IoT - Internet of Things

De politie in de staat Arkansas heeft Amazon gevraagd om gegevens van de verdachte in een 'jacuzzimoord' vrij te geven. Maar Amazon weigerde informatie uit de speaker vrij te geven, meldt The Information op basis van rechtbankdocumenten.

Bij de moord, in november 2015, kwam een man om het leven die dood werd aangetroffen in de jacuzzi van de verdachte. In het huis van de verdachte stond ook een Amazon Echo, een slimme speaker met een microfoon die constant geluid opneemt. Zulke opnames worden direct gewist, tenzij een speciaal activatiewoord wordt uitgesproken. Dan kunnen stemopdrachten worden gegeven die naar Amazon worden verstuurd. Amazon heeft twee maal geweigerd om de politie inzicht te geven in de steminformatie. Wel werd accountinformatie en een aankoopgeschiedenis gedeeld.

In het onderzoek wist de politie wel gegevens van een 'slimme' watermeter te verzamelen. Daaruit bleek dat 's nachts ruim 500 liter water werd gebruikt, volgens de politie om bloedsporen weg te spoelen. 

De Amazon Echo is in Nederland nog niet te koop maar wel in onder meer Duitsland en het Verenigd Koninkrijk.

Alles bij de bron; NU


 

Een ontwikkelaar heeft tijdelijk het eigendom van enkele beacons op Schiphol overgenomen en ze gebruikt om via nearby notifications kerstboodschappen en een link naar zijn site te sturen aan voorbijgangers. Om beacons die notificaties te laten sturen, moet een eigenaar ze bij Google geregistreerd hebben, maar dat had Schiphol nagelaten. Ontwikkelaar Hugo Visser ontdekte dit en registreerde zelf een aantal beacons op Schiphol, om reizigers een kerstboodschap en een link naar zijn website te sturen.

Op Schiphol zijn sinds 2014 ongeveer tweeduizend beacons geplaatst, onder andere in de vertrekhallen, de lounges, de pieren en de bagagereclaimhallen. Mobiele apps kunnen reizigers via de bluetooth-bakens relevante informatie en adviezen geven op basis van hun locatie. Gebruikers van een smartphone met Android 4.4 of later, die bluetooth en gps aan hebben staan kunnen met een klik op de notificatie bijvoorbeeld een app installeren of naar een site gaan. De zoekgigant checkt niet of degene die de beacon registreert ook echt de eigenaar is.

Volgens Visser zijn de ongeregistreerde beacons ondanks beschermingsmaatregelen van Google te misbruiken om mensen bijvoorbeeld naar malware door te sluizen: "Ze hebben op Schiphol 'cutting edge'-tech geïnstalleerd zonder de ontwikkelingen bij te houden kennelijk." Volgens hem zijn er honderden mensen naar zijn site geleid via de beacons maar veel meer mensen zouden de notificatie hebben ontvangen zonder door te klikken.

Alles bij de bron; Tweakers


 

Je huis beschermen tegen indringers is een vrij basale klus: zorg er met sloten en gesloten deuren en ramen voor dat anderen niet zomaar binnen kunnen komen, of belangrijker nog: niet met een enorme buit zomaar wegkomen. Maar als je je huisraad ook vanaf ‘buiten’ kunt bereiken (zoals je slimme thermostaat of verlichting), hoe houd je indringers dan buiten? Een nieuw tijdperk van beveiliging dient zich aan.

...De ontwikkelingen op het gebied van domotica gaan razendsnel, dus zijn er steeds meer apparaten in huis die verbonden zijn met internet. Denk aan de genoemde thermostaten, lampen en ook schoonmaakrobots. Maar ook niet-huishoudelijke apparaten zijn steeds vaker altijd bereikbaar, zoals wearables en zelfs auto’s. Natuurlijk wil je dit soort interessante ontwikkelingen niet aan je voorbij laten gaan, maar wat zijn maatregelen die je kunt treffen om de apparatuur én de rest van je netwerk te beschermen? Beide experts van Kaspersky en G DATA geven handige tips.

Tips van Tim Berghoff (G DATA)

Idealiter zorgen fabrikanten dat de beveiliging op orde is. Veel fabrikanten nemen dit serieus, maar ze zijn in de minderheid. Gelukkig ben je als gebruiker niet geheel machteloos:

* Zorg ervoor dat je domotica-apparatuur zich in een ander netwerk bevindt. Veel routers bieden de mogelijkheid om meerdere draadloze netwerken of gast-netwerken in te stellen. Door je belangrijke apparaten te scheiden van de overige, zijn deze lastiger aan te vallen.

* Loop altijd de instellingen van het apparaat en bijbehorende accounts door.

* Over accounts gesproken: zorg natuurlijk dat je account een uniek en sterk wachtwoord heeft. Je kunt ook een apart mailadres voor dit soort accounts gebruiken, zodat je na kunt gaan waar het mis is gegaan. Zie het kader E-mailalias.

* Ga bij de aanschaf van slimme apparatuur na wat de veiligheidsrisico’s zijn en of deze opwegen tegen het comfort. Natuurlijk is het prettig dat je vanuit je luie stoel je waterkoker aan kunt zetten, maar besef je wel wat de mogelijke gevaren zijn. Beveiliging is constant in beweging, nieuwe aanvals- en beveiligingsmethodes volgen elkaar snel op.

Tips van David Jacoby (Kaspersky)

Er is weinig wat je kunt doen. Updates zijn de verantwoordelijkheid van de fabrikant en je kunt geen beveiligingssoftware installeren. Wat wel kan?

* Verander de standaard-wachtwoorden.

* Wanneer een internetverbinding voor je apparaat niet noodzakelijk is, koppel hem dan ook niet aan het internet.

* Wanneer mogelijk, configureer firewalls zo dat niet zomaar overal toegang toe te verkrijgen is.

* Schakel diensten en apparaten die je (even) niet gebruikt uit.

E-mailalias

Bij veel domotica-apparatuur heb je een account nodig dat je koppelt aan je mailadres. Handig is om bij het aanmelden een e-mailadres-alias te gebruiken. Als je mailadres Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. is, kun je bijvoorbeeld Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. gebruiken voor de registratie van je sportwearable. Mailtjes die naar dit adres gestuurd worden, komen gewoon automatisch in dezelfde inbox terecht. Je kunt de alias achter het plusteken maken zoals jij wilt, en je kunt er zoveel maken als je wilt. Mocht een partij gehackt worden en wordt daarna jouw mailadres misbruikt voor bijvoorbeeld spam, dan kun je precies nagaan bij welke fabrikant het mis is gegaan. In bijvoorbeeld Outlook.com kun je in de instellingen zelf aliassen aanmaken, maar het aantal is beperkt.

Alles bij de bron; CompTotaal


 

Het principe is hetzelfde als in andere moderne smart TV’s, horloges die je hartslag meten, gsm’s die je fitness vooruitgang tracken. Het apparaat onthoudt wat je doet, bewaart dat ook, bundelt alles en weet perfect wat je favoriete dingen zijn. Die data kunnen bedrijven gebruiken om je voorkeuren te onthouden. 

Als je dat principe toepast op seksspeeltjes, gaat het natuurlijk niet over onschuldige kilometers die je aflegt of je hartslag. De data die bijgehouden worden zijn in dat geval heel erg persoonlijk. Ze zouden bijvoorbeeld de temperatuur van je vagina of jouw favoriete intensiteit van de speeltjes in de gaten houden. Die informatie komt dan in een database en wordt nauwgezet bijgehouden. 

Standard Innovation, een Amerikaans bedrijf dat seksspeeltjes maakt met internet connectiviteit, is voor de rechter gesleept. De aanklacht is duidelijk: het opnemen van enorm persoonlijke data. Het bedrijf geeft toe dat ze dat doen: “Maar we gebruiken ze alleen op een manier waarop niemand weet over wie het gaat.” De informatie zou enkel gebruikt worden om het product aan te passen naar de voorkeuren van de gebruikers, zegt het bedrijf.

Alles bij de bron; NieuwsBlad [Thnx-2-Luc]


 

Onderzoekers hebben een zogeheten worm weten te plaatsen in het draadloze ZigBee-protocol. Zo wisten ze Philips Hue-lampen op afstand te controleren. Dat schrijven de onderzoekers van het Weizmann Institute for Science in Tel Aviv in het donderdag gepubliceerde rapport getiteld Internet of Things Goes Nuclear.

Het lukte de onderzoekers door een lek in de communicatie van het ingebouwde draadloze ZigBee-protocol in te breken. Ze wisten een zogeheten worm – een virus dat zichzelf verspreidt – gecontroleerd te plaatsen in Philips Hue-lampen. Het virus sprong vervolgens via de ingebouwde ZigBee-connectie, die wordt gebruikt voor de communicatie tussen slimme apparaten, over van de lamp naar naburige slimme lampen. In een video [bij de bron] is te zien hoe steeds meer lampen door de cyberaanval gaan knipperen. 

Opmerkelijk was dat de onderzoekers niet fysiek in de buurt van de lichten hoefden te zijn. De lampen werden op afstand draadloos geïnfecteerd middels een drone of auto. Het virus sprong over ongeacht of de lampen met hetzelfde wifinetwerk verbonden waren. Beveiligingsexperts maken zich vaker zorgen over de veiligheid van zogeheten internet of things-apparaten. Daaronder vallen bijvoorbeeld slimme thermostaten, zelfrijdende auto's en medische apparatuur.

Alles bij de bron; NU


Het is wel duidelijk dat security experts extreem sceptisch staan tegenover de mateloze populariteit van ‘smart’ devices. De scepsis richt zich vooral op de fabrikanten die met enorme gretigheid op de trend inspringen, zonder daarbij na te denken over de mogelijke zwakke plekken en gevaren. Een IoT-apparaat met een veilige architectuur en een gebruiksvriendelijke wijze om standaardwachtwoorden te wijzigen en beveiligingsupdates en patches te installeren is echt een zeldzaamheid.

Al vanaf het begin van deze trend, zo’n twee á drie jaar geleden, waarschuwen wij tegen de gevaren die slecht beveiligde slimme apparaten mogelijk met zich meebrengen. Meestal hebben wij daarbij gewaarschuwd voor privacyproblemen. Denk bijvoorbeeld aan IP-camera’s die niet met een wachtwoord beveiligd zijn en dus aan iedere geïnteresseerde live beelden van baby’s, kinderdagverblijven, voordeuren en bedrijfsterreinen laten zien.

Een ander gevaar dat wij doorlopend voorspelden, is dat van de zwakke plek in het netwerk. Een goed voorbeeld is de slimme koelkast, die gelinkt is aan de Google Calendar, om daarin boodschappenlijstjes te maken van producten die niet meer in de koelkast staan en dus waarschijnlijk op zijn. Door deze koppeling kan via een aanval op de koelkast de inloggegevens van de Google Account van de eigenaar worden gestolen. Een Google Account beperkt zich, zoals bekend, allang niet meer tot e-mail. Het geeft ook toegang tot afspraken en plannen middels de Google Agenda, tot (huis)adressen en bezochte plaatsen middels Google Maps en – indien in gebruik- tot geld middels Google Wallet.

Een gevaar dat wellicht wat onderbelicht is gebleven in onze waarschuwing is hetgeen zich nu voltrekt: botnets. Door de zwakke beveiliging van IoT-apparaten, zijn ze gemakkelijk te infecteren en op te nemen in een botnet. 

Met het botnet Mirai, zijn we in een nieuwe fase aangekomen. Nog nooit eerder werd een botnet met zó veel gekaapte apparaten en machines waargenomen. Mirai was door zijn enorme omvang en brute kracht verantwoordelijk voor de DDoS-aanval die DNS-provider en internetreus Dyn op de knieën kreeg. Het Mirai-botnet is in ieder geval te huur voor geïnteresseerden met voldoende liquide middelen en ik verwacht dan ook dat er de komende tijd nog veel DDoS-aanvallen zullen volgen. En daarmee sluit de cirkel zich: iedereen – en dus ook de eigenaars van de geïnfecteerde devices – heeft vanaf nu last van botnets.

Alles bij de bron; ZDNet [Thnx-2-Luc]


Fabrikanten van Internet of Things-apparaten moeten meer beveiligingsmaatregelen nemen om hun apparaten tegen aanvallen te beschermen, zo stelt het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Aanleiding zijn de ddos-aanvallen op dns-aanbieder Dyn van afgelopen vrijdag waardoor populaire websites slecht of niet bereikbaar waren. De aanvallen waren onder andere afkomstig van gehackte Internet of Things-apparaten, zoals digitale videorecorders en ip-camera's. Het BSI wil dat fabrikanten van deze apparatuur gepaste beveiligingsmaatregelen doorvoeren. "Het incident laat zien dat de digitalisering geen succes zonder cybersecurity zal worden", zegt BSI-president Arne Schönbohm."We roepen daarom de fabrikanten van netwerkapparaten op om de veiligheid van hun producten te verbeteren en bij het ontwikkelen van nieuwe producten zich niet alleen op functionele en prijsaspecten te richten, maar ook op de noodzakelijke veiligheidsmaatregelen." Volgens Schönbohm zal het BSI het gesprek met de fabrikanten aangaan.

Verder wil het BSI dat IoT-apparaten geen Universal Plug and Play (UPnP) gebruiken om onveilige aanpassingen in de router door te voeren om zo met onveilige diensten te verbinden. Verder moeten fabrikanten regelmatig beveiligingsupdates uitbrengen. Het uitrollen en installeren van deze updates moet via encryptie zijn beschermd. Als laatste punt stelt het BSI dat de firmware van IoT-apparaten voldoende is beveiligd om bijvoorbeeld het ongecontroleerd herladen van internetcontent te voorkomen. 

Alles bij de bron; Security


Zo'n 130.000 ip-camera's en digitale videorecorders (DVR's) van fabrikant AVTech zijn kwetsbaar voor aanvallen via het internet, maar de fabrikant weigert om de problemen op te lossen. Een jaar geleden werd AVTech gewaarschuwd door onderzoekers van Search-Lab.

De onderzoekers hadden in totaal 14 verschillende beveiligingslekken ontdekt. Zo wordt het beheerderswachtwoord in platte tekst opgeslagen, is er geen bescherming tegen csrf-aanvallen, is het mogelijk om afgeschermde gegevens zonder authenticatie te benaderen, kan een aanvaller zonder inloggegevens systeemcommando's met rootrechten uitvoeren, is het mogelijk om op verschillende manieren de inlogcaptcha's en authenticatie te omzeilen en wordt het certificaat voor de https-verbinding niet gecontroleerd.

Eén van de verschillende "command injection" kwetsbaarheden maakt het mogelijk om willekeurige systeemcommando's met rootrechten uit te voeren en wordt actief gebruikt om AVTech-apparaten aan te vallen, aldus de onderzoekers. Volgens de zoekmachine Shodan zijn er meer dan 130.000 AVTech-apparaten op internet te vinden en is het één van de populairste zoekopdrachten bij de zoekmachine.

De onderzoekers waarschuwden de Taiwanese fabrikant op 19 oktober vorig jaar, maar ontvingen geen reactie. In totaal werd er vier keer geprobeerd om contact op te nemen, maar alle keren zonder succes. Daarop zijn nu de details van de kwetsbaarheden openbaar gemaakt. Gebruikers krijgen het advies het standaard beheerderswachtwoord aan te passen en het beheerderspaneel van de apparaten niet aan het internet te hangen.

Bron; Security


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha