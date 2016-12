Het had zo mooi moeten zijn: apparaten met elkaar verbinden, realtime sensorinformatie verwerken en bijvoorbeeld je leven (positief) veranderen met Quantified Self. Maar het Internet of Things heeft, zoals verwacht, een probleem opgeleverd omdat er nauwelijks of te laat aan beveiliging is gedacht. Dat dit meer is dan een louter theoretische, principiële kwestie blijkt wel uit het nieuwe DDoS-tijdperk dat net is begonnen.

Gaat IoT-security nu mainstream?

Wat op zich misschien geen slechte zaak is. IoT-beveiliging verschijnt nu eindelijk breed op de radar, omdat we de overlast allemaal bemerken als streamingservices als Netflix en clouddiensten als Amazon omver worden getrokken. Ook begint het besef te komen dat dit 'al' gedaan kan worden met een paar honderdduizend apparaten, want de komende jaren groeit IoT naar tientallen miljarden apparaten.

De ontwikkeling van IoT als aanvalsvector moet geen verrassing zijn. In 2013 bouwde een hacker een botnet van IoT-apparaten voor een project om onbeschermde IPv4-machines in kaart te brengen. Het project duurde negen maanden en toonde aan wat veel IT-beveiligers al wisten: zelfs veel moderne, goed ondersteunde apparaten zijn vaak simpel te benaderen via het internet dankzij open poorten en standaardwachtwoorden.

Lange reeks malware

Botnet Mirai gebruikt dezelfde tactiek en richtte in oktober al een hoop ellende aan, en het botnet is nog steeds actief. Omdat de broncode openbaar is, verschijnen ook al op de code gebaseerde varianten. Wat natuurlijk ook niet nieuw is. De afgelopen jaren zagen we onder meer open source-botnet Hydra en IoT-afgeleide Aidra, routerslurpend botnet Psyb0t, telnetscannende worm Dallorz en nog veel meer versies die zich richten op routers, beveiligingscamera's, printers, NAS-kastjes en andere internetverbonden hardware.

Code van IoT-malware Bashlight, die ook werd ingezet bij de aanvallen van oktober, is gebruikt voor een IoT-botnet voor Linux-gebaseerde hardware. Je kunt verwachten dat we de komende maanden meer gaan horen van de malware met de veelzeggende doopnaam Linux/IRCTelnet. Zoals we de afgelopen maanden al vaker stelden: dit is absoluut nog maar het begin.

Maar laten we het eens hebben over hoe we deze problemen zullen aanpakken. Als 2017 inderdaad het jaar van IoT-DDoS wordt - laten we hopen van niet - zijn er vast manieren om het probleem al van tevoren aan te pakken. Dat kan natuurlijk, maar niet alle manieren zijn even wenselijk en voor de simpele stappen zijn we wellicht al te laat. De meeste dingen hadden we jaren geleden al moeten doen.

1. Configuratie bij eerste keer starten

Laten we bij de simpelste manier beginnen om het probleem in het huidige stadium van IoT-botnetontwikkeling aan te pakken: een configuratieverplichting. Het probleem los je hier op termijn niet mee op, maar het zorgt ervoor dat het voor botnets niet zo godsgruwelijk eenvoudig is om apparaten binnen te harken. Kortom, laten we beginnen door het laaghangende fruit te plukken en dat zijn de standaardwachtwoorden.

Dat is bijna net zo vervelend als helemaal geen beveiliging op de adminconsole. Malware als Mirai doet het heel simpel en gaat op zoek naar machines die te benaderen zijn via hardwarezoekmachine Shodan met standaardinstellingen als admin/admin, root/1234, admin/password - je verzint het bijna niet: op GitHub vind je de hele tragische lijst van combinaties die Mirai probeert. Op die lijst zie je ook het opvallende mother/fucker, wat wellicht de frustratie van gebruikers weergeeft van het gedwongen aanmaken van zo'n adminaccount. Dus dat is de volgende brug.