IoT Cybersecurity Dark Cube

Onderzoek naar veiligheid IoT-apparaten: Het schiet allemaal behoorlijk tekort

door Redactie IoT Journaal12 maart 2019

De beveiliging van IoT-hardware schiet nog steeds tekort. Die conclusie trekt cybersecurityspecialist Dark Cubed in zijn meest recente onderzoek naar de staat van IoT-beveiliging. Het ‘The State of IoT Security’-rapport (21 pagina’s, 1,43 Mb, PDF) is gratis te downloaden via IoTJournaal. Wie in de methodiek achter het onderzoek wil duiken, kan het bijbehorende omvangrijke technische onderzoeksdocument eveneens gratis via IoTJournaal downloaden (200 pagina’s, 23 Mb, PDF).

Dark Cubed is geen volstrekt onbekende in de wereld van IT-beveiliging. Bij het bedrijf werkt een aantal experts die in het verleden voor diverse Amerikaanse overheidsinstanties hebben gewerkt. Zo was oprichter en CEO Vince Crisler de Chief Information Security Officer van het Witte Huis. Hij leidde het Dark Cubed-team dat ’t onderzoek naar IoT-apparaten heeft gedaan. Directe aanleiding voor deze ‘vingeroefening’ was een Twitter-post van ene @rayjwatson (nu te vinden via zijn nieuwe twitternaam @RayRedacted). Hij twitterde dat een onbekende op Pastebin, een platform waar ontwikkelaars (delen van) hun broncode op kunnen slaan en eventueel ook met derden delen, de inloggegevens van zo’n 33.000 IoT-apparaten had geplaatst. Na bestudering van die data, kwamen de Dark Cubed-specialisten tot de ontdekking dat achter die IoT-apparaten zo’n 8.000 IP-adressen schuilden. Zij vergeleken de bewuste adressen met de informatie over cyberaanvallen op hun klanten. En zie daar: een aardig deel daarvan (13 procent, iets meer dan 1.000 stuks) was betrokken geweest bij inbraakpogingen of andere kwaadwillende operaties. Het gros van de IP-adressen was te herleiden naar thuisnetwerken in onder andere China, Taiwan en Turkije.

‘Gebrekkige beveiliging’

De Dark Cubed-experts hebben vervolgens gekeken naar welke hardware er achter de verdachte IP-adressen zat. Die apparaten hebben zij gekocht en in een natuurgetrouwe (thuis)omgeving opgesteld. Met als doel het bekijken van de beveiliging (of het ontbreken daarvan) en de zwakke plekken van de IoT-apparaten. Zonder direct de inhoud van het rapport weg te geven, kunnen wij stellen dat de uitkomsten onthutsend zijn. Onder de geteste apparatuur is het merendeel onveilig of relatief makkelijk te kraken. Om welke apparaten het gaat? Dat vindt u hieronder.

Devices IoT Security

twittergoogle_pluslinkedinmailtwittergoogle_pluslinkedinmail