Agentschap Telecom wil minimumeisen voor beveiliging iot-apparatuur

Het Agentschap Telecom, dat in Nederland onder meer toeziet op de betrouwbaarheid en veiligheid van communicatienetwerken, pleit voor minimumstandaarden en -eisen voor beveiliging van internet-of-things-apparatuur.

De organisatie schrijft dat het nodig is om zogenaamde 'cybereisen' te standaardiseren, waaraan apparaten met een internetverbinding moeten voldoen. Het agentschap noemt geen concrete voorbeelden van dat soort eisen en schrijft dat 'in afwachting van wetgeving voor de cyberveiligheid van apparatuur niet kan worden stilgezeten'. Zo zouden fabrikanten meer eigen verantwoordelijkheid kunnen nemen en veiligere producten kunnen ontwerpen. Daarnaast zou voorlichting aan consumenten een mogelijkheid zijn om het belang van veilige apparatuur te onderstrepen.

Onveilige apparaten zouden misbruikt kunnen worden om netwerken en bedrijfsprocessen te verstoren, zo waarschuwt het Agentschap Telecom verder. Directeur-hoofdinspecteur Peter Spijkerman refereert aan de Europese CE-markering, die volgens hem vruchten heeft afgeworpen om storing door radioapparatuur te voorkomen. Een uitbreiding van deze regels met eisen voor iot-apparatuur zou volgens hem een 'snelle en effectieve' oplossing kunnen bieden.

Er gaat al langer een discussie over de noodzaak van het invoeren van minimumeisen voor iot-apparaten. Begin dit jaar pleitte de Cyber Security Raad ervoor om onveilige apparatuur van de Europese markt te weren. In die adviezen kwamen ook minimumeisen terug, bijvoorbeeld ten aanzien van de periode waarin de fabrikant veiligheidsupdates blijft aanbieden. Ook zouden apparaten volgens de organisatie moeten blijven werken als ze niet met het internet zijn verbonden. Het kabinet nam in maart een motie aan om op Europees niveau voor certificering van iot-apparatuur te pleiten.

Door Sander van Voorst

Nieuwsredacteur

04-06-2018 • 10:08

86 Linkedin Whatsapp

Submitter: Muncher

Reacties (86)

86
84
30
1
0
43
Wijzig sortering
Op zich is een keurmerk of een minimum standaard een nobel streven maar ik verwacht ernstige problemen bij het handhaven van eventuele regelgeving. Een iot device haal je voor een paar euro waarbij een zeer groot deel postorder vanuit Azie wordt geleverd. In veel gevallen is er geen prioriteit voor beveiliging maar probeert men zo goedkoop mogelijk te produceren.

Hierbij is een keurmerk op Nederlands of zelfs Europees niveau ook technisch slecht af te dwingen.

[Reactie gewijzigd door Bor op 4 juni 2018 10:14]

Wat is een IOT device?

Ik denk dat niemand daar een goed antwoord op heeft. Of is dat ineens alles wat op internet is aangesloten?
Het is idd lastig te zeggen wat nou een IoT device is.

Het Internet of Things is ook meer een paradigma. Vroegah, toen waren er wat grote machines bij universiteiten en onderzoeksinstituten en men besloot die aan elkaar te hangen in een groot network of networks.
Internetworking is the practice of connecting a computer network with other networks through the use of gateways that provide a common method of routing information packets between the networks.

Al vrij snel kwamen er kleinere netwerkjes bij aangesloten en had je netwerken met enkel PC's die ook op dat zelfde internet zaten. Dedicated hosting servers en datacenters etc. kwamen er specifiek voor dat network of networks. Dat werd zo groot en globaal dat men al snel sprak van het internet.

Het internet groeide aardig exponentieel, pc/laptop verkopen zaten on the rise, de markt voor servers groeide en steeds meer landen deden mee. Maar het internet was niet het enige internet, er was zo'n network of networks voor Pinautomaten (the Interbank network) en je had ook machine to machine (m2m) netwerken over bijvoorbeeld 2g. En er waren nog veel meer van zulke alternatieve internets.

Echter steeds meer van die internetten gingen verhuizen naar het internet. In de tijd van 2G / edge telefoons kreeg je feature phones die op het digitale network van de provider konden (wie weet de i-mode knop nog?) en met 3g / umts kreeg dit een boost, maar umts telefoons hadden soms opeens webbrowsers! En zeker met de introductie van hsdpa op het 3G netwerk (en 10 euro de maand voor onbeperkt data abbonementen) gingen mobieltjes opeens massaal op het grote internet. HSDPA kwam op in 2006-2007 en in 2008 was het grootste kritiek punt op de allereerste iPhone dat hij dit netwerk niet op kon (en de volgende iPhone heette ook iphone 3G), toegang tot het internet was nu echt belangrijk.

Wat ik nu besproken heb zijn eigenlijk allemaal multi-purpose apparaten. En juist devices die men niet als IoT devices ziet. Echter paralel aan de transitie naar het internet door mobiele telefoons, kwam een vergelijkbare beweging op gang in de devices die aan M2M (Machine to Machine) communicatie deden. Waar ze eerst proprietary communicatie methodes gebruikt, gingen ze steeds meer de gevestigde internet standaarden aanhouden. In plaats van een zelf-ontwikkeld blobje binary code, wordt het steeds vaker in standaard JSON text gedaan bijv.. Sommige van deze apparaten gaan via een router/gateway/nas/etc. maar steeds meer en meer hangen ook direct aan het net (daarom dat ze met iv6 maar ruimte voor elke zandkorrel op aard hebben ingebouwd).

Consumenten producten die via het internet communiceren, maar die niet multi-purpose zijn (zoals PC's en Smartphones) en enkel een beperkte functieset hebben (een van de eerste succesvolle en wat oudere toepassingen waren IP camera's voor beveiliging) beginnen nu opeens op te komen met nieuwe soorten producten / toepassingen. Bij bedrijven is een groot deel van de IoT het vervangen van m2m devices met nieuwe devices die over het internet praten met gebruik van internet standaarden, bestaande toepassingen dus, dit wordt IIoT genoemd (Industrial Internet of Things). Om de boel lekker verwarrend te houden worden ook apparaten die enkel op een intern netwerk communiceren, maar daarbij internet communicatie standaarden (zoals JSON, restful API's, etc.) gebruiken, ook onder IIoT geschaard.

Dus op basis van bovenstaande zou je kunnen zeggen dat devices die via internet standaarden communiceren en een specifieke functie hebben IoT devices zijn. Maar daar vallen ook weer heel veel servers onder, dus dat klopt nog steeds niet 8)7


Vanuit het Agentschap Telecom, vanuit het maatschappelijk belang eigenlijk, zou ik pleiten voor regels voor elk apparaat met een ipv4 / ipv6 adres die nieuw verkocht worden. En dan wil ik ook gelijk pleiten voor zelfregulering ala het CE keurmerk (of de regels als onderdeel van CE maken, je wilt geen wildgroei aan certificeringen om aan te voldoen). Dit laatste om ook kleine projecten een kans te geven (een 10K kickstarter van nu zou dan ineens een 20K kickstarter moeten worden gezien onafhankelijke certificeringen als snel tegen de tienduizend euro kost). En dan wel proportionele boetes als blijkt dat je je er niet goed aan gehouden hebt! Dan moet de EU ook een reward program opzetten voor white hat hackers die aantonen dat een product nooit gecertificeerd had mogen worden (de boete is x% jaaromzet, de reward is Y% van die boete).
The Internet of Things (IoT) is the network of physical devices, vehicles, home appliances and other items embedded with electronics, software, sensors, actuators, and connectivity which enables these things to connect and exchange data.
Aldus Wikipedia, lijkt me een prima werkbare definitie.
oke, maar als er een "home" netwerk op wordt opgezet. dan zou dat ook iot zijn wat volgens mij niet is.

Mijn actioncam zet wifi op maar daarmee hangt het dign absoluut niet meer aan internet, het maakt het zelfs onmogelijk.

Bruikbaar ja, discutabel ook. En daar zit mijn punt. Sommige fabrikanten zijn het misschien niet met de difinitie eens. En als je politiek regels wil hebben moet de tern wel duidelijk zijn. Nu is het een hype term. Redelijk duidelijk, maar juridisch ik weet het niet.
IoT-apparaten op een home-netwerk zijn ook IoT hoor. Of ze aan het internet hangen doet er niet toe. Het gaat erom dat ze met elkaar (kunnen) communiceren en interacteren.
Volgens die logica kunnen ook ouderwetse thermostaten die met de CV ketel verbonden zijn IoT-devices genoemd worden. Ik denk dat iedereen aanvoelt dat er IPv4/IPv6 bedoeld wordt, eventueel NAT'ted.
Maybe, maar als je die thermostaat als sensor kunt verbinden aan je netwerk valt ie er wel weer onder.
Ik denk dat heel veel mensen hier een antwoord op hebben!

Een IoT device is een apparaat, niet zijnde router, computer, telefoon of tablet, welke niet (via USB) op je computer is aangesloten, maar op je thuisnetwerk, en welke toegang tot het internet heeft.

Daaronder vallen camera's, netwerkschijven, mediaspelers, tv's, slimme lampen, alarmsystemen, allerhande domotica, ...

Sommige mediaspelers (Apple TV, Nvidia Shield) hebben een volwassen OS dat up to date wordt gehouden, maar de meeste zijn nogal brak.

Een Synology NAS is een volwassen NAS met een volwassen OS, maar bv een Iomega netwerkschijf is zo lek als een mandje.

Veilige webcams zijn er bijna niet.
Gewoon alles wat een pakketje kan versturen en ontvangen op een 'iot' netwerk.
Op een elk van deze netwerken; neeecht in 'nieuws: Google brengt 1.0-versie van iot-besturingssysteem Androi...


iot is niets meer dan een 'andere ingang' naar het internet. Maar je moet het een naam geven.

Toevoeging op mijn post hierboven; ze zouden ook mobiele devices zoals telefoons/tablets/laptops etc... een iot gateway kunnen geven (ontvangst only) en dat via je data connectie het internet opsturen.
Wat is een IOT device?

Ik denk dat niemand daar een goed antwoord op heeft. Of is dat ineens alles wat op internet is aangesloten?
Noem me paranoia en skeptisch, maar een IoT Device is meestal een device dat helemaal niet met de buitenwereld verbonden hoort or hoeft te zijn.
Klopt. Een oplossing is verplaatsen naar de ISP. Een ISP kan dit alleen doen. Alleen voor hun kost dit weer veel tijd, organisatie etc. en dus kosten.
Liever niet, u bent duidelijk niet bekend met de vele veiligheidsproblemen en beperkingen van ISP hardware.

[Reactie gewijzigd door Jonathan-458 op 4 juni 2018 10:26]

Waarom niet? Een ISP sluit je nu ook af als je spamt of je hebt een PC draaien die lid is van een botnet en aanvallen uitvoert. Waarom kan een ISP'er niet actief scannen op onveilige apparaten (bv default wachtwoord staat nog ingesteld?).
Waarom kan een ISP'er niet actief scannen op onveilige apparaten (bv default wachtwoord staat nog ingesteld?).
Jouw router zou dan jouw prive netwerk moeten scannen..
Maar het gaat er toch juist om dat ze extern open staan? En dat kan prima vanuit de ISP gescant worden (niet dat ik daarvoor ben, maar het kan wel). Dat je intern een zwak wachtwoord gebruikt is toch je eigen keus?
Dit kan misschien iets helpen vermoed ik, maar als een PC toevallig een virus actief wordt, kan die binnen het interne netwerk zoeken naar onveilig iot-spul en injecteren.
Maar het gaat er toch juist om dat ze extern open staan?
Niet per se. Bij consumenten werkt de router als een firewall en is iets niet direct extern toegankelijk.
maw je geeft een externe commercieel bedrijf volledige toegang tot je privenetwerk.
Dacht het niet. Wat er aan de binnen kant van mijn netwerk hangt is van mij. Prive dus.
Dat snap ik :) (en wil je ook niet) maar ik had voor mezelf even het beeld dat een iot-apparaat ook niet kan worden misbruikt zoals er geen extern poorten openstaan.
Dat ligt er maar aan, als IPV6 door je provider aangezet wordt, en een onveilig apparaat dat gewoon ondersteunt, heb je ineens een globally routed onveilig apparaat aan je verbinding hangen. Dan is intern ineens niet meer intern.
Intern is ook met IP v6 intern. Dat de NAT wegvalt maakt niet dat intern=extern.
Er zal in de router/firewall nog steeds een poort open gezet moeten worden.
Nee, IPv6 is normaliter globally routable. Als je geen firewall aan hebt, kan ook daadwerkelijk jan en alleman bij je interne netwerk.
Als je apparaat intern is (geen routed adres, geen port-forwards) dan is het inderdaad onzichtbaar voor je ISP. Als het wel zichtbaar is voor je ISP, dan is de scan terecht voordat het ISP dat weer met het Internet verbind.
IOT devices staan vaak opgesteld achter een NAT device of firewall wat het voor de ISP vrijwel onmogelijk maakt om actief te scannen. Je zou dan nog voor passtief scannen kunnen gaan op basis van bv deep packet inspection maar hier hangen zo veel nadelen aan dat hier geldt; het doel heiligt niet altijd de middelen.
Naast dat ik ISP's niet capabel genoeg acht om voor veilige hardware te zorgen;
- Puma 6, backdoors, verouderde of verkeerde implementeerde software (uPnP IGD), verkeerde implementatie IPv6, WW gemakkelijk te achterhalen door algoritmes, gemakkelijke wachtwoorden eigen netwerk apparatuur, remote exploits etc.

De groep welke hun ISP hardware als modem of nog erger als netwerk basis gebruiken een aantrekkelijker doelwit.

Daarnaast betekend deze vorm van beveiliging dat een ISP zowel geheel inzicht heeft in zowel jou WAN als LAN kant en ook gebruik moet maken van SSL firewalls.

Onthoud ook dat alle modems de goedkoopste versies zijn en onderhoudscontracten hiervan matig tot zelfs slecht te noemen is, velen problemen welke naar voren komen bij de eerste audit zijn nog steeds niet opgelost.

Hardware zoals de bitdefender box is echter een betere optie, deze worden actief onderhouden, continue spraken van thread analysis en kan preemptive beveiligen echter neemt latency toe.

Nadeel blijft echter dat er wederom Privacy ingeleverd wordt.

Neem alleen even dit filmpje door;
https://www.youtube.com/watch?v=LxfsT4wLAfU

[Reactie gewijzigd door Jonathan-458 op 4 juni 2018 11:45]

Het gaat om ISP devices, niet om CPE. Jan Modaal beseft niet dat de modem/router combinatie die 'ie bij z'n abonnement kreeg, ook software draait die voorzien moet worden van updates. Bovendien, zelfs als die kennis er zou zijn, hoe groot is de kans dat dit actief en goed wordt bijgehouden? Ik ben ook voor het vóór regelgeving die bepaalt dat ISPs de door hun geleverde apparatuur up-to-date dient te houden.

En nogmaals, het gaat hier niet om CPE. Als je een eigen router achter het modem hangt of een embedded open source firewall bordje ben je nog steeds vrij om dit zelf naar eigen gelieve in te richten.
Vanuit ISP netwerk zou inderdaad ook een mogelijkheid zijn echter denk ik dan dat je verschuift naar offpremises networking. Zou ook kunnen maar denk dat dat momenteel nog te ingewikkeld en te kostbaar is op grote schaal, zou dat overigens denk ik wel fijn vinden.

Maar uiteindelijk gaat het er zowel om dat ISP hardware als ISP CPE hardware volledig veilig is, want je kunt wel actieve scan aanbieden maar wat wordt er opgelost als een van beide onveilig is en je hebt hier zelf geen controle over?

Helaas zullen inderdaad maar weinig mensen hun routers bijwerken.

Het belangrijkste is onderhoudt.
Klopt. Een oplossing is verplaatsen naar de ISP. Een ISP kan dit alleen doen. Alleen voor hun kost dit weer veel tijd, organisatie etc. en dus kosten.
Lijkt me niet zo'n best idee.
Hoe zouden ze hier op toe moeten zien? Via DPI? Dat ze al ons verkeer gaan lezen om fouten te vinden? Lijkt mij niet handig.

Een ISP zou eventueel een rol kunnen spelen door klanten af te sluiten of in ieder geval te isoleren als er iets mis is, maar het oordeel daarover laat ik toch liever over aan de politie of een rechter, dan dat ISPs zelf voor politie-agentje gaan spelen.

Wel kunnen ISPs een rol spelen bij het plaatsen van een goede firewall/router. Dat is een stuk apparatuur dat bij de meeste mensen van hun ISP komt. Als je IoT-devices wil aansluiten dan zijn die routers daar niet altijd even behulpzaam bij met als gevolg dat mensen veel te grote gaten maken. (Bv door hun internet-koelkast als "het" DMZ-device aan te wijzen waarna al het inkomende verkeer naar dat apparaat toegestuurd wordt, in plaats van alleen poort 443.)
Dat zie ik als een deel van bewustwording d.m.v. voorlichting vanuit de overheid, wat prima past in de huidige koers van de EU w.b. privacy en security. Net als dat iedereen ondertussen wel weet dat je niet aan willekeurige mensen je logingegevens moet geven (hang op, klik uit, bel uw bank), is het hoog tijd dat door een grootscheepse campagne over wordt gevoerd.
Nee een keurmerk op Europees niveau is prima af te dwingen via de CE markering.
Met een veld wat zo snel in ontwikkeling is, heb ik wel wat moeite met wettelijke minimale eisen. Ik zie meer in een raamwet, waarbij de invulling vie aan AMvB wordt ingericht, of alternatief een Europese richtlijn aangevuld met wat bijlagen die gemakkelijker gewijzigd kunnen worden.
Beveiliging is toch een kat en muisspel en we moeten voorkomen dat de overheid een rem zet op de ontwikkeling, door alles vanaf een bepaald niveau te moeten goedkeuren, ook als we inmiddels weten dat iets niet meer veilig is.
Nee een keurmerk op Europees niveau is prima af te dwingen via de CE markering.
Een keurmerk rond dit soort devices heeft imho totaal geen zin wanneer je het niet kunt handhaven. Onveilige devices zullen gewoon binnen blijven komen via bv import. De pakkans is nihil in de meeste gevallen.
Je doelt dan op degenen die bv iets via aliexpres bestellen. Maar zou de grote bulk niet toch binnen de EU verkocht worden? Via een leverancier of gewoon in een action, deze moeten zich dan wél aan dat keurmerk houden.
Ik ben het er mee eens dat je niet de volle 100% kunt afdwingen, maar dat het geen positief effect heeft weet ik zo nog niet.
Nu is het al zo dat keurmerken voor bijvoorbeeld kindveiligheid op papier en steekproefsgewijs gecontroleerd worden. Pas bij klachten wordt er ingegrepen en vindt er een terugroepactie plaats.

De vraag is hoeveel niet-veilige IoT produkten er tussendoor glippen, niet uitsluitend via budgetzaken als de Action. En als er een terugroepactie is in hoeverre men dan ook terug gaat om het om te ruilen.

Ook is mij niet duidelijk hoe gedurende de levensduur van het IoT produkt de internetveiligheid geborgd kan worden.
Dat klopt. Alleen is dat wel een afspraak. Als je kijkt naar dingen die we belangrijk vinden, zoals medische hulpmiddelen, dan heb je daar gefaseerd toezicht. Afhankelijk van de classificatie mag je daar zelf iets over roepen of moet een notified body wat zeggen over het ontwerp en de software. Niet dat het een perfect systeem is, maar er zit wel een lerend effect in. Helpt niks tegen internet import, net zoals medicijnen die je buiten het normale kanaal om via internet besteld niet altijd zijn wat je er op basis van de merknaam van zou verwachten.
Anoniem: 636203
@Bor4 juni 2018 11:22
Als je de verkoop van het apparaat kan verbieden omdat het niet aan het keurmerk voldoet dan is dat toch genoeg dreiging voor een fabrikant / importeur? Je hoeft niet elk apparaat te testen, maar zodra het naar buiten komt dat een apparaat niet aan de eisen voldoet, hop! verbieden.
Ben ik niet met je eens, de pakkans bij import wel, maar zodra zo'n ding aan je verbinding hangt en het internet bombardeert met malware weten providers en daarna juristen je verdomde goed te vinden hoor.
Dat klopt maar het internet bombarderen met malware is niet de enige bedreiging. Je kunt de devices bijvoorbeeld ook bricken (denial of service), ongewenste nevenactiviteiten laten uitvoeren zoals sniffen / doorspelen van credentials etc of gebruiken als zombie in een DDOS netwerk.

In al dit soort gevallen ben je te laat en is de schade al aangericht al dan niet in latente vorm.

Handhaven door simpelweg ervoor te zorgen dat niet gecertificeerde zaken niet gebruikt worden is al een heel stuk lastiger.

[Reactie gewijzigd door Bor op 4 juni 2018 11:53]

Klopt, ik gaf ook maar 1 voorbeeld. Het ding kan vervolgens gebruikt worden voor allerlei leuke illegale zaken, zoals proxy laten spelen, zodat jij wat aan de politie uit te leggen hebt zodra er ranzig spul over jouw verbinding heen gedownload wordt.
CE-markering is slechts zelfregulerend, dus een waakhond zonder tanden.
Het onderzoeken van de conformiteit met de regelgeving voor CE-markering is grotendeels zelfcertificering. Dit houdt in dat de fabrikant of importeur eventueel benodigde metingen en onderzoeken zelf uit moet voeren of ervoor mag kiezen deze metingen uit te besteden bij een instituut naar zijn keuze.
Daarbij misbruiken Chinese bedrijven dit logo met de "China Export"-variant die nagenoeg gelijk is.
Nee alleen voor zaken die we niet kritisch vinden in de richtlijnen mag je zelf-certificeren. Als het spannend wordt heb je een notified body nodig (weegschalen bij een juwelier om maar iets te noemen). Dat kan ook best voor networked apparatuur. Alleen kost dat geld en dan wordt het een andere discussie. Maar het is te regelen. Wat veel meer een punt is dat import uit Azië niet stopt doordat er geen geldige CE is. Daar heeft @Bor helemaal gelijk in. MAC adressen whitelisten gaat dan ook niet meer werken, maar voor websites hebben we ook een cerificaatstructuur gevonden die werkbaar is.
Conformité Européenne..

en zoals FrankAlexander aangeeft zijn er fabrikanten die een ander logo 'misbruiken' om zo vertrouwd over te komen en dat is het Chinese Export logo.
Hoe het logo er precies uitziet maakt niet zoveel uit. Het CE logo is een verklaring van de fabrikant dat het product aan Europese eisen voldoet. Ook als dat logo niet pixel-precies is, dan nog kan de fabrikant niet doen also het product eigenlijk voor de Afrikaanse markt bedoeld is.

Met andere woorden: het is geen controle vooraf, het is een logo wat in rechtzaken achteraf een heleboel kul-argumenten van de fabrikant uitsluit. En rechters gaan echt niet met een lineaal meten hoe groot dat logo is.
maar als het logo van Chinese Export op het product staat dan het in die rechtszaken achteraf die heleboel kul-argumenten niet uitsluiten. :)

verder zeg ik niks over hoe het logo er uitziet dus ik snap je reactie niet zo goed.
maar dat geheel terzijde.

[Reactie gewijzigd door Proxx op 4 juni 2018 13:08]

Voor het geval dat je het niet wist: het broodje-aap verhaal is dat er een "China Export" logo is wat een paar pixels verschilt van het CE-logo, waardoor rechters die producten niet zien als CE-gecertificeerd. Dat is dus kul.
Dan ben je ook niet slim bezig want sommige van die producten zijn levensgevaarlijk.
Ze hebben vaak een CE logo maar voldoen totaal niet, zoals op YouTube te zien is en door de consumentenbond getest.
https://www.consumentenbo...an-24-usb-laders-verboden

De grote importeurs die zich aan de regels willen houden vragen ook het CE rapport op, waar in staat aan welke richtlijnen het product voldoet en controleren of dat de juiste zijn.
Als jij hele grote partijen importeert dan gaat de douane ook gewoon controleren of wat op de papieren staat wel echt is wat er staat en of het Europa wel in mag. Dus het is wel degelijk af te dwingen.

Wat mij lastiger lijkt af te dwingen is X jaar software support, beter zou zijn om te controleren dat het product veilig is ontworpen en bijvoorbeeld alleen werkt als je het default password aanpast.
Op zich is een keurmerk of een minimum standaard een nobel streven maar ik verwacht ernstige problemen bij het handhaven van eventuele regelgeving. Een iot device haal je voor een paar euro waarbij een zeer groot deel postorder vanuit Azie wordt geleverd. In veel gevallen is er geen prioriteit voor beveiliging maar probeert men zo goedkoop mogelijk te produceren.

Hierbij is een keurmerk op Nederlands of zelfs Europees niveau ook technisch slecht af te dwingen.
We hebben hetzelfde probleem met elektrische apparatuur, de brandweer waarschuwt er al voor. Ik zie het probleem maar denk dat het toch heel nuttig is om zo'n standaard te hebben.

1. De meeste apparaten komen toch nog gewoon uit een Nederlandse (web)winkel.
2. Kudde-immuniteit. Veel hacks zijn een combinatie van gaten. Als de "buren" veilig zijn dan helpt dat ook om in gaten in andere systemen onbereikbaar te maken.
3. Nederlandse bedrijven hoeven niet meer te concurreren met te lage (Chinese) prijzen. Nu moet ieder westers bedrijf concurreren met de laagst mogelijke prijzen. Voor die prijs kun je alleen troep leveren, zeker als je verschil in kwaliteit niet kan laten zien aan je klanten.
Deze regeling legt de ondergrens hoger. Dat geeft meer ademruimte om kwaliteit te leveren. Nederlandse bedrijven kunnen zich dan meer richten op concurrentie met elkaar, waarbij ze allemaal dezelfde regels en eisen moeten volgen, en hoeven niet langer alles te offeren om maar te kunnen concurreren.
Het gaat dan ook om artikelen die in europa worden verkocht. Als je zelf dingen importeerd geld deze regel niet, net zoals het CE keurmerk.

Het idee van een vrijwillig keurmerk totdat het uiteindeloijke keurmerk er is, zoals de Cyber Security Raad wil, lijkt me een zeer slecht plan. Dit zorgt alleen maar voor een wildgroei aan keurmerken waarvan de consument niet meer weet wat al deze keurmerken precies betekenen.
Welke handhaving?
Directeur-hoofdinspecteur Peter Spijkerman refereert aan de Europese CE-markering, die volgens hem vruchten heeft afgeworpen om storing door radioapparatuur te voorkomen.
Dat is onzin. CE is een garantstelling van een in Europa gevestigde rechtspersoon dat item aan EU normen voldoet b.v. NEN1010.

Echter is daarop geen controle niet dat rechtspersoon bestaat en ook niet of er aan normen is voldaan.

De reden dat er geen verstoringen zijn heeft eerder te maken met gebruik van standaard componenten en/of dat iets niets verkoopt als het functioneel niet voldoet.
Volgens mij zal een keurmerk wel degelijk helpen. Daar ga je als consument echt wel op letten als het er is. Geen keurmerk betekend dan immers dat elke beetje hacker vrij spel heeft bij jou. Daar zal wel een marketing campagne voor nodig zijn, maar dan helpt het echt wel. Dan betaald de consument graag een paar euro meer. Bovendien als de markt erna vraagt past de industrie zich wel aan.
Geen keurmerk betekend dan immers dat elke beetje hacker vrij spel heeft bij jou.
Nee dat betekent het niet. Het geeft hooguit dat het device niet getest / gecertificeerd is. Het wel aanwezig zijn van een keurmerk zegt daarentegen niet (automatisch) dat een device niet gehacked kan worden. Dat laatste is een utopie namelijk.
Dat ben ik met je eens maar het is in ieder geval niet meer zo gemakkelijk. En dat is waar dan met een marketing campagne op gewezen moet worden om succesvol te zijn.
Anoniem: 636203
4 juni 2018 10:59
Ik wil wel een paar eisen voorstellen:
  • firmware moet updateable zijn
  • alleen door de fabrikant digitaal ondertekende firmware kan worden geflashed
  • geen externe toegang tot het apparaat vanaf internet totdat het default wachtwoord is veranderd
  • verbod op hardcoded wachtwoorden in de firmware
En in de toekomst zou dit verder kunnen worden uitgebreid met
  • firmware en besturingssysteem moeten geschreven zijn in memory / thread safe language zoals Rust
  • versleuteling van de firmware

[Reactie gewijzigd door Anoniem: 636203 op 4 juni 2018 21:22]

...
  • alleen door de fabrikant digitaal ondertekende firmware kan worden ingebrand
..
Hiermee maak je het wel onmogelijk voor software zoals dd-wrt, opensource alternatieven. Ik ben van mening dat dit niet wenselijk is.
Hiermee is een apparaat effectief onveilig zodra de fabrikant stops met updates, want alternatieven die misschien niet kwetsbaar zijn of onofficiele fixes kunnen dan ook niet geinstalleerd worden.
Je zou de private key kunnen vrijgeven een jaar nadat het product uit de handel is gehaald.

Los daarvan denk ik dat het toch steeds meer de kant op gaat dat fabrikanten niet meer willen dat consumenten zelf de firmware kunnen veranderen, omdat in Amerika in rechtszaken is gebleken dat als er open-source firmware op staat en het apparaat gaat stuk dat de fabrikant toch gehouden kan worden aan de garantiebepaling.

Dat is natuurlijk niet eerlijk, want feitelijk is niemand verantwoordelijk voor open-source software. De kwaliteit is soms goed, maar kan ook erbarmelijk zijn.

[Reactie gewijzigd door Anoniem: 636203 op 4 juni 2018 12:48]

wat dan van de hobbyisten die zelf een meter maken voor stroom te meten via een raspberry PI?

dit is namelijk goedkoper dan een TOON ding van 200-300 euro
gezien je dan een pi zero W kan gebruiken met een RJ45 module,
totaal zou je dan voor een rapsberry PI oplossing minder dan 50 euro kwijt zijn.

tevens is het ook nog een probleem als de software gelockt is, dan als het apparaat "verouderd" is kan je er niets mee en heb je XXX euro weggegooid,

als de software open is kan je er nog alterantieve firmware opzetten.

een goed voorbeeld is:
stel je koop een pc met idiotlux (linux variant speciaal voor die pc)
de software updates stoppen na 3 jaar en
je kan er GEEN ENKELE ANDERE firmware opzetten
door zeer specifieke driver-chips waarvan er geen open source software voor bestaat.
of er zijn specifieke timebomb diode's die bij elke update 1 word uitgeschakeld (er zitten maar 50 in de pc) waardoor de pc maar 50 updates kan krijgen voordat je een nieuwe moet kopen
Een Raspberry Pi is geen consumenten product maar valt onder de noemer educatief of experimenteel apparaat en daar zijn minder striktere regels voor.

Anders wordt het als iemand een product op de markt zet waar een Raspberry Pi in zit (en die zijn er steeds meer). Dan gelden de bepalingen wel.
Een paar goede voorstellen. Zoals @TheFearThe1337 terecht aangeeft heeft het digitaal ondertekenen ook flinke nadelen met betrekking tot third party firmware en tools. Firmware als OpenWRT kan ook een goede toevoeging zijn op de veiligheid, als de officiele firmware niet meer bijgewerkt wordt of de fabrikant niet rap genoeg is in de ogen van de gebruiker.

Maar, wellicht bedoel je met "inbranden" het standaard meeleveren van enkel gesigneerde firmware, dan ben ik dat met je eens. Mits het maar mogelijk blijft om third party software te gebruiken.
  • Updatebare firmware: Helemaal eens. Wellicht ook een regel, een apparaat dient een X tijd van updates voorzien te worden. Bijvoorbeeld vijf jaar voor een router. Dat wil niet zeggen dat ze vijf jaar lang nieuwe functionaliteit moeten uitrollen, maar wel dat de fabrikant gedurende die tijd updates moet uitbrengen bij lekken of risico's.
  • UPnP: Dit zou standaard uit moeten staan. Een ongelukkige combinatie van een NAS met een torrent client en een router/modem met UPnP standaard aan - het zal niet de eerste keer zijn dat er op zo'n manier toegang is met admin/admin.
  • Drivers/device firmware: Waarschijnlijk onrealistisch als we dit als Nederland doen in plaats van bijvoorbeeld EU-breed; de verplichting tot open documentatie en het liefst open source drivers en device firmware. Maar al te vaak zorgt dit ook voor risico's. Om even een voorbeeld te noemen: Android devices. Als de baseband SOC, de WiFi chipset lek is, beschermd de nieuwste Android met de meest recente monthly patch je niet. Deze drivers en firmware zijn veel te vaak closed source, propietary binary blobs. De Librem 5 lijkt dit als eerste serieus aan te pakken.
  • Verantwoordelijkheden: Misschien ook geen gekke: leveranciers verplichten hun verantwoordelijkheden op te pakken. Denk bijvoorbeeld aan de ISP die een modem levert, die kunnen best updates pushen naar de door hun geleverde apparatuur. Ik meen dat XS4all dit vroeger deed, maar AFAIK doen ze dat tegenwoordig niet meer.
Merkwaardige eis, dat Rust. Zelfs de eis voor een memory-safe language is al wat vreemd. Wat precies is dat? Je moet natuurlijk wel een formele definitie hebben. En het praktische probleem is dat een OS eigenlijk alleen maar unsafe dingen doet. Directe hardware toegang vanuit een applicatie wordt gezien als onveilig, en terecht, maar is de kerntaak van een OS.
Anoniem: 636203
@MSalters5 juni 2018 09:05
Het is al decennia lang gebleken dat C gewoon geen veilige taal is om besturingssystemen en applicaties mee te schrijven. Bijna alle beveilingingsfouten in software kunnen teruggeleid worden naar een foute programmering in C.

Omdat steeds meer apparaten met internet gekoppeld zijn moet de beveiliging naar een hoger niveau worden getild en dat houdt in dat de hele computer inclusief de firmware / software zo gemaakt moet zijn dat deze vrijwel niet te hacken valt.

Memory safe betekent dat je geen buffer overflows of free-after-use fouten kan krijgen, de oorzaak van de meeste computer inbraken. Dit wordt verhinderd door de taal zelf.

Een OS geschreven in een memory safe taal heeft een veel kleiner 'attack surface area' omdat slechts een klein gedeelte van de operaties unsafe worden uitgevoerd. En een microkernel OS kan dit nog verder verkleinen.

Redox is bijvoorbeeld een microkernel OS geschreven in Rust en daardoor waarschijnlijk één van de meest veilige besturingssystemen op de wereld.

[Reactie gewijzigd door Anoniem: 636203 op 6 juni 2018 14:06]

Perfecte demonstratie van waarom het moeilijk is om regels hiervoor op te stellen. Want sommige van je voorstellen maken het device ook kwetsbaarder, en sommige zijn ronduit niet haalbaar.

Bijvoorbeeld:
Updatable firmware maakt het apparaat ook kwetsbaarder. Als de software niet aangepast kan worden, is het verdomd moeilijk om 't te hacken.

Als alleen de fabrikant de firmware kan inzien, is het niet mogelijk voor een controlerende instantie om er iets zinnigs over te zeggen.

Als een gebruiker geen eigen firmware kan plaatsen, wordt het apparaat na de "update" periode volstrekt waardeloos. Of je blijft met een "onveilig" apparaat werken.

Aangezien ook niemand kan zien wat er in de "update" zit, kan het bedrijf makkelijk maar wat aanklooien en doen alsof er wat opgelost wordt. Dat gebeurt nu in praktijk al met Android telefoons.

Een OS schrijven in Rust is technisch niet haalbaar, het OS is juist degene die zorgt voor primitieven als threads en semaforen waar talen als Rust gebruik van maken.
Hee jongens. Kijk!

We hebben een Rust programmeur gevonden die zijn favoriete taal wil opleggen!
alleen door de fabrikant digitaal ondertekende firmware kan worden ingebrand
Nee want dan kan er niet je eigen software opzetten.

Dat de updates enkel kunnen uitgevoerd worden indien de packages gesigned zijn door de fabrikant is wel een goed idee. Maar de hele firmware moet vervangbaar kunnen zijn.

Kijk bv. naar de Xperia X van Sony. Daar kan ik SailfishOS opzetten. Niets mis mee. Of kijk naar de meeste routers: daar kan ik OpenWRT opzetten. Ook niets mis mee en vaak véél veiliger dan wat er standaard op zo'n router staat.
Lijkt me een heel goed uitgangspunt - IoT wordt je steeds meer opgedrongen, of je nu wilt of niet. Alles moet zo nodig connected zijn, veiligheid heeft doorgaans geen prioriteit. Of stabiliteit en beschikbaarheid / uptime-garanties.
Ook zouden apparaten volgens de organisatie moeten blijven werken als ze niet met het internet zijn verbonden.
Heel goed! Ik zou het nog ruimer willen stellen: ze zouden volledig functioneel moeten zijn. Laat apparaten maar hun eigen webservertje draaien ipv alles eerst naar de leverancier te sturen en dan via een app beschikbaar te maken. Dat laatste kan altijd nog als aanvullende dienst aangeboden worden.
Heel goed! Ik zou het nog ruimer willen stellen: ze zouden volledig functioneel moeten zijn. Laat apparaten maar hun eigen webservertje draaien ipv alles eerst naar de leverancier te sturen en dan via een app beschikbaar te maken. Dat laatste kan altijd nog als aanvullende dienst aangeboden worden.
Dergelijke devices heb je natuurlijk nu ook al. Het niet connected zijn maakt het updaten overigens wel behoorlijk lastiger, zeker met grote projecten. Afdwingen van bijvoorbeeld een minimaal patch level gaat je op die manier waarschijnlijk helemaal niet lukken.
[...]
Dergelijke devices heb je natuurlijk nu ook al. Het niet connected zijn maakt het updaten overigens wel behoorlijk lastiger, zeker met grote projecten. Afdwingen van bijvoorbeeld een minimaal patch level gaat je op die manier waarschijnlijk helemaal niet lukken.
True, maar aan de andere kant wordt het veel eenvoudiger om de boel veilig te maken - je kunt de apparaten dan volledig los van internet koppelen en desgewenst achter een VPN hangen. Dat is een stuk veiliger dan de boel wel connected houden en automatisch patchen. Overigens zou de software net zo goed nog steeds kunnen checken op patches bij de leverancier en deze automatisch installeren of verzoeken om dat te doen - het gaat mij er vooral om om de noodzaak voor de internetverbinding weg te nemen, niet het gebruik ervan volledig te laten verdwijnen.
True, maar aan de andere kant wordt het veel eenvoudiger om de boel veilig te maken - je kunt de apparaten dan volledig los van internet koppelen en desgewenst achter een VPN hangen. Dat is een stuk veiliger dan de boel wel connected houden en automatisch patchen.
Waarom zou dat veiliger zijn? Dat kun je niet zo vaststellen zonder een goede risico analyse.

Deel van het probleem is overigens ook de laksheid van de beheerders van de IOT devices. Het is niet in alle gevallen de leverancier die het nalaat om patches te leveren.
[...]
Waarom zou dat veiliger zijn? Dat kun je niet zo vaststellen zonder een goede risico analyse.
Omdat zonder verbinding met het apparaat er ook niet gehackt kan worden of misbruik gemaakt worden van het apparaat. De beste beveiliging tegen virussen is je computer uitgeschakeld houden, de beste beveiliging tegen hackers is je internetverbinding doorknippen.

Dat wil niet zeggen dat je daarnaast geen andere maatregelen kunt nemen - volledig losgekoppeld heeft IoT natuurlijk niet zo heel veel zin. Maar het is wel een prima startpunt van je IoT-architectuur. Alleen connectiviteit toestaan waar en wanneer dat noodzakelijk is, in plaats van in beginsel alles naar buiten sturen.
Eigenlijk moeten al de IoT device gewoon op Windows 10. Daar krijg je gewoon de updates ("Maar ik wil 'm niet" "Jammer man, slikken of stikken").

Vanuit security-oogpunt is dat natuurlijk hartstikke mooi.
Prima initiatief.
De uitwerking in de praktijk zal waarschijnlijk (zoals met alles) wat minder fraai worden.
Beetje compromissen enzo.

In de tussentijd neem ik zelf ook mijn verantwoordelijkheid mbt iot apparaten.
Deze leven bij mij thuis op een eigen gescheiden netwerk, waardoor ze onmogelijk kunnen praten met mijn intern vertrouwde netwerk, zoals mijn NAS.

Het aantal iot apparaten begint immers al lekker op te lopen: rookmelders, smart TV, zonnepanelen omvormer, slimme thermostaat...
Anoniem: 636203
@GarBaGe4 juni 2018 11:26
Soms kan je er niets aan doen doordat bijvoorbeeld een fabrikant een telnet poort open zet naar het internet met een zwak default of hardcoded wachtwoord. Juist in dit soort gevallen moet een fabrikant ter verantwoording geroepen worden.
Wat ik niet begrijp is dat de een na de andere partij roept dat voor IoT een minimumnorm moet komen, of bepaalde eisen omtrent security, terwijl hier al lang en breed best practices voor zijn vanuit verschillende instanties.

Een framework:
https://www.iotsecurityfo...curityComplianceFramework

Verschillende best practices:
https://www.nist.gov/itl/...rity/nist-initiatives-iot
https://www.owasp.org/ind...f_Things_Project#tab=Main

Dus waarom nog iets bedenken omtrent IoT security?! Maak gebruik van bovenstaande en bedenk niet iets nieuws... |:(
Een best practise is niet meer dan precies hetgeen wat de naam zegt. Het staat een ieder daarmee vrij iets anders te doen. Sterker nog, een best practice hoeft niet in alle gevallen de juiste oplossing te zijn. Het beschrijft doorgaans een aanpak die in de meeste gevallen optimaal dient te zijn vanuit het oogpunt waarvoor deze is geschreven. Handhaving op basis van een best practice kan niet.

Daarbij kun je je afvragen of het agenschap telecom of zelfs de EU wil aanhaken bij een door de US opgestelde best practise.

Juist de versnippering van maatregelen, wensen, best practices etc zorgt er voor dat een meer breed gedragen oplossing of regelgeving de voorkeur heeft.

[Reactie gewijzigd door Bor op 4 juni 2018 10:25]

Dat klopt, echter zijn veel standaarden gebaseerd op best practices. Daarnaast als men een standaard of een norm op stelt waarin harde eisen opgenomen worden i.p.v. te verwijzen naar bepaalde best practices, dat die snel verouderd raken en voordat een standaard of norm vernieuwd is ben je zo een aantal jaar verder en de techniek staat niet stil :-).
Je kunt een norm ook best opstellen op een dusdanige manier dat hij ook voor langere tijd geschikt is. Ik wil in elk geval geen iot apparaten in huis. Laat mijn koelkast, thermostaat etc.maar lekker dom blijven.
Omdat de "normale" consument zich daar niet mee bezig houdt en niet kan achterhalen of deze opgevolgd zijn, De "normale" consument kijkt hooguit naar een leuk logotje.

Certificering is denk ik de beste optie.
Omdat een best practice niet afdwingbaar is. Dacht je werkelijk dat alle bedrijven werken via best practice? Kost dat wel niet.
Stap in de goede richting. Nu hoop ik dat RDW dit ook gaat doen voor auto's.
Waarom zou de RDW dit moeten doen? Zij zijn verantwoordelijk voor de veiligheid mbt tot het verkeer, niet internet. De regelgeving van het AT zou ook gewoon voor auto's gelden, net als nu een zender in een auto ook gewoon onder de regelgeving van het AT valt.
Mee eens, want auto's worden steeds meer computers en het is mij al langere tijd duidelijk dat autofabrikanten alles weten van auto's maken maar weinig kaas hebben gegeten van software bouwen.
Ik hoop dat dat dan ook gevolgd wordt door het breder (automatisch) gebruiken van oplossingen die al bestaan.

Een voorbeeld is, bijvoorbeeld, VLAN's met eventueel automatische data rating. Elke thuisrouter die momenteel geleverd wordt (of ooit geleverd is) heeft hardware ondersteuning voor VLAN's. Elke modernere (afgelopen 5 jaar, meeste zelfs langer) heeft ook ondersteuning voor data rate limiting en QoS.

Helaas, "te moeilijk" voor consumenten vind men. Echter kun je die technische achtergrond prima verbergen voor mensen. Maak een grafische interface waar je "groepen" aan kunt maken (met standaard een "normale" groep en een "IOT veiligheids groep" oid) en laat mensen daar apparaten "in slepen".

En/of een standaard VLAN definieren voor IOT apparaten en bij opstarten eerst een query doen op dat VLAN. komt er een response van een 'IOT controller' op dat VLAN dan wordt alle verdere communictie veilig afgehandeld, gescheiden van het normale verkeer.

Een hoop oplossingen om IoT gebruik veiliger en beheersbaar te houden zijn gewoon beschikbaar en kunnen, in principe, morgen al uitgerold worden. Daarom ben ik wel voor een standaardisatie / certificatie. De hardware oplossingen bestaan al en zijn al uitgerold in bijna iedereens huis. Nu nog wat software en een framework en je kan zonder kapitaalvernietiging de meeste van de doelstellingen al halen.
Hoe gebruiksvriendelijk het ook is, hoe groot is de kans dat Jan Modaal dit echt zal gaan doen? Of kiest voor de meest veilige manier van inrichten, in plaats van de meest makkelijke manier?

De meeste IoT apparaten zijn al te onderscheiden, is het niet op basis van MAC adres, dan wel op basis van het verkeer. Als modems/routers met signatures zouden werken, zou je dan een device in een VLAN kunnen gooien, zodra de signature 'matcht'.

Die signature kun je dan vrijgeven zodra er een kritiek lek gevonden is in een device. Maar, wie die verantwoordelijkheid heeft is een interessante discussie.
Eens. Er zijn verschillende manieren om het gebruik ervan af te dwingen. Mijn punt is dat het grootste deel van de oplossing al bestaat en wat er echt nodig is is een standaard of een schop om dit ook werkelijk te implementeren.

Er is geen probleem dat eerst nog opgelost moet worden voordat er een antwoord kan komen. Wat mij betreft een goede grond voor regulatie, waar zelf-regulatie niet werkt en er een duidelijk gevaar is voor de stabiliteit en de economie

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee