![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Let op: Tweakers stopt per 2023 met Tweakblogs. In
dit artikel
leggen we uit waarom we hiervoor hebben gekozen.
Smarthome-beveiliging: valt jouw bureaulamp de banken aan?
We produceren al een tijd Wat de Hack?!, een podcast die de brug slaat tussen de wilde wereld van hackers en het echte leven. Een onderwerp uit de actualiteit wordt tegen het licht gehouden, het liefst met een gast die extra context kan bieden terwijl we het onderwerp zo begrijpelijk mogelijk houden. Voor wie geen drie kwartier heeft om te luisteren, vormt deze blog het perfecte medium om toch de belangrijkste dingen mee te nemen!
De podcast staat deze week in het teken van de beveiliging van smarthomes, in navolging van de meetup die Tweakers afgelopen woensdag hield. Ondanks onze praktijkervaring wilden we het onderwerp toch nog iets breder aanvliegen. Daartoe hebben we Emile Nijssen uitgenodigd, co-founder van Athom, het bedrijf achter Homey. Hij was natuurlijk ook aanwezig bij de Tweakers Meetup, maar security kwam niet aan bod en dat gat wilden we graag even opvullen.
We hebben onder onze luisteraars via Instagram gevraagd hoeveel smarthome-gadgets zij in huis hebben en dat komt gemiddeld neer op zo’n 4 producten. We zijn natuurlijk benieuwd hoeveel jullie er hebben, en misschien vinden we wel een recordhouder (Femme Taken, looking at you). Van ons is Diederik in ieder geval de allergrootste hobbyist, elke vierkante centimeter van zijn huis is slim gemaakt.
We kennen allemaal voorbeelden van producten waarbij de prijs niet hoog is, maar de kwaliteit en beveiliging dan ook te wensen overlaat. Goedkoop is vaak duurkoop en dat blijkt helaas ook in de wereld van smarthome. Met iets als een Zigbee-temperatuursensor is dat misschien nog niet zo’n probleem, maar alles wat zichzelf direct met het internet kan verbinden kan al een stuk gevaarlijker zijn. Het moet nog gebeuren maar een botnet vol met bureaulampen wordt steeds realistischer. Daar blijft het overigens niet bij. Een onderzoek [1] toonde aan dat manipulatie van IoT-apparaten met een hoog piekvermogen, zoals ovens, wasmachines en airconditioners, lokale tot landelijke gevolgen kan hebben voor de stroomvoorziening. Er hoeft maar een flinke kwetsbaarheid gevonden te worden in een cloudplatform van een fabrikant van dit soort apparaten en de beschreven aanval wordt opeens heel realistisch.
Ons advies? Vergelijk bij aankoop de verschillende opties en neem naast de functionaliteit van het product ook de connectiviteit goed onder de loep. Menig fabrikant koppelt zijn producten aan het internet, en levert een clouddienst met bijbehorend abonnement mee. Een fijn businessmodel voor de fabrikant, en op korte termijn goedkoop en makkelijk voor de consument door een vaak lage instapprijs en het niet nodig hebben van een 'hub', maar die hub maakt het geheel in de praktijk vaak wel een stuk veiliger door te fungeren als een scheiding tussen het slimme huis en het internet.
Een belangrijke voorwaarde is natuurlijk dat de hub zelf ook goed beveiligd is. Daarom nodigden we Emile Nijssen uit, co-founder van Athom en bedenker van Homey, om eens de diepte in te gaan over de beveiliging van een hub zoals Homey. Gelukkig lijken het ontwerp en de processen achter dit product goed in elkaar te steken en hoeven gebruikers zich weinig zorgen te maken. Binnen de podcast gaan we hierover de diepte in en worden zowel het apparaat als het bedrijf erachter tegen het licht gehouden.
Wij zien meerwaarde in het, waar mogelijk, 'declouden' [2] van apparaten en het toevoegen van een extra beveiligingslaag in de vorm van een hub zoals een Homey, Philips Hue Bridge of Home Assistant. Kies bij aankoop zoveel mogelijk apparaten die geen directe internetverbinding nodig hebben en breed ondersteund zijn. Ondersteuning van cloudfunctionaliteit kan zomaar worden teruggetrokken of aangepast, zoals het geval met de Nest-thermostaat van Diederik, en de beveiligingsrisico's zijn niet mals. Edit: een uur na het publiceren van deze post komt er al een gloednieuw voorbeeld in het nieuws: Somfy deelt bans uit aan gebruikers die de cloudfunctionaliteit veelvuldig aanspreken, maar ondersteunt geen lokale verbinding met haar smarthomeapparaten. [3]
Dat was het voor deze keer, laat ons weten in de comments wat je vond van ons eerste blog en we komen over 2 weken weer bij jullie terug met een fris onderwerp. Vond je de blog interessant, maar snak je naar meer details, luister dan vooral de podcast zelf! Schroom ook niet om ons te volgen op Instagram en je mag ons natuurlijk altijd een mailtje sturen naar hallo@watdehackpodcast.nl.
[1] https://www.usenix.org/co...ity18/presentation/soltan
[2] https://github.com/Hypfer/Valetudo
[3] nieuws: Somfy dreigt met bans als gebruikers api teveel belasten
De podcast staat deze week in het teken van de beveiliging van smarthomes, in navolging van de meetup die Tweakers afgelopen woensdag hield. Ondanks onze praktijkervaring wilden we het onderwerp toch nog iets breder aanvliegen. Daartoe hebben we Emile Nijssen uitgenodigd, co-founder van Athom, het bedrijf achter Homey. Hij was natuurlijk ook aanwezig bij de Tweakers Meetup, maar security kwam niet aan bod en dat gat wilden we graag even opvullen.
We hebben onder onze luisteraars via Instagram gevraagd hoeveel smarthome-gadgets zij in huis hebben en dat komt gemiddeld neer op zo’n 4 producten. We zijn natuurlijk benieuwd hoeveel jullie er hebben, en misschien vinden we wel een recordhouder (Femme Taken, looking at you). Van ons is Diederik in ieder geval de allergrootste hobbyist, elke vierkante centimeter van zijn huis is slim gemaakt.
We kennen allemaal voorbeelden van producten waarbij de prijs niet hoog is, maar de kwaliteit en beveiliging dan ook te wensen overlaat. Goedkoop is vaak duurkoop en dat blijkt helaas ook in de wereld van smarthome. Met iets als een Zigbee-temperatuursensor is dat misschien nog niet zo’n probleem, maar alles wat zichzelf direct met het internet kan verbinden kan al een stuk gevaarlijker zijn. Het moet nog gebeuren maar een botnet vol met bureaulampen wordt steeds realistischer. Daar blijft het overigens niet bij. Een onderzoek [1] toonde aan dat manipulatie van IoT-apparaten met een hoog piekvermogen, zoals ovens, wasmachines en airconditioners, lokale tot landelijke gevolgen kan hebben voor de stroomvoorziening. Er hoeft maar een flinke kwetsbaarheid gevonden te worden in een cloudplatform van een fabrikant van dit soort apparaten en de beschreven aanval wordt opeens heel realistisch.
Ons advies? Vergelijk bij aankoop de verschillende opties en neem naast de functionaliteit van het product ook de connectiviteit goed onder de loep. Menig fabrikant koppelt zijn producten aan het internet, en levert een clouddienst met bijbehorend abonnement mee. Een fijn businessmodel voor de fabrikant, en op korte termijn goedkoop en makkelijk voor de consument door een vaak lage instapprijs en het niet nodig hebben van een 'hub', maar die hub maakt het geheel in de praktijk vaak wel een stuk veiliger door te fungeren als een scheiding tussen het slimme huis en het internet.
Een belangrijke voorwaarde is natuurlijk dat de hub zelf ook goed beveiligd is. Daarom nodigden we Emile Nijssen uit, co-founder van Athom en bedenker van Homey, om eens de diepte in te gaan over de beveiliging van een hub zoals Homey. Gelukkig lijken het ontwerp en de processen achter dit product goed in elkaar te steken en hoeven gebruikers zich weinig zorgen te maken. Binnen de podcast gaan we hierover de diepte in en worden zowel het apparaat als het bedrijf erachter tegen het licht gehouden.
Wij zien meerwaarde in het, waar mogelijk, 'declouden' [2] van apparaten en het toevoegen van een extra beveiligingslaag in de vorm van een hub zoals een Homey, Philips Hue Bridge of Home Assistant. Kies bij aankoop zoveel mogelijk apparaten die geen directe internetverbinding nodig hebben en breed ondersteund zijn. Ondersteuning van cloudfunctionaliteit kan zomaar worden teruggetrokken of aangepast, zoals het geval met de Nest-thermostaat van Diederik, en de beveiligingsrisico's zijn niet mals. Edit: een uur na het publiceren van deze post komt er al een gloednieuw voorbeeld in het nieuws: Somfy deelt bans uit aan gebruikers die de cloudfunctionaliteit veelvuldig aanspreken, maar ondersteunt geen lokale verbinding met haar smarthomeapparaten. [3]
Dat was het voor deze keer, laat ons weten in de comments wat je vond van ons eerste blog en we komen over 2 weken weer bij jullie terug met een fris onderwerp. Vond je de blog interessant, maar snak je naar meer details, luister dan vooral de podcast zelf! Schroom ook niet om ons te volgen op Instagram en je mag ons natuurlijk altijd een mailtje sturen naar hallo@watdehackpodcast.nl.
[1] https://www.usenix.org/co...ity18/presentation/soltan
[2] https://github.com/Hypfer/Valetudo
[3] nieuws: Somfy dreigt met bans als gebruikers api teveel belasten
Reacties
Door
ThaStealth,
donderdag 8 oktober 2020 09:14
Wat je al zegt, zoek apparaten die niet cloud only zijn. Dit is gewoon 1 van de eisen die ik heb als ik een nieuw smarthome apparaat koop.
Daarnaast heb ik in mijn firewall een regel aangemaakt waarbij alleen geselecteerde devices toegang krijgen tot het internet. Een LED lamp heeft geen internet nodig...
Daarnaast heb ik in mijn firewall een regel aangemaakt waarbij alleen geselecteerde devices toegang krijgen tot het internet. Een LED lamp heeft geen internet nodig...
Door
MickMack,
zaterdag 10 oktober 2020 13:35
Leuke blog 
Ik plaats standaard alle IoT apparaten in een separate VLAN. Zou houd ik zelf controle over wat de apparaten wel of niet naar buiten communiceren. Daarnaast is er enkel communicatie met het domotica systeem (Domoticz in mijn geval) mogelijk via een VPN.
Ik plaats standaard alle IoT apparaten in een separate VLAN. Zou houd ik zelf controle over wat de apparaten wel of niet naar buiten communiceren. Daarnaast is er enkel communicatie met het domotica systeem (Domoticz in mijn geval) mogelijk via een VPN.
Door
DiedB,
zaterdag 10 oktober 2020 13:39
Goed voor elkaar! Het zijn simpele maatregelen maar er wordt door velen (nog) niet goed genoeg over nagedacht.MickMack schreef op zaterdag 10 oktober 2020 @ 13:35:
Leuke blog
Door
DiedB,
zaterdag 10 oktober 2020 13:41
Heel goed! Ik zou de LED lampen al niet kopen als ze via WiFi verbonden moeten worden, deels vanuit een beveiligingsoogpunt maar ook vanuit duurzaamheid. WiFi is nou eenmaal niet ontworpen om heel zuinig te zijn, Zigbee of Z-wave zijn wat dat betreft een stuk beter.ThaStealth schreef op donderdag 8 oktober 2020 @ 09:14:
Wat je al zegt, zoek apparaten die niet cloud only zijn. Dit is gewoon 1 van de eisen die ik heb als ik een nieuw smarthome apparaat koop.
Daarnaast heb ik in mijn firewall een regel aangemaakt waarbij alleen geselecteerde devices toegang krijgen tot het internet. Een LED lamp heeft geen internet nodig...
Bij andere apparaten heb je soms geen keus en dan is afschermen en lokaal benaderen de beste oplossing.
Door
Femme,
maandag 12 oktober 2020 21:59
Een kleine toelichting van mijn kant aangezien mijn naam wordt genoemd: ik heb weliswaar een huis waarin wat dingen geautomatiseerd zijn maar ben zeker geen recordhouder als het gaat om bezit van (cloud-afhankelijke) smarthome-gadgets. Het enige dat IoT-apparaat dat aan de cloud hangt is een SolarEdge-omvormer. In het verleden hebben we ook een Arlo babycam gehad die afhankelijk was van de cloud.We hebben onder onze luisteraars via Instagram gevraagd hoeveel smarthome-gadgets zij in huis hebben en dat komt gemiddeld neer op zo’n 4 producten. We zijn natuurlijk benieuwd hoeveel jullie er hebben, en misschien vinden we wel een recordhouder (Femme Taken, looking at you).
De rest draait lokaal in een vlan specifiek voor smarthome-hardware en kan met uitzondering van de server die het geheel bestuurt niet het internet op. De I/O-interfaces, ip-camera's en de plc hebben niets op internet te zoeken en de sensoren hebben geen ip-interface.
Helemaal eens dus met jullie streven om onafhankelijk van de cloud te zijn
.Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.