than simply flipping the wall switch — so that’s what they do, killing the power and the internet of the things. In theory, the idea of making bulbs turn purple to warn of impending rain is cool. But in practice, it’s a novelty and not worth $200 or the price of the five smartphones required to control it.
Oh sure, I could spend another $60 for a Hue Tap wall switch or $199 Amazon Echo so I can just shout commands into the room. Or maybe buy a sensor that I could program to only turn on the lights when motion is sensed after sunset but before bedtime — unless it's caused by a pet, or when every member of the family is away from the house in which case any motion is likely caused by a burglar so I should probably integrate the lights and sensor into a siren… which should work with a Nest Protect smoke alarm so I might as well get a Nest Thermostat, too. Or I could just use the wall switch with inexpensive dumb bulbs.
er zijn wel degelijk IoT oplossingen die nut hebben naar mijn mening.
als je voor 10€ een "slimme" tijdschakelaar koopt (en dus geen Hue voor > 100€), kan je die via IFTTT activeren - ergo, het licht gaat aan als het buiten gaat schemeren, niet alleen handig dat je iets niet meer zelf hoeft aan te zetten, maar vooral tijdens vakantie. En via IFTTT kan je opvragen wanneer de zon ondergaat ter plekke (iedere dag 2 a 3 minuten verschil)
een "slimme" deurbel idem, handig om te zien wie er aanbelt in geval van een potentiele inbreker
de slimme tijdschakelaar gebruik ik ook om mn gras te bewateren op afstand
waar ik weer geen voorstander van ben is Toon
kost alleen maar geld en je wordt er niets wijzer van, althans - je weet dat je meer verbruikt op een koude dag, maar je gaat dan toch echt niet de verwarming omlaag draaien omdat je teveel verbruikt; en met vloerverwarming is dat al helemaal niet aan te bevelen
Schakelaars op licht/donker heb je geen “smart” voor nodig. Die sensoren bestaan al langer dan het internet en zitten zelfs in goedkope zonnelampjes van de Action van €2,50. Net zoals tijdschakelaars geen internet nodig hebben.
“Slimme” deurbellen vallen bij mij onder inbreuken op de privacy en zouden wat mij betreft verboden mogen worden. Jij hebt toch geen toestemming van degene die aanbelt om foto’s van hem te maken en uploaden naar een clouddienst? Camera’s op de weg gericht heb je sowieso een vergunning voor nodig en ik denk niet dat jij die hebt.
schakelaar op licht/donker...hoe doe je dan je licht uit na middernacht (als je op vakantie bent) ?
het "gedoe" omtrent foto's maken als iemand aanbelt...als ik een foto op straat maak, staan daar ook willekeurige andere personen op. de beelden die gemaakt worden door de politie maken meer inbreuk wat dat betreft.
en camera's gericht op de weg heb je geen vergunning voor nodig
ze moeten zichtbaar geplaatst zijn en mogen niet de buren in de gaten houden
mijn (niet persoonlijke) ervaring is dat buren maar wat graag wel willen dat hun huis in de gaten wordt gehouden bij evt. inbraak
schakelaar op licht/donker...hoe doe je dan je licht uit na middernacht (als je op vakantie bent) ?
Met een super moderne technische innovatie genaamd 'tijdschakelaar'. Klinkt alsof je met de komst van het internet alle goede betrouwbare bestaande oplossingen spontaan vergeten bent.
en camera's gericht op de weg heb je geen vergunning voor nodig
ze moeten zichtbaar geplaatst zijn en mogen niet de buren in de gaten houden
mijn (niet persoonlijke) ervaring is dat buren maar wat graag wel willen dat hun huis in de gaten wordt gehouden bij evt. inbraak
Dat heb je dus wel. Het is namelijk verboden om camera's te plaatsen gericht op de openbare ruimte tenzij duidelijk aangekondigd (WvS 441b). Hier voldoen deurbelcamera's niet aan.
En ik weet niet wat voor buren jij hebt, maar ik zou ze bij de politie melden wegens het overtreden van de wet als ik mensen tegenover me had wonen die een camera op mijn huis gericht heeft die de hele dag beelden naar Google of andere Amerikaanse spywarediensten stuurt.
dus je hebt t over een tijdschakelaar die aangaat met een sensor en uitgaat op een handmatig ingestelde tijd ? als je mij daarvan een link kunt sturen, graag ! ik heb er erg lang naar gezocht, maar die dingen bestaan volgens mij niet
de beelden worden nergens naartoe gestuurd, en als de buren bezwaar zouden hebben, dan maak ik hun huis (als dat erop zou staan) in een zwart vlak :-)
het artikel van Arnoud ken ik...maar kennelijk heb je zelf niet het gehele artikel gelezen:
En dat zou betekenen dat particulieren dus cameratoezicht mogen toepassen op de openbare weg, maar bedrijven niet.
tot slot...je mag niet heimelijk opnemen...dus of aankondigen of zichtbaar hebben hangen
een deurbel moet in het zicht hangen, anders kan je niet aanbellen :-)
maar goed...theoretische dicussie, aangezien ik uberhaupt geen deurbel heb
Wat is daar lastig aan? Je stopt je lichtschakelaar in je tijdschakelaar en klaar. Beide combineren in 1 lijkt me trouwens triviaal om te maken, samen met nog wat andere schakelmogelijkheden er in, maar of ze bestaan heb ik me nog nooit in verdiept.
En ik heb het hele artikel gelezen. Het begint met feiten en daarna gaat het verder met aannames over mogelijke wijzigingen. Ik doe niks met aannames, alleen met feiten. Feit is dat het niet mag, punt.
Maar wel goed dat jij zo’n ding niet hebt. Als ze nou ook eindelijk nog verboden worden mag iedereen die wel stiekem zo’n spionagecamera op de weg gericht heeft die lekker weer weghalen...
op zich inderdaad wel een mogelijkheid...maar een lichtschakelaar in een tijdschakelaar plaatsen lijkt me jaren 80 oplossing...een soort gelijke oplossing voor mn waterpomp voor de tuin is niet mogelijk
mijn voorkeur heeft wel iets mechanisch t.o.v. electronisch, aan de andere kant, voor 10€ maakt dat ook niet zoveel uit
feiten en aannames...hoe snel je switcht van een camera naar een spionagecamera is wel bijzonder :-)
feit is in ieder geval wel dat het aantal niet opgeloste misdaden omhoog gaat
Thuis 2 extra vlans (en WiFi ssid’s) aangemaakt. 1 voor iot welke alleen naar buiten mogen communiceren en niet intern. Het andere netwerk is voor lokale domotica toepassingen en mag alleen communiceren met de Home Assistant server. Deze opzet heb ik van het “the hookup” YouTube kanaal en bevalt goed en geeft mij een gevoel van veiligheid. Of het ook echt veel veiliger is is de vraag.
Deze opzet heb ik van het “the hookup” YouTube kanaal en bevalt goed en geeft mij een gevoel van veiligheid. Of het ook echt veel veiliger is is de vraag.
Dit maakt het eigenlijk alleen maar discutabeler. Zolang je weet dat iets potentieel onveilig is, kan je hier beter rekening mee houden. Nu is het alleen maar minder transparant wat welk apparaat wel of niet kan.
De opzet die je hebt (heb ik zelf ook) is meer een bescherming voor privacy, dan voor veiligheid. Je apparaten kunnen in elk geval minder makkelijk je hele netwerk scannen en al je netwerkapparaten detecteren en doorgeven aan de vendor, maar zolang een apparaat vanaf internet bereikbaar is, is het, kort door de bocht, vatbaar om overgenomen te worden en onderdeel te worden van een botnet.
Idealiter zijn al die appaten niet standaard bereikbaar van/naar internet. Het voegt, naar mijn mening, veelal ook niet zoveel toe. Het verschilt uiteraard per apparaat, gebruiker en hoe die gebruiker het apparaat wil gebruiken.
Persoonlijk zie ik geen toegevoegde waarde om mijn Dyson luchtreinigers via internet te kunnen bedienen, maar de app (die meer functionaliteit bevat dan de afstandsbediening) communiceert helaas altijd via internet. Stom/lui ontwerp naar mijn mening. Dyson had een keer een storing aan hun kant, en ik kon met de app in m'n eigen netwerk m'n eigen luchtreiniger niet meer bedienen.
Ik heb zelf ook een Athom Homey bolletje. Hier kan ik dit gedrag ook niet aan en uitzetten op het apparaat zelf (ik zou iets kunnen doen met firewalls ofzo). Maar m'n Homey bolletje kan in principe een aanzienlijk deel van m'n apparaten besturen.
Ik ben dan ook een groot voorstander van generieke smarthome hubs, zoals bijvoorbeeld de Athom Homey, Apple's Homekit of het systeem van Google, mits dat allemaal lokaal in je netwerk gebeurd, en dat de echte veiligheid door, in mijn voorbeelden Athom, Apple of Google gebeurd en niet door al die andere bedrijfjes die er primair baat bij hebben om zoveel mogelijk apparaten/nieuwe modellen uit te brengen en vervolgens nooit meer een patch uitbrengen.
Het bedrijf sprak er twee jaar geleden over het dat het verdienmodel van het bedrijf lag bij het gebruiken van data van gebruikers, bijvoorbeeld door informatie zoals room maps beschikbaar te maken aan andere bedrijven die vervolgens op basis daarvan kunnen adverteren.
Voor een stofzuiger van 900 euro vind ik dit echt bizar. En ik vind het ook een slechte zaak. Maar ze zijn er tenminste duidelijk over, hoewel ik een stikker op de doos wel verplicht vind ("wij scannen je huis, verkopen die data aan adverteerders"). Xiaomi heeft een populaire stofzuiger voor veel minder maar daarvan is het een stuk minder duidelijk.
Daarnaast hebben over een aantal jaar een gigantische collectie IoT apparaten die (hopelijk) nog werken maar misschien geen updates meer krijgen.
Is de moraal bij veel tech-bedrijven niet een hele andere dan bij de eindgebruikers? Jij vindt het bizar, zij misschien normaal. Er is in de VS volgens mij ook geen wetgeving zoals GDPR/AVG die een duidelijke norm oplegt.
Misschien gaat een gesprek bij sommige tech-bedrijven ongeveer zo:
- “Kunnen we dat wel maken? Data verzamelen van onze gebruikers?”
- “Tuurlijk joh, doe niet zo moeilijk. Het is toch niet verboden? Ze gaan er immers zelf mee akkoord!”
- “Da’s waar. Er staat ook duidelijk in de gebruikersvoorwaarden dat we data verzamelen. En daarmee verbeteren we ons product, dus de gebruikers zijn ook nog beter af!”
/i/2002944882.jpeg?f=imagenormal)
/i/2004215924.png?f=fpa_thumb)
/i/2000902270.png?f=fpa)
:strip_exif()/i/1263478208.gif?f=fpa)
:strip_icc():strip_exif()/u/345834/crop659102bd4439a_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/480920/crop560beea971308_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/160250/crop684decfc73353.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/173805/crop5df367018f385_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/392672/crop5649eb56a89ea.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/14337/crop5dcd8624c25f0_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/990805/crop5e20ca3d75443_cropped.jpeg?f=community){kind=small}
/u/417613/crop5df91c60a28d2.png?f=community){kind=small}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
:strip_exif()/u/609320/crop5b6ae539e2dcd_cropped.gif?f=community){kind=small}
:strip_exif()/u/200876/Ryaka.gif?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/457808/crop5686a95ab9c87_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/443373/crop5ed10069d8f77_cropped.jpeg?f=community){kind=small}
/u/721958/crop612289507d8f6_cropped.png?f=community){kind=small}
/u/96903/cdwaveicon.png?f=community){kind=small}
/u/239221/crop5db17928dbd60_cropped.png?f=community){kind=small}
:strip_exif()/u/473283/crop5f75dd3322e33_cropped.gif?f=community){kind=small}
/u/361659/crop5d36b9b72087f_cropped.png?f=community){kind=small}
/u/1830/acm.png?f=community){kind=small}
/u/1/femme.png?f=community){kind=small}
/u/111174/sachiel-small.png?f=community){kind=small}
/u/16450/icon06.png?f=community){kind=small}
:strip_icc():strip_exif()/u/450644/crop5dc26bbdeb9aa_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/602339/crop55fd72e8b5a12_cropped.jpeg?f=community){kind=small}
, terwijl jij in de veronderstelling bent dat hij alleen aanspringt bij (bv) beweging , dus ook "uit" zal hij iets verbruiken, de sensor werkt immers niet op lucht. 
:strip_icc():strip_exif()/u/116283/crop5814e3224425d_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1054197/crop5ad4ec0b091b1.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/505858/crop5fb1656f91714_cropped.jpeg?f=community){kind=small}
/u/152942/crop687206d7bca78.png?f=community){kind=small}
:strip_icc():strip_exif()/u/340757/crop625486147e9ff_cropped.jpg?f=community){kind=small}
