1.500 toegangspogingen per dag in “Haunted House”

Sophos heeft de resultaten van het IoT-beveiligingsonderzoek “Haunted House” in een white paper gepubliceerd. Belangrijkste conclusie: geen enkele hacker heeft een geïmplementeerd IoT-apparaat overvallen, maar het aantal aanvallen nam elke dag toe.

“Devices of the future” zullen slim zijn of slimmer worden. Eigenlijk zijn ze dat nu al. Ze communiceren via het Internet met de hele wereld en zijn ontworpen om ons te vermaken en ons dagelijks leven te vergemakkelijken. Hoewel de meeste gebruikers al bekend zijn met IT-beveiliging voor computer, laptop en smartphone, is het bewustzijn voor smart home-componenten onderbelicht.

Gegevens over externe toegang tot IoT-apparatuur zijn vooralsnog zeldzaam. Daarom heeft Sophos, samen met Koramis, een smart home-infrastructuur opgezet die als”honey pot” op het Internet werd geplaatst. Het huis vertegenwoordigt een doorsnee privé-huishouden met dertien verschillende IoT-apparaten en technologieën van verschillende leveranciers, die zich in een netwerk bevinden en met het Internet zijn verbonden.

Binnen twee van de drie testfasen werden de technieken en het aantal toegangspogingen tot de geïmplementeerde componenten gevolgd. De eerste fase duurde zes weken met persoonlijke en veilige wachtwoorden. De tweede fase, met een zelfde opzet, liep over drie weken. Het verschil: er werden standaardinstellingen voor apparaten gebruikt, net zoals het zeer waarschijnlijk is bij huishoudens die IoT-apparaten gebruiken. Om deze resultaten in een grotere context te krijgen, paste een derde onderzoeksfase actieve Internet-scans toe voor open IoT-componenten. Hierbij worden zoekmachines als SHODAN en Censys ingezet. De resultaten van deze scans worden in zogenaamde “heat maps” gevisualiseerd.

De toegangspogingen waren hoger dan verwacht en vielen erg hoog uit. Uit bijna elk land wereldwijd werd er op zijn minst één keer geprobeerd om verbinding te leggen met één van de IoT-apparaten in het “Haunted House”. Terwijl er met veilige wachtwoorden werd gewerkt, werden dagelijks 1.500 toegangspogingen vastgelegd (en zelfs 3.800 met de standaardinstellingen).

Wordt er gekeken naar de verschillende landen, staan China, de VS en Mexico in de Top 3 van de landen waar de toegangspogingen vandaan kwamen.

De actieve Internet-scans in België vonden plaats op 19 september en 14 november j.l. Daaruit is gebleken dat voor de onderzochte systemen BacNet, Fox en KNX/IP, in totaal 507 (in een eerste fase) en 534 (in een tweede fase) systemen open met het Internet zijn verbonden. Deze systemen (netwerken) zijn vindbaar voor Sophos, en derhalve ook voor criminelen. In België betekent dit een groei van meer dan 5% tussen de twee meetmomenten. Dat ligt in lijn met de bevindingen in andere landen.

Voornoemde systemen zijn bedoeld voor gebouwenautomatisering en/of domotica. Denk bijvoorbeeld aan een iPad aan de muur waarmee je de temperatuur van de verwarming kunt regelen, gordijnen kunt sluiten, licht kunt aansteken, camera’s kunt bedienen, …