Opinie&Analyse

Het Internet der Bedreigingen Premium

Johan Herrenberg |
ICT, Veiligheid

Mirai. Kent u haar al? Nee, het is geen oude vlam, noch een nieuwe sensatie van talentenshow The Voice. Mirai is de mooie naam van iets heel lelijks: een botnet waarmee onlangs twee spectaculaire aanvallen zijn uitgevoerd.

Doel: het lamleggen van computersystemen door overbelasting. De meest recente aanval was in oktober, de servers van Dyn, een Amerikaans bedrijf dat webadressen omzet in ip-adressen, waren toen het slachtoffer. Twee uur lang was de hele oostkust van de VS de pineut. Een maand daarvoor was de website van Brian Krebs, een prominente beveiligingsexpert, al aan de beurt geweest. Hij had de euvele moed gehad om een bedrijfje te traceren van twee achttienjarigen die – opmerkelijk genoeg – deze zogeheten DDoS-aanvallen verkochten. De heren werden gearresteerd. Zijn beloning was het op zijn site ontvangen van maar liefst 665 Gb/s aan loze data, ook al met behulp van het Mirai-botnet.

Het nieuwe aan beide aanvallen: Mirai bleek gebruik te maken van een gigantisch aantal geïnfecteerde apparaten in het Internet der Dingen (IoT), zoals beveiligingscamera’s, routers en zelfs printers. De samenstelling wisselt, maar volgens de laatste schatting zijn er een half miljoen, met clusters in China, Hong Kong, Taiwan, Zuid-Korea, Brazilië en Spanje. In TW 4 van dit jaar schreef ik al over IoT-apparaten: ‘web- en cloudinterfaces zitten vol gaten, authenticatie en autorisatie voldoen niet, veiligheidscertificaten zijn makkelijk te kraken, de netwerkservice kiert, de versleuteling is verre van hermetisch, de software en firmware lekken en de beveiliging kan niet optimaal worden geconfigureerd’.

Krebs vraagt zich af of rechtszaken en wetgeving iets kunnen uitrichten tegen de veiligheidsnachtmerrie van de circa 20 miljard IoT-apparaten die in 2020 aan het internet hangen. We zullen zien. De EU is dit jaar tenminste al begonnen na te denken over maatregelen, en dichter bij huis diende D66-kamerlid Kees Verhoeven vorige week een initiatiefnota in waarin hij voorstelt om als Nederland al in actie te komen. Verhoeven wil een keurmerk ingevoerd zien om consumenten zekerheid te geven. Softwarefabrikanten zijn verantwoordelijk voor de veiligheid van hun producten, een veiligheid die wat hem betreft onderdeel is van de garantie. Blijft die in gebreke, dan zouden fabrikanten zelf met oplossingen moeten komen, anders kunnen zij aansprakelijk worden gesteld. Verhoeven droomt ook van een officieel Nederlands bedreigingsanalyseteam van beveiligingsexperts en aanbieders van gadgets, dat gevaren voor kritieke infrastructuur moet signaleren en er oplossingen voor moet bedenken. De Tweede Kamer zal zijn nota gaan bespreken.

Het blijft tobben met dat IoT. Vorig jaar kwam er een interactieve pop op de markt: Hello Barbie, met wifi en microfoon, en ook niet echt hackbestendig. Ligt je kleine meid in haar bed, schreeuwt de schone Barbie plotseling met een diepe mannenstem: ‘Boe!’

Deel deze pagina
Abonnement

Wilt u lid worden, een los nummer aanvragen of een adreswijziging doorgeven? Neem dan contact op met MijnTijdschrift (088-2266622). 

Of bekijk ons aanbod van abonnementen.

Ontvang de nieuwsbrief

Meld je nu aan!

Naar boven