Internet of Things in huishoudens zo lek als een mandje

Aan internet verbonden huisbeveiligingssystemen kunnen mogelijk door derden worden overgenomen. Fabrikanten bouwen onvoldoende veiligheid in hun producten in en tegelijkertijd leven consumenten veiligheidsmaatregelen vaak niet na. Dat blijkt uit onderzoek van technologieconcern Hewlett-Packard. Bij 100 procent van de onderzochte beveiligingsapparaten bleek dat er belangrijke kwetsbaarheden waren, zoals wachtwoordbeveiliging, encryptie en authenticatieproblemen.

Thuismonitoringsapparaten, zoals videocamera’s en alarmsystemen, groeien in populariteit en gemak nadat ze aangesloten zijn bij “The Internet of Things” (IoT). Volgens Gartner worden 4,9 miljard aan elkaar verbonden ‘dingen’ in gebruik genomen in 2015, wat oploopt naar 25 miljard in 2020.⁽¹⁾ Het onderzoek laat zien hoe slecht de markt is uitgerust voor de omvang van de verwachte groei vanuit het oogpunt van beveiliging.

Hierdoor staan fabrikanten onder druk om verbonden beveiligingssystemen snel op de markt te brengen met de capaciteit om de bewaking op afstand uit te voeren. Met behulp van netwerkconnectiviteit en toegangsbevoegdheden voor bewaking op afstand is het veiligheidsrisico aanzienlijk verhoogd ten opzichte van niet verbonden systemen. Het onderzoek trekt in twijfel of de veiligheidsvoorzieningen onze huizen veiliger of juist onveiliger maken, in verband met de eenvoudigere elektronische toegang via onveilige producten van the Internet of Things.

“Als we gemak en beschikbaarheid van aangesloten apparaten blijven omarmen, moeten we begrijpen hoe kwetsbaar ze onze huizen en families kunnen maken,” aldus Jason Schmitt, vice president en algemeen directeur Fortify, Enterprise Security Product, HP. “Omdat tien van de beste beveiligingssystemen tekort komen op fundamentele beveiligingskenmerken, wordt van consumenten zoveel mogelijk verwacht te voldoen aan simpele en praktische veiligheidsmaatregelen. Fabrikanten moeten verantwoordelijk worden gehouden voor het inbouwen van veiligheid in hun producten, ter voorkoming van onbekende en serieuze gevaren.”

HP heeft via HP Fortify on Demand 10 beveiligingssystemen van the Internet of Things met cloud en mobiele applicatiecomponenten getest. Geen enkel systeem verplicht het gebruik van een sterk wachtwoord of biedt tweezijdige authenticatie.

De meest voorkomende en gerapporteerde veiligheidsproblemen omvatten:

Onvoldoende autorisatie: Alle systemen met cloud-based web interfaces en mobile interfaces behoeven geen wachtwoord of voldoende lengte en complexiteit. Bij de meesten is slechts een zes karakterlange, alfanumeriek wachtwoord voldoende. Tevens verzuimen ze de mogelijkheid om te vergrendelen wanneer het wachtwoord enkele malen foutief is geprobeerd.

Onveilige interfaces: Alle geteste cloud-based web interfaces staan een potentiële aanvaller toegang tot een account toe door drie applicatie gebreken; account enumeration, zwak wachtwoordbeleid en geen accountvergrendeling. Vijf van de tien geteste systemen verwekken zorgen met hun mobile application interface, die consumenten blootstelt aan soortgelijke risico’s.

Twijfels over privacy: Alle systemen verzamelen vormen van persoonlijke informatie als naam, adres, geboortedatum, telefoonnummer en zelfs creditcardnummers. Er heerst grote bezorgdheid over het blootstellen van deze persoonlijke gegevens, vanwege de beveiligingsgevaren. Bovendien is het gebruiken van videomateriaal een sleutelkenmerk van veel home security systems, waar via mobiele applicaties en cloud-based web interfaces het volgen van het videomateriaal mogelijk is. Privacy gevoeligheid van deze videobeelden binnen de muren van het huis zorgen voor nog meer bezorgdheid

Geen transportencryptie: Ondanks dat alle systemen transportencryptie hebben geïmplementeerd, zoals SSL/TLS, blijven veel cloudverbindingen kwetsbaar voor aanvallen. Het belang van goed geconfigureerde transportencryptie is vooral belangrijk omdat beveiliging een primaire functie is van deze systemen.

Internet of Things productontwikkelaars werken om de broodnodige veiligheidsmaatregelen te upgraden. Maar ook consumenten worden aangespoord om de factor veiligheid te overwegen bij het kiezen van een monitoringssysteem voor hun huis. Het implementeren van veilige thuisnetwerken bij het toevoegen van onveilige IoT apparaten, het kiezen van extra beveiligingsfuncties zoals complexe wachtwoorden, accountvergrendeling en tweezijdige authenticatie zijn slechts een paar maatregelen die consumenten kunnen nemen om zichzelf te beveiligen.

Dit onderzoek is een vervolg op 2014 HP Internet of Things Research Study, die de beveiliging van de top tien meest gebruikte IoT apparaten beoordeelt.

Methodiek
Het onderzoek is uitgevoerd door HP Fortify. Het onderzoek heeft tien van de meest gebruikte home security IoT apparaten getest op kwetsbaarheid door de standaard test technieken te combineren met handmatige methodes en het gebruik van automatische hulpmiddelen. Apparaten en hun componenten zijn beoordeeld op basis van OWASP Internet of Things Top 10 en specifieke kwetsbaarheden zijn geassocieerd met elke top 10 categorie.

De data en percentages in dit rapport zijn getrokken uit de 10 geteste IoT systemen. Gezien de populariteit en de overeenkomsten tussen de apparaten gelooft HP Fortify dat de resultaten een goede indicator zijn van de positie van de markt betreft beveiliging en the Internet of Things.

Meer informatie over applicatiebeveiliging en meer details van het onderzoek zijn verkrijgbaar op hp.com/go/fortifyresearch/iot.