Hackers in de kinderkamer

Frank Meeuwsen

Criminelen kregen toegang tot de audio-opnames van een connected knuffelbeer. Wat kunnen we daarvan leren?

De keuze om een teddybeer te kopen die verbonden is met het internet is geheel en al je eigen keuze. Het is niet vreemd dat we aangetrokken worden door iets wat nieuw of uitzonderlijk is van wat we al kennen. Kijk naar het succes van mobiele telefoons, Moleskine-notitieboeken en Boer Zoekt Vrouw. Dus ja, een teddybeer die je berichtjes kan sturen over het internet klinkt natuurlijk erg aanlokkelijk.

Frank MeeuwsenFrank MeeuwsenMaandelijks staat columnist Frank Meeuwsen stil bij de laatste ontwikkelingen op het gebied van smart homes en het Internet of Things. Deze maand: de beveiliging van 'slim' speelgoed.Maar steeds vaker komt deze innovatie met een keerzijde. Het internet is niet meer iets wat op een oude computer in de werkkamer staat of waar je niets mee te maken hebt. Het internet is overal. Van het inchecken met je ov-chipkaart tot de camera’s in de stad en een leuk nieuw spelletje op je telefoon. Ik vind het internet nog altijd één van de grootste uitvindingen die we als mensheid hebben gedaan. Maar de keerzijde is helaas dat het internet nooit bedoeld is voor het gebruik vandaag de dag.

Het internet is een systeem van toevallig aan elkaar geregen protocollen en afspraken die niet zijn voorzien op de massale toepassing zoals we die nu kennen. Er zitten bugs in de kelder en trollen in het fundament van het internet. Eigenlijk zouden we opnieuw moeten beginnen.

Incidenten

Daarbij zijn we als maatschappij ons meer afhankelijk gaan stellen van een onzichtbaar en onbereikbaar ‘iets’ wat voor ons zal zorgen. Was het in de vorige eeuw nog gebaseerd op religie, nu moeten we maar vertrouwen op politieke partijen en grote bedrijven dat ze voor ons zorgen. Dat ze het beste met ons voor hebben.

Ergens weten we dat het niet klopt en dat het niet zo is. We weten niet zo goed wat er achter de schermen gebeurt op een website of een mobiele app. Maar we halen onze schouders op omdat we er niets aan kunnen doen. Omdat we niet weten bij wie we moeten zijn en waar we moeten beginnen. Het is te veel. Het is te complex.

Dus wachten we op de volgende nieuwsberichten van een gehackt apparaat. Dat kan een leger aan webcams zijn, foto’s van internationale beroemdheden of een video van een nationale diva. We zuchten en denken, dat is ver mijn bed. Laat maar. Ik ga verder met wat ik al deed. En we wachten op het volgende incident.

CloudPets

Nu is het echter een teddybeer die wordt gehackt. Een speelgoedbeer van een relatief kleine producent. Als je in de berichtgeving duikt en goed leest, dan kom je er al snel achter dat het bedrijf niet écht is gehackt. De database met alle gebruiksgegevens was benaderbaar via IoT-zoekmachine Shodan en bleek allerminst beveiligd. Vergelijk de beveiliging van deze accounts met het afsluiten van je voordeur met een postbode-elastiekje. Inclusief touwtje uit de brievenbus. Je loopt zo naar binnen om even rond te neuzen.

Daarnaast bleken de kleuter-voicemails op een aparte server te staan bij Amazon. Deze server is eveneens zonder authenticatie te bekijken en met wat gokken kun je eenvoudig de berichten luisteren die er staan opgeslagen. Ik noem dat geen hacken, dit is een regelrechte inschattingsfout van Spiral Toys. In de jacht om maar snel op de markt te komen met een fonkelend nieuw stuk speelgoed worden basis beveiligingsprincipes in de wind geslagen.

Cayla

Om maar snel op de markt te komen met een fonkelend nieuw stuk speelgoed worden beveiligingsprincipes in de wind geslagen Omdat onze leefwereld door het internet steeds minder grenzen kent, zowel sociaal als economisch, lijkt het lastig om nationaal paal en perk te stellen aan dergelijke producenten. Toch doet Duitsland dat bijvoorbeeld wel. Recent gaf de Duitse telecom-waakhond het advies aan ouders om de speelgoedpop Cayla te vernietigen.

De pop maakt via een app verbinding met het web om vragen te beantwoorden van kinderen. De beveiliging van deze Chuckie 2.0 was echter niet goed genoeg. Genoeg reden om in Duitsland een dringend advies af te geven de Cayla-pop niet meer te gebruiken. De vraag is natuurlijk hoeveel ouders dit advies ontvangen en opvolgen.

Het voorbeeld uit Duitsland laat zien hoe expertise op de juiste plekken al kan helpen om dergelijke uitwassen van onze connected culture te voorkomen. Ik ben nog redelijk optimistisch en ik denk dat Spiral Toys geenszins van plan is om de audioberichten van de Connected Pets teddybeer stiekem af te luisteren en door te verkopen aan adverteerders.

Maar in de jacht om maar de eerste op de markt te zijn, of op tijd voor de feestdagen, worden olifantenpaadjes genomen waar juist elke stap doordacht moet zijn. Van stevige hardware tot absoluut veilige software. Helaas winnen economische en bedrijfsbelangen het van publieke belangen op zo’n moment.

Afdoende beveiliging

Hardwarefabrikanten moeten de beveiliging vergelijken met die van je huis Aan de andere kant, hoe kun je als hardwarefabrikant inschatten welke beveiliging afdoende is? Vergelijk het wederom met je huis. Is een goed slot op je voordeur voldoende? Of zijn er extra sloten nodig op de deur, een rolluik voor het raam, drie Dobermans en twee wachttorens? Het is maar net hoeveel waarde er in het gebouw aanwezig is.

Hoe waardevol zijn korte audioberichten van kinderen en grootouders voor anderen? Misschien is het bericht op zich van geen waarde, maar laten we niet onderschatten hoe sterk de ontwikkelingen zijn in technologie. Geïsoleerde hacks door beveiligingsexperts nu zijn de downloadbare voorbeelden voor scriptkiddies van morgen.

En waar ligt de verantwoordelijkheid voor de ouders? Hoe kun je jezelf wapenen tegen dergelijke uitwassen? Waar moet je beginnen? Het veld is steeds onoverzichtelijker aan het worden en de regels zijn complex. Je afsluiten van het internet is vrijwel onmogelijk, maar er zijn manieren om je zo goed mogelijk te beveiligen.

Om de analogie dan nog even in stand te houden, ik hoef niet de ins en outs van het beveiligen van mijn huis te kennen, maar een basiskennis (doe de deur op slot, let op de ramen) kan geen kwaad én ik zou moeten weten waar ik meer kennis kan vinden. Bij welke personen of instanties, al dan niet met een keurmerk. In een eerder bericht hier op Numrush wordt de rol van Mediawijzer al aangehaald.

Bewustwording

Met een klein beetje meer kennis van de mogelijkheden, een andere houding ten opzichte van technologie en bewust gedrag in het gebruik van deze technologie kom je al een heel eind. De toolbox van Bits Of Freedom is een goede start. Eerlijk is eerlijk, het mist soms de aantrekkingskracht van baby-updates van Facebook, maar denk aan de baby’s die je er in de toekomst een plezier mee gaat doen.

Ondanks een onveilige leefwereld, zowel online als offline, is het goed om je bewust te zijn van de gevaren en er naar te handelen. Alsof je een deur extra op slot doet.