Het Internet of Things (IoT) gaat ons leven naar verwachting op allerlei manieren veraangenamen door naast onszelf ook al onze ‘dingen’ met het internet te verbinden. Dit vereist wel nieuwe open standaarden, bijvoorbeeld om het internet te beschermen tegen DDoS-aanvallen vanaf IoT-apparaten. Bij SIDN Labs hebben we veel ervaring met internetsecurity en standaarden en daarom zijn we hierop ingesprongen.
SPIN: A User-centric Security Extension for In-home Networks
Bescherming van security en privacy in het internet of things
IoT-security en -privacy
Sinds de Mirai botnet aanval op Dyn, nu ruim een jaar geleden, heeft het ‘Internet of Things’ (IoT) nog meer dan daarvoor onze aandacht. Vooral, omdat we zelf ook een belangrijke, wereldwijde, DNS-infrastructuur in de lucht te houden hebben ten behoeve van het .nl-domein, die doelwit kan worden van DDoS-aanvallen zoals die van een ‘thingbot’. ‘Thingbots’, oftewel botnets op basis van IoT-devices, zijn een niet te onderschatten - relatief nieuwe - bedreiging op het internet. Naast Mirai, bestaan er nu nieuwere varianten zoals ‘Persirai’ en ‘Reaper.’
Slimme hackers maken ze onderdeel van een botnet
Soms zijn ze gemakkelijk over te nemen door slimme hackers en worden ze onderdeel van een botnet. Of ze lekken net iets teveel privacygevoelige informatie. En hoewel het vaak om simpele apparaatjes gaat, zorgen de gigantische aantallen waarmee ze worden verscheept er toch voor dat ze een risico vormen. Zo was de Mirai-aanval er al een van ongekende proporties, terwijl het naar verluid om slechts 100.000 geïnfecteerde IoT-apparaten ging.
Nieuw onderzoeksproject
Om de kans te verlagen dat .nl of andere belangrijke internetsystemen doelwit worden van een DDoS-aanval door een ‘thingbot’ zijn we bij SIDN Labs begin dit jaar een nieuw onderzoeksproject gericht op het IoT gestart: ”SPIN” (Security and Privacy for Inhome Networks).
IoT-apparaten automatisch tijdelijk blokkeren
Het doel van SPIN is om IoT apparaten die ‘verdacht’ gedrag vertonen automatisch tijdelijk te blokkeren, zodat we DDoS-aanvallen bij de bron (het IoT-device in huis) aanpakken. Daarnaast geeft SPIN de gebruikers via een grafische interface meer grip op de veiligheid en privacy van IoT-devices thuis. Hiermee leveren we een bijdrage aan een veiliger en betrouwbaarder internet.
SPIN-prototype
De afgelopen maanden hebben we een prototype van het SPIN-systeem ontwikkeld dat voortbouwt op ons eerdere Valibox-concept. De SPIN-software is speciale open source firmware voor op een kleine, handzame thuisrouter. Het ontwerp en onze gedachten over de problematiek rond het IoT legden we vast in een tech-paper.
Interoperabiliteit
Een andere grote uitdaging van het IoT is ervoor te zorgen dat IoT-apparaten interoperabel zijn. Dat wil zeggen dat ze zonder problemen met elkaar kunnen samenwerken, omdat ze ‘dezelfde taal spreken’.
Interoperabiliteit is belangrijk, omdat onze huizen, bedrijven en vervoersmiddelen de komende jaren overspoeld gaan worden door een veelheid aan slimme apparaten en apparaatjes (‘things’) van allerlei fabrikanten. Slimme versies van sensoren, speakers, IP-camera’s, tv’s, thermostaten, robotstofzuigers, lampen, sloten, meters, wearables en allerlei andere ‘dingen’ worden –rechtstreeks of indirect- aangesloten op ons huis- of bedrijfsnetwerk en ons dagelijks leven gaan beïnvloeden.
Wildgroei aan producten
Omdat we feitelijk nog maar aan het begin staan van deze ontwikkeling, buitelen fabrikanten over elkaar heen voor een aandeel in deze veelbelovende markt. Zaken als time to market en pricing zijn cruciaal voor ze in deze fase. Als gevolg daarvan verschijnen producten vaak overhaast op de markt en werken ze nog slechts volgens gesloten, ‘proprietary’ standaarden, bijvoorbeeld slimme thermostaten die alleen werken in combinatie met de cloud van de fabrikant. Soms zijn ze maar matig beveiligd en vaak werken zie niet goed samen met andere componenten in het netwerk. En dat, terwijl ze vaak onbeheerd en voor lange tijd in onze netwerken worden geplaatst.
Onhoudbaar voor de lange termijn
Voor de langere termijn is het bovenstaande geen optimale situatie. Dit moet en kan beter. Eén van de oplossingsrichtingen is betere interoperabiliteit van apparaten op basis van open standaarden. Zodat bijvoorbeeld een smart-tv van merk ‘A’, zich veilig kan aanmelden op het thuisnetwerk. En dat een thuisrouter van merk ‘B’ er vervolgens geheel automatisch een specifiek beveiligingsprofiel voor kan instellen.
Het succes van open standaarden
Open standaarden en de interoperabiliteit die hierdoor mogelijk wordt, is een van de belangrijkste succesfactoren van het internet. Willen we innovaties op het gebied van IoT, zoals die nu in hoog tempo plaatsvinden, laten uitmonden in veilige en betrouwbare producten, dan is het van belang om die succesformule ook toe te passen op het IoT. Op die manier kunnen de vele apparaten van de toekomst goed op elkaar aansluiten en integreren. Zo scheppen we de voorwaarden om ze zowel veilig als onderhoudbaar en uitwisselbaar te maken.
IETF to the rescue
De Internet Engineering Taskforce (IETF), de gemeenschap waar veel internetstandaarden tot stand komen, erkent dit en is hiermee, overigens samen met andere SDOs (Standards Developing Organizations), volop aan de slag gegaan. Vooral de laatste tijd nemen deze ontwikkelingen een flinke vlucht.
Eerst is de kern aangepakt
Als eerste werd ‘de kern’ aangepakt en geschikt gemaakt. Want IoT ‘dingen’ stellen andere eisen aan communicatie-protocollen. Zo zijn ze zijn vaak gelimiteerde (constraint) devices met weinig vermogen die, om energie te besparen, bijvoorbeeld geregeld in een slaapstand (hibernate) gaan. Die bijzondere kenmerken vereisen aanpassingen aan communicatiestandaarden en dit resulteerde bijvoorbeeld in protocollen zoals 6LoWPAN.
Van Internet of Things naar Web of Things
De 2e fase van standaardisatie kenmerkte zich door verbeteringen in de wat hogere lagen van ‘de stack’. Vooral op ‘web-niveau’, om zodoende het IoT te transformeren tot een ‘Web of Things’ (WoT). Denk aan standaarden om bijvoorbeeld op basis van RESTful te kunnen communiceren met een ‘ding’. Het ‘Constrained Application Protocol’ (CoAP) is hiervan een goed voorbeeld. We vinden dit protocol al steeds vaker terug in producten, bijvoorbeeld in de hubs van slimme lampen.
De levenscyclus van dingen
Meer recente ontwikkelingen houden verband met de ‘life cycle’ van ‘things’. Hoe kunnen duizenden IoT-devices (bijvoorbeeld alle lampen van een groot gebouw) zich veilig en gemakkelijk aanmelden op het netwerk? Hoe zorgen we ervoor dat ze onderhoudbaar blijven en bijvoorbeeld hun firmware netjes op tijd krijgen? En kunnen we oplossingen bedenken waardoor routers en firewalls gemakkelijk, schaalbaar en dus geautomatiseerd een toegesneden beveiligingsprofiel kunnen instellen voor specifieke ‘dingen’?
Maar ook; hoe zorgen we voor interoperabiliteit en veiligheid en hoe bewaken we de privacy? En ten slotte; hoe kan het thuisnetwerk van de toekomst gestalte krijgen?
SIDN Labs en standaardisatie
Vanuit ons SPIN-onderzoeksproject en de ervaringen die we hebben opgedaan met het prototype van onze SPIN-controller in ons IoT-lab, hebben we hier inmiddels inzichten en ideeën over opgedaan. We willen daarmee gaan bijdragen aan verdere standaardisatie binnen de IETF op het gebied van IoT-security. We zien, vanuit onze missie om bij te dragen aan een ‘onbezorgd digitaal bestaan’, kansen op het gebied van verdere standaardisatie van beveiligingsaspecten van het IoT. En dit in het bijzonder in thuisnetwerken.
De eerstkomende, 100e, IETF-bijeenkomst is van 11 – 17 november a.s. en tal van IoT-onderwerpen staan weer op de agenda. We houden in ieder geval de T2TRG (‘Thing-To-Thing Research Group’), de CoRE WG en de Homenet WG goed in de gaten, maar ook de groepen die daar een relatie mee hebben. Vanuit SIDN Labs zijn we vanouds uitstekend aangehaakt bij de IETF. Wedragenvaak actief bijaaninternetstandaarden en onze ambitie is dat ook op het vlak van IoT te doen.
