3 mei 2022

Hoe jouw slimme apparaten gebruikt kunnen worden in (Russische) cyberaanvallen

DDoS-aanvallen, waarbij hackers websites uit de lucht halen, zijn een belangrijk Russisch wapen in de oorlog tegen Oekraïne. Deze aanvallen verlopen vaak via een verzameling van honderdduizenden tot miljoenen kwetsbare slimme apparaten die met het internet verbonden zijn, zoals beveiligingscamera’s, slimme deurbellen en netwerk harde schijven. En ook die van jou kunnen misbruikt worden voor dat soort doeleinden. “Dit zou genoeg moeten zijn voor consumenten om zich af te vragen: ‘wat kan ik doen?’ Dit moet je namelijk niet willen”, zegt Dave Maasland, CEO van cyberbeveiligingsbedrijf ESET-Nederland.

Het is halverwege februari, vlak voor de invasie van Rusland in Oekraïne, en de spanningen lopen op dat moment hoog op. Rusland heeft net aangekondigd zijn militaire oefeningen bij de grens van Oekraïne te beëindigen, wanneer uit het kamp van Oekraïne berichten naar buiten komen over cyberaanvallen. Het ministerie van Defensie en twee nationale banken zijn geraakt door DDoS-aanvallen. Twee weken later, een dag voor de invasie, gebeurt het weer. Amerika zegt bewijs te hebben dat de aanvallen vanuit Rusland komen, het Kremlin ontkent. Ook na de invasie blijft Oekraïne last houden van DDoS-aanvallen.

Aan het begin van de oorlog was iedereen ervan overtuigd dat er naast fysieke oorlogsvoering ook veel gebruik gemaakt zou worden van cyberaanvallen. In een later stadium van de oorlog leek dit toch mee te vallen. Maar in een rapport van Microsoft dat vorige week verscheen, wordt dit ontkracht. Cybercriminaliteit speelt namelijk een grotere rol in de oorlog dan eerder werd gedacht, stelt de techreus. Zo worden cyberaanvallen gebruikt om fysieke militaire acties te ondersteunen. De aanval op een tv-toren in Kiev wordt door Microsoft als voorbeeld genoemd. Een groot mediabedrijf dat deze toren gebruikte om uit te zenden werd bestookt met cyberaanvallen op dezelfde dag dat de toren werd aangevallen met rakketen.

Psychologische impact

“DDoS-aanvallen zijn een belangrijk onderdeel in de hybride oorlogsvoering van Rusland tegen Oekraïne. Het heeft ook grote psychologische impact op de gewone burger van Oekraïne”, zegt Maasland. Hij geeft als voorbeeld de periode vlak voor de oorlog. “De burgers waren al bang, en opeens valt hun overheid om op digitaal gebied en daarnaast kunnen ze niet meer bij de websites van hun banken. Het feit dat er iemand is die op een soort aan-en-uitknop kan drukken en hun essentiële diensten kan uitzetten, geeft een enorm onheilspellend gevoel.”

DDoS staat voor Distributed Denial-of-Service en is een aanval waarbij websites bestookt worden met heel veel informatie waardoor de website overbelast raakt. Gedurende de tijd van de aanval werkt de website dan niet meer. Zulke aanvallen worden uitgevoerd via een zogeheten botnet, een soort robotleger van soms wel honderdduizenden tot miljoenen gehackte slimme apparaten die centraal worden aangestuurd. Deze apparaten bevinden zich in landen over de hele wereld, ook in Nederland. Alle slimme apparaten bij elkaar proberen tijdens een aanval tegelijkertijd een website te bezoeken om deze te overbelasten.

Het internet der dingen

The Internet of Things of in het Nederlands het internet der dingen, is een term die wordt gebruikt om producten aan te duiden die met het internet verbonden zijn. Denk bijvoorbeeld aan een bewakingscamera waarbij je de beelden vanaf een afstand kunt bekijken op je telefoon. Of aan een slimme deurbel die notificaties naar je telefoon stuurt wanneer er wordt aangebeld, je kunt dan zelfs online bekijken wie er voor je deur staat. Dat is misschien handig, maar de snelheid waarmee deze industrie zich ontwikkelt, heeft ook gevolgen. Verwacht wordt dat er in 2025 wereldwijd ongeveer 75 miljard slimme apparaten op de markt zullen zijn.

In een speciaal ingericht testlab bij het Agentschap Telecom (AT) van het ministerie van Economische Zaken en Klimaat worden sinds begin dit jaar verschillende slimme apparaten getest op hun cyberveiligheid. Dat doen ze niet voor niets, want het is vaak nog niet goed op orde, zo schrijft het AT in haar pas gepubliceerde jaarverslag. Omdat veel apparaten die op de markt komen nog te kwetsbaar zijn, vormen deze “een groot risico voor de maatschappij.”

Nieuwe wetgeving

Vanaf augustus 2024 moeten slimme apparaten die binnen Europa op de markt worden gebracht aan een aantal veiligheidseisen voldoen. Hiermee zullen deze apparaten veiliger worden en daarmee minder makkelijk te hacken. Vanaf dat moment wordt het AT ook officieel toezichthouder op dit gebied. “Gezien de hoeveelheid van deze producten die op de markt komen, gaan we nu al aan de slag”, zegt Erik Lucas, hoofd van de afdeling markttoezicht van het AT. “Zo gaan we in gesprek met fabrikanten en importeurs, maar we willen ook bij consumenten de bewustwording omtrent de risico’s van slimme apparaten aanwakkeren.”

De tekst gaat verder onder het kader.

Wat kun je zelf doen?

Ondanks dat het nog twee jaar duurt voordat de nieuwe regelgeving van kracht is, kun je wel al dingen doen om je slimme apparaten veiliger te maken:

  • Nu al doen bepaalde fabrikanten steeds beter hun best om goed beveiligde producten op de markt te brengen. Het is dus slim om producten van goede kwaliteit te kopen en niet van bijvoorbeeld Chinese webshops. In China staat de beveiliging van slimme apparaten niet bovenaan het prioriteitenlijstje, ze vinden het daar vooral belangrijk dat ze goedkoop zijn.
     
  • Hackers maken vaak gebruik van bekende kwetsbaarheden in apparaten die nog niet ‘gepatcht’ zijn. Het is daarom belangrijk om altijd je updates te doen. Op de overheidswebsite www.veiliginternetten.nl kun je een overzicht vinden van de meest voorkomende slimme apparaten en hoe je deze het best kunt updaten.
     
  • Veel slimme apparaten hebben standaard inloggegevens zoals admin/admin. Hackers scannen het internet af naar producten en controleren of jij deze inloggegevens niet hebt veranderd om er dan, wanneer je dit niet hebt gedaan, op in te loggen. Goede apparaten vragen je na de eerste keer inloggen om je wachtwoord te veranderen, maar ook als dit niet wordt gevraagd is het dus goed om zelf persoonlijke inloggegevens aan te maken, met dan het liefst ook nog een moeilijk wachtwoord.

Omdat slimme apparaten verbonden zijn met het internet kunnen digitale inbrekers mogelijk meekijken op je bewakingscamera’s. “Je moet er niet aan denken dat kwaadwillende zo’n ding hacken en dan beschikken over de opnames”, aldus Lucas. Maar het kan nog erger: “Beelden van buiten het huis vind ik nog één ding, maar als je babyfoon gehackt wordt, dan vind ik dat toch wel weer wat anders. Er kan echt inbreuk gemaakt worden op je privé leefomgeving. Naast de persoonlijke consequenties kunnen gehackte slimme apparaten ook gebruikt worden voor DDoS-aanvallen zoals die op Oekraïne.”

Ook via Nederlandse apparaten

Sinds de eerste DDoS-aanvallen die op Oekraïne afgevuurd worden, houden analisten het internet extra goed in de gaten. Volgens het Amerikaanse bedrijf BadPackets, dat het internet afspeurt naar actieve DDoS-aanvallen, zijn ook Nederlandse slimme apparaten betrokken bij de digitale aanvallen die gebruikt worden in de oorlog. Wel laat Troy Mursch van BadPackets weten dat de hoeveelheid meevalt. Volgens Dave Maasland van ESET wil dat niet zeggen dat je je er daarom geen zorgen om hoeft te maken. “Er zijn twee belangrijke dingen. Ten eerste, ondanks dat de kans misschien klein is dat jouw apparaten gebruikt worden in een oorlog, is de kans er wel. Dat zou genoeg moeten zijn voor consumenten om zich af te vragen: ‘Wat kan ik doen?’ Als je je dan aan de andere kant beseft dat het oplossen van dit probleem ook niet al te veel moeite hoeft te kosten, dan moet je dit niet willen, dat jouw apparaten worden gebruikt in een oorlog.”

Probleem niet helemaal opgelost

Voor de sector is de komst van de nieuwe wetgeving in 2024 een belangrijke stap, maar daarmee is het probleem niet helemaal opgelost, erkent ook de toekomstig toezichthouder: “Het kan altijd dat er toch weer nieuwe manieren gevonden worden om slimme apparaten te hacken. Daarnaast is het echt een probleem dat er heel veel producten ook via webshops van buiten Europa worden gekocht, die niet aan de Europese veiligheidseisen hoeven te voldoen”, aldus Lucas. “Een ander probleem is”, zo vult Dave Maasland aan, “dat sommige slimme apparaten soms jarenlang meegaan. Als de nieuwe regelgeving van kracht wordt, betekent dat niet dat mensen hun slecht beveiligde apparaten ineens massaal in de prullenbak gaan gooien en nieuwe gaan kopen die wel goed beveiligd zijn.”

Wil je op de hoogte blijven van dit onderzoek?

Elke week sturen we je onderzoeksverhalen, tips van de redactie, en verhalen die je nog van ons kan verwachten.

Auteurs

T.D.

Thijs van Dorssen

Verslaggever radio
C.C.

Charlotte Claessen

Designer