Twee elementen gecombineerd om dit artikel mogelijk te maken. De eerste was dat het oktober was Cybersecurity Awareness Maand. Ten tweede: midden in de maand de eerste trailer voor het nieuwe Schreeuw film gevallen. Het bevatte een scène waar we ons een beetje zorgen over maakten. Kijk of je het kunt ontdekken.
Inhoud
- LOLwut?
- Blijf het spel voor
Schreeuw | Officiële trailer (film uit 2022)
Uiteraard hebben we het over de scène met slimme sloten. Al uw sloten in uw huis ontgrendelen, zodat u uw sloten tevoorschijn kunt halen smartphone en vergrendel ze opnieuw, maar je ziet ze allemaal weer ontgrendelen. De implicatie hier is dat de persoon van Mr. Scary Killer het smart home-account van zijn slachtoffer heeft gehackt en alle apparaten in het hele huis kan bedienen. Jawel.
Aanbevolen video's
Als iemand die vanwege alle drukte geen sleutels van zijn huis bij zich heeft slimme sloten, Ik werd een beetje zenuwachtig. Daarom besloot ik er met iemand over te praten. Ik nam contact op met John Shier, senior veiligheidsadviseur bij
Sophos-huis om erover te praten. Hij bracht mij goed nieuws en slecht nieuws. Ik zal beginnen met het slechte nieuws.Ja, dit is mogelijk. Het goede nieuws is dat het nogal moeilijk is om te doen en het betere nieuws is dat de kans dat dit jou overkomt oneindig klein is, tenzij je natuurlijk ook iemand hebt die je echt kwaad wil doen. Maar de eerlijke waarheid is dat de kans groot is dat er genoeg van uw gegevens beschikbaar zijn die zoiets mogelijk kunnen maken.
LOLwut?
Er zijn twee dingen die dit mogelijk maken: social engineering en datalekken. Afzonderlijk kan elk van deze een aanvaller voldoende informatie verschaffen hack je slimme huis. Samen wordt het nog meer mogelijk. Maar je moet het begrijpen als we zeggen dat dit zo is mogelijk, moeten we snel een kanttekening maken door te zeggen dat het niet erg is waarschijnlijk.
Als je het idee van de film accepteert dat er veel planning en voorbedachte rade is, wordt dit een stuk eenvoudiger, dat wil zeggen plausibeler. Het is een feit dat datalekken vaak voorkomen en dat mensen vaak voorkomen hergebruik e-mailadressen en wachtwoorden voor meerdere diensten. Uw wachtwoord dat is vrijgegeven door het XYZ-bedrijf (we schamen ons hier niet voor datalekken) zou wel eens dezelfde gebruikersnaam en hetzelfde wachtwoord kunnen zijn die u gebruikt voor uw slimme sloten. Zelfs als het wachtwoord anders is, is het e-mailadres een belangrijk stukje informatie voor andere manieren om binnen te dringen.
Voordat je het vraagt: nee, we veranderen dit niet in een tutorial over ‘hack je een weg naar de huizen van je vrienden en familie’. Maar het volstaat te zeggen dat alle informatie over u die door een van deze datalekken aan het licht is gekomen, een potentiële overtreder een stukje dichter bij de uiteindelijke toegang tot uw accounts brengt. Dat kan via social engineering of door gebruik te maken van gegevens die bij inbreuken zijn blootgesteld. Geen van beide is triviaal. “Ik denk dat als we het hebben over IoT-beveiliging in het algemeen, dit waarschijnlijk enkele van de grootste risico’s zijn als het erom gaat dat de apparaten buiten je controle vallen”, legt Shier uit.
Social engineering is gebaseerd op bedrog dat eerlijk gezegd wel of niet werkt. Als iemand besluit deze weg te bewandelen, moet hij of zij zich in een positie bevinden waarin hij een gebruiker voor de gek kan houden zodat hij zijn inloggegevens opgeeft. Het was op dit punt in mijn gesprek met Shier dat ik enkele verrassende manieren leerde waarop je gemakkelijk een phishing-site voor dat doel kunt opzetten. Nogmaals, dit is geen tutorial, dus ik zal dat hier niet herhalen, maar het volstaat te zeggen dat internet soms gewoon waardeloos is.
De andere route zou het doorzoeken van miljoenen sets met inloggegevens inhouden en het vinden van een doelwit, dat afhankelijk van de inbreuk mogelijk niet bij naam kan worden geïdentificeerd. Een doelwit kan de naam John Doe hebben, maar hun e-mailadres kan [email protected] zijn en er is misschien geen manier om deze twee ongelooflijk uiteenlopende stukjes informatie met elkaar in verband te brengen.
Sites zoals haveIbeenpwned.com kunnen u laten weten of uw e-mailadres ergens deel uitmaakt van een datalek, maar ze hebben ook het omgekeerde effect. Een aanvaller kan het e-mailadres van een potentieel slachtoffer achterhalen en die site gebruiken om te zien van welke datalekken hij/zij deel uitmaakt. Van daaruit kunt u de gegevens van de inbreuken downloaden en de gebruikersnamen en wachtwoorden uitproberen. Dat wil zeggen: het is niet zo dat een aanvaller toegang krijgt tot het e-mailadres van een potentieel slachtoffer en alleen maar wachtwoordresets verzendt.
“De kans is groter dat je inkomsten genereert dan dat je wordt gestalkt. Het is waarschijnlijker dat [criminelen] uw bankgegevens en persoonlijke gegevens willen bemachtigen [voor] identiteitsfraude dan dat zij met uw lampen en deursloten aan het rommelen zijn”, aldus Shier.
Het punt van dit alles is dat het heel goed mogelijk is en dat de gegevens daarvoor beschikbaar zijn, maar dat de kans klein is dat het een willekeurig persoon overkomt door een andere willekeurige hacker. Er is veel werk nodig om in te breken in iemands inloggegevens voor zijn slimme huis. Maar het is veel waarschijnlijker dat alle gegevens die tijdens een datalek verloren gaan, zullen worden gebruikt om inkomsten te genereren, of dat nu het verkopen van de gegevens is of het gebruiken van de gegevens voor identiteitsdiefstal.
Het is ongelooflijk onwaarschijnlijk dat het eindresultaat van een hacker die inbreekt in een bedrijf een scène uit een horrorfilm zal zijn. Maar ik veronderstel dat ik moet toegeven dat het niet nul is. Ik moet ook vermelden dat identiteitsfraude op zichzelf een scène is uit een veel nerdyre horrorfilm, maar het is ook behoorlijk verschrikkelijk als het je overkomt.
Blijf het spel voor
Dat gezegd hebbende, zijn er dingen die u kunt doen om uw gegevens te beschermen en uw slimme huis veilig te houden. Shier spreekt over identiteitshygiëne, zoals het gebruik van verschillende e-mailadressen en wachtwoorden van elke site die er is. Als uw gegevens vrijkomen, is de schade minimaal. Met behulp van een van de beste wachtwoordmanagers is een geweldig idee, net als het waar mogelijk inschakelen van tweefactorauthenticatie.
Een ander ding dat Shier opmerkt, is dat je er zeker van moet zijn dat alle standaardaccounts of wachtwoorden die mogelijk bij je smart home-apparaat zijn geleverd, worden verwijderd of gewijzigd. Sommige apparaten worden standaard geleverd met “admin/admin” als gebruikersnaam en wachtwoord, en soms maken gebruikers hun eigen account aan zonder de standaardinstelling te verwijderen. Op dezelfde manier zullen ze zelf een nieuw wachtwoord maken zonder het ingebouwde wachtwoord te hebben verwijderd. Hackers kunnen gemakkelijk achterhalen wat die standaardwachtwoorden zijn en met die informatie een hack uitvoeren.
Blijf bij naammerken. Off-brand en/of kleinere bedrijven hebben de neiging om te komen en gaan, en beschouwen de implementatie van software-updates mogelijk niet zo cruciaal als sommige van de meer bekende en betrouwbare merken. Als u een apparaat heeft dat al een tijdje niet is bijgewerkt, kunt u overwegen contact op te nemen met de klantenondersteuning en uit te zoeken wat daarmee aan de hand is. Softwareontwikkeling is een continu proces.
Daarover gesproken: zorg ervoor dat u uw smart home-apparaten up-to-date houdt. Het is geen slecht idee om regelmatig te controleren op software-updates. Beveiligingsproblemen kunnen van tijd tot tijd de kop opsteken en vaker wel dan niet worden ze snel onderdrukt. Maar dat helpt alleen als je de update daadwerkelijk downloadt en installeert.
Het goede nieuws is dus dat je, tenzij je iemand heel erg boos hebt gemaakt, je huissleutels thuis kunt blijven laten. Laten we eerlijk zijn: als je ze zo boos hebt gemaakt, zou een gewone nachtschoot waarschijnlijk toch niet veel helpen. Maar dat wil niet zeggen dat u uw waakzaamheid volledig kunt laten varen. Zorg ervoor dat u regelmatig controleert op updates voor uw slimme huistechnologie, gebruik wachtwoordbeheerders en 2FA, en, belangrijker nog, zeg nooit: "Ik ben zo terug."
Aanbevelingen van de redactie
- De Amerikaanse regering gaat in 2024 een nieuw cyberbeveiligingsprogramma voor slimme apparaten voor thuisgebruik lanceren
- 6 smarthome-apparaten waarmee u honderden euro’s per jaar kunt besparen
- Slimme huizen zonder wifi: enorme mogelijkheden of wegversperringen?
- Deze Zuid-Koreaanse smart home-hack is nog een reden waarom u uw huis moet beveiligen
- De Zuid-Koreaanse smart home-hack is het spul van nachtmerries
