Privacy trekt overal aan het kortste eind, zo stelt beveiligingsexpert Bruce Schneier, die onder andere wijst naar massasurveillance door inlichtingendiensten, toenemend cloudgebruik en surveillance door smartphones en internet of things (IoT)-apparaten.
Schneier schreef verschillende boeken, waaronder Beyond Fear en Applied Cryptography. Verder was hij betrokken bij het onderzoeken van verschillende documenten van klokkenluider Edward Snowden en richtte verschillende securitybedrijven op.
Tien jaar geleden schreef hij het boek 'Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World'. Sinds 2015 is er echter weinig veranderd, merkt hij op. "De NSA - en hun tegenhangers wereldwijd, houden zich nog steeds zoveel ze kunnen bezig met massasurveillance", aldus Schneier tegenover The Register. Tegelijkertijd stelt de expert dat de informatieomgeving slechter is geworden. "De meeste van onze data bevindt zich in de cloud, waar bedrijven er eenvoudiger toegang toe hebben."
"En iedereen van ons draagt overal een zeer verfijnd surveillance-apparaat bij zich: onze smartphones. Waar je ook gaat, overal trekt privacy aan het kortste eind." Inmiddels is er wel wetgeving gekomen, maar dat zal het probleem niet meteen oplossen, aldus Schneier. "Surveillancekapitalisme is gewoon te diep geworteld als businessmodel en de grote techmonopolies hebben gewoon teveel macht om dat op korte termijn te veranderen."
Voor de toekomst verwacht Schneier dat dingen zullen verbeteren. "Ik kan me niet voorstellen dat we dit niveau van massasurveillance zullen hebben, of het nu door bedrijven of overheden is. In vijftig jaar tijd denk ik dat we deze werkwijzes zullen zien zoals we nu naar sweatshops kijken: als bewijs van ons minder ethisch verleden."
Alles bij de bron; Security
Eigenaren van 'slimme' apparaten doen er verstandig aan om er een apart (gast) wifi-netwerk voor te gebruiken, om zo gevoelige activiteiten op andere systemen te beschermen, zo adviseert de Duitse overheid.
Volgens de Duitse overheidsinstantie kunnen criminelen van onveilige apparaten misbruik maken. "In principe kan elk apparaat verbonden met internet een doelwit voor cybercriminelen zijn, of het nu een smartphone of smart fotolijstje is", aldus het BSI. De organisatie stelt dat veel mensen de veiligheid van 'smart' devices negeren als ze tot aankoop overgaan.
"Met een apart (gast) wifi-netwerk dat alleen voor smart devices wordt gebruikt, kunnen consumenten ze scheiden van bijvoorbeeld de computer die ze voor gevoelige activiteiten zoals internetbankieren gebruiken. Een mogelijke infectie met malware kan dan niet van het smart device naar de computer verspreiden", gaat het advies verder. De overheidsinstantie heeft een uitleg online waarin het beschrijft hoe een wifi-gastnetwerk is in te stellen.
Alles bij de bron; Security
Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. “Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam destijds geen enkele toezichthouder met ons praten.”
Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.
Eén foute update via zo’n portaal of een gerichte aanval kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.
‘Ethische hackers’, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten.
Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft bevestigt dat er digitaal is ingebroken in de software van 20 ‘kleine zonneparken’. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. In beide gevallen bleef de schade beperkt.
Het meest kwetsbare onderdeel in zonne-installaties is de omvormer het ‘brein’ van ieder systeem, legt Sadot uit. Die zet gelijkstroom om in wisselstroom, ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.
Bij veel van die apparatuur was cyberveiligheid geen onderwerp, zeggen deskundigen.
Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. “Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaard wachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook omdat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.
De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. “Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”
Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ zijn, het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.
Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ‘wachttijd’ verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.
In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels nog eens uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.
Alles bij de bron; Trouw
Dat de apparaten van het merk Ecovacs niet veilig zijn, was al langer duidelijk. Deze zomer brachten twee onderzoekers veiligheidsproblemen aan het licht, waarna de fabrikant door het stof ging. Het bedrijf beloofde de problemen op te lossen. Hackers bleken via de stofzuigers bij mensen in huis te kunnen kijken.
Nu meldt ABC Australia meerdere verhalen van mensen die getroffen zijn. De stofzuigers van het type Deebot X2 werden gehackt en op afstand bestuurd.
Een van de gebruikers van het apparaat was televisie aan het kijken, toen er ineens krakend geluid kwam uit de speakers van zijn robot. In de app van zijn stofzuiger kon de man zien dat het apparaat op afstand werd bestuurd. Later die dag klonk uit het apparaat ineens een stem die begon te schelden.
Andere gebruikers melden soortgelijke verhalen. Ook werd de hond van een Deebot X2-eigenaar uit het niets achtervolgd door de stofzuiger.
De problemen lijken, in ieder geval bij de man wiens stofzuiger uit het niks begon te schelden, te zijn ontstaan doordat iemand toegang kreeg tot zijn Ecovacs-account. Dat kan zijn gebeurd doordat hij voor dat account dezelfde inloggegevens gebruikte als bij andere accounts, zo kreeg hij te horen toen hij contact opnam met Ecovacs. Die gegevens zijn mogelijk buitgemaakt bij een hack, buiten Ecovacs om.
Daarnaast lijken er, ondanks dat ook deze kwetsbaarheid eerder al bekend was, nog steeds problemen te zijn met de pincode-beveiliging van de modus die de camera en besturing van de stofzuiger in de app opent.
Alles bij de bron; MSN
Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen.
Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.
Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.
Alles bij de bron; Security
Iets meer dan zestig procent van de Nederlanders heeft thuis een 'slimme' water-, gas- of elektriciteitsmeter die op afstand of via een app is uit te lezen, zo stelt het Centraal Bureau voor de Statistiek (CBS).
In 2020 was dit nog het geval bij 59 procent van de Nederlanders. De afgelopen vier jaar is het aandeel met slechts twee procent toegenomen.
Ruim vier op de tien Nederlanders gebruiken een virtuele assistent, zoals Siri, Google Home, Amazon Alexa, Bixby, via een app of een 'slim' audiosysteem.
Deelnemers die geen 'slimme' apparatuur thuis hebben staan werden ook gevraagd wat hiervoor de reden was. 83 procent geeft aan hier geen behoefte aan te hebben. 23 maakt zich zorgen privacy en beveiliging en één op de vijf vindt 'slimme' apparatuur te duur.
Alles bij de bron; Security
Het Witte Huis en afgevaardigden van de Europese Unie, andere landen en 'industrieleiders' zijn deze week in de VS bijeengekomen om te praten over de risico's voor de staatsveiligheid van met internet verbonden auto's. Er werd gesproken over de data- en cybersecurityrisco's van connected cars en bepaalde onderdelen.
De deelnemende landen bevestigden dat connected cars een steeds grotere rol in de vitale infrastructuur spelen, omdat ze verbonden zijn met andere voertuigen, persoonlijke apparatuur, telecomnetwerken, het elektriciteitsnet en andere infrastructuur, zo meldt het Amerikaanse ministerie van Buitenlandse Zaken.
De Office of the Director of National Intelligence (ODNI) had connected cars eerder nog "smartphones op wielen" genoemd en beschreef verschillende risico's, waaronder het stelen van persoonlijke informatie, volgen van personen en zelfs het 'hacken' van auto's.
"De meeste auto's vandaag de dag zijn connected - het zijn net smartphones op wielen. Deze auto's zijn verbonden met onze telefoons, navigatiesystemen, vitale infrastructuur en met de bedrijven die ze hebben gemaakt. Deze voertuigen kunnen op afstand worden benaderd en uitgeschakeld", waarschuwde president Biden eerder dit jaar.
De Verenigde Staten en 'like-minded' landen zijn deze week overeengekomen dat ze naar mogelijkheden gaan kijken voor het invoeren van cybersecurity-standaarden voor auto's en het coördineren van beleidsmaatregelen om de risico's van connected cars tegen te gaan.
Alles bij de bron; Security
Slimme verkeerslichten die contact maken met de telefoons van weggebruikers brengen privacyrisico's met zich mee waar de overheid waarschijnlijk niet goed over heeft nagedacht. Daarvoor waarschuwt de Autoriteit Persoonsgegevens, die wil weten of de verkeerslichten voldoen aan de privacywetgeving.
De slimme verkeerslichten maken - veelal zonder mensen dat weten - contact met (verkeers)apps op smartphones van weggebruikers. De verkeerslichten meten niet alleen hoeveel verkeer er langsrijdt, maar kunnen "volledige ritten in kaart brengen, inclusief datum, tijd en snelheid".
Daardoor is het zelfs mogelijk personen te identificeren, waarschuwt de Autoriteit Persoonsgegevens (AP). "Dit kan waardevolle informatie zijn voor kwaadwillenden. De kans op zogenaamde hacks valt dan ook niet te onderschatten."
Volgens de AP is niet altijd duidelijk wie verantwoordelijk is voor het verzamelen en gebruiken van de gegevens en met wie ze precies gedeeld worden. De toezichthouder heeft het ministerie in 2021 al eens gewezen op de gevaren en ziet nog altijd onzorgvuldigheden, terwijl de slimme verkeerslichten steeds vaker geplaatst worden. Daarom doet de AP nogmaals een klemmend beroep op demissionair minister Mark Harbers (Infrastructuur en Waterstaat) om uit te zoeken of de verkeerslichten voldoen aan de privacywetgeving.
Alles bij de bron; NU
Consumenten worden vaak niet goed ingelicht over wat een slim apparaat precies doet. Ook ontbreekt informatie over in welke omgeving het product werkt en waar het mee kan samenwerken. Dat concluderen de Autoriteit Consument & Markt (ACM) en de Rijksinspectie Digitale Infrastructuur (RDI) in een gezamenlijk onderzoek.
De ACM en RDI baseren hun conclusie op een steekproef met vijftien slimme apparaten. Daar vallen huishoudelijke apparaten onder, zoals slimme verlichting, babyfoons, televisies, thermostaten en wasmachines. Uit het onderzoek blijkt dat het vooral misgaat bij de meegeleverde apps die slimme apparaten gebruiken.
Met de uitkomsten willen de toezichthouders de basis leggen voor hun toezicht op slimme apparaten.
Alles bij de bron; NU
Deurbelcamera's van fabrikant Eken, die ook onder allerlei andere namen worden verkocht, zijn zeer eenvoudig door kwaadwillenden over te nemen, die daarna ermanent met beelden van de videofeed kunnen meekijken. Het enige dat een aanvaller hoeft te doen is een account aanmaken via de Aiwit-app.
Vervolgens kan de aanvaller naar de deurbelcamera van zijn slachtoffer gaan en de bel indrukken om de pairingmode te starten. Vervolgens is het mogelijk om de deurbel met een wifi-netwerk te verbinden en het apparaat zo volledig over te nemen. Daarna is het mogelijk om live met de camera mee te kijken. Ook kan de aanvaller dan het serienummer van de camera achterhalen.
De oorspronkelijke eigenaar krijgt, wanneer een aanvaller zijn telefoon aan de deurbelcamera koppelt, bericht dat hij geen toegang meer heeft. Door zijn telefoon opnieuw te pairen is het mogelijk voor de eigenaar om de controle weer terug te krijgen. Een probleem is echter dat een aanvaller met het achterhaalde serienummer van de deurbelcamera beelden van de videofeed kan blijven bekijken, ook al is zijn telefoon niet meer gepaird. Hiervoor is geen account of wachtwoord vereist en de eigenaar krijgt hier geen melding van.
Tevens blijkt dat de deurbelcamera's ook het ip-adres en wifi-netwerknaam onversleuteld naar het internet versturen. De camera's worden in allerlei webshops en op online marktplaatsen aangeboden, ook in Nederland. De Android-app van Eken is meer dan een miljoen keer gedownload. De problemen zijn bij de deurbelcamerafabrikant aangemeld, maar er is geen reactie op ontvangen.
Alles bij de bron; Security