Security of Things | De toekomst is dichterbij dan je denkt!

Let’s Gro staat dit jaar in het teken van de toekomst van Groningen. Die toekomst is meer en meer verbonden met het internet. Je thermostaat, je alarmsysteem, je muziekinstallatie, je tandenborstel en zelfs je espressoapparaat. Voor elk apparaat is er wel een smartphone app die je op de hoogte houdt van updates, jouw persoonlijke voorkeuren doorvoert en die aangeeft wanneer bijvoorbeeld onderhoud nodig is.

Connected car

Woensdagmiddag stond er tijdens Let’s Gro een wat spannender ‘apparaat’ in de spotlights dat tegenwoordig op allerlei manieren is verbonden met internet, de auto. In dit verband wordt gesproken over ‘connected cars’. Ter demonstratie had Insite Security, in samenwerking met Mobility Service, hét voorbeeld van de connected car ‘meegenomen’, de Tesla Model S.

Mobility_Services_NL

Wist je dat Tesla als ze wil zomaar alle auto’s op afstand in 1x stil kan zetten? Wist je dat de Tesla meer dan 100 miljoen regels aan geprogrammeerde code bevat? De Tesla zit bovendien vol met communicatiemiddelen die een mooi project vormen voor hackers. De software wordt via een draadloze internetverbinding automatisch naar de voertuigen verstuurd. Maar wie verzekert ons dat de update die we krijgen van Tesla komt en niet van een hacker?

We schreven er al eerder over. Software is de achilleshiel van onze beveiliging, het is overal en complex. Alle apparaten die we met internet verbinden bevatten software en die software is nog te vaak zo lek als een mandje. In het geval van een koffiezetapparaat klinkt dat wellicht onschuldig, daar valt overigens ook nog over te discussiëren, maar hoe zit dat met onze mobiliteit? Hoe ziet mobiliteit er in de toekomst uit? En wat zijn de beveiligingsrisico’s? Daarover spraken René Hulshoff van RDW en Pieter Meulenhoff van Insite Security.

Ontwikkelingen op automotive gebied

RDW is verantwoordelijk voor de veiligheid van bestuurders en weggebruikers. René Hulshof benadrukt de veranderende rol voor RDW als toelatingsautoriteit. ‘Waar onze monteurs tot voor kort alleen naar de mechanische onderdelen van een auto keken hebben we nu een auto die voor meer dan 80% uit software bestaat.’ De Tesla is bijna geen auto meer te noemen, maar een datacenter op wielen.

René: “Ook zorgverleners moeten opgeleid worden voor omgaan met elektrische voertuigen.”

De grens van waar de verantwoordelijkheden op het gebied van veiligheid liggen vormt een dilemma. De RDW heeft de Tesla goedgekeurd op basis van de softwareversie die geïnstalleerd was tijdens de keuring. Maar stel dat een Tesla na een software update tegen en boom rijdt, wie is dan verantwoordelijk? Ook zorgverleners als ambulancepersoneel en brandweer hebben vragen over hun veiligheid. Zo waren zij onlangs nog bang geëlektrocuteerd te worden na een ongeluk met een Tesla.

Security van IoT

De Tesla is weliswaar de voorloper, maar bijna alle automerken zijn druk bezig met zelfrijdende en connected cars. De verwachting is dat rond 2020 zo’n 60% van de auto’s zelfrijdend zal zijn.

RDW benadrukt het belang van security en het opzoeken van de samenwerking om de veiligheid van bestuurder en weggebruikers te kunnen waarborgen. Pieter Meulenhoff van Insite Security deelt die mening van RDW. Insite Security heeft veel contact met klanten en universiteiten om kennis en vaardigheden te blijven ontwikkelen. In het door ITsec, een onderdeel van Insite Security, opgerichte Zerodaylab kunnen onderwerpen en voorwerpen als testobject worden ingezet. Ook werken we nauw samen met RDW en Mobility Service.

Pieter: “Het gaat hierbij niet alleen om de beveiliging van het ‘apparaat’ maar ook om de communicatie, het netwerk en de apps die achter het apparaat hangen. De nadruk moet liggen om het totstandkomingsproces.”

Op dit moment zijn er nog geen standaarden, richtlijnen en regels voor de beveiliging van IoT. Dit is essentieel voor een veilige toekomst. De recente ddos-aanval die met het Mirai-botnet werd uitgevoerd bewijst dit.

hackdemo

Social engineering

Na de pauze neemt Captain Crunch ons mee in de wereld van ‘social engineering’. Standaarden, richtlijnen, regels en dergelijk zijn natuurlijk nodig voor de beveiliging van IoT. De mens is en blijft de maat van alle dingen.

De spanning stijgt als we horen dat zijn partner in crime undercover is gegaan in de foyer. Met een verborgen camera en microfoon heeft hij bij verschillende bezoekers gevoelige informatie weten te ontfutselen. De ‘social engineer’ heeft de meeste bezoekers door middel van hun eigen profiel op internet, denk aan Facebook en LinkedIn, in kaart gebracht. Daarmee kon hij gericht bezoekers enthousiasmeren om over de security situatie op hun werk te praten. Hij speelt hiermee in op het normaal menselijke gedrag. Een eyeopener voor de aanwezigen in de zaal en iedereen bekent kleur: Dit had mij ook kunnen overkomen.

Het doel van Captain Crunch is geslaagd: Er is een groeiend besef dat social engineering veel dichterbij is dan men vaak denkt “De hacker ziet er niet uit als boef, maar gebruikt vaak juist een voor jou vertrouwd kanaal zoals bijvoorbeeld internet en sociale media.”

Met wie deel jij je gegevens in de toekomst?

 

Meer informatie

Insite Security ondersteunt organisaties in het zelfredzaam worden als het gaat om cybersecurity. We maken organisatie weerbaar en brengen informatiebeveiliging naar een hoger, acceptabel niveau. Benieuwd wat we voor u kunnen doen? Vul onderstaand formulier in en wij nemen contact met u op.

Informatie aanvragen

Meer artikelen

Bekijk al het nieuws