Waarom moet je IoT apparaten zoals IP camera’s niet zomaar aan het internet moet koppelen?
Doe je dit wel dan loop je de kans slachtoffer te worden van cybercriminaliteit.

Bij de ontwikkeling van IoT apparaten wordt vooral gekeken naar de functionaliteit. Er wordt niet of nauwelijks aandacht geschonken aan de veiligheid. Er is hier (tot nu toe) ook geen controle op en de verantwoordelijkheid wordt bij de gebruiker gelegd.
IoT’s zoals IP camera’s kunnen een waardevolle aanvulling zijn op gebied van beveiliging, maar wanneer ze niet veilig zijn, maken ze je (bedrijfs) netwerk erg kwetsbaar. In feite zet je een extra deur open in plaats van een betere je beter te beveiligen!!
Zo blijkt dat in de ip-beveiligingscamera’s van Alecto, D-Link en Eminent kwetsbaarheden zijn gevonden waardoor aanvallers op afstand met de beelden kunnen meekijken of het apparaat kunnen uitschakelen.
Het gaat om de Alecto DVC-215IP, de D-Link DCS-2670L en de Eminent EM6360.

De Eminent-camera blijkt over twee verborgen gebruikersaccounts te beschikken waarmee een aanvaller kan inloggen. Deze accounts zijn niet bij de gebruiker bekend. Bij de Alecto-camera is het mogelijk om het beheerderswachtwoord te resetten naar de standaardinstelling, waardoor er vervolgens toegang kan worden verkregen. In het geval van de D-Link is het mogelijk om een aanval op de webinterface van de camera uit te voeren waardoor de camera zichzelf herstart. Op deze manier kan een aanvaller het beeld op zwart zetten.
Om de aanvallen uit te kunnen voeren moeten de camera’s wel toegankelijk vanaf het internet zijn en moet een aanvaller het ip-adres van het apparaat kennen.

De lekken zijn gemeld door de Consumentenbond bij de fabrikanten.
Alecto heeft inmiddels een firmware-update uitgebracht. Voor de D-Link en Eminent zijn nog geen updates verschenen.

Denk goed na over IoT’s in je netwerk

Wanneer je besluit om IoT’s in je netwerk op te nemen denk dan goed na over de volgende zaken:

• Wat voor apparaat is het en wat moet het doen?

• Welke informatie wordt verwerkt door het apparaat, welke classificatie heeft die informatie, en wat doet het apparaat met die informatie. Denk daarbij ook aan de GDPR/AVG

• Hoe veilig is het apparaat t.a.v. cybercriminaliteit? Waar communiceert het mee en hoe wordt dit gedaan? (als dit niet bekend is zou je het apparaat moeten (laten) onderzoeken)

• Waar moet het geplaatst worden om goed te kunnen functioneren en hoe beveilig ik dat?

Maatregelen

• Firewall
Gebruik een firewall in je netwerk om het netwerkverkeer te regelen (blokkeren en toestaan).Met een Firewall is het mogelijk om te bepalen waar het IoT apparaat mee mag communiceren naar het internet toe en kun je tevens bepalen welk(e) source adres(sen) er een verbinding mogen maken vanaf het internet met je IoT apparaat.

• Isoleren
Door het IoT apparaat te isoleren van je interne netwerk voorkom je dat het apparaat kan worden gebruikt als een soort brug naar je interne netwerk. Een methode die vaak wordt gebruikt door hackers.

Isoleren kun je bereiken door het IoT apparaat in een eigen netwerkje te plaatsen en dit netwerkje een eigen internet verbinding te geven. Op het netwerk sluit je dan geen andere apparaten aan.

Een andere vorm van isoleren is netwerk segmentatie door middel van VLAN’s.

Door het gebruik van VLAN’s is het mogelijk verschillende logische netwerken te definiëren binnen eenzelfde fysieke netwerk. De elementen van ieder netwerk kunnen uitsluitend rechtstreeks communiceren met andere elementen uit het eigen netwerk.

Als gevolg van segmentatie en het feit dat binnenkomende pakketten op elke poort van een switch beperkt kunnen worden tot één enkele VLAN, is er een extra laag van beveiliging ten opzichte van een netwerk waarin alle elementen rechtstreeks met elkaar op MAC-niveau kunnen communiceren.

Door een apart VLAN te maken voor IoT apparaten isoleer je als het ware deze apparaten binnen je netwerk en wanneer je dit netwerkverkeer ook nog eens door een firewall gecontroleerd van en naar het internet laat communiceren zorg je voor een goede beveiliging van je IoT apparaten binnen je netwerk.

Advies en hulp

Wilt u meer weten over hoe u veilig Internet Of Things apparaten veilig kunt implementeren in uw netwerk?

Neem vrijblijvend contact met ons op voor deskundig advies en eventuele hulp bij controle en/of implementatie van IoT apparaten in uw netwerk.