Cyberaanvallen op het Internet of Things (IoT) bestaan al heel lang. Wat echter is versneld, is de schaal en de evolutie van deze aanvallen. In de kern gaat het bij het IoT om het verbinden en netwerken van apparaten. Dit betekent dat alle ‘slimme” apparaten, gaande van aangesloten koelkasten en aangesloten voertuigen tot aangesloten medische IoT-apparaten, een nieuw toegangspunt tot het netwerk vormen en steeds meer veiligheids- en privacyrisico's inhouden.
Daarnaast moeten we ook op grotere schaal nadenken over de manier waarop verbonden IoT-apparaten zich in verschillende sectoren hebben ontwikkeld – waar ze in elk gebied van het dagelijks leven voorkomen, van productie tot toeleveringsnetwerken, en waarom een ‘security by design’-benadering moet worden toegepast – zodat elk afzonderlijk onderdeel kan worden gecompromitteerd en om te voorkomen dat het hele ecosysteem wordt misbruikt.
De impact van elke aanval kan sterk variëren, afhankelijk van het ecosysteem, het apparaat en de omgeving, en de bestaande beschermingsniveaus.
Brute force
Een brute force-aanval is een hackingtechniek waarbij met trial-and-error encryptiesleutels, wachtwoorden en aanmeldingsgegevens worden achterhaald. Het is een eenvoudige maar effectieve strategie om ongeoorloofde toegang te krijgen tot gebruikersaccounts, bedrijfssystemen en netwerken.
De term ‘brute force’ verwijst naar aanvallen waarbij buitensporig veel kracht wordt gebruikt om gebruikersaccounts in handen te krijgen. Hoewel het een beproefde vorm van hacken is, blijven brute force-aanvallen favoriet bij hackers.
Fysieke beveiliging en manipulatie
IoT-apparaten zijn van buitenaf toegankelijk als er geen controle is in een open omgeving. Ze vallen onder de categorie fysieke aanvallen waarbij de aanvaller het geheugen of de berekening kan wijzigen en vervolgens aanvullende informatie kan verkrijgen door interactie met het defecte apparaat in een poging de beveiliging te doorbreken.
Om grootschalige operaties uit te voeren, grijpen hackers steeds vaker naar fysieke sabotage-aanvallen vanwege de waarde van de activa die op het spel staan en de overvloed aan fysieke apparaten. Bedrijven die zich in aanzienlijke mate bezighouden met het Internet of Things (IoT) moeten van investeringen in fysieke beveiliging een prioriteit maken.
Cloudgerelateerde uitdagingen
Het IoT creëert slimme objecten door de integratie van sensoren en objecten die rechtstreeks met elkaar communiceren zonder menselijke tussenkomst. Organisaties kunnen hun processen en andere IT-verplichtingen uitbesteden met behulp van cloud computing. Dankzij cloud computing kunnen bedrijven zich concentreren op hun kerncompetenties, de productiviteit verhogen, hardwarebronnen beter benutten en de opslagkosten voor de IT-infrastructuur verlagen.
Nu echter steeds meer organisaties vertrouwen op cloudgebaseerde technologie, is het van cruciaal belang ervoor te zorgen dat systemen veilig zijn en vertrouwelijke gegevens beschermd blijven.
Botnets
Een botnet is een netwerk van systemen die zijn samengevoegd met het doel om op afstand de controle over te nemen en malware te verspreiden. Ze worden gecontroleerd door botnetbeheerders via Command-and-Control-servers (C&C-server) en worden door criminelen op grote schaal gebruikt voor allerlei zaken: het stelen van privégegevens, het exploiteren van online bankgegevens, DDoS-aanvallen of voor spam- en phishing-e-mails.
Met de opkomst van het IoT lopen veel objecten en apparaten het gevaar deel uit te maken van zogenaamde thingbots – een botnet waarin onafhankelijke verbonden objecten zijn opgenomen – of maken ze daar al deel van uit.
Botnets en thingbots bestaan uit veel verschillende apparaten die allemaal met elkaar verbonden zijn – van computers, laptops, smartphones en tablets tot ‘slimme’ apparaten. Deze bots hebben twee belangrijke kenmerken gemeen: ze hebben internet en kunnen automatisch gegevens overdragen via een netwerk. Anti-spamtechnologie kan vrij betrouwbaar detecteren of één machine duizenden gelijkaardige e-mails verstuurt, maar het is veel moeilijker te detecteren of die e-mails worden verstuurd vanaf verschillende apparaten die deel uitmaken van een botnet. Ze hebben allemaal één doel: duizenden e-mailverzoeken naar een doelwit sturen in de hoop dat het platform crasht terwijl het probeert om het enorme aantal verzoeken te verwerken.
Man-in-the-middle-concept
Bij het man-in-the-middle-concept probeert een cybercrimineel de communicatie tussen twee afzonderlijke systemen te onderbreken en te doorbreken. Het kan een gevaarlijke aanval zijn omdat de aanvaller in het geheim berichten onderschept en verzendt tussen twee partijen die denken dat ze rechtstreeks met elkaar communiceren. Aangezien de aanvaller over de oorspronkelijke communicatie beschikt, kan hij de ontvanger doen geloven dat hij nog steeds een legitiem bericht ontvangt. Er zijn al veel gevallen gemeld binnen dit bedreigingsgebied, gevallen van gehackte voertuigen en gehackte ‘slimme koelkasten’.
Deze aanvallen kunnen uiterst gevaarlijk zijn in het IoT, vanwege de aard van de ‘dingen’ die worden gehackt. Deze apparaten kunnen bijvoorbeeld van alles zijn, van industriële gereedschappen, machines of voertuigen tot onschuldig verbonden ‘dingen’ zoals slimme tv's of garagedeuropeners.
Elk apparaat in een IoT-ecosysteem heeft zijn eigen unieke apparaatidentiteit nodig. Dit is een essentieel onderdeel van IoT-beveiliging. ‘Dingen’ kunnen zich authenticeren wanneer ze verbinding maken met het internet en zorgen voor veilige en gecodeerde communicatie met andere apparaten, diensten en gebruikers als ze een unieke, sterke apparaatidentiteit hebben.
Gegevens- en identiteitsdiefstal
Hoewel het nieuws bol staat van enge en onvoorspelbare hackers die zich met allerlei indrukwekkende hacks toegang verschaffen tot gegevens en geld, zijn wij vaak ook onze eigen grootste beveiligingsvijand. Het achteloos omgaan met op internet aangesloten apparaten speelt kwaadwillende dieven en opportunistische cybercriminelen in de kaart.
De belangrijkste strategie van identiteitsdiefstal is het verzamelen van gebruikersgegevens – en met een beetje geduld is er veel te vinden. Algemene gegevens die beschikbaar zijn op het internet, gecombineerd met informatie van social media, plus gegevens van aangesloten apparaten geven een goed algemeen beeld van uw persoonlijke identiteit. Hoe meer details over een gebruiker kunnen worden gevonden, hoe gemakkelijker en geraffineerder een gerichte aanval op identiteitsdiefstal kan zijn.
Identiteitsdiefstal is wereldwijd een groot probleem en het aantal gevallen blijft sterk stijgen. De meest voorkomende vormen van identiteitsdiefstal zijn financiële, medische, criminele (wanneer iemand uw identiteit gebruikt bij een arrestatie), synthetische (een identiteit creëren met behulp van iemands echte gegevens) en identiteitsdiefstal van kinderen (de gegevens van een minderjarige gebruiken om bijvoorbeeld bankfraude te plegen).
Social engineering
Social engineering is het manipuleren van mensen door middel van menselijke interactie, zodat zij vertrouwelijke informatie prijsgeven. Social engineering-aanvallen worden in een of meer stappen uitgevoerd. Een dader analyseert eerst het beoogde slachtoffer om achtergrondinformatie te verkrijgen die nodig is om de aanval uit te voeren, zoals mogelijke toegangspunten en zwakke beveiligingsprotocollen. De aanvaller probeert dan het vertrouwen van het slachtoffer te winnen en stimuli te creëren voor latere handelingen die de veiligheidsnormen schenden, zoals het vrijgeven van gevoelige informatie of het verlenen van toegang tot belangrijke bronnen.
Bovendien kan de aanvaller proberen toegang te krijgen tot een computer om heimelijk kwaadaardige software te installeren waarmee hij toegang krijgt tot persoonlijke informatie en controle over de computer.
Gewoonlijk worden social engineering-hacks uitgevoerd in de vorm van phishing-e-mails, die erop gericht zijn u uw gegevens te ontfutselen, of omleidingen naar websites zoals bank- of winkelsites die er legitiem uitzien en u verleiden uw gegevens in te voeren.
Denial of Service
Een Denial of Service (DoS)-aanval vindt plaats wanneer een dienst die gewoonlijk werkt, niet beschikbaar is. Er kunnen vele redenen zijn voor de onbeschikbaarheid, maar meestal gaat het om infrastructuur die het niet aankan door overbelasting van de capaciteit. Bij een Distributed Denial of Service (DDoS)-aanval valt een groot aantal systemen met kwade bedoelingen één doelwit aan. Dit gebeurt vaak via een botnet, waarbij veel apparaten zijn geprogrammeerd (vaak zonder medeweten van de eigenaar) om tegelijkertijd een dienst aan te vragen.
In vergelijking met hackingaanvallen zoals phishing of brute-force aanvallen, probeert DoS meestal geen informatie te stelen of tot veiligheidsverlies te leiden, maar het reputatieverlies voor het getroffen bedrijf kan toch veel tijd en geld kosten. Vaak besluiten klanten ook over te stappen naar een concurrent, omdat ze bang zijn voor veiligheidsproblemen of zich gewoonweg geen onbeschikbare dienst kunnen veroorloven. Vaak leent een DoS-aanval zich voor activisten en afpersers.
Aandachtspunten
Verkeerd beheer van IoT-connectiviteit maakt de hele infrastructuur kwetsbaar voor cyberaanvallen.
Een belangrijk aandachtspunt in het IoT is de waarborging van de privacy. Bedrijven zullen hun beleid inzake privacy en gegevensbeveiliging moeten evalueren om hun inspanningen op te voeren en ervoor te zorgen dat verzamelde gegevens worden beschermd en privé worden gehouden. Een risicobeperkende maatregel is ervoor te zorgen dat elke IoT-leverancier waarmee u in zee gaat, de volledige controle heeft over zijn gegevensoverdracht en -verwerking om ‘man in the middle’-aanvallen te voorkomen en ervoor te zorgen dat de commerciële aansprakelijkheid van begin tot eind is geregeld.