SIDN: ‘IoT-apparatuur vormt ernstige bedreiging voor veiligheid en privacy’

De Stichting Internet Domeinregistratie Nederland (SIDN) waarschuwt dat Internet of Things (IoT)-apparaten een ernstig risico vormen voor de veiligheid en privacy van zowel internetgebruikers als access providers. SIDN introduceert software om dit risico te lijf te gaan. 

Volgens SIDN zorgen goedkope IoT-apparaten voor zwakke plekken in het netwerk waarvan makkelijk misbruik kan worden gemaakt. “Gezien het feit dat het merendeel van deze apparaten nooit een software-update zal ontvangen — de allerkleinste hebben daar niet eens genoeg geheugen voor — is het niet zozeer de vraag óf maar wanneer kwaadwillenden ons thuisnetwerk zullen binnendringen,” waarschuwt de organisatie die verantwoordelijk is voor registratie van .nl-domeinnamen.

Gekraakte apparaten zijn een springplank om andere apparaten en systemen binnen het netwerk te infecteren. Ook kunnen ze onderdeel worden van botnets die waardevolle informatie verzamelen, spam versturen en Distributed Denial-of-Service (DDoS)-aanvallen uitvoeren vanaf het access-netwerk. De gehackte apparatuur kan zelfs bedrijfsnetwerken en -servers aantasten wanneer iemand een dagje thuis werkt via een geïnfecteerd thuisnetwerk.

Omdat het aantal IoT-apparaten snel groeit tot miljarden verbonden apparaten krijgen alle internetgebruikers te maken met de bijbehorende veiligheids- en privacyrisico’s. Binnen een paar jaar zal een doorsnee “verbonden huis” naar verwachting tientallen verbonden apparaten tellen. SIDN waarschuwt dat als er geen stappen worden ondernomen we de controle over smarthomes weleens zouden kunnen verliezen. Het risico om slachtoffer te worden van ransomware, identiteitsdiefstal, diefstal van waardevolle informatie en publicatie van gevoelige privégegevens worden daarmee zeer reëel.

Om hierop in te spelen heeft SIDN software ontwikkeld waarmee eindgebruikers en access providers controle kunnen houden over alle apparaten die met het thuisnetwerk zijn verbonden. De software heeft de naam SPIN — wat staat voor Security and Privacy for In-home Networks — en biedt eindgebruikers een interface die alle via de thuis-gateway verbonden apparaten en hun verkeersstromen laat zien.

Gebruikers kunnen meer informatie over een bepaald apparaat opvragen, waarna er een venster verschijnt waarin ze de betreffende node kunnen laten negeren, een nieuwe naam kunnen geven of juist kunnen toestaan. Access providers kunnen aan hun kant van de gateway de beschikking krijgen over dezelfde informatie en functionaliteit en een interface toevoegen waarmee ze SPIN (whitepaper (pdf)) eenvoudig in hun zelfhulp-portals en bestaande infrastructuur voor beveiligingsbeheer kunnen integreren. De SPIN-software zelf kan rechtstreeks door de fabrikant in een willekeurige thuis-router (CPE) worden opgenomen als onderdeel van een OpenWrt/Linux-image.