Column: De opkomst van IoT-botnets

27 juni 2018

De opkomst van IoT-botnets – waarom cyberhygiëne nog steeds een probleem is    
door Karine e Silva, PhD Candidate BotLeg Project/ TILT, TiUKarine%20e%20Silva_0.jpg

U bent zich er misschien niet van bewust, maar de processor van uw apparaat zou op dit moment weleens ergens ter wereld een aanval kunnen uitvoeren. Anders gezegd, uw apparaat zou weleens onderdeel kunnen zijn van een botnet, een netwerk van besmette apparaten die op afstand worden gemanipuleerd. Het interessante is dat, in tegenstelling tot besmettingen waar de eigenaar van het apparaat last van heeft, de gastheer vrijwel niets merkt van een botnet. De kwaadaardige software draait namelijk op de achtergrond, terwijl het systeem normaal blijft functioneren. Geavanceerde vormen van botnets zijn nog altijd een van de meest ingrijpende bedreigingen voor de stabiliteit van het internet, en de verspreiding ervan naar andere technologieën is zorgwekkend.

Mirai was het eerste grootschalige IoT-botnet dat in de publiciteit kwam en voor grote onrust zorgde in de cybersecuritycommunity. Al werden IoT-apparaten al lang gezien als een tikkende tijdbom: het veiligheidsniveau van de technologie was twijfelachtig en er werd een spoor van bedreigingen tegen het IoT voorzien. In 2016 dook Mirai op als een krachtig extern netwerk dat camera's en routers infecteerde en wereldwijd tot massale ontwrichting leidde. De aanvallen van Mirai troffen meer dan 900.000 klanten van Deutsche Telekom, een prominente cybersecuritywebsite en de telecommunicatie-infrastructuur van Liberia. Deze storingen waren mogelijk door verschillende ontwikkelingen, waaronder het uitlekken van de broncode van Mirai. Daardoor konden andere cybercriminelen krachtige en hardnekkige varianten van het oorspronkelijke botnet maken. In november 2016 had Mirai in totaal al vijf miljoen apparaten platgelegd, en sindsdien zijn er nieuwe vormen van het botnet verschenen.

Het IoT maakt deel uit van ons dagelijks leven en zal naar verwachting een natuurlijke, ingebouwde infrastructuur worden voor het uitvoeren de meest eenvoudige handelingen. Slimme koelkasten, ovens, auto's, wearables, enz. moeten ervoor zorgen dat we zo weinig mogelijk zelf hoeven te beslissen, zodat we zo weinig mogelijk tijd kwijt zijn met repetitieve taken. De wonderen (en valkuilen) van het IoT liggen besloten in de uitdagingen die we al lang zien bij andere verbonden omgevingen. Dat het internet zo kwetsbaar is voor bedreigingen komt door verschillende factoren, waarvan ik er hier twee zal belichten. Ten eerste worden de cybersecuritynormen, met name die voor het IoT, bekritiseerd omdat ze onaanvaardbaar laag zijn. Ten tweede nemen gebruikers, door een gebrek aan betere kennis en training en vanwege rationele beperkingen, thuis en op het werk slechte beveiligingsmaatregelen.

Dit brengt me op de discussie over cybersecurity als een gedeelde verantwoordelijkheid. In theorie staat die gedeelde verantwoordelijkheid bij cybersecurity centraal. In de literatuur zijn meerdere stakeholders een noodzakelijke voorwaarde voor een goede cybersecurity. De gedachte dat cybersecurity een collectieve inspanning is, is gebaseerd op het feit dat het functioneren van het internet mogelijk wordt gemaakt door publieke en private infrastructuren. Het internet wordt beheerd door een groot aantal actoren, wat vooral belangrijk is als het om kritieke infrastructuur gaat. Al deze stakeholders kunnen, elk vanuit hun eigen positie, invloed uitoefenen op de uitkomst van een beveiligingsrisico door de beslissingen die ze nemen op hun niveau. Bij digitale omgevingen vervullen meerdere actoren zowel de rol van toezichthouder als die van gereguleerde: ze beheren een netwerk en bepalen tegelijkertijd hoe dat netwerk functioneert.
Dit biedt een unieke mogelijkheid: degenen die netwerken beheren, zoals internetintermediairs, hebben een regulatoire positie en kunnen invloed uitoefenen op de manier waarop wij cybersecurity ervaren (ten goede en ten kwade).
 

Aangezien meerdere stakeholders het uitgangspunt zijn, worden zowel staten als bedrijven en burgers opgeroepen hun deel van de verantwoordelijkheid te nemen en moeten ze (juridisch of moreel) verantwoording afleggen als ze niet aan de normen voldoen. In de EU zijn de staten verantwoordelijk voor de tenuitvoerlegging van cybersecuritywetgeving en het toezicht op de toepassing ervan. Bedrijven zijn gebonden aan nationale en EU-regelgeving met betrekking tot de technische normen van cybersecurity waaraan bij de ontwikkeling van producten moet worden voldaan. En procedures moeten beveiligingsincidenten melden ter bescherming van onze persoonsgegevens. Maar daarmee zijn we er nog niet. Van ons wordt in redelijkheid verwacht dat we onze apparatuur up-to-date houden. Personen mogen geen activiteiten ondernemen die de openbare veiligheid ondermijnen. Als onze persoonlijke apparaten een gastheercel worden, worden we een vector van cybercriminaliteit en ondermijnen we de inspanningen van andere stakeholders in de keten. Kortom, cybersecurity is een doel dat alleen haalbaar is als alle betrokken actoren de verantwoordelijkheid nemen voor hun deel (van het probleem en de oplossing).

Uiteindelijk is de vraag: hoe dragen wij, als community, bij aan cybersecurity? Als individu zijn we niet direct wettelijk verplicht onze apparaten te updaten, te zoeken naar veilige manieren om gegevens te verzenden of te investeren in beveiligde persoonlijke apparaten. Maar we hebben wel de morele plicht beslissingen te nemen die in het belang zijn van onze community en te voorkomen dat we anderen schade berokkenen. Wat doet u voor onze internetcommunity?