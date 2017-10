Dit weekend is het precies een jaar geleden dat de IT-wereld met een nare nieuwe realiteit werd geconfronteerd. Iedereen die ook maar een beetje oplette, zag het al jaren aankomen: internetverbonden apparaten zouden hetzelfde probleem worden als pc's in de jaren 90.

Die thuismachines waren ontworpen voor stand-alone werk - misschien met een netwerkje hier en naar - maar er was onvoldoende rekening gehouden met een tijdperk waarin al die machines benaderbaar zouden zijn door iedereen met een internetverbinding.

Onbeheersbare groei

Maar er zijn meer parallellen met dat tijdperk dan alleen het besef dat netwerken een interessante en veel misbruikte aanvalsvector opleverden. Zo zagen we vanaf de tijd dat internet voor commerciële doelen beschikbaar kwam, in 1992, in luttele jaren dat gebruik fors groeien.

Datzelfde zien we nu met slimme apparaten: de groei is er, maar is er wel rekening gehouden met de impact van onbeveiligde apparaten voor onze netwerken? Verschillende incidenten de afgelopen jaren hebben ons een duidelijk antwoord gegeven: nee.

Als laatste parallel met de netwerkgroei van vroeger is er momenteel weinig zicht op welke protocollen en standaarden nu precies het IoT gaan vormen. Of hoe groot het precies wordt. De IT-wereld zet zich schrap voor een gigantische netwerk van vele, vele miljarden devices. Van pc's in de jaren 90 en smartphones het vorige decennium, gaan we naar een groei van een nauwelijks nog te overzien sensornetwerk, veel met korte verbindingen via interne protocollen, maar ook via IP direct het internet op.

Hoe groot wil je worden?

Dat zijn trends die we al jaren omschrijven en waar IT-beveiligers zich al jaren zorgen over maken. Wat er daarom op 21 oktober 2016 gebeurde, was voor bijna niemand een grote verrassing, maar die evengoed interessante als verontrustende toekomst wordt ingeluid. Het was de dag van de Dyn-aanval, waarbij een DDoS-aanval DNS-dienstverlener Dyn (toevallig ook die dag overgenomen door Oracle en nu bekend als Oracle Dyn) deels platlegde.

"Ik wil niet zeggen dat we allemaal de klos zijn, maar we zijn allemaal de klos", grapt Dyn-chef Kyle York op beveiligingscongres MPOWER van McAfee. Een van de uitdagingen voor de IT-wereld als het aankomt op IoT is dat we eigenlijk zo weinig weten van waar deze trend precies heengaat en wat de impact is op netwerken, protocollen en beveiliging. "Hoe groot gaat het precies worden?" vraagt York zich af.

Geen puur consumentenissue meer

De enorme DDoS-aanval in oktober vorig jaar viel op om een aantal redenen, zoals het IoT-botnet dat de aanval uitvoerde, de impact van infrastructurele diensten op de totale dienstverlening en de samenkomst van wat doorgaans als typisch consumentenproblematiek werd gezien en zakelijke beveiliging. Mirai bewees dat de twee niet gescheiden zijn. We maken allemaal gebruik van het internet, voor verschillende doeleinden, en zijn allemaal in toenemende mate afhankelijk van dezelfde onderliggende infrastructuur.

