Het fundamentele probleem van IoT-apparaten is dat slimme gadgets vaak weinig of niet beschermd worden en daarom zonder moeite makkelijk over te nemen zijn. Soms komt daar een hack aan te pas, maar meestal is het de digitale equivalent van een openstaande kluisdeur. De aanval blijft illegaal, maar afdoende maatregelen om dieven buiten te houden ontbreken volledig.

IoT is een complex, maar erg serieus verhaal - en vooral voor consumentenapparaten is het IoT-veld een verwaarloosd veld qua security. Afhankelijk van het apparaat kunnen er gevoelige gegevens lekken, enge meegluurproblemen ontstaan en zelfs legitieme fysieke gevaren opleveren voor de gebruiker. Hier acht voorbeelden van waarom we meer werk moeten maken van beveiliging.

1. Minecraft en Mirai

Al jaren worden internetverbonden apparaten ingelijfd in grote malafide netwerken van veroverde machines. Deze legers aan apparaten, soms honderdduizend man sterk, worden gebruikt om bijvoorbeeld malware te verspreiden of grootschalige DDoS-aanvallen uit te voeren, met als berucht voorbeeld de aanval op de DNS-servers van Dyn, waarna veel high-profile sites en diensten uit de lucht gingen.

Dat werd uitgevoerd via het IoT-botnet Mirai met als twist dat de zombies geen veroverde computers waren, maar machines als slimme tv's, camera's en consoles. De malware veroverde op z'n hoogtepunt 600.000 apparaten die 'beveiligd' waren met standaardwachtwoorden en was in het leven geroepen door snoodaards die concurrerende Minecraft-servers plat wilden leggen.

Specifiek wilden ze de DDoS-beschermende middelen die Franse hoster OVH aan Minecraft-servers bood frustreren en een van de bekendere Mirai-aanvallen was dan ook op OVH, waardoor het botnet op de radar kwam van beveiligingsjournalist Brian Krebs. De Mirai-capaciteit werd daarna ingezet om Dyn aan te vallen en daarmee waren diensten als Netflix, Twitter en Spotify urenlang onbereikbaar.

Hoe Mirai onze ogen opende voor een nieuwe beveiligingsrealiteit: Wat is er veranderd één jaar na de Dyn-aanval?

2. Kinderspel

Een verontrustend voorbeeld kwam in februari 2017, toen bleek dat de makers van populair internetverbonden speelgoed CloudPets een grote database van gebruikersgegevens onbeschermd online hadden staan. Dat bevatte onder meer de e-mailadressen en makkelijk te raden wachtwoorden van meer dan 800.000 gebruikers.

Komiek Jimmy Kimmel maakte naar aanleiding van het nieuws een reclamefilmpje voor het speelgoed.

Maar veel erger nog was dat kwaadwillenden ook de spraakberichten die kinderen en ouders uitwisselden via het speelgoed konden beluisteren. CloudPets zijn in feite apparaten voor spraakberichten, maar dan verwerkt in een knuffeldier. Het werd nog erger: de knuffels konden worden overgenomen en ingezet als afluisterapparaat.