Na de grote cyberaanval op internet van vorige week, waarbij een leger van onbeveiligde connected devices werd gebruikt, is het hoog tijd om eens goed te kijken naar de beveiliging van de smart devices in je eigen huis.

Er zijn enkele belangrijke punten die je zelf in acht moet nemen. Ten eerste zijn sterke wachtwoorden, zowel voor je devices als je WiFi netwerk, een must. Daarbij zal je altijd devices moeten vermijden die een default hard-coded password (zoals admin) gebruiken. Dergelijke gadgets zijn uiteraard een gemakkelijke prooi.

Ten tweede zal je, als je een onderliggend platform gebruikt waar je meerdere devices op aan sluit, moeten kijken hoe streng dat platform is voor de third-party devices die je aan sluit. Sommige platformen hebben hoge standaarden voor productveiligheid en laten niet zomaar third-party devices toe. Andere platformen willen gewoon snel zoveel mogelijk compatible devices aansluiten om hun ecosysteem snel te laten groeien.

De meeste smart home devices die vorige week werden gebruikt in de aanval lijken afkomstig te zijn van minder bekende producenten die wat slordiger met beveiliging om gaan. Zoals bijvoorbeeld de Chinese webcam maker Xiongmai. Maar hoe zit het met die grotere bekende platformen? Wat doen die er aan om je data veilig te houden?

Laten we ze hieronder eens één voor één bekijken.

Apple HomeKit
Apple HomeKit is een set van software protocollen voor de iOS devices van Apple. Die protocollen laten je compatible smart home gadgets besturen met een standaard toolset, apps en Siri commando’s via je iPhone of iPad.

Je HomeKit data is verbonden met je iCloud account, die nooit een standaard wachtwoord gebruikt. Apple checkt de beveiliging van de devices zelf voordat het bedrijf ze toelaat op het platform. Beveiliging was een belangrijke focus voor Apple sinds het begin van HomeKit met stringente standaarden en altijd end-to-end encryptie.

Zo lang je dus sterke wachtwoorden gebruikt voor je iCloud account en je WiFi netwerk ben je vrij veilig.

Google Nest
Nest begon als de maker van de veel verkochte slimme thermostaat. Vervolgens voegden ze daar de Nest Protect brandmelder en de Nest Cam (slimme camera) aan toe. Sinds Google het bedrijf in 2014 kocht is Nest een veelgebruikt smart home platform met een lange lijst aan third-party ‘Works with Nest’ devices.

De apps en devices van Nest verzenden data naar de cloud met een AES 128-bit encryptie en Transport Layer Security (TLS). Nest camera’s zijn verbonden met de Nest cloud service met 2048-bit RSA private keys. Alle Nest devices communiceren met elkaar via Nest Weave, een eigen communicatieprotocol wat is ontwikkeld voor geavanceerde beveiliging. De apparaten gebruiken ook nooit een (hard coded) standaard wachtwoord.

Dat klinkt dus goed en Nest claimt dan ook dat er geen bekende gevallen zijn van iemand die op afstand een Nest device heeft gehacked. Alle third-party devices moeten ook door een certificatieproces gaan voordat ze worden toegelaten.

Amazon Alexa
“Alexa” is de cloud-connected en stem-geactiveerde virtuele assistent van Amazon. Zij zit in de Amazon Echo lijn van smart home speakers en ook in de Amazon Fire TV remote.

Naast vele andere dingen kan Alexa je een groot aantal compatible smart home devices laten bedienen met stemcommando’s.

De devices van Amazon Alexa zijn niet erg vatbaar voor een aanval omdat ze nooit gebruik maken van (hard coded) standaard wachtwoorden. In plaats daarvan loggen gebruikers in met een Amazon account. Als we kijken naar hoe individuele Alexa devices gehacked kunnen worden dan wordt het wat onduidelijker. Amazon omschrijft namelijk niet in detail hoe de encryptie is. Maar misschien is dat natuurlijk omdat ze hierover zo weinig mogelijk prijs willen geven aan de buitenwereld (en dus potentiële hackers).

Ook is het onduidelijk of Amazon strenge eisen oplegt aan third-part decices voordat ze met Alexa mogen samenwerken. Met een open API waarmee je snel een Alexa koppeling of functionaliteit kunt bouwen lijkt het alsof de nadruk vooral ligt op het zo snel mogelijk laten groeien van het platform. In andere woorden: neem niet zomaar aan dat een apparaat dat samen werkt met Alexa per se hoge beveiligingsstandaarden heeft.

Samsung SmartThings
SmartThings is in 2014 door Samsung overgenomen en is een platform voor het connected huis. Samen met de eigen sensoren van het systeem kan je verschillende third-party smart home devices aansluiten.

De SmartThings sensoren communiceren via Zigbee, wat niet internet-connected is en daarom niet direct vatbaar voor een aanval via internet.

Alle third-party devices op het platform moeten door het “Works with SmartThings” certiciferingsprogramma. Daarbij claimt het bedrijf dat geen van de devices die gebruikt zouden zijn in de aanval van vorige week gecertificeerd zouden zijn door Samsung.

Tot zover de maatregelen die de bekendere spelers hebben genomen tegen dit soort aanvallen. De belangrijkste schakel blijft echter altijd de mens die de apparaten uit zoekt, koopt, aansluit en installeert. Laten we hopen dat de aanval van vorige week de ogen heeft geopend van veel mensen om de beveiliging van hun huis, waar ze zelf verantwoordelijk voor zijn, serieus te gaan nemen.

Bron: CNET