Belangrijkste afhaalrestaurants
- Op maandag 17 mei om 04.50 uur EDT heeft een bug de feeds van Eufy-beveiligingscamera's blootgelegd.
- Smart home en Internet of Things-gadgets geven geen prioriteit aan beveiliging.
- Wetgeving kan leveranciers dwingen om de veiligheid van hun gebruikers serieus te nemen.
Eigenaars van slimme beveiligingscamera's van Eufy werden eerder deze week wakker in een nachtmerrie in Hollywood-stijl toen een inbreuk hun camera's in huis aan iedereen op internet blootstelde. Hoe kunnen we beter worden beschermd?
Een software-update veroorzaakte de inbreuk en werd na een uur verholpen. Maar gedurende die tijd merkte een handvol Eufy-gebruikers dat ze toegang hadden tot de live camerafeeds van andere gebruikers, evenals opgenomen video. De inbreuk verleende ook volledige toegang tot het account, wat betekent dat iedereen de camera's van vreemden kon pannen en kantelen om goed rond te kijken in hun huizen. Dit benadrukt de problemen die inherent zijn aan alle slimme huisgadgets.
"Naarmate we meer technologie in huis halen, zullen cybercriminelen hun aandacht steeds meer richten op deze nieuwe systemen", vertelde Ben Dynkin, mede-oprichter en CEO van Atlas Cybersecurity, via e-mail aan Lifewire. "Deze verhoogde controle door criminelen zal onvermijdelijk resulteren in een toenemend aantal aanvallen, en geen wet of regelgeving zal het kunnen belemmeren. Om dat probleem op te lossen, moeten we nieuwe en innovatieve manieren vinden om zowel systemen te beveiligen als criminele activiteiten af te schrikken."
Onveilig door ontwerp
In een verklaring aan Lifewire door Eufy-maker Anker, veroorzaakte een software-update de bug, die 712 gebruikers trof en in minder dan twee uur werd verholpen.
De onderliggende problemen blijven echter bestaan. Internet-of-Things-apparaten, zoals deze slimme gadgets voor thuisgebruik zijn geclassificeerd, zijn niet ontworpen om veilig te zijn.
"Momenteel worden IoT-apparaten vaak niet gebouwd met veiligheid voorop", vertelde Dan Tyrrell van penetratietestbedrijf Cob alt.io aan Lifewire via e-mail. Het probleem is dat ontwerpers en leveranciers meer geïnteresseerd zijn in functies dan in beveiliging.
"De IoT-markt innoveert voortdurend met nieuwe en gevestigde bedrijven die producten en oplossingen in een razend tempo op de markt brengen", zegt Dynkin. "Dit betekent dat bedrijven, om te slagen in de ruimte, snel moeten innoveren en moeten proberen hun concurrenten te verslaan, wat onvermijdelijk betekent dat beveiliging als een secundaire overweging wordt behandeld, in plaats van een kernprincipe van het product. Dit leidt ertoe naar alomtegenwoordige kwetsbaarheden die kunnen worden uitgebuit."
Interessant is dat mensen die hun Eufy-camera's alleen met Apple's HomeKit Secure Video verbonden waren, niet werden getroffen door deze inbreuk, wat aantoont dat een veiligheidsbenadering mogelijk is.
Regelgeving
Deze inbreuken zullen niet stoppen totdat beveiliging minstens zo belangrijk wordt als functies, en dat zal niet gebeuren totdat iemand smart home-verkopers dwingt om het serieus te nemen. Een antwoord is overheidsregulering, zoals we die hebben om ons voedsel veilig te houden, en goedkoop roamen met mobiele telefoons in de EU. Regulering zou minimumnormen opleggen aan leveranciers en hen straffen voor inbreuken.
"Regelgeving is niet per se het wondermiddel om ervoor te zorgen dat IoT-apparaten veilig zijn", zegt Tyrrell. "In plaats daarvan moeten we regelgeving zien als een stap in de goede richting. Ik wil waarschuwen dat het voldoen aan een regelgevende norm niet hetzelfde is als veilig zijn, maar het is beter dan niets."
Om dat probleem op te lossen, moeten we nieuwe en innovatieve manieren vinden om zowel systemen te beveiligen als criminele activiteiten af te schrikken.
Anderen zijn volledig tegen regulering. Paul Engel, oprichter van The Constitution Study, vat deze houding samen.
"Het laatste wat we nodig hebben is meer overheidsbemoeienis", vertelde Engel via e-mail aan Lifewire. "Een paar dure rechtszaken en verzekeringsuitkeringen zouden meer doen om deze bedrijven ertoe aan te zetten hun beveiliging te verbeteren dan welke wetgeving dan ook."
Uiteindelijk komen de meeste consumentenbeschermingen voort uit overheidsregulering. En gezien de historische trends, is het waarschijnlijk dat de Europese Unie hierin voorop gaat, maar de VS heeft al enkele wetten om op voort te bouwen.
"We zouden de normen die zijn vastgelegd in de Internet of Things Cybersecurity Improvement Act 2020 - die momenteel alleen geldt voor apparatuur die door overheidsinstanties is aangeschaft - kunnen uitbreiden naar zakelijke en consumentenproducten", vertelde Paul Bischoff, privacyadvocaat bij Comparitech, aan Lifewire via e-mail. "Dat omvat externe en automatische firmware- en software-updates, identiteitsbeheer en codering."
Zonder betere beveiliging wordt het alleen maar erger.
Bescherm jezelf
De eenvoudigste manier om IoT-inbreuken te voorkomen, is door geen slimme apparaten voor thuisgebruik te installeren. Maar als je absoluut een slimme deurbel of beveiligingscamera nodig hebt, zijn er voorzorgsmaatregelen die je kunt nemen. Overweeg eerst apparaten die geen internet gebruiken.
"Je zou kunnen kiezen voor een beveiligingscamera die video opslaat op een lokaal apparaat in plaats van op een cloudserver", zegt Bischoff. "[En] u kunt IoT-apparaten routeren via een VPN die op uw Wi-Fi-router is geïnstalleerd, die uw echte IP-adres en locatie verbergt en gegevens tijdens het transport versleutelt."
Naarmate we meer technologie in huis halen, zullen cybercriminelen hun aandacht steeds meer op deze nieuwe systemen richten.
Uiteindelijk is het belangrijkste om te onthouden dat de beveiliging van uw apparaten uw verantwoordelijkheid is.
"Consumenten moeten goede cyberhygiëne toepassen met hun IoT-apparaten", zegt Tyrrell. "Wijzig waar mogelijk de standaardgebruikersnamen en -wachtwoorden. Verbind alleen noodzakelijke apparaten met internet. Begrijp dat het uw taak als apparaateigenaar is om patches bij te werken, en doe dit regelmatig. Zorg ten slotte voor een afzonderlijk lokaal netwerk in uw huis voor alle IoT-apparaten om de impact van een inbreuk op een van die apparaten te verminderen."