Cybersecurity in het smarthome: Slimmer dan de hacker of in ieder geval beter voorbereid

Ook in het smarthome en building

Vrijwel elke vorm van cybercriminaliteit die bedrijven en regeringen teistert dringt ook het slimme huis binnen. Fishing, website spoofing, het stelen van privégegevens en geld op de bank, ransomware, (deep) fakes en het platleggen van services, noem maar op en het heeft inmiddels al op grote schaal plaatsgevonden. Niets blijft je zonder afdoende maatregelen thuis en op kantoor bespaard!

De winsten voor de criminelen zijn relatief gezien gigantisch. Dat verklaart waarom cybercriminaliteit inmiddels de vorm van de perfecte digitale storm heeft aangenomen en vrijwel overal in de wereld rampspoed teweeg brengt. Dat betekent uit lijfsbehoud beveiligen, security en nog meer security voor het slimme huis en kantoor.

Trends

Er zijn een aantal belangrijke trends te onderscheiden. De meest voorkomende typen van cybercriminaliteit zijn: Phishing Scams. Het hengelen naar toegang tot systemen en beveiligdata maakt circa 91% van alle cybercrime uit. Het vissen betreft zowel individuele personen als websites en complete netwerken. Een variant is website spoofing, het vervalsen van identiteitskenmerken om toegang te krijgen on anderen naar jouw weblocatie te lokken. Het plaatsen van kwaadwillende programma’s wordt malware injection genoemd. Bijvoorbeeld het gebruik van Trojaanse paarden.

Ransomware, het gijzelen van computerservers en netwerken heeft grootse vormen aangenomen. Menig bedrijf en provider maar ook particulier kan daarvan helaas meepraten.

Het hacken via IOT-apparaten en het stelen bij verdiendiensten (onder andere via skimming-procedures).

Sabotage. De laatste tijd zijn (D)Dos-aanvallen weer een trend. Dat vind de gebruiker zelf, huisgenoot, e-sporter of e-gamers en collega op het werk beslist niet leuk als de streaming verbindingen massaal worden lam gelegd. Hetzelfde geld voor Twitter-bombardementen.

Faking en deep faking vormt een ware plaag. Wat kan je als lezers van het nieuws en het bekijken van programma’s nu wel vertrouwen of niet. Je wordt tijdens het kijken en/of luisteren met fake-news en gemanipuleerde content gewoon bedonderd waar je bij staat.

En als laatste item de beveiliging van het huis of kantoor. Daarbij gaat het met name om camerasurveillance en persoonsherkenning met toegangscontrole. Helaas worden beveiligingscamera’s, deurbellen en toegangspoortjes regelmatig ook zelf gehackt.

Ronduit zorgwekkend is het overnemen van de routers en modems thuis plus andere Internet Of Things-apparaten om daarmee de buitenwereld aan te vallen. Zo wordt jouw smarthome een digitaal rovershol geleid vanuit laakbare landen en regimes. Niet voor niets wordt hier van “De derde wereldoorlog woedt allang op cybergebied” gesproken.

In Nederland zijn er momenteel tegen de 5.000 fraudemeldingen per dag. Relatief is de hevigheid waarmee operationele technieken momenteel door cybercriminelen onder vuur worden genomen. Professionele criminele teams vallen vitale infrastructuren aan, veelal met malware. Zij vinden de zwakke plekken binnen jouw huis bedrijven.

Sloten en camera’s

Smarthomes en kantoren beschikken in toenemende mate over slimme sloten, deurbellen en bewakingscamera’s. Hoogst interessant voor cybercriminelen. Met name als dergelijke systemen via internet, een intern netwerk of the cloud te benaderen zijn. Helaas zijn fabrikanten, de goede niet te na gesproken, te vaak nonchalant met de beveiliging van de geleverde systemen en broodnodige updates. Dan komen er lekken in de veiligheid.

De slimme sloten van het slimme huis, kantoor of auto’s zijn met vrij verkrijgbare apparatuur zo op afstand te kraken. Bij de camera’s wordt gewoon meegekeken en opgenomen.

Het IOT-lek

Alle slimme apparatuur over netwerken aan elkaar koppelen geeft veel gebruiksmogelijkheden, eenvoudig onderhoud & dienstverlening en overal bereikbaar. Menig gebruiker staat er niet bij stil dat zulks ten gevolge van een matige tot geen beveiliging door kwaadwillenden kan worden overgenomen.

In de huiskamer meekijken met de camera in de smart-tv, computer of babyfoon. Een onbeschermd IOT-broodrooster gekoppeld aan de elektronische sloten van het pand. Een smartwatch of smartphone die van alles doorgeeft idem de locaties waar je verblijft. Het meelezen van aanslagen op toetsenborden en touchscreens. Daar gaan de wachtwoorden en beveiligingscodes. Noem maar op en er zit wel een lekmogelijkheid voor cybercriminelen. De zwartste scenario’s melden dat zo’n 80% van de IOT-devices op meerdere plekken kwetsbaar zijn voor cybercrime.

Een verstandig aankoopbeleid voor het smartphone of kantoor voorkomt het binnenhalen van het cyberpaard van Troje. Producten van onbekende herkomst en leveranciers die het met de cybersecurity niet zo nauw nemen is ronduit gevaarlijk. Informeer altijd naar de al getroffen beveiliging en waar tegen precies plus het regelmatig updaten van de software en firmware. Er zijn certificaten en standaarden die aangeven of een product wel veilig is. Bijvoorbeeld  ZigBee, en Z-Wave en S2 (Security 2).

Alles valt wel zo’n beetje te hacken. We noemen slimme verlichting, kattenluiken, hondenvoeders, koelkasten, kinderspeelgoed, aquaria, slimme toiletbrillen, connected cars, robots (stofzuigers, grasmaaiers e.d.) en applicaties met voicecontrol.

De gangbare maatregelen

Hierin verschilt het smarthome niet veel van het bedrijfsleven. Begin bij jezelf. Denk niet “Het zal mij niet gebeuren.” Doet het op den duur dus gewoon wel. Wees dus oplettend en verwaarloos de eigen beveiliging niet. Zorg voor een cybersecurity-cultuur in het eigen slimme huis (huisgenoten) of kantoor (collega’s). Alle neuzen dezelfde kant op bij cybersecurity en de bijbehorende gedragsregels. De zwakste schakel vormt een toegangspoort voor cybercrime. Niemand opent zomaar een mail van onbekende origine. Banken en andere officiële dienstverlenende bedrijven vragen nooit om cruciale persoonsgegevens en toegangscodes. Bij twijfel bellen naar een vertrouwd telefoonnummer. (Dus niet dat uit de verdachte mail, appje, tweet e.d.).

De eerste stappen betreffen het installeren van antivirussoftware, een adequate firewall en mailscanner. Er is keuze uit softwarematige en hardware bescherming. Software in ieder geval maar een securitychip (bijvoorbeeld bij Apple) en een hardware firewall werken prima. Update regelmatig alle besturingssystemen, antivirussoftware en drivers. De strategie behoort echt end to end te zijn en mag geen losse eindjes kennen. Beveilig de totale netwerkketen in huis of op kantoor. Laat geen achterdeurtjes open staan. Houdt deze cybersecurity voor de onderneming  up to date en voer regelmatig controles uit.

Encryptie (het versleutelen van) data mag niet ontbreken. Op vrijwel alle modems en routers aanwezig maar soms moet je die wel eerst specifiek aanzetten. Denk niet een onbeveiligd/versleuteld linkje tussen camera, smartphone of smartwatch met het netwerk kan geen kwaad. Wel degelijk wijst de praktijk uit…

Draadloze routers en modems zijn onbeveiligd tot op wel 300 meter afstand te benaderen. De zogenaamde ‘man in the middle’ gaat lekker tussen uw communicerende apparaten zitten en pikt of saboteert naar hartenlust.

Het buitenshuis benaderen van het eigen secure netwerk thuis of op kantoor kan heel gevaarlijk blijken. Voorkom in ieder geval contacten via onbeveiligde publieke plekken en zet er een veiligheidsprotocol tussen.

Verder laden wij geen appjes of applicaties van onbekende herkomst in. Veel computersystemen vragen eerst of de software wel uit een betrouwbare bron komt of gecertifieerd is. Let op: Apparatuur die op afstand via apps op smartphones of tablets bestuurd worden zijn extra kwetsbaar.

Nog een stapje verder

Heb je een kantoor of belangrijke website bescherm je tegen DDoS-aanvallen. Daar is goede software voor. Die onderscheiden goede en slechte verzoeken en schakelt de laatste uit. Voorkom dat derden via e-mail, netlinks, IOT-apparaten (altijd de veiligheid testen en nieuwste firmware installeren), wearables en (net) nieuw geïnstalleerde applicaties geen toegang krijgen. Anders staat de ransomware zo op de stoep.

Houdt het beleid omtrent wachtwoorden, ID’s en logins regelmatig goed tegen het licht. Voldoende complex om raden of snel uitproberen te belemmeren. Liefst dubbele of driedubbele verificatie met wachtwoorden, sms, vingerafdruk, gezichts- en netvliesherkenning. En voer (of laat uitvoeren) regelmatig proactief proefhacks uit om te verifiëren dat het allemaal nog echt wel safe is. 24/7/365 monitoring is een must.

Meerdere beveiligingslagen aanbrengen maakt het indringers lastiger en geeft jouzelf en  (ingehuurde) beveiligers meer tijd om tegenmaatregelen te nemen. Pak incidenten zo snel als mogelijk aan, In bedrijven is Rapid Incident Respons (IC) toch wel een must. En zorg voor effectieve afsluitprotocollen bij het detecteren van cybercrimepogingen.

Gasten op het netwerk krijgen een eigen beveiligde werkomgeving. Die wordt buiten het essentiële netwerk gehouden.

Doe altijd aangifte van cybercrime en meldt pogingen daartoe. Niet schamen van het is mij toch gebeurd maar actief melden. Zie hiervoor onder andere www.rijksoverheid.nl.

Nepnieuws, AI deep faking en voice cloning

Een aparte vorm van cybercrime vormt het verspreiden van fakenews, deepfaking en voice cloning. Met disruption in mind strooien kwaadwillende groepen, malafide influencers en zelfs bepaalde regimes (onder andere Rusland) rijkelijk met vals beeld- en geluidsmateriaal op omroep & distributienetwerken. Zo creëren deze figuren een ware infocalyps van misinformatie. Volgens Forbes momenteel een uiterst serieuze dreiging!

Fakenews valt zo door een achterdeurtje naar binnen het IP-netwerk in huis te maneuvreren. En mensen trappen er onder het vertrouwde zender- of weblogo gewoon in.

Malafide (deep)faking is een flinke graad erger. Het bewust aanpassen c.q. vervalsen van bestaande content of het namaken daarvan. Technieken waarvan de postproduction dankbaar gebruik maakt om landschappen, achtergronden, objecten en personen met de grafische computer aan te passen zijn heel wel bruikbaar voor misleiding. De makers kunnen zowel op jouw systemen inbreken (via het IP-netwerk of the Cloud) bij de postproduction of downstreaming en ook elders gefabriceerde rotzooi importeren.

Zorgwekkend is dat vrijwel iedereen bij de benodigde apps en hardware (een iPhone is al genoeg) kan. Wat bijvoorbeeld te denken van Deepnude (voor freaks), AI-systemen die op basis van teksten gefingeerde krantenkoppen/artikelen fabriceert (GPT2 van OpenAI) en generative adversarial networks (GAN-systemen) waarbij AI-netwerken elkaar beconcurreren wie de beste (nep-)output naar buiten brengt. GANs hebben realistische menselijke verbeeldingskracht en zijn daarom interessant voor storytelling producties bij tv-netwerken. Maar als die story’s nu eens de verkeerde kant opgaan. Wie houdt de veiligheid en waarheid in de gaten?

Een andere tak van sport in deze vormt voice cloning: Het gebruik van software om een synthetisch acceptabele kopie van iemands stem te maken. Dat gaat het stuk verder dan knip & plakwerk met echte stemfragmenten. Je kunt u mensen echt van alles naar waarheid klinkend laten zeggen. Dit compleet met menselijke emoties en stemmingen. Natuurlijk leuk voor animatiefilms en zo. Maar ronduit een bedreiging als men zo realistisch politici en omroepmedewerkers na doet. Om het over binnendringen van het smart home of office met spraakherkenning nog maar niet hebben.

Tot slot

Cybersecurity voor het smart home en office, je kan er gewoon niet meer omheen. Wij worden dagelijks belaagd door op geld beluste criminelen, datadieven en mogendheden die de samenleving willen ondergraven. Wees slimmer dan de hacker of in ieder geval goed voorbereid!