RoT: Ransomware of Things

Na mijn artikel op dit Cqure kennisplatform, november 2015, valt het mij op met welke snelheid het IoT zich heeft ontwikkeld. Je krijgt die handige thermostaat tegenwoordig gratis, veel toepassingen hebben tegenwoordig eerst een mobiele app en daarna pas een ‘reguliere’ toepassing en grote delen van de bevolking vindt het allemaal prima!

In 2016 verschenen er, ook op dit forum, meer artikelen over het gijzelen van computersystemen en onbereikbaar maken van informatie (ransomware), het onbereikbaar maken van informatie en systemen (DDoS aanvallen) en het infecteren van apparaten die verbonden zijn met het internet (IoT). Het laat zich aanzien dat deze trend zich ook in 2017 gaat voortzetten. Het zou ook zomaar kunnen zijn dat er iets ontstaat als ‘jackware’. Door bijvoorbeeld een geïnfecteerd IoT apparaat een commerciële website af te persen door te dreigen met een DDoS aanval. Of door het IoT apparaat andere IoT apparaten uit te schakelen totdat er een bedrag is betaald.

Zoals al vaker gesteld, misbruik van computers (eventueel in combinatie met afpersing) is zo oud als de computers zelf. We herinneren ons de zaak waar een beheerder ontslagen werd en blijkbaar een ‘bommetje’ had achtergelaten in de systemen van zijn werkgever. Die vernietigde informatie en daarmee was ‘computer crime’ een feit. Jackware, zoals collega Cobb het noemt, is malware die als agent de toegang tot (de besturing van) een apparaat zoekt.  

Waar de ‘reguliere’ ransomware (malware) is die je informatie versleuteld en ‘losgeld’ eist zodat je informatie weer wordt ontsloten; is hier sprake van het afsluiten van je auto, of een ander apparaat, tot je betaald. En dan kan het zomaar zijn dat je huis erg koud wordt, je auto niet meer open kan (met jou erin) of je hotelkamer deur gesloten blijft. Als de opdracht daartoe dan ook nog eens door middel van IoT gaat, is de dader nog minder makkelijk op te zoeken.

Stel je voor: je wordt ’s ochtends wakker en zet vanuit je warme bedje, de verwarming en het koffie apparaat aan en de gordijnen open. Er gebeurt niets. Je krijgt alleen een bericht op je telefoon dat je een X bedrag aan Bitcoins moet overmaken om de apparaten weer vrij te geven. En dan heb je nog niet eens gemerkt dat je auto ook afgesloten was Ik heb in de praktijk nog geen voorbeelden gezien of over gelezen, maar ik kan me zomaar voorstellen dat dit fenomeen niet lang (meer) op zich laat wachten.

In het afgelopen jaar hebben we een aantal ‘terug roep acties’ van Toyota, Fiat/Jeep en Honda gezien omdat een  productiefout in de software van de auto’s, had geleid tot ongelukken met soms dodelijk afloop.  Ook werden er ‘bugs’ gevonden in de online web app voor BMW ‘Connectdrive’ waarmee BMW ’s plotseling een IoT apparaat werd. Om vanuit je BMW thuis je verwarming, licht en (jawel) je alarminstallatie kan bedienen. Net als de slimme thermostaat, de gordijnen en het koffie apparaat. En dan ben ik nog niet eens begonnen over de IoCT, Internet of Childrens Things, speelgoed waarbij persoonlijke informatie over kinderen vrolijk het internet op werd gegooid.

Om te voorkomen dat IoT een thuis gaat bieden aan RoT zal er wat moeten gebeuren. Zowel in de technische sfeer als door beleid en politiek. De uitdaging in de techniek ligt in het implementeren van beveiliging op een bewegende onderdelen. De traditionele beveiliging zoals versleutelen en autorisatie/authenticatie zou behoorlijk wat bandbreedte en overhead vragen. Politiek en beleid heeft tot nu toe nog geen zichtbaar resultaat tegen cybercrime (CAAS, Crime As A Service). Wat we mogen verwachten, nu dat bedreigingen in de innovatie van digitale technieken, zoals zelf rijdende auto’s, drones die pakjes bezorgen, big data en huisarts online; gaat hopelijk sneller.

Dit artikel is niet bedoeld om de lezer bang te maken of onnodig alarm te slaan. Het is bedoeld als voorbeelden van incidenten die ons in 2017 zomaar zouden kunnen gaan overkomen. Het NCSC heeft al een aantal goede onderzoeken en adviezen aan de regering afgegeven. In de USA heeft de NIST de Strategic Principles for Securing the Internet of Things gepubliceerd: een mooi voorbeeld voor de Nederlandse overheid om in 2017 verder aan te werken. Zodat we ons leven, met digitale toepassingen, kunnen genieten zonder bang te zijn voor degene die ons willen afpersen.

Tot slot: bij een peiling gaf 40% van de ondervraagden aan dat IoT apparaten niet perse veilig en betrouwbaar zijn. De helft van de ondervraagden gaf aan dat zorgen m.b.t. de privacy hen weerhielden van de aanschaf van een IoT apparaat.