Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Malware in je slimme huis

Hoe realistisch is een virus op je smart-tv?

Tot slot

De beveiliging van iot-apparaten is al jaren een veelbesproken onderwerp. De Nederlandse overheid legde het vast in het regeerakkoord en begon vorige maand met de eerste concrete stappen om die verbeteren, maar ook organisaties als de Consumentenbond waarschuwen voor slecht beveiligde apparaten. Beveiligingsbedrijven roepen al jaren op om maatregelen te nemen, al dan niet met dure software die zij toevallig zelf beschikbaar hebben. En inmiddels waarschuwt ook de Autoriteit Persoonsgegevens voor de gevaren. De risico's díé er zijn rondom internet of things, hebben echter niet zozeer betrekking op de individuele slachtoffers van een malwareaanval. Die zijn er weinig, en als ze er zijn, is de overlast die zij ervaren, gering.

Het grote gevaar lijkt vooral te bestaan voor de samenleving in het algemeen. Voor banken die getroffen worden door een ddos-aanval, of voor websites als Tweakers die inkomsten mislopen omdat de site niet bereikbaar is. Of, erger nog, wanneer vitale infrastructuur kan worden getroffen. Er zijn in Nederland genoeg partijen, zoals de Nationaal Coördinator Terrorisme en Veiligheid, die waarschuwen dat er een grote kans op maatschappelijke ontwrichting is als belangrijke infrastructuur wordt geraakt. Als veel gebruikers hun slimme apparatuur niet goed beveiligen, kan dat een rol spelen bij dergelijke aanvallen.

Wat er te doen is om die situatie te verbeteren, is zowel een open deur als een onmogelijke opgave. Idealiter worden alle iot-apparaten, van camera's tot aan smart-tv's, beter beveiligd. Wachtwoorden zijn een belangrijke, want de meeste botnets die voor destructie zorgen, bruteforcen een beperkt aantal standaardwachtwoorden waarvan al jaren bekend is hoe onveilig ze zijn. Je kunt daarvoor kijken naar de consument, maar daarbij komen twee problemen om de hoek kijken. Het mag inmiddels wel bekend zijn dat grote groepen mensen uit onwil, onkunde of onwetendheid hun wachtwoorden niet veranderen of geen sterke wachtwoorden kunnen bedenken, dus misschien moeten we daar niet meer van uitgaan. Een ander probleem is dat veel van de wachtwoorden helemaal niet te veranderen zijn. Die staan hardcoded in de firmware en zijn niet door een gebruiker te wijzigen, tenzij je zin hebt om in een weekend je thermostaat te debuggen. Misschien leuk voor de gemiddelde tweaker, maar niet voor de gemiddelde koper.

Er wordt steeds meer naar Europees niveau gekeken als het gaat om de beveiliging van het internet of things. De AVG was een goed voorbeeld van hoe internationale bedrijven zich op grote schaal moesten aanpassen om in Europa actief te kunnen blijven en Europese beleidsmakers hopen dat hetzelfde geldt voor hardware. Inmiddels is er bijvoorbeeld een Europese standaard voor iot-beveiliging en wordt erover gesproken om die verplicht te maken voor alle verkochte apparatuur in de EU. Nederland hoopt zelf volgend jaar een dergelijke standaard te introduceren.

Reacties (101)

Wijzig sortering
Het hart van het iot-voor-thuis is de router. Zou de router hierin niet een veel belangrijkere rol moeten gaan spelen? Als die een nóg zwaardere rol gaat spelen als gatekeeper is het wat minder spannend welke chinese smart-things er allemaal achter hangen. Mijn Asus 68u doet het al een heel klein beetje, waarschuwen voor slechte sites of besmette devices in het netwerk. Ik kan mij voorstellen dat daar de oplossing kan liggen.
Veel mensen hebben commentaar op je reactie want router is geen firewall maar je hebt 100% gelijk.
Voor 99% van de gebruikers is de router het apparaat wat de beveiliging moet regelen. Of dat nu gebeurd door Firewall functionaliteit, Antivirus, Intrusion Detection Systems of Intrusion Prevention Systems.

Dit apparaat moet gewoon bij de gewone gebruiker veel intelligenter, veiliger en agressiever worden. Zo moet standaard de toegang naar buiten dicht. Standaard veilig uit de doos in plaats van alles maar door laten. Zaken als UPNP moeten helemaal verbannen worden. Communicatie tussen apparaten (jaja, de router is tevens vaak ook het Wifi Access Point) moet standaard geblokkeerd worden en als laatste moet er goed en eenvoudig worden genotificeerd als er verdachte zaken zijn.
Mijn aandacht is momenteel gericht op Apple hiervoor. Zij willen Homekit voor routers uitbrengen:

Apple heeft nog weinig details vrijgegeven over de HomeKit-ondersteuning door routers. De eerste geschikte routers komen voor eind 2019 beschikbaar. Ze creëren een automatische firewall rondom je smart home-accessoires, zodat je beschermd blijft als je netwerk of andere aangesloten apparaten worden aangevallen door een hack op afstand.

De HomeKit-routers verschijnen in de Woning-app, waar je extra functies kunt instellen. Je kunt bijvoorbeeld regelen met welke diensten je HomeKit-accessoires mogen communiceren. Dit geldt zowel binnen het netwerk als met de buitenwereld via internet. In het verleden zijn er problemen geweest waarbij een via aangesloten accessoires zoals lampen een netwerk aangevallen kon worden. Apple wil dit voorkomen.

https://www.iculture.nl/nieuws/homekit-routers/

Apple staat bekend om zijn eenvoud en privacy. Ik zeg niet dat iemand homekit routers moet aanschaffen maar het kan wel de push zijn die nodig is zodat andere router fabrikanten ook eens van hun kont af komen.
Zie mijn reactie hierop: Yariva in 'reviews: Malware in je slimme huis'.

Je voorstel is redelijk maar gaat tegen de principes van (lokale) netwerken in. Apparaten communiceren met elkaar op laag 2 in het zelfde netwerk. Je router / firewall komt pas in het plaatje vanaf laag 3. Ofwel je moet middels VLANs gaan segmenteren of op de devices lokaal een softwarematige firewall installeren.

Voor communicatie naar buiten valt er wel een boel winst te halen. Maar beveiliging en gemak zullen nooit samen gaan. De Apple kit die jij noemt is leuk, maar dit goed aanpakken is erg lastig. Je kan niet de standaard web en mail poorten open zetten en verwachten dat je Whatsapp nog steeds werkt. Dat is voor de gebruiker niet veilig, dat is een obstakel die ze niet hebben bij een fabrikant die de boel wel wagenwijd open laat staan.

De features zoals IPS, IDS, Antivirus, Antispam, SSL decryptie etc. helpen, maar gaan gepaard met hogere maandelijkse licentie / abonnement kosten of een hogere aanschafprijs. Het lijkt mij erg onwaarschijnlijk dat een fabrikant deze weg gaat bewandelen door zijn producten niet meer gunstig te positioneren tegenover de concurrentie.

Er is ook weinig markt voor. Normale gebruikers willen snelle toegang dat gewoon werkt, zonder filtering. Bedrijven en echte security minded "Tweakers" hebben toch al een firewall die strak staat ingesteld, daar hebben ze geen intuïtieve Apple doos voor nodig.
Je hebt een prima punt en ik ben het volledig met je eens maar daarom reageerde ik ook met:
Communicatie tussen apparaten (jaja, de router is tevens vaak ook het Wifi Access Point) moet standaard geblokkeerd worden

Voor de meeste mensen is de router het enige netwerk apparaat in huis. de segmentering moet dan hier plaats vinden (en dit kan ook prima naar mijn mening). We doen dit in bedrijven al tientallen jaren en tegenwoordig op microsegmentatie niveau (Cloud / SDN).

Ofwel je moet middels VLANs gaan segmenteren of op de devices lokaal een softwarematige firewall installeren.
De devices zelf laten firewallen gaat helaas niet want dan hadden we dit probleem niet gehad. Als ik iets op AliExpress koop dan houdt het zich aan geen enkele regel (europees of niet). Met Software Defined Networking kunnen we echter wel hetzelfde bereiken. Het probleem is echter inderdaad de interface, hoe maak ik het simpel.

Normale gebruikers willen snelle toegang dat gewoon werkt, zonder filtering.
Yes, maar ik ben er van overtuigt dat het best een stuk strakker kan zonder dat het echte problemen geeft...Gewoon bijvoorbeeld een melding: "nieuw apparaat gevonden, mag deze het internet op?" zou al een mooi begin zijn...

Een groter probleem (waar geen antwoord op is) is dat iedereen tegenwoordig communiceert via TCP:443 (HTTPS). Zoals Whatsapp werkt prima met alles dicht behalve web:
The default port for the WhatsApp Business API client is 5222. If that port is not available, the application will fallback to port 443. Port 443 needs to be opened for HTTPS at the minimum for application registration and restarts.
https://developers.facebo...des/network-requirements/

Je kunt natuurlijk moeilijk HTTPS blokkeren voor gebruikers...
@jobvr heeft een mooi voorbeeld over Chineese omvormers van zonnepanelen die regelmatig naar huis bellen en ook op afstand te misbruiken zijn. Dat ga je met geen enkele firewall tegenhouden, simpelweg omdat die apparaten een legale reden hebben om met het internet te communiceren.

Elke standaard gebruiker zal (zeker als het simpel is) de modem zodanig configureren dat zijn, in dit geval: omvormer, met het net kan communiceren. Zo ook de tv de camera, de WiFi-radio enz.

Een state-actor kan nog steeds zijn gang gaan.

Ik denk echt dat de beveiliging voornamelijk aan de andere kant moet zitten. Het elektriciteitsnet moet gewoon beveiligd zijn tegen onverwachte stroompieken. Er zijn meerdere, zelfs natuurlijke oorzaken waardoor het net overbelast kan raken. Er moet een plan en een voorraad drinkwater overal in het land zijn voor als het waterleidingnet 'ns een keertje onbruikbaar wordt. Sluizen moeten een 'manual override' kennen. Enz. enz....

Men moet denken "Wat als... ?" en wanneer dan het risico groot, of de inspanning klein is, dan moeten er alternatieven achter de hand zijn.

Laatst lag 112 er uit door een storing van de telco. Dan wordt pijnlijk duidelijk dat we alle wijk bureautjes van de politie hebben gesloten en die geen eigen nummer meer hebben. Oh wacht even..., het zijn er minder, maar ze zijn er nog wel én ze hebben allemaal telefoon. Maar dat nummer is niet publiekelijk bekend, want iedereen moet maar 112 bellen. Door het wijkbureau-nummer duidelijk te publiceren heb je al een extra systeem achter de hand waarop mensen óók hulp konden krijgen.

Het zijn vaak kleine simpele dingen die veel ellende kunnen voorkomen. Maar er moet over nágedacht worden. Er moet niet puur op het gemak vertrouwd worden.

Maar we doen het allemaal: Heel vaal open alle communicatiekanalen via 1 provider. Hoeveel van ons kunnen nog telefoneren wanneer de ISP geheel plat ligt ? We moeten van het gas af... koken en de verwarming gaat straks bij iedereen elektrisch. Tja, als dan straks midden in de winter de elektriciteit uitvalt, dan is er ook geen ontsnappen meer aan.
Ik denk het wel, maar dan zal de overheid wel in moeten stappen om bepaalde eisen aan de fabrikanten te stellen.
Zoals het artikel al beschreef denk ik ook dat het voornamelijk een gevaar voor de samenleving is. Ik zat ook laatst naar het IP-verkeer van mijn Chinese omvormer van de zonnepanelen te kijken en naast de 5 minuten update haalt hij ook elke 12 uur een aantal grote data pakketen op uit China. Vanaf de website van de fabrikant (die je niet kan bereiken via een VPN) kan de omvormer opnieuw opgestart worden en kunnen ze waarschijnlijk ook een firmware upgrade forceren. Ik vermoed dat meer dan 50% van de omvormers uit china komt (gewoon een aanname) als deze worden overgenomen kan je denk ik wel het energie net in Nederland plat gooien, door ze allemaal afwisselend maximaal en daarna geen stroom te laten leveren.
Op deze manier zouden deze IOT omvormers als wapen kunnen worden ingezet door een state-actor. En in tegenstelling tot een DoS attack wat vervelend is kan een dag geen stroom, de samenleving echt ontwrichten..
Naast dit grote gevaar voor de samenleving bestaat er ook nog het gevaar van brand. Op dit soort dagen levert het systeem 3000watt bij mij. Als je daarmee gaat rotzooien kan je denk ik best brand laten uitbreken. Deze omvormer zit op het internet, en ik ben er zelf voor verantwoordelijk, maar geen idee hoe ik hem moet beveiligen, anders dan van het internet afhalen..

[Reactie gewijzigd door jobvr op 22 juli 2019 09:18]

Ik maak me hier ook zorgen om. Ik heb ook zo'n Growatt omvormer met smart functionaliteit. De front end ziet er zo onverzorgd uit dat ik mij afvraag hoe waterdicht het allemaal is.
Dat heb ik ook. Ik wil graag het systeem monitorene. Maar het feit dat hij daarvoor aan het internet moet hangen wordt ik niet intens gelukkig. Ass in de toekomst de salderingsregeling weg valt wil ik alles zo in kunnen stellen dat groot gebruikers aan slaan als de zonnepanelen meer leveren dan ik verbruik (warmtepomp boiler etc. Is een druppel op een gloeiende plaat, maar toch). Op dit moment heb ik de iptables in mijn router aangepast zodat ik al het verkeer van en naar de Omnik omvormer ook naar mijn raspberry gaat zodat ik het systeem lokaal kan monitoren en de data eventueel kan gebruiken in domoticz. Als ik de monitoring helemaal goed heb staan gaat de Omvormer in een VLAN of direct in de raspberry en laat ik hem niet meer direct communiceren met het internet. Maar ik begrijp dat dit niet een optie voor iedereen is.

[Reactie gewijzigd door jobvr op 22 juli 2019 12:04]

Met een simpele monitoring vanuit de P1 poort van je slimme meter kan je ook kiezen om grootverbruikers in te schakelen op het moment dat de zonnepanelen goed vermogen leveren.
Klopt, alleen sommige doen dat beter dan andere. Mijn feroli warmteboiler (ja ik weet het, italiaanse rotzooi) werkt alleen met een maak contact die zorgt voor inschakelen bij extra opbrengst. Hier zal ik even een stukje regeltechniek tussen moeten zetten
De Growatt die ik heb heeft een RS232 naar Ethernet converter. (Dus mogeljik is de data ook nog uit de ruwe RS232 aansluiting te peuteren) Uit voorzorg staat deze in een eigen (en verder leeg) VLAN.

DNS/NTP draait helemaal lokaal (verkeer voro deze diensetn naar niet lokale addressen worden omgeleidt naar lokale adressen).

En de Growatt kan alleen communiceren met "server.growatt.com" over poort TCP 5279, de data die hier bij mij over gaat is heel beperkt en zal nauwlijks meer dan de status van de omvormer bevatten.
Ja, mijn Omnik omvormer staat op de vliering van mijn jaren 30 woning. Toen waren ze nog niet zo vooruitstrevend met ethernet poorten. De omvormer heeft een WiFi module die gelukkig goed werkt. Ik kan de WiFi module er uit trekken en dan komen er twee ethernet poorten te voor schijn. Als ik de RS232 poort wil gebruiken zal ik de raspberry op zolder moeten zetten en deze dan via de WiFi op de rest van het netwerk aansluiten. Dat heeft alleen niet de voorkeur want daar draai meer zaken op die ik liever via ethernet laat lopen
En daarom staat mijn omvormer samen met nog wat andere apparaten op het gastnetwerk. Veilig geïsoleerd van de andere apparaten.
Ja, maar als ik het goed begrijp, wel gewoon op het internet en niet achter een firewall. Dan is je eigen netwerk wel veilig, maar de omvormer niet
Ja dat is correct.... Ach, in de toekomst eens kijken of ik zelf kan monitoren of iets dergelijks.
Je router scheidt nu WAN van LAN door alleen uitgaand verkeer toe te staan. In veel thuisnetwerken praten computers weinig met elkaar behalve dan de enkelen die een thuisgroep instellen of inmiddels een NAS hebben.

Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu). Eventueel alleen toestaan welke server contact mee gemaakt mag worden.

Verhelpt natuurlijk niet wat je zelf open zet naar internet maar voorkomt in ieder geval dat er binnen je netwerk wat verspreidt wordt.
Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu). Eventueel alleen toestaan welke server contact mee gemaakt mag worden.
Het hele doel van een intern netwerk is dat apparaten met elkaar verbinding kunnen hebben, je pc's met je nas.
Als je verkeer wil verhinderen zul je een netwerk switch moeten hebben waarbij je die (als dat) kan op poort niveau moet instellen. Dus de poort waarop je nas zit met ip 192.168.1.100 mag alleen verbonden worden met ip 101 102 103 104 op het einde.
Heb je een smartphone zal die in je netwerk via wifi een vast ip adres moeten krijgen of op basis van mac adres mag je dan ook weer toegang hebben tot je nas.

Het zal allemaal best mogelijk zijn voor een tweaker maar de massa dit laten doen, vergeet het maar.
wat ook mogelijk is om ze allemaal subnet /32 te geven via dhcp
Hierdoor moeten ze over de gateway (router/firewall) om naar een ander apperaat te gaan.
Echter zie het nu al gebeuren het gekanker in normale huishoudens van smartphone kan niet streamen of ...
voor iemand met wat netwerk kennis niet zo mogelijk als hij tijd en goesting heeft.
Er is echter iets makelijker hangt die dingen niet aan het netwerk.

Erger me ook dood dat ik de miracast van mijn lg tv niet kan uitzetten.
Tot hiertoe hebben de buren die functie van hun eigen tv/smartphones nog niet ondekt maar hou men hart van als ze dat toch ondekken.
Fabrikanten zouden verplicht moeten worden om al die functie togglebaar te maken ipv altijd aan.
Dit is geen beveiliging, niets houdt je tegen om de /32 aan te passen en gewoon vrolijk overal mee te gaan praten binnen het L2 domein, zat firewalls van end-devices houden dit niet/nauwelijks tegen.
Dit is vriendelijk aan je apparaten vragen niet vals te spelen en niet gehackt te worden...
Zelfs als ze zich aan de /32 houden en alles via de router sturen vergeet je te vermelden om de firewall dan ook daadwerkelijk in te stellen om dat te blokeren, de meeste routers doen dat intern niet en zullen alles door laten.

Dit is niet eens meer security through obscurity, dit valt op geen enkele manier onder security.
ok fair point dat de malware de netwerk settings kan aanpassen maar lijkt me praktisch niet te doen om voor elk apperaat een dedicated firewall te zetten.
En al zeker niet voor wifi.
Trouwens de malware kan zijn netwerk settings wel aanpassen maar een "goed apperaat" luisterd dan enkel maar naar de gateway.
dus dan moet de malware al zich gaan voor doen als de gateway.
wat mogelijk is maar vereist meer werk van de hacker.

wat je wel kan doen bij de betere switchen en accespoints is port/client issolation aanzetten.
komt eigenlijk op neer poorten kunnen onderling niet met elkaar praten buiten de poort die als toegangs poort dient.
Zelfde gaat ook voor wifi accespoints dat het verkeer eerst naar de gateway/router/switch moet voor terug te keren en wifi client > accespoint > wifi client verkeer niet gaat

maar aangezien de meeste mensen met een isp brol router zitten voor heel hun netwerk kan je heel dit verhaal van de apperaten isoleren van elkaar.
En de mensen die nog zo een router gebruiken voor heel hun netwerk intereseerd netwerk beveiliging niet en maakt ook niet uit voor zo een mensen.
Zolang hun laatste speelgoed maar "werkt"
Test het maar eens met Windows of je favoriete Linux distro, vaak zat zullen ze doodleuk verkeer uit een /24 subnet gewoon aannemen als lokaal verkeer terwijl ze in een veel kleiner subnet zitten.

Een hacker hoeft dan niet een gateway te spoofen/MITM-en. Port isolation kan helpen, maar dan hoeven de devices niet eens op eigen /32's te zitten aangezien communicatie onderling gestopt wordt op layer 2, een laag voordat IP een rol speelt.

[Reactie gewijzigd door RGAT op 22 juli 2019 17:23]

Een router zou standaard onderling verkeer moeten blokkeren wat je kan toelaten per apparaat (fixed IP/MAC voor oude setup, middels aanmelden met certificaten voor nu).
Wat je hier beschrijft is een firewall. Een router heeft simpelweg de functie om verkeer tussen verschillende netwerken te routeren. Met een firewall verkeer filteren of blokkeren tussen devices kan al.
Na het lezen van dit artikel en jouw reactie, moest aan het volgende denken: Bitdefender Box. Dit is een apparaat die je achter je router hangt en vooraf scant. Daarnaast krijg je er antivirus licenties bij.

Bron:
https://www.bitdefender.com/box/
Persoonlijk heb ik een Box2, maar en dit is een zeer grote maar dit toestel is ook niet perfect.
belangrijkste issue is dat BOX de volgende items NIET supporteerd
- VLAN Tagging (Porblematisch bij mijn huidige ISP)
- Een andere DNS Server (Piehole)
- Outgoing traffiek controleren en in details bekijken.

Wat blokkeerd box wel goed.
- Phishing
- Shadelijke bestanden
- Valse/gevaarlijke Certificaten
- Detectie van apparaten
- Netwerk scannen
- Mobile App
- Setup-&-forget
- Integratie met bvb. netgear

Maar als tweaker, vraag ik me af of er geen betere opensource mogelijkheden zijn waar meer uit te halen valt. Denk bvb. aan een piehole, wireshark + Iptables of een PFSence op een RaspBSD of zo iets

[Reactie gewijzigd door Ryaka op 22 juli 2019 15:19]

Intussen is er dank zij een nieuwe software update wel de mogelijkheid om extra (3) DNS servers toe te voegen ;-)
Ik zit al lang met het idee van gebruiksvriendelijke IOT-capable router. Om enkele features te noemen:

- Gebruiksvriendelijke interface
- Aparte VLAN voor IOT devices
- Gemakkelijk configureren welke apparaten naar het internet mogen vanuit het IOT-VLAN, of naar het HOME-VLAN. De interface moet even makkelijk zijn als bijvoorbeeld iOS (gewoon met toggle-switches instellen).
- Secure by default: Router interface is niet bereikbaar via IOT-VLAN of WAN interface.
- Compatible: zaken als mdns-repeater, zodat zaken als AirPlay gewoon werken als je AppleTV in het IOT-VLAN staan.

Een dd-wrt met aangepaste UI zou dit in principe mogelijk maken, maar heb er zelf de tijd niet voor om er mij mee bezig te houden :p
Mooi woord gebruiksvriendelijk. Als tweaker kun je dan misschien beter vlans en andere zaken instellen, De massa gebruiker heeft totaal geen kaas gegeten van deze zaken.
Een gebruiker heeft inderdaad geen boodschap aan het woord VLAN. Bedoeling is net om dat soort terminologie te vermijden. "Thuis netwerk" en "apparaten netwerk" bijvoorbeeld zeggen meer voor de gemiddelde gebruiker dan IOT-VLAN.
Ik heb uiteindelijk een mini-pc van aliexpress ertussenin gehangen met atom-processortje als firewall met dan PfSense; niet voor elke eindgebruiker een handig alternatief though. Daarachter hangt dan weer mijn interne router.

Maar het lijkt mij eigenlijk ook wel dat de markt rijp kan zijn voor fabrikanten die voorgeconfigureerde versies van zoiets willen implementeren. Al lijkt het mogelijk een probleem dat mensen veelal een enkel magisch kastje wensen te hebben die zegmaar al het netwerk geneuzel zou regelen; ik ben zelf echter bang dat het niet heel goed mogelijk is zo'n swiss-army knife te maken...
Oplossing vind ik hier een beetje een verkeerd woord.
De 'oplossing' zou zijn, als of fabrikanten hun verantwoordelijkheid nemen, of dat Europa eist dat alle apparaten minimaal 10 jaar na het uitbrengen van het apparaat beveiligingsupdates krijgen (bij voorkeur met terugwerkende kracht).
Het eerste zie ik niet gebeuren, het tweede is moeilijk te handhaven, maar dan moet er maar iets voor worden opgezet. (iets met registratie wat er allemaal de EU in komt ofzo)
Dergelijke wetgeving heeft nogal wat voeten in de aarde. Behalve een eis van bijvoorbeeld tien jaar, wil je ook niet dat de fabrikant pas een patch na zes maanden uitbrengt voor een RCE wat triviaal te verhelpen is. Misschien is een betere insteek om met een certificeringssysteem te komen; zoals "de fabrikant geeft X jaar na aanschaf updates". En als ze dat niet waarmaken, fikse boetes uitdelen.

En hoe om te gaan met producten die bijvoorbeeld op AliExpress aangeschaft zijn?
Daar zat ik inderdaad ook al aan te denken. Hoewel ik dan wel verwacht dat de meeste mensen daar niks mee zullen doen bij gebrek aan kennis of interesse.
De meest waarschijnlijke route is om dat via de isp's te gaan organiseren zoals @ehvc hierboven suggereert. En voor de echte tweakers met vrije modemkeuze natuurlijk ;)
Nee, dat is niet de functie van een router. Dat is de functie van een firewall.

Verkeersstromen opgeven met de juiste acties etc. Maar dan nog blijft verkeer in het zelfde netwerk (lees het thuisnetwerk) in het zelfde broadcast domain en kan dit op laag 2 babbelen. Dit is hoe netwerken nu eenmaal werken en is essentieel voor gevestigde protocollen.

Eindbeveiliging en een software firewall op de end devices is een betere optie. Je zou middels private vlans op laag 2 kunnen segmenteren maar aan het einde van de dag praten we over een thuisgebruiker en niet een netwerkbeheerder.

Overigens werkt NAT nu als trechter: verkeer binnenshuis mag naar buiten en niet andersom. Maar de komst van IPv6 gaat hier verandering in brengen, gezien de host adressen ook global routed zijn. Dit in tegenstelling tot IPv4 waarbij de adressen private zijn. Kortom, mocht een host een IPv6 adres hebben is de kans groot dat iedereen op het internet er bij kan. Dan word een "echte" firewall pas echt noodzakelijk.

[Reactie gewijzigd door Yariva op 22 juli 2019 13:19]

Mijn baas heeft kort geleden van die 'AKITA' apparaten ingekocht van een kennis.
Ik heb het zelf nog niet getest, maar het ziet er veelbelovend uit.

https://www.indiegogo.com...-for-smart-home-devices#/
Hoewel het zeker een stap de juiste kant op zou zijn, ben je er nog lang niet daarmee. Om jouw RT-AC86U als voorbeeld te pakken; met een anti-malware oplossing (die overigens volledige get requests doorstuurt naar Trend Micro) kun je een deel van het slechte verkeer tegenhouden. Dat gaat jou niet tegenhouden om in een paar kliks je volledige NAS via internet te exposen. De gemiddelde off-the-shelve NAS bevat functionaliteit die dat kinderspel maakt, zonder dat je aan portforwarding hoeft te zitten.

Daarnaast zijn er zaken als firmware-updates over HTTP, zonder signature checking, het doorsturen van data naar een derde partij ("statistieken" - hoewel dat meer een privacy issue is dan beveiliging), etc. Als de fabrikant geen medewerking geeft, wat dan? Zou de default moeten zijn om dan maar al het verkeer te blokkeren? Zeker als het user-facing functionaliteit breekt krijg je de wind van voren van consumenten.

In mijn ogen bestaat een goede oplossing uit meerdere facetten. Zowel technisch (via een gateway/firewall/router), als organisatorisch/juridisch (een label met niveau van veiligheid, door de overheid gereguleerd?), als educatie (voorlichting van de gebruikers, wat zijn de risico's met een dergelijk apparaat).
Voor nu gaat dat goed helpen. In de toekomst met uitrol van 5g ga je steeds meer systemen zien die zelf verbinding maken met het internet, zonder jouw router.
Niet alle malware moet perse door je router heen. Een doodgewone (fysieke) inbreker zou best een extraatje in je Google Home kunnen achterlaten.

Daarnaast kan de malware ook een intern device als "trampoline" gebruiken. Een TV is volgens dit artikel geen interessant doelwit, maar de TV zit achter de router op hetzelfde netwerk als bijvoorbeeld de PC, en kan naar hartelust gaan scannen op kwestbare apparaten die wel interessant zijn. Via de TV naar de thermostaat, van de thermostaat naar je mobiel, etcetera.

De router als sentinel voor je hele huis is wel een aardige gedachte, maar lang niet dekkend.
Hoeveel mensen gebruiken niet gewoon de modem/router van ISP en vinden het allemaal wel best zolang de WiFi het doet, de Smart TV niet hapert en vanuit de auto de thermostaat kan worden aangezet. Ik zie de euro-tekens al in de ogen van Ziggo; mensen lekker bezig extra laten betalen voor IoT beveiliging. Nee, het modem/router is niet de oplossing. De oplossing is educatie en verbannen van tech meuk van AliExpress van de Europese markt.
Ik denk uiteindelijk dat mensen die een kant en klaar product willen hebben onder motto "het moet out the box werken en verder wil ik er niet veel van afweten" een beetje dobberen op de motieven van de fabrikanten. Die zullen het moeten hebben van EU wetgeving en waakhonden.

Mensen die maximaal interoperabiliteit tussen smarthome-iot willen hebben, en alles aan elkaar willen kunnen knopen en aansturen... Dat gaat je nooit lukken met off the shelf producten. Dat gaat perfect met arduino/raspberry pi projecten. Het houdt je wel van de straat want kost tijd. Ik heb een switch die vlans los trekt, zodat ik eigenlijk mijn experiabox niet meer nodig heb, aan de switch hangt een Soekris compu met OpenBSD voor routing. En nu bezig met een raspberry pi als smarthome hub. Daarna de mega klus van actuatoren en sensoren op arduinos/raspberry pi's. Liever dat het even duurt iets zelf te bouwen dan wachten op dingen waar ik nauwelijks geen invloed op heb. Security is echt wel goed te regelen. Nu is het nog zo dat het schrijven van nasty virussen nauwelijks loont ivm lage processing power... Maar die raspberries kosten ook weinig (signicant meer dan arduino's maar toch weinig), en er zitten grote voordelen aan deze overdreven processor kracht voor simpele iot devices te gebruiken, vanwege de netwerk interface, capabiliteit van linux, 3GL programmeer talen, bash, etc. Die overkill aan processorkracht voor puur en alleen het functioneren, is een prima resource voor open source security en dan in eigen hand.

Ik heb een tuin waarbij ik ook de irrigatie, maairobot en weerstation allemaal DIY projecten als onderdeel van de smarthome wil maken. Sja, tweaking your living takes a life!

[Reactie gewijzigd door simon999 op 23 juli 2019 05:44]

Wat mij van dit artikel vooral is bijgebleven dat je honderden euro's betaald voor bijvoorbeeld een robotstofzuiger en je data alsnog wordt doorverkocht.
Dit viel mij inderdaad ook op! Als ik kijk naar de FAQ van iRobot dan halen ze dit meerdere malen aan, waarbij ze aangeven dat ze geen gegevens van klanten zoals door Tweakers en het artikel worden beweert worden verkocht ( http://nlsupport.irobot.c...eling-irobot-roomba?cc=nl ).
De verdere privacy statement heb ik nog niet doorgelezen, maar het klinkt nu al een beetje dubbel.
Dat wordt niet gedaan, althans, volgens het gequote bericht. Dit staat in de aangehaalde link:
Angle told Reuters that iRobot, which made Roomba compatible with Amazon’s Alexa voice assistant in March, could reach a deal to share its maps for free with customer consent to one or more of the Big Three in the next couple of years.
Ditzelfde staat ook in hun privacy policy:
https://www.irobot.nl/legal/privacy-policy

Zo worden gebruiksgegevens van de app met derden gedeeld op uw verzoek, en worden gegevens over de ruimtes waar de robot zich in bevindt gedeeld met bedrijven die eigendom zijn van of onder gemeenschappelijk eigendom zijn als iRobot. Wat dan wel eng is is dat deze gegevens ook met dienstverleners kunnen worden gedeeld die uit naar van iRobot handelen of diensten voor iRobot verlenen. Om erachter te komen wie dit zijn en hoe deze dienstverleners met de data omgaan ben je wel weer een paar dagen verder.

Bovendien, als een bedrijf zegt iets niet te doen, betekent het nog niet dat ze het inderdaad niet doen en zie dat maar eens te controleren...
Ja precies, vroeguh werd heel netjes alleen je dataziel verkocht als je gratis gebruiker was. En zo verschuift het latje elke keer weer een stukje verder.
Er bestaat geen smet vrije slimme huis. Of je moet alles zelf gaan programmeren en weten wat je doet.

Zodra alles achter het iot hangt of wat dan ook door de tcp protocol etc is de gap groot genoeg om in te breken. Of je moet een dedicated firewall met minimalistic settings toepassen ?

Het huis van de Tweaker oprichter is vrijwel zelf gecodeerd. Maar als nog heb ik haken en ogen er aan omdat alles by human is gemaakt en we fouten maken.
De aansturing ervan heeft @Femme zelf inderdaad geschreven (althans, binnen een beheerpakket). En veel van de iot-apparaten (zeker veel van de schakelaars/sensoren en lampen) zijn vrij simpel; die reageren op een commando en kunnen zelf niks beslissen. Sterker nog, die nemen daardoor effectief geen deel aan het internet, dus ook niet aan iot.

Maar andere "slimmere" apparatuur die hij erin heeft gehangen, heeft hij echt niet allemaal zelf geprobeerd te programmeren ;) Dus daarvoor zal de beveiliging en privacy zeker relevant zijn voor hem.

Voor wat betreft firewalling; een groot voordeel van de meeste iot-apparatuur is dat ze niet zelf een poort openen, zeker niet op je router (hoewel upnp daar natuurlijk soms roet in het eten gooit) en dus publieke netwerkkant. Daardoor is het relatief lastig ze aan te treffen door derden, een port-scan van 'buitenaf' zal die apparaten niet zichtbaar maken.
Ze maken vaak wel verbinding met e.o.a. server van de leverancier; wat vanuit beveiliging pas echt relevant is als die leverancier zelf succesvol wordt aangevallen.

[Reactie gewijzigd door ACM op 22 juli 2019 08:37]

Ik heb de smarthomehardware die niets op internet heeft te zoeken (o.a. interfaces, plc's en ip-camera's) in een vlan die geen route heeft naar internet. In mijn huis gaat het dan om bijna alle hardware uitgezonderd de single board computer waar de besturing op draait.

Ik vind de term 'internet of things' ook een moeilijke omdat hij vaak generiek wordt gebruikt voor alle soorten meet- en regelapparatuur die op een of andere manier kan communiceren. In de praktijk hangen ze vaak in een lokale netwerklaag die helemaal los staat van internet, bijv. via z-wave, 1-wire, rs-485 of canbus.
Hoe zit t met Smart TVs die een klein cameratje in zich hebben?
Ik dacht dat t eerst broodje aap verhaal was tot ik bij iemand kwam waarbij hij zn TV kon laten reageren op beweging. Camera was nagenoeg niet te zien in t frame/de bezels. Maar er zat er dus 1 in.

Maar malware zou bij deze dan dus makkelijk de beelden kunnen verkrijgen en zien wat jij allemaal zit te flikflooien op je bank.
Tijdje geleden een lading Smart TV's gezien met camera die dat promootte, zodat je kan skypen met alleen je tv, bijv. (handig voor oma ofzo, al lijkt een tablet mij een beter idee).
Ik zou die Samsung TV's die dit hebben bij voorbaat niet vertrouwen. De handbewegingen werk(en|ten) ook super slecht. Dus nee, die hoef ik niet.
Wordt er hierin nog iets van isp’s verwacht?
Ik weet dat er wasstraten zijn voor DDOS aanvallen en je hebt cloudflare voor sites.
https://www.nbip.nl/nawas/
Je zou kunnen zeggen dat je isp, actief mee kijkt en op hun niveau poorten blokkeert als ze onraad ruiken.
Ik weet dat XS4ALL, actief reageert op bekende verkeerde activiteiten. Dan wordt je tijdelijk geïsoleerd. Zodat je, je bende kan opruimen.

Maar nee, dit is niet iets wat ik verwacht van een ISP. Het is een mooie service, maar meer ook niet.
Dat doet Ziggo ook, de "grap" is alleen dat als ze je blokken, jij al een ton aan (spam) mails hebt verstuurd.
Dus een beetje put dichten na het verdrinken van de kalf :P

Ethisch is het zeker niet, maar in tegenstelling tot ransomware op je pc is een ip-camera in een botnet een stuk minder vervelend voor de eindgebruiker. Sterker nog, de kans is groot dat je er als 'slachtoffer' niet eens iets van merkt - behalve misschien een energierekening die iets hoger is dan normaal.

Hoezo een hogere energie rekening? :/
In theorie staan de meeste ip cams toch 24/7 aan.? ;)
En ook al zou dat niet het geval zijn, je gaat het echt niet financeel merken als je cam 24/7 draait 8)7 , terwijl jij in de veronderstelling bent dat hij alleen aanspringt bij (bv) beweging , dus ook "uit" zal hij iets verbruiken, de sensor werkt immers niet op lucht. :D
Dan nog het feit dat het doorgaans 12 volt verbruikt..... knappe jongen die doorheeft dat ie een euro meer betaald, en meteen doorheeft dat zijn cam de oorzaak is. _/-\o_
"behalve misschien een energierekening die iets hoger is dan normaal." lijkt mij juist te slaan op een PC met malware (die gaat zitten cryptominen ofzo als hij idle is). Lijkt mij voor een IP Cam inderdaad verwaarloosbaar (als het al een verschil maakt, zoals je zegt, staan doorgaans toch al 24/7 te draaien).
Tweakers: Malware in je slimme huis.

En dit is nou de rede waarom ik (de zo genaamde) slimme apparatuur NIET in me huis wil hebben, nee sorry meer dingen die het beetje privacy die je nog hebt kunnen weg pikken door bedrijven of door hackers, die lekker van alles kunnen doen met al je slimme apparatuur, wat je echt niet wil hebben, zo als je camera's en microfoons aanzetten, apparatuur dingen laten doen die het niet horen te doen, zelf misschien brand maken als ze iets extreem heet laten woorden, TV, koelkast, wasmachine, je verwarming, je zonnepanelen, je slimme energie meter en ga maar zo door, voor hakkers is het "The world is oyster"

Ook een van de rede dat ik de Logitech C925e Webcam gekocht had, die kan je zo dicht schuiven, ja weet je kan van die dingen kopen op AliExpress en zo, die je op je camera plakt en dan kan open en dicht schuiven, niet alleen de schuif is de reden dat ik de Logitech C925e Webcam kocht maar ook omdat het een goede web camera is.

[Reactie gewijzigd door AmigaWolf op 22 juli 2019 15:44]

En ze hoeven er niet eens direct iets kwaadaardigs mee te doen. Als ze enkel en alleen activiteit kunnen inzien wordt het erg snel een handige tool voor inbrekers om optimale doelwitten uit te zoeken. Kunnen ze wellicht met IP cams letterlijk binnen even rondkijken of het gebouw leeg is en wat de snelste route naar die 100inch tv is.

Dus buitenom privacy gevoelige info die mogelijk uitlekt, hackers die je pesten door je thermostaat steeds te veranderen etc wordt het erg makkelijk voor anderen te zien wanneer je wel of niet thuis bent, wanneer je je op je kwetsbaarst bent etc. Zou toch al eng genoeg moeten zijn, lijkt me (locatie logging via bijv facebook wordt daarom imo ook zwaar onderschat, maar goed, andere discussie).
Precies, als je echt slim bent als persoon, neem je geen enkele slimme apparatuur in je huis, en als je het doet maak ze dan dom en zet ze niet op de internet, zo als met een TV waar je geen keuze meer mee heb, en ga maar zo door.
Helemaal mee eens. Behalve mijn desktop, laptop, telefoon, tablet en PS3 heb ik helemaal geen apparaten die smart zijn en met internet verbonden kunnen worden. Ook mijn TV is niet smart, dus ook geen problemen met apps die het niet meer doen en apparaten die geen updates meer krijgen. Helaas uitgezonderd de PS3, heb ik dus alleen maar apparaten die ik zelf up-to-date en beveiligd kan houden (ik heb ESET Internet Security op al mijn apparaten - uitgezonderd dus die PS3 - draaien). En een zelfgekozen wachtwoord op het modem.
PS3 is een heel degelijk apparaat, de kans is uiterst klein dat er malware op komt.
Dank voor de geruststelling.
Zelfde hier Behalve mijn desktop, Mini Media/Console PC en smartphone, heb ook nog steeds geen smart TV.
Precies dit. Er staat dan ook misschien een energierekening die iets hoger is, er staat niet dat je er op leegloopt.
Ik weet dat XS4ALL, actief reageert op bekende verkeerde activiteiten. Dan wordt je tijdelijk geïsoleerd. Zodat je, je bende kan opruimen.
Soort van. In dit geval is het me afgelopen maand nog voorkomen, dus ik kan in dit geval uit ervaring spreken. Ik had een Raspberry Pi in m'n netwerk staan waarvan ik was vergeten het wachtwoord te veranderen terwijl ik wel poorten open had staan (ik moest wat dingen kunnen doen terwijl ik niet thuis was). Enorme fout, en snel genoeg werd hij onderdeel van een botnet. Het duurde nog steeds een tijdje voordat XS4ALL hierop reageerde, waarbij ze blokkeerden nadat m'n raspi verbinding maakte met een specifiek IP.

Na intensief contact met de security afdeling maakten ze me ook duidelijk dat ze niet na konden gaan of het gestopt was vanuit m'n netwerk, aangezien ze alleen maar reageren op last van een partij die wordt ge(D)DoS't, of wanneer je verbinding maakt met een honeypot. Dus ja, ze reageren actief, maar alleen als iemand hier melding van maakt.

Desalniettemin enorm fijn voor iedereen dat ze het op die manier hadden gemitigeerd!
Dit zou een leuke test zijn voor Tweaker of HWI. Koop een pi.. hang zoals @stuiterveer beschrijft in netwerk van ISP en kijk wat er gebeurd vanuit de kant van de ISP. Easy peasy lemon squezy. *tik-tik-tik-tik-tik-tik* Artikel klaar.
Ik heb zelf nog nooit begrepen waarom zo veel mensen geil worden van IoT. Het zijn allemaal oplossing voor niet bestaande problemen. Oplossing die weer nieuwe problemen introduceren. Doet me altijd denken aan de classic jaren 90 Linux quote "If Windows is the solution, please give me the problem back", maar dan voor IoT ipv Windows.

Hier een stukje quote die het naar mijn mening perfect omschrijft van iemand die Hue lampen gekocht heeft:
Although I’ve integrated the bulbs with IFTTT recipes and enough “friends of Hue” apps to fill an entire smartphone screen, fact is, the lights are without power most of the time. Nobody else in my family of five thinks that pulling out a phone, unlocking it, launching an app, and clicking an “off” icon is better than simply flipping the wall switch — so that’s what they do, killing the power and the internet of the things. In theory, the idea of making bulbs turn purple to warn of impending rain is cool. But in practice, it’s a novelty and not worth $200 or the price of the five smartphones required to control it.

Oh sure, I could spend another $60 for a Hue Tap wall switch or $199 Amazon Echo so I can just shout commands into the room. Or maybe buy a sensor that I could program to only turn on the lights when motion is sensed after sunset but before bedtime — unless it's caused by a pet, or when every member of the family is away from the house in which case any motion is likely caused by a burglar so I should probably integrate the lights and sensor into a siren… which should work with a Nest Protect smoke alarm so I might as well get a Nest Thermostat, too. Or I could just use the wall switch with inexpensive dumb bulbs.
er zijn wel degelijk IoT oplossingen die nut hebben naar mijn mening.

als je voor 10€ een "slimme" tijdschakelaar koopt (en dus geen Hue voor > 100€), kan je die via IFTTT activeren - ergo, het licht gaat aan als het buiten gaat schemeren, niet alleen handig dat je iets niet meer zelf hoeft aan te zetten, maar vooral tijdens vakantie. En via IFTTT kan je opvragen wanneer de zon ondergaat ter plekke (iedere dag 2 a 3 minuten verschil)

een "slimme" deurbel idem, handig om te zien wie er aanbelt in geval van een potentiele inbreker

de slimme tijdschakelaar gebruik ik ook om mn gras te bewateren op afstand

waar ik weer geen voorstander van ben is Toon
kost alleen maar geld en je wordt er niets wijzer van, althans - je weet dat je meer verbruikt op een koude dag, maar je gaat dan toch echt niet de verwarming omlaag draaien omdat je teveel verbruikt; en met vloerverwarming is dat al helemaal niet aan te bevelen :)
Schakelaars op licht/donker heb je geen “smart” voor nodig. Die sensoren bestaan al langer dan het internet en zitten zelfs in goedkope zonnelampjes van de Action van €2,50. Net zoals tijdschakelaars geen internet nodig hebben.

“Slimme” deurbellen vallen bij mij onder inbreuken op de privacy en zouden wat mij betreft verboden mogen worden. Jij hebt toch geen toestemming van degene die aanbelt om foto’s van hem te maken en uploaden naar een clouddienst? Camera’s op de weg gericht heb je sowieso een vergunning voor nodig en ik denk niet dat jij die hebt.
schakelaar op licht/donker...hoe doe je dan je licht uit na middernacht (als je op vakantie bent) ?

het "gedoe" omtrent foto's maken als iemand aanbelt...als ik een foto op straat maak, staan daar ook willekeurige andere personen op. de beelden die gemaakt worden door de politie maken meer inbreuk wat dat betreft.

en camera's gericht op de weg heb je geen vergunning voor nodig
ze moeten zichtbaar geplaatst zijn en mogen niet de buren in de gaten houden
mijn (niet persoonlijke) ervaring is dat buren maar wat graag wel willen dat hun huis in de gaten wordt gehouden bij evt. inbraak
schakelaar op licht/donker...hoe doe je dan je licht uit na middernacht (als je op vakantie bent) ?
Met een super moderne technische innovatie genaamd 'tijdschakelaar'. Klinkt alsof je met de komst van het internet alle goede betrouwbare bestaande oplossingen spontaan vergeten bent.
en camera's gericht op de weg heb je geen vergunning voor nodig
ze moeten zichtbaar geplaatst zijn en mogen niet de buren in de gaten houden
mijn (niet persoonlijke) ervaring is dat buren maar wat graag wel willen dat hun huis in de gaten wordt gehouden bij evt. inbraak
Dat heb je dus wel. Het is namelijk verboden om camera's te plaatsen gericht op de openbare ruimte tenzij duidelijk aangekondigd (WvS 441b). Hier voldoen deurbelcamera's niet aan.
En ik weet niet wat voor buren jij hebt, maar ik zou ze bij de politie melden wegens het overtreden van de wet als ik mensen tegenover me had wonen die een camera op mijn huis gericht heeft die de hele dag beelden naar Google of andere Amerikaanse spywarediensten stuurt.
dus je hebt t over een tijdschakelaar die aangaat met een sensor en uitgaat op een handmatig ingestelde tijd ? als je mij daarvan een link kunt sturen, graag ! ik heb er erg lang naar gezocht, maar die dingen bestaan volgens mij niet

de beelden worden nergens naartoe gestuurd, en als de buren bezwaar zouden hebben, dan maak ik hun huis (als dat erop zou staan) in een zwart vlak :-)

het artikel van Arnoud ken ik...maar kennelijk heb je zelf niet het gehele artikel gelezen:

En dat zou betekenen dat particulieren dus cameratoezicht mogen toepassen op de openbare weg, maar bedrijven niet.

tot slot...je mag niet heimelijk opnemen...dus of aankondigen of zichtbaar hebben hangen
een deurbel moet in het zicht hangen, anders kan je niet aanbellen :-)

maar goed...theoretische dicussie, aangezien ik uberhaupt geen deurbel heb :P
Wat is daar lastig aan? Je stopt je lichtschakelaar in je tijdschakelaar en klaar. Beide combineren in 1 lijkt me trouwens triviaal om te maken, samen met nog wat andere schakelmogelijkheden er in, maar of ze bestaan heb ik me nog nooit in verdiept.

En ik heb het hele artikel gelezen. Het begint met feiten en daarna gaat het verder met aannames over mogelijke wijzigingen. Ik doe niks met aannames, alleen met feiten. Feit is dat het niet mag, punt.

Maar wel goed dat jij zo’n ding niet hebt. Als ze nou ook eindelijk nog verboden worden mag iedereen die wel stiekem zo’n spionagecamera op de weg gericht heeft die lekker weer weghalen...
op zich inderdaad wel een mogelijkheid...maar een lichtschakelaar in een tijdschakelaar plaatsen lijkt me jaren 80 oplossing...een soort gelijke oplossing voor mn waterpomp voor de tuin is niet mogelijk
mijn voorkeur heeft wel iets mechanisch t.o.v. electronisch, aan de andere kant, voor 10€ maakt dat ook niet zoveel uit

feiten en aannames...hoe snel je switcht van een camera naar een spionagecamera is wel bijzonder :-)
feit is in ieder geval wel dat het aantal niet opgeloste misdaden omhoog gaat

tot slot...privacy is een illusie
Thuis 2 extra vlans (en WiFi ssid’s) aangemaakt. 1 voor iot welke alleen naar buiten mogen communiceren en niet intern. Het andere netwerk is voor lokale domotica toepassingen en mag alleen communiceren met de Home Assistant server. Deze opzet heb ik van het “the hookup” YouTube kanaal en bevalt goed en geeft mij een gevoel van veiligheid. Of het ook echt veel veiliger is is de vraag.
Deze opzet heb ik van het “the hookup” YouTube kanaal en bevalt goed en geeft mij een gevoel van veiligheid. Of het ook echt veel veiliger is is de vraag.
Dit maakt het eigenlijk alleen maar discutabeler. Zolang je weet dat iets potentieel onveilig is, kan je hier beter rekening mee houden. Nu is het alleen maar minder transparant wat welk apparaat wel of niet kan.

De opzet die je hebt (heb ik zelf ook) is meer een bescherming voor privacy, dan voor veiligheid. Je apparaten kunnen in elk geval minder makkelijk je hele netwerk scannen en al je netwerkapparaten detecteren en doorgeven aan de vendor, maar zolang een apparaat vanaf internet bereikbaar is, is het, kort door de bocht, vatbaar om overgenomen te worden en onderdeel te worden van een botnet.

Idealiter zijn al die appaten niet standaard bereikbaar van/naar internet. Het voegt, naar mijn mening, veelal ook niet zoveel toe. Het verschilt uiteraard per apparaat, gebruiker en hoe die gebruiker het apparaat wil gebruiken.
Persoonlijk zie ik geen toegevoegde waarde om mijn Dyson luchtreinigers via internet te kunnen bedienen, maar de app (die meer functionaliteit bevat dan de afstandsbediening) communiceert helaas altijd via internet. Stom/lui ontwerp naar mijn mening. Dyson had een keer een storing aan hun kant, en ik kon met de app in m'n eigen netwerk m'n eigen luchtreiniger niet meer bedienen.

Ik heb zelf ook een Athom Homey bolletje. Hier kan ik dit gedrag ook niet aan en uitzetten op het apparaat zelf (ik zou iets kunnen doen met firewalls ofzo). Maar m'n Homey bolletje kan in principe een aanzienlijk deel van m'n apparaten besturen.
Ik ben dan ook een groot voorstander van generieke smarthome hubs, zoals bijvoorbeeld de Athom Homey, Apple's Homekit of het systeem van Google, mits dat allemaal lokaal in je netwerk gebeurd, en dat de echte veiligheid door, in mijn voorbeelden Athom, Apple of Google gebeurd en niet door al die andere bedrijfjes die er primair baat bij hebben om zoveel mogelijk apparaten/nieuwe modellen uit te brengen en vervolgens nooit meer een patch uitbrengen.
Ik weet dat Tweakers alleen bericht over elektrisch auto's, maar een Jeep Range Rover? Da's net zoiets als een Apple Galaxy S10.
De "s" in IOT staat voor security :+
You can’t spell “idiot” without “IoT”. :+
Het bedrijf sprak er twee jaar geleden over het dat het verdienmodel van het bedrijf lag bij het gebruiken van data van gebruikers, bijvoorbeeld door informatie zoals room maps beschikbaar te maken aan andere bedrijven die vervolgens op basis daarvan kunnen adverteren.
Voor een stofzuiger van 900 euro vind ik dit echt bizar. En ik vind het ook een slechte zaak. Maar ze zijn er tenminste duidelijk over, hoewel ik een stikker op de doos wel verplicht vind ("wij scannen je huis, verkopen die data aan adverteerders"). Xiaomi heeft een populaire stofzuiger voor veel minder maar daarvan is het een stuk minder duidelijk.

Daarnaast hebben over een aantal jaar een gigantische collectie IoT apparaten die (hopelijk) nog werken maar misschien geen updates meer krijgen.

@Dennisdn Apple probeert hier nu met partners iets in te doen: HomeKit routers.

[Reactie gewijzigd door iAmRenzo op 22 juli 2019 13:49]

Is de moraal bij veel tech-bedrijven niet een hele andere dan bij de eindgebruikers? Jij vindt het bizar, zij misschien normaal. Er is in de VS volgens mij ook geen wetgeving zoals GDPR/AVG die een duidelijke norm oplegt.

Misschien gaat een gesprek bij sommige tech-bedrijven ongeveer zo:
- “Kunnen we dat wel maken? Data verzamelen van onze gebruikers?”
- “Tuurlijk joh, doe niet zo moeilijk. Het is toch niet verboden? Ze gaan er immers zelf mee akkoord!”
- “Da’s waar. Er staat ook duidelijk in de gebruikersvoorwaarden dat we data verzamelen. En daarmee verbeteren we ons product, dus de gebruikers zijn ook nog beter af!”

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True