Naar de content
Podcast
Podcast

Slimme apparaten in de aanval

Seizoen 1 - Afl. 13 met Larissa van Dijk

Maken jouw zonnepanelen of slimme deurbel deel uit van een online leger? Slimme apparaten blijken vaak eenvoudig te hacken. In deze aflevering van de podcast Oplossing Gezocht bespreken we waarom dat een gevaar vormt en wat je ertegen kunt doen.

9 november 2023
Afspelen icoon
Podcast
Podcast

Slimme apparaten in de aanval

0:00
28:28

Was de melk nou op of niet …? Met een slimme koelkast check je tijdens je rondje door de supermarkt simpelweg via een app of je nog een pak moet meenemen. Je ziet dan gelijk op je telefoon het berichtje van je wasmachine dat hij klaar is, dus dat je straks de was kunt ophangen. Onderweg naar de kassa zet je vast je koffiezetapparaat aan, zodat je straks eerst een lekker bakje kunt inschenken. Best handig, al die slimme apparaten, maar de beveiliging ervan laat vaak nogal wat te wensen over. Zonder dat je het in de gaten hebt, kunnen je apparaten worden gehackt en deel uitmaken van een online leger dat bedrijven en instellingen aanvalt. Hoe kun je dit voorkomen?

Redacteur Larissa van Dijk sprak voor NEMO Kennislink verschillende experts over de gevaren van slimme apparaten die via ons eigen wifi-netwerk met elkaar communiceren. Slechte beveiliging van deze producten is niet alleen een probleem voor grote bedrijven, maar ook voor de gebruiker zelf. Tijdens deze aflevering van de podcast Oplossing Gezocht met hosts Robert Visscher en Nour Eldín Emara legt Van Dijk uit hoe dat zit en wat we ertegen kunnen doen. 

Transcript

Oplossing Gezocht - Slimme apparaten in de aanval

===

Robert: De zwakke schakel wordt gezocht. En de zwakke schakel zou dus in dit geval heel goed je vaatwasser kunnen zijn, of je zonnepanelen. Stel je voor, je steekt je sleutel in het slot van de voordeur en je stapt je huis binnen. De lichten knipperen automatisch aan. Door de speakers klinkt het vertrouwde geluid van je favoriete radiostation. Van de slimme thermostaat tot aan de digitale koffieautomaat. Alles staat naar wens afgesteld. Geweldig. Alles in eigen hand. Tenminste, totdat een ander toegang vindt tot jouw slimme systeem. Hoe makkelijk kan men eigenlijk misbruik maken van jouw slimme apparaten... en hoe kun je hiertegen weren? Mijn naam is Robert Visscher.

Nour: En ik ben Nour Eldín Emara. En je luistert naar Oplossing Gezocht. De wetenschapspodcast van NEMO Kennislink. In deze podcast zoeken we samen met de wetenschap oplossingen voor problemen.

Robert: Deze week zitten we aan tafel met onze redacteur Larissa van Dijk. We bespreken hoe hackers jouw slimme apparaten kunnen overnemen.... en manieren hoe je je hiertegen kunt beschermen. Larissa, welkom in de studio. We zijn hier omgeven door technologie. Dat kun je wel zien. Er staan een stuk of drie, vier microfoons. We hebben camera's op ons gericht. En volgens mij hebben we ook allemaal nog een smartphone in onze broekzak of zelfs op de tafel. Moeten we ons al een beetje zorgen gaan maken?

Larissa: Ja, dat zou ik wel doen. Het is verontrustend hoe makkelijk je toegang kan krijgen tot eigenlijk... apparatuur die je overal vindt. En dat wist ik ook niet.

Robert: Daar gaan we zo over verder. Ongemerkt maken we steeds vaker gebruik van steeds meer slimme apparaten. De beveiliging van deze apparaten is lang niet altijd op orde. Dat is iets waar hackers dankbaar misbruik van maken. Zo kan ook jouw onschuldige wasmachine aanzienlijke problemen opleveren. Wat bedoelen we eigenlijk met die slimme apparaten?

Larissa: Nou, 30 jaar geleden, toen internet net bij ons thuis om de hoek kwam kijken... ik kan het me nog heel goed herinneren. Dan vroeg je aan je ouders van: hé, mag ik op internet. En dan belde je in, dat duurde dan 10 minuten. Dan ging je heel snel naar die website van eekhoorns... om aan je spreekbeurt te werken. En dan logde je zo snel mogelijk weer uit en dan was het klaar. En dan was die computer eigenlijk alleen nog maar goed om Patience op te spelen. Maar ja, 30 jaar is natuurlijk een hele lange tijd. Er is heel veel veranderd. En wat we nu eigenlijk steeds meer zien... is dat steeds meer apparaten verbonden raken met het internet. Dingen waarvan je eigenlijk van tevoren niet eens kon bedenken van hé, is dat handig? Die zijn eigenlijk ondertussen al slim genoeg om verbinding te maken met het internet. Dus denk aan je robotstofzuiger of aan je wasmachine... die dan vertelt wanneer je was klaar is. Of je vaatwasser: hé, de vaat is klaar. Of sensoren in je huis die temperaturen bijhouden. Er zijn zelfs sensoren die meten of je deur openstaat. Automatische gordijnopeners. Je kan het zo gek niet verzinnen of het is slim. En dat hele systeem van al die apparaten die aan je wifi-netwerk verbonden zijn... dat heet het internet der dingen. En dat is wel heel spannend en heel erg leuk en heel erg nieuw...

Robert: Klinkt heel cool, hè.

Larissa: En heel makkelijk, ja.

Nour: En waarom maakt dat een apparaat dan slim... als het kan verbinden met het internet?

Larissa: Omdat je er dan op afstand eigenlijk controle over krijgt. Dus inderdaad dat je ergens op vakantie bent... en dan een melding krijgt van je slimme camera... die dan zegt: hé, er is verdachte activiteit geconstateerd. Misschien moet je er even naar kijken. En eigenlijk zijn die apparaten zelf niet slim, maar maakt het jou slimmer. Dat is eigenlijk waar ik meer op richt.

Nour: En die controle van afstand zie ik ook zo voor me. Maar je zegt dus: deze technologie zit ook in andere dingen... waar we nog helemaal geen besef van hebben misschien.

Larissa: Nou, ik niet, want ik hou me er niet zo heel erg mee bezig. Maar er zijn mensen die vinden het helemaal fantastisch inderdaad wat je beschreef: je loopt je huis binnen en de koffie staat al klaar. En de lampen staan overal aan... en je favoriete televisiezender wordt aangezet. En je kon op je werk al kijken van: o, de oven is over 5 minuten klaar en dan heb ik geroosterde kip. Sommige mensen vinden dat helemaal fantastisch. Maar wat vooral heel verrassend is... is dat er eigenlijk steeds meer dingen... Iedereen kent wel de slimme televisie natuurlijk... waar je op je Netflix-account kan inloggen. Maar wat mij verbaasde was dat er ook gordijnopeners bestaan.... die dan vlak voordat je wekker afgaat, de gordijnen voor je open doen.

Nour: Weet je ook waar we die kunnen bestellen? Nu ben ik nog enthousiast. Ik weet niet waar het heen gaat zo meteen.

Larissa: Sluikreclame.

Nour: Nou, hoe slim is jullie huis eigenlijk? Daar ben ik eigenlijk oprecht wel benieuwd naar. Maken jullie veel gebruik van dit soort producten?

Larissa: Ik niet nee. Ik vind het verschrikkelijk, al die wachtwoorden en zo. Maar ik ben net verhuisd, nieuwe televisie gekocht. En die is slim. Ja, dus...

Nour: Die wel, ja?

Larissa: Ja, die houdt dan mijn Netflix en Disney bij.

Nour: En je mobiel natuurlijk in je broekzak. Zit daar ook iets als als Siri of zo'n soort apparaat op?

Larissa: Ik denk dat dat wel geldt als slim apparaat. Maar waar ik me echt vooral op heb gericht is meer huishoudelijke apparatuur. Omdat... Je mobiel is vaak toch al van zichzelf al best wel goed beveiligd. Apple heeft altijd al met vingerafdrukken en dergelijke gewerkt. En waar het in mijn geval om ging, waren huishoudelijke apparatuur... waarvan je denkt: oké, top, dat ding communiceert met mij. Maar wat zit er eigenlijk voor beveiliging achter? Wat meer verborgen, zeg maar.

Nour: Nou, praat jij met je koelkast, Robert?

Robert: Niet met de koelkast. Maar wel met een heleboel andere apparaten. Ik ben wel een beetje anders dan Larissa daarin. Ik heb zo'n heel tof Italiaans koffieapparaat, een espressomachine. Maar die moet dus heel lang van tevoren opwarmen. En als ik 's ochtends wakker word, het eerste waar ik aan denk is koffie. Dus ik heb daar een timertje opgezet... en ik kan die dus van afstand bedienen. Maar inmiddels heb ik dat op tijd gedaan. Dus ongeveer drie kwartier voordat ik wakker word, springt mijn espresso-apparaat op. Dan kan hij alvast opwarmen. En dan kan ik dus lekker mijn Italiaanse bakkie pleur 's ochtends drinken. Dus dat vind ik een hele fijne. Ik heb ook allerlei andere apparaten die slim zijn. Je noemde al de robotstofzuiger, die heb ik ook. Maar daarvan zie ik soms niet het nut. Ik heb ook een vaatwasser. Vorig jaar ging onze vaatwasser kapot, we hebben nu een nieuwe. Ja, die is dan ook slim. Maar dan zit ik bijvoorbeeld op mijn werk... en dan heeft mijn vrouw de vaatwasser aangezet. En dan krijg ik opeens een melding: de vaatwasser staat aan. En daarna: de vaatwasser is klaar. Dan denk ik, wat boeit mij dit nou? Dan zit je in een meeting en dan 'bliep bliep'. Dus dat heb ik allemaal weer eraf gegooid. Maar ja, ik denk dat ik dus ja,best wat apparaten heb.

Nour: Je zou hopen dat die slimme apparaten slim genoeg worden... om dat soort berichtjes gewoon niet meer te sturen.

Robert: Ja, voor mij is het dus van... bij het espressoapparaat zie ik echt het nut ervan in. Dus dan denk ik van: nou, fijn. En zo kan ik er nog wel een paar bedenken. Maar bij de vaatwasser dacht ik: wat doet het er nou toe dat ik weet wanneer de vaat klaar is.

Larissa: Maar mag ik je dan vragen: waarom heb je dan gekozen voor een slimme vaatwasser, niet gewoon een normale?

Robert: Ik heb gewoon de dingen in de aanbieding gekocht. En die precies de juiste afmetingen had in mijn keuken. Want de vorige bewoners hebben die keuken helemaal uitgekozen... en daar paste die goed in. Dus het maakte me echt totaal niet uit.

Nour: Maar daar herken ik me dan ergens wel weer in... dat je koopt wat in de aanbieding is. Voor mij is dat op dit moment gewoon de kringloop. Dat is the place to go. Maar ik ben dus niet heel bewust bezig, eerlijk gezegd, met slimme apparaten. Als ik dit zo hoor, wat er allemaal mogelijk is, denk ik... nou ja, het lijkt me hartstikke leuk. Maar als er al een trend gaande is in mijn huis... is het dus eerder een soort retrotrend. Waarbij ik juist laatst voor zo'n koffiemolen stond... en dacht: o ja, ik kan ook gewoon mijn eigen koffiemolen gaan malen.

Larissa: O ja, heel hipster.

Nour: Ja, precies. Maar dus een beetje onbewust ben ik die kant op aan het gaan eigenlijk.

Larissa: Ja, dat herken ik wel. Ik ben dus net verhuisd en ik heb dus nu voor de eerste keer in m'n leven een vaatwasser en dat ding is echt superdom. Er zit een aanknop op en drie temperatuurstanden... en hij piept als hij klaar is. En ik ben helemaal over the moon. Voor mij hoeft hij echt niet slim te zijn.

Nour: Hij doet precies wat je nodig hebt.

Robert: Dus ik ben de oudste hier, maar ik heb de modernste apparatuur thuis. Die hacks komen toch wel uit onverwachte hoek. Want we hebben het nu over apparaten die heel slim zijn. We hebben het over die vaatwasser en zo. En dan is het wel een beetje de vraag van, wat is het nut ervan... Maar er zijn ook apparaten die je wel echt met het wifi-netwerk verbonden wil hebben, maar waar je misschien helemaal niet zo over nadenkt. Ik denk bijvoorbeeld aan mijn eigen zonnepanelen. Ik heb sinds een jaar zonnepanelen. Maar ik heb daar, totdat ik jouw artikel las eigenlijk op NEMO Kennislink... helemaal niet zo over nagedacht. Is dat wel beveiligd? Is dat wel goed beveiligd? Nu heb ik er wel over nagedacht. Ik weet niet of ik er heel veel tegen heb gedaan... maar misschien moet ik dat in deze podcast niet zeggen. Als je dit luistert, heb ik er inmiddels wel wat aan gedaan. Maar dat hoor je wel meer, toch?

Larissa: Ja. Ik denk dat heel veel mensen daar helemaal niet bij stilstaan. Ik denk dat over het algemeen mensen het toch gewoon zien als plug and play. Zonnepanelen worden geïnstalleerd. Je kan op een app bijhouden wat je rendement is. Fantastisch. Ik denk dat het gros van de mensen totaal niet stilstaat bij... dat die zonnepanelen dus met jou communiceren via wifi. Dat is ook an sich niet erg... als het goed beveiligd zou zijn vanuit de producent. En dat is het dus niet.

Robert: Ja, laten we daar eens op ingaan. Dus mijn zonnepanelen. Ik vind het superleuk om... zeker in het begin, nu doe ik dat eigenlijk zelden nog... maar om te zien van: wacht, dus de zon schijnt heel erg. Dit is wat ik opwek. Dit is wat ik verbruik en nou, dat vind je dan allemaal hartstikke interessant. En dat is ook leuk. Maar wat is nou eigenlijk het probleem daarmee? Want dat is, neem ik aan, geen probleem...

Larissa: Het probleem is dat mensen die kwaad willen... die kunnen eigenlijk elk slim apparaat hacken. Alles wat verbonden is met het internet kan gehackt worden. Elke computer kan gehackt worden... en al die slimme apparaten hebben allemaal chips en die kunnen allemaal gehackt worden. En op het moment dat een hacker zegt van: ik heb heel veel apparaten nodig, want ik wil een DDoS-aanval uitvoeren, dan eh...

Nour: Wat is dat? Een DDoS-aanval?

Larissa: Ja, een DDoS-aanval is... je moet je voorstellen, websites die draaien op servers. En op het moment dat zo'n server overbelast raakt... dan doet je website het niet meer. En de manier om een server overbelast te laten raken... is door heel veel apparaten een informatieverzoek bij zo'n server neer te laten leggen. En dan moet je je voorstellen: als je in een kamer staat met honderd mensen... die allemaal tegelijkertijd dingen aan je gaan vragen... en ook het NS-rooster aan je voorleggen... en recepten voor cake. Allemaal tegelijkertijd. Dan sta je daar van: het is een beetje veel. Nou, dat heeft die server dan ook. Die knalt eruit, die heeft een storing... en dan doet je website het niet meer.

Nour: Dat kan dus een laptop zijn, maar dat kan dus ook onze slimme koffieautomaat zijn. Dat kan ook een verzoek doen.

Robert: Ja, want dat is verbonden met het internet. Ik heb ooit een interview gehad met Aiko Pras van de Universiteit Twente... en die legt het uit. Die zei: het is alsof iemand allemaal telefoonboeken... weet je wel, die hele dikke telefoonboeken van vroeger. Ik weet niet of ze überhaupt nog gemaakt worden... maar die sturen ze allemaal naar jouw adres. En die eerste past nog door de brievenbus en de tweede ook. Maar dan zie je op een gegeven moment dat er een hele rij van PostNL, DHL-wagentjes staan... die allemaal zo'n telefoonboek komen brengen. Kijk, ik raak nu al in de war. Dat is precies wat je wil. Totdat je hele oprit helemaal vol ligt. Je garage, alles, je huis is helemaal overstroomd. Dat is eigenlijk een beetje een fysieke vergelijking van wat zo'n DDoS-aanval doet.

Larissa: Dan knalt zo'n server eruit. En als daar de website op draait van de lokale kattenvereniging in Lutjebroek... dan is dat niet zo heel erg. Daar hebben vijf mensen last van en dat is dan klaar. Maar als daar de site van de Rijksoverheid op draait... of DigiD bijvoorbeeld, dat DigiD eruit knalt... dan heb je dus een enorm probleem. En dat is voor mensen die kwaad willen enorm interessant. Want er zijn heel veel servers in de wereld waar heel belangrijke dingen op staan. En daar hebben ze dus mankracht voor nodig... of in dit geval computerkracht. En waar vroeger dan je computer risico liep om gehackt te worden... is dat eigenlijk tegenwoordig voornamelijk slimme apparaten. Omdat die dus zo notoir slecht beveiligd zijn. Omdat mensen geen idee hebben van: o ja, mijn zonnepanelen, ze doen het toch? Wat verwacht je nou nog meer van me? En daar zit dus nog een enorm gat aan informatie, denk ik, bij mensen thuis. Dat ze geen idee hebben van: o, wacht even... Het standaard wachtwoord van 5 keer 0, dat zou ik aan moeten passen. Ja, eigenlijk wel.

Robert: Ja, want het kan dus een DDoS-aanval teweegbrengen. Kan het ook wat dichter bij huis? Zijn daar ook voorbeelden van, dat iemand persoonlijk daardoor gehackt kan worden? Dat ze mensen daar kwaad willen doen?

Larissa: In principe wel. Ik denk dat dat risico wat kleiner is. Maar ja, die verhalen hoor je wel... van hackers die gewoon willekeurige IP-adressen, willekeurige huishoudens eigenlijk, opzoeken en alles op slot gooien. En als dus je hele huis slim is... dan doet ook geen enkel apparaat in je huis het meer. En zeggen van: betaal maar 10.000 euro, want anders dan lek ik je naaktfoto's... of al je andere geheimen. Dat zou in principe kunnen, ja.

Nour: Je noemt het voorbeeld van een huis, maar ik zit ook meteen aan de auto te denken. Die auto wordt ook steeds slimmer, volgens mij. Dat je van een afstandje kan beheren. Als je daar opeens de deuren dichtgooit of het gaspedaal indrukt...

Larissa: In mijn onderzoek kwam dat op een gegeven moment wel naar voren... Dat was geloof ik met een jeep. Die was hartstikke slim. En er was een hacker, die kon gewoon op afstand via het GPS-systeem, geloof ik, nam je dat over... Die kon gewoon het rempedaal midden op de snelweg indrukken, in theorie. En dat is op YouTube gezet als: hé, jongens... moeten we dit eigenlijk wel willen? Want dat is natuurlijk de grote vraag: je kan alles slim maken en gemak dient mens. En het is superleuk dat je huis nu je persoonlijke butler wordt... of je auto je persoonlijke chauffeur. Maar hoe groot is het risico dat we daarmee lopen? Dat is een hele goede vraag om te stellen.

Robert: Ja, terwijl dat ook nog niet aan de lopende band gebeurt natuurlijk, hè. Maar dat het mogelijk is, zegt al wel iets. En juist altijd bij hacks wordt de zwakke schakel gezocht. En de zwakke schakel zou dus in dit geval heel goed je vaatwasser kunnen zijn... of je zonnepanelen.

Larissa: Ja, en ik denk dat het risico op een persoonlijke aanval inderdaad wel klein is. Maar het risico dat je apparaat gebruikt wordt in een DDoS-aanval op een server die heel belangrijk is... is

denk ik wel aanzienlijker. Omdat je dat ook in principe helemaal niet hoeft te merken. Als jouw slimme koelkast gebruikt wordt in zo'n botnet... in zo'n robotleger aan gehackte apparaten... zolang jouw koelkast koud blijft en je blijft vertellen: hé, de melk is op... dan merk je als gebruiker daar echt helemaal niks van. En dat is het beangstigende, denk ik. Het zou zomaar nu in jouw huis zo aan de gang kunnen zijn... met je slecht beveiligde zonnepanelen.

Nour: Ja, of jouw nieuwe tv. Pas op, hoor.

Larissa: Nadat ik het artikel heb geschreven heb ik mooi alle wachtwoorden aangepast.

Nour: Heel goed.

Robert: Ik voel me opeens heel rood worden. Kortom, die slimme apparaten zijn niet langer weg te denken uit ons dagelijks leven. Maar hoe afhankelijker we worden van deze apparaten.... des te groter de consequenties kunnen zijn van een lek in de beveiliging. De beveiliging van slimme apparaten kent dus meerdere zwakke plekken.

Nour: We brengen de belangrijkste in kaart en we gaan op zoek naar passende oplossingen. Hoe hack je dan zo'n slim apparaat? Kun je dat uitleggen?

Larissa: Daar zijn eigenlijk twee manieren voor. De eerste manier is dat als je bijvoorbeeld een slimme camera hebt... En een hacker vindt daar op een gegeven moment een lek in de beveiliging van die slimme camera... en maakt die bekend binnen de hackerscommunity. Dan kan je daar als mede-hacker gebruik van maken. Dan schrijf je een stuk code die specifiek target op dat beveiligingslek. En dan ga je gewoon op zoek over de hele wereld naar die slimme camera, dat specifieke merk. En kijken of die nog steeds dat lek heeft. En dan ben je er zo in.

Nour: Dat beveiligingslek is dus afkomstig van de productie. Gewoon de producent die een zwakke plek heeft opengelaten.

Larissa: En dat is op zich ook helemaal niet te verwijten... Want hackers zijn constant op zoek naar dat soort beveiligingslekken. En het is ook moeilijk om van tevoren al die lekken er al uit te krijgen. Daarom heeft zelfs bijvoorbeeld Windows... die een van de grootste computertechneuten ter wereld is... die brengt ook voortdurend nieuwe beveiligingsupdates uit. Omdat die lekken gewoon nou eenmaal... dat zit in de code. Dat werkt nou eenmaal zo.

Robert: Daar valt niet aan te ontkomen eigenlijk. En dat je steeds moet updaten.

Larissa: Ja. En daar zijn hackers natuurlijk ook specifiek naar op zoek. Dus dat is eigenlijk de eerste methode. En de tweede methode is dat... je hoort het vrij regelmatig, dan heeft een bedrijf weer een beveiligingslek gehad. Waternet had er geloof ik laatst nog eentje... waarbij dan gebruikersnamen en wachtwoorden op straat komen te liggen. Dus een hacker is dan binnengedrongen in een systeem. Heeft een heel stel gebruikersnamen met daaraan wachtwoorden gekoppeld buitgemaakt. Die lijsten circuleren op internet rond. En dan is het als hacker heel makkelijk om een stuk code te schrijven... die specifiek op zoek gaat naar die gebruikersnamen. Daar zijn vaak ook e-mailadressen aan gekoppeld. En dus die wachtwoorden. Mensen recyclen hun wachtwoorden. Heel erg veel. Dus dan heb je één gebruikersnaam, één wachtwoord. Daar kan je dan zes dingen mee openen. En dan is het gewoon een kwestie van code schrijven... en computers laten zoeken naar: waar komt deze gebruikersnaam met dat wachtwoord voor? En ook dan ben je binnen. Zo makkelijk gaat dat, schijnbaar.

Nour: Maar eigenlijk.. als ik al meteen vooruitdenk naar oplossingen... dan ligt de oplossing ook voor de hand.

Larissa: Ja, je wachtwoord aanpassen.

Robert: Is het zo makkelijk?

Nour: Ja, maar in de praktijk is dat toch wat lastig. Waarom dan eigenlijk? Ik herken het zelf ook, hoor, dat ik dat niet zo frequent doe eigenlijk, mijn wachtwoord aanpassen. Waarom is dat? Hebben jullie daar een idee over?

Larissa: Luiheid.

Robert: Ik denk het ook. Ik denk dat eigenlijk alles waar we het over hebben is gemak. En dit, volgens mij is dit een van de grootste ergernissen... dat je steeds je wachtwoord moet aanpassen. En dat je dan denkt: o, wat had ik nou ook alweer bedacht. Wat was het nou ook alweer? En dan denk je: nou ja, dan doe ik hetzelfde, maar net even iets anders of zo.

Larissa: Welkom een, twee, drie uitroepteken.

Robert: Nou, dat soort dingen heb ik nooit gedaan. Maar nee, ik herken dat wel. En ik denk dat dat deels luiheid is, maar soms moet je ook gewoon ergens in, of hè, dat wil je gewoon. Als je het niet kan vinden, is het ook meteen ergernis. Dus ik zou zeggen: niet alleen gemak, maar ook ter voorkoming van irritatie.

Nour: Ik vind het soms ook ingewikkeld dat ze andere eisen stellen ofzo. De ene wil een cijfer en een speciaal teken... en nog minimaal drie hoofdletters, zeg maar. En de andere zegt: joh prima, vier tekens is voldoende. Ik heb laatst wel een goede tip gehad trouwens. Als je gebruikmaakt van een specifieke site of een specifiek product... kun je bijvoorbeeld dat product verwerken in je wachtwoord. Dus laten we zeggen: je gaat inloggen bij je bank of zo. Dat je dan de eerste drie letters van je bank steevast neemt... en dan een standaard riedeltje erachteraan. Zo kun je wel elke keer een ander wachtwoord gebruiken... omdat je het elke keer aan een ander product aanpast. Dit zou in theorie kunnen, heb ik een vriend horen zeggen. Maar ik dacht: dat is wel fijn om het wat makkelijker voor jezelf te maken... dat je niet zoveel verschillende codes hoeft te onthouden.

Larissa: Dit is zeg maar een beveiligingslek live.

Nour: Ja, zo ontstaat het dus. Nee, en verder is het belangrijk om natuurlijk wel regelmatig aan te passen. Dat hebben we ook gevraagd aan luisteraars: doen jullie dat dan ook en hoe frequent dan precies? Daarbij waren de opties: doe je dat wekelijks, maandelijks, jaarlijks of heb je dat de afgelopen vijf jaar toch echt niet gedaan? Misschien een voorschot doen Larissa, wat denk je?

Larissa: Ik denk in de afgelopen vijf jaar niet gedaan.

Nour: Ja, toch echt wel overduidelijk. Instagram en Twitter, zo'n 60, 70 procent gaat daarvoor. De overige mensen doen het jaarlijks. Er was slechts één iemand die zei: eigenlijk elke keer als ik inlog... heb ik alweer de drang om aan te gaan passen. Dus die is misschien al heel goed op de hoogte. Maar ik herken me er wel in eigenlijk.

Larissa: Ja, ik denk inderdaad dat het luiheid is... maar ik denk ook dat mensen er gewoon in het dagelijks leven niet zo bij stilstaan. En dan heb je weer een berichtje van ING die zegt: je wachtwoord is zes maanden oud. Je moet het aanpassen... terwijl je net probeert een transactie te doen. Vloekend en tierend. Oké, en zestien eisen moeten ook nog aan het wachtwoord... en het is hartstikke frustrerend. Maar er zijn ook alweer allemaal hele mooie oplossingen voor. Want je hebt van die wachtwoordgeneratoren tegenwoordig. Dat is gewoon een website waarbij je de kwalificaties van zo'n wachtwoord in kan voeren... Het moeten tweeëndertig tekens zijn. Er moeten speciale tekens in en hoofdletters en cijfers. En dan krijg je een volkomen willekeurig wachtwoord. Want dat is eigenlijk het grote probleem, dat mensen niet willekeurig zijn. Ze gaan altijd op zoek naar patronen, want je wilt het wachtwoord onthouden.

Nour: Precies

wat ik heb beschreven.

Larissa: Ja. Precies wat je hebt beschreven. Je stopt je huisdier erin... of je doet een cijferreeks die je makkelijk kan onthouden, zoals je geboortedatum. Dat soort dingen. Terwijl zo'n wachtwoordgenerator, die is volkomen willekeurig. En dat maakt het voor een hacker... Die heeft er ook allemaal software of allemaal code voor... Maar dat maakt het heel lastig om zo'n wachtwoord te kraken. En ik zou zeggen: ga gewoon eens een keer een middagje zitten met een Netflix en een kop thee... wel je beveiligde Netflix dan, hè... en ga gewoon wachtwoorden genereren. En die gewoon overal invoeren. Dan heb je gezond wachtwoordgedrag, denk ik.

Robert: Juist. Een wachtwoordmanager, is dat dan handig?

Larissa: Ik denk het wel, ja. Daar moet je dan wel het wachtwoord van onthouden. Maar in principe hoef je dan maar één wachtwoord te onthouden. Maar een wachtwoordmanager of een wachtwoordkluis, jazeker... daar maken ook heel veel bedrijven intern al gebruik van. Want als je op een kantoor werkt... heb je vaak ook verschillende sites waar je in moet loggen. Zeker in de journalistiek komt het veel voor. En die hebben gewoon een wachtwoordkluis. En dan hoef je maar één wachtwoord te onthouden. Dan hoef je in ieder geval geen tweeëndertig verschillende wachtwoorden te onthouden. Maar je hebt dus ook heel veel random wachtwoorden. Dus niet meer Welkom123!

Robert: Of de naam van je kat met je geboortedatum erachter.

Nour: Willekeurige wachtwoorden dus en een wachtwoordkluis. Maar er was ook nog een ander probleem, zei je. Namelijk: het kan ook in het systeem zelf zitten. Hoe los je dat dan op?

Larissa: Als consument kun je daar niet zo heel erg veel aan doen. Dat ligt echt vooral bij de producent. En op dit moment hebben we eigenlijk daar het probleem mee... dat vanuit de EU er heel weinig regelgeving is... over wat voor eisen er moeten gesteld worden aan slimme apparaten. En producenten die een grote naam hebben... zoals bijvoorbeeld Samsung of Siemens of Philips... die hebben een naam hoog te houden. Dus die stoppen heel veel geld in beveiliging van hun apparaten. Maar kleinere bedrijven hebben zoiets van: ik heb geen zin om daar moeite en geld in te stoppen. Dus die beveiliging is dan heel erg slecht. En de EU heeft dan nu gezegd: oké, slimme apparaten worden steeds meer onderdeel van ons leven. In Nederland alleen al heeft geloof ik driekwart van de mensen al een slim apparaat thuis staan. En de EU heeft nu gezegd: daar moeten we onze wetgeving op aan gaan passen. We moeten de mensen echt tegen zichzelf beschermen, haast... Ervoor zorgen dat ze niet zo makkelijk slachtoffer zijn. Dus die zijn bezig met nieuwe wetgeving. En die wordt ik geloof volgend jaar of in 2024 verwacht. O, volgend jaar ís 2024...

Robert: Hergebruikte wachtwoorden en achterstallige software. Daarin schuilt het grootste gevaar. Maar dus ook de belangrijkste oplossing. Terwijl slimme apparaten in rap tempo hun weg vinden naar ons huis... houden we zo de hackers buiten de deur. Zijn jou nog andere zwakke plekken opgevallen... of gebruik jij nog andere trucs om jouw slimme apparaat te beveiligen? Dan zijn wij heel erg benieuwd. Deel ze met ons via @nemokennislink op Twitter en Instagram. We kijken nu een stap vooruit in de tijd. Hoe ziet de beveiliging van slimme apparaten eruit in de toekomst? Je noemde al de Europese Unie en de nieuwe wetgeving. Dat zit dus heel erg op het gebied van toezicht en handhaving. Moeten we daar heel veel van verwachten?

Larissa: Nee, er zijn twee problemen daarin. Ten eerste: wetgeving loopt altijd achter op de realiteit. Daar kan de EU helemaal niks aan doen. Dat is gewoon hoe het werkt. Je hebt eerst een situatie nodig... en daar moet dan de overheid op reageren met: o, dit is een probleem. En daar moet dan de wetgeving op aangepast worden. De EU is natuurlijk wel een bijzonder log apparaat, want je hebt met allemaal landen te maken. Ook daar kan de EU niks aan doen.

Robert: En je hebt met hackers te maken... die de hele tijd maar bezig zijn... om te zoeken naar foutjes, dingetjes waar ze gebruik van kunnen maken. Dus je hebt te maken met een hele flexibele community... ja, hoe zou je het kunnen noemen? Community van hackers... of groepen hackers die dit alleen maar doen. Dus je loopt eigenlijk altijd een beetje achter de feiten aan.

Larissa: Sowieso. En het tweede probleem is dat de EU gewoon heel weinig beschikbaarheid heeft over IT-experts. In elke sector is er een tekort aan IT-experts. Die heb je nodig om die controle en die toezicht en die handhaving uit te kunnen voeren. De mensen zijn er gewoon niet. Dus ook niet bij de EU. Het is goed dat ze daar stappen in ondernemen. Dat sowieso. Want met die wetgeving kunnen in ieder geval stappen ondernomen worden... om mensen beter te beveiligen of te helpen beveiligen. Maar ik denk dat de grootste verantwoordelijkheid Toch nog wel bij de consument zelf ligt. Als die dat wil, tenminste. Je kan natuurlijk ook zeggen: kraak mijn zonnepanelen maar, ik vind het allemaal gezegend. Maar ik denk dat daar wel de grootste verantwoordelijkheid ligt.

Nour: Zit er nog een verandering aan te komen als het gaat om die IT-experts? Is de verwachting dat de komende jaren daar meer van zijn? Of zitten we nog steeds in een soort Wilde Westen van het internet?

Larissa: Het is zeker het Wilde Westen van het internet. Hoewel er natuurlijk enorm veel geronseld wordt, je merkt het aan alle kanten. IT is nog steeds booming en het blijft denk ik voorlopig ook nog wel zo doorgaan. Maar om dat gat in te halen... ja, het is natuurlijk ook veel aanlokkelijker om hacker te zijn. Er valt veel meer geld mee te verdienen, denk ik, als je dat een beetje goed kan. Het heeft natuurlijk ook wel een beetje een bepaald imago. Ik krijg een beetje een soort cowboybeeld in mijn hoofd nu.

Robert: De Clint Eastwood van de hackers. We lachen erom, maar eigenlijk willen we dat nou juist niet, hè. Maar het is natuurlijk wel het imago dat eraan kleeft.

Larissa: Maar je ziet ook al in het nieuws met Anonymous... die hackergroep die zich opwerpt als vigilante... zo van: wij gaan het wel even rechtzetten. Nou ja, dat soort images horen er ook een beetje bij, denk ik. Dus als IT-expert is het misschien ook wel heel veel aanlokkelijker om de verkeerde kant uit te gaan. Dat weet ik niet, ik ben geen IT-expert.

Nour: Nou heb je

tegenwoordig ook veel van die ethische hackers natuurlijk. Dus dan kun je zeg maar je vaardigheden alsnog volledig toepassen... maar dan voor het goede. Misschien zitten nu mensen te luisteren... dan kan ik toch even overhalen om die kant te kiezen.

Robert: Nog veel cooler.

Dus er zit

een soort kat- en muisspel bij... waarbij je dus wel van alles moet doen. En waar we ook eigenlijk de Europese Unie moeten aanmoedigen om daar van alles van te doen. We moeten zelf van alles doen. Maar het zal altijd een strijd blijven. Je zal altijd gaten moeten dichten, dingen moeten oplossen.

Larissa: Ja, het is hetzelfde als met inbrekers buiten je huis houden. Je kan het duurste slot op de markt kopen. Maar een inbreker vindt toch altijd wel weer een manier om binnen te komen. Hetzelfde met je auto. Op een gegeven moment hadden we allemaal hele mooie beveiligingssystemen op auto's... en toen vonden ze een manier om de autosleutels te hacken. Dus dat blijf je houden. En dat is het risico van vooruitgang.

Robert: Elke computerdeskundige die ik heb gesproken in de afgelopen 20 jaar, die zegt: als ze bij jou naar binnen willen komen... écht naar binnen willen komen... komen ze binnen. En dat geldt zo voor inbrekers. Dat geldt voor op afstand, via apparaat of wat dan ook. Je hebt altijd ergens een zwakke plek. Het is alleen: hoeveel tijd willen ze erin steken... Hoeveel moeite wil je ervoor doen. En je wilt het ze zelf zo moeilijk mogelijk maken. Ja, het is een beetje als je fiets. Als je fiets maar met één slot vastzet... dan ben je niet zo aantrekkelijk. Maar heb je drie sloten meer dan de fiets naast je... dan wordt het een ander verhaal.

Larissa: Ja, en verf hem dan gifgroen en zorg voor dat er geen spatborden op zitten.

Nour: Nou, ik hoop dat we zo wat extra opties geboden hebben natuurlijk. De conclusie is denk ik ook dat slimme apparaten niet weg te denken zijn. Dat dan die beveiliging daar heel erg belangrijk in is. Tot slot, Larissa, vroeg ik me af: we hebben veel verschillende toepassingen van slimme apparaten besproken zoal denk ik. Wat is nou nog één huistaak waarvan jij zou zeggen: daar moeten ze echt nog iets op bedenken, hoor. Goed beveiligd, dat wel, maar daar wil ik gewoon vanaf.

Larissa: Oh, dat is een vraag.

Nour: Als je nu je huiskamer voor je ziet.

Larissa: Ja, strijken.

Nour: Strijken. Ja, een automatische strijkmachine. Ik heb het nog nooit van mijn leven gedaan. Dat zou ik perfect vinden.

Larissa: Ja, dat lijkt me echt heel erg chill. Of gewoon iets wat de vaatwasser uitruimt. Want ik ben heel blij met die vaatwasser, hoor. En ik ben ook heel blij dat hij dom is. Maar dat ik hem in en uit moet ruimen.

Robert: Er vertelde laatst iemand dat daar een oplossing voor is. Er zijn mensen die hebben twee vaatwassers naast elkaar. Dus een altijd voor de vieze en een voor de schone vaat. Toen dacht ik: dit is wel heel decadent.

Larissa: Ja. Dat is het zeker.

Robert: Tot zover deze aflevering van Oplossing Gezocht. Over slimme apparaten vallen aan.

Nour: Over twee weken zijn we weer bij je terug. Met een ander onderwerp, een ander probleem, een andere oplossing, maar wel dezelfde hosts.

Met

Robert: mij dus, Robert Visscher.

Nour: En met mij, Nour Eldín Emara.

Robert: Met dank aan onze gast Larissa van Dijk... en redactieleden Dimitri van Tuijl, Elvira Elzinga en Eva Poort. Wil je meer weten over onze wetenschapsjournalistiek? Volg ons dan op Twitter en Instagram... en bekijk onze site nemokennislink.nl. Tot de volgende keer.

Stem: Waarom hebben mensen de hik? Hoe eet een slak? Wat is kortsluiting?

Over

oneindig veel dingen kun je oneindig veel vragen stellen. Ben jij ook ergens nieuwsgierig naar? Stel al je vragen op nemo100jaar.nl.


Huidige publicatie