Het Internet of Things bevindt zich op het hoogtepunt van de Hype Cycle van onderzoeksbureau Gartner. Volgens de loop van deze cyclus stevenen we nu de harde relativering af. Bijvoorbeeld vanwege gebrek aan beheer. Uit recent onderzoek door securityleverancier Kaspersky blijkt dat MKB-ondernemers zich ‘enigszins bewust zijn’ van dit gebrek. Ander onderzoek door Kaspersky wijst uit dat vooral kleine apparaten – die als simpel worden beschouwd – aan het oog van de beheerder ontsnappen.
Senior securityspecialist bij Kaspersky, David Jacoby, hackte de connected devices in zijn eigen huis. Zijn twee NAS-apparaten waren met hun Linux-installatie, webserver, beheersoftware en andere draaiende services een vette prooi. Jacoby wist op die opslagsystemen diepgaande toegang te krijgen, voorbij de beheeromgeving, zodat zelfs een eventuele reset van het apparaat hem niet zou buitensluiten. Daarna ontdekte hij verborgen functies zoals een default beheer-login op zijn satellietontvanger, waarbij het beheeraccount ook gelijk root-rechten gaf op de gebruikte Linux-installatie. Eigen applicaties, services of firmware installeren, kan dus een peulenschil zijn.Jacoby zelf was flink verrast over de kwetsbaarheden in het IoT zoals dat nu al in ons connected leven bestaat.
De verrassing over de gebrekkige staat van beveiliging is des te groter, omdat het grotendeels om oude bekende kwetsbaarheden gaat. Lees het hele verhaal, waarin Jasper Bakker een onthutsend beeld schetst van oude lessen die nog steeds niet geleerd zijn.
