Hackers houden van het internet der dingen, omdat beveiliging geen broodroosters verkoopt

De zin 'Data Breach' kwam niet tot stand in het algemene spraakgebruik, dat wil zeggen 'een substantieel aantal maandelijkse Google-zoekopdrachten', tot november 2013, toen 110 miljoen klantbetaalkaarten werden blootgesteld aan een inbreuk op de streefdata. Nu begrijpen we niet alleen dat onze informatie kwetsbaar is, maar dat deze informatie van alle kanten kwetsbaar is. Wat gold voor Target geldt nu voor Barbie Dolls, toiletten, MRI-machines en het Emergency Broadcast System: deze dingen kunnen worden gehackt. Dit is de reden waarom de media verliefd zijn geworden op verhalen over hoe nieuwe producten hackbaar of gemakkelijk in gevaar kunnen worden gebracht. Deze verhalen zijn even algemeen vooruitziend als ze altijd verwarrend zijn. Het is immers moeilijk om te ontleden wat 'kwetsbaar' eigenlijk betekent in het tijdperk van de breuk.

Laten we het proberen, want er komt nog veel meer aan.

De digitale snelwegen die de wereld verbinden, verbinden nu met schilderachtige zijwegen die overal naartoe gaan. We zullen de komende vijf jaar een 30-voudige toename zien van het aantal apparaten dat op internet is aangesloten - dat zijn 26 miljard apparaten online. Het gaat niet alleen meer om smartphones en computers, maar ook om slimme deurknoppen, thermostaten, gloeilampen en meer. Hoewel er niet per se waardevolle digitale gegevens hoeven te worden gestolen van een internetgekoppelde deurknop, zijn er genoeg dingen die je thuis kunt stelen als iemand leert om het te doen. Soms is dat proces onaangenaam eenvoudig voor experts.

Dan Guido, CEO van Cybersecurity onderzoeks- en ontwikkelingsbedrijf Trail of Bits, suggereert dat dit komt door een systemisch probleem in de hedendaagse technologie. Overweeg het besturingssysteem van uw computer of smartphone. Er zijn de hele tijd nieuwe patches en updates beschikbaar voor Windows, OS X, iOS en dergelijke. Elk van deze updates dient om diverse bugs op te lossen, hoe onzichtbaar ze ook zijn voor de consument, en elk daarvan is een kans om te worden misbruikt.

"Je komt nooit tot het einde," zei Guido. "Ze blijven dingen patchen en repareren, maar er zijn bijna onbeperkte kwetsbaarheden die mensen kunnen vinden." Het fundamentele probleem, zegt hij, is dat mensen geen software bouwen om vanaf het begin veilig te zijn; er is teveel nadruk op het creëren van producten die snel en betrouwbaar zijn - de veiligheid blijft een bijzaak.

Het blijkt dat consumenten het dichtst bij een digitale beveiligingswaakhond staan, de FTC, die de afgelopen jaren is opgestaan ​​om bedrijven verantwoordelijk te houden voor hun beweringen over de beveiliging. Als een bedrijf beweringen over de veiligheid van zijn producten doet die niet ophouden, wordt het geconfronteerd met boetes. Dit kan intimiderend zijn voor sommige kleinere bedrijven, maar de geschiedenis leert ons dat consumenten een kort geheugen hebben over beveiligingsproblemen, zodat de markt de neiging heeft om de zweep te sparen. Bedrijven spenderen tijd en geld aan snelheid en gemak, want dat is uiteindelijk wat consumenten willen. Beveiliging lijkt vooral van belang te zijn als het faalt. Deze aanpak kan het best worden samengevat als 'geen schade, geen fout'.

Dit is een probleem, omdat het omarmen van innovatie een gevaarlijke propositie is.

Guido zegt dat veel apparaten van Internet of Things zo gemakkelijk te hacken zijn dat stagiairs van hun bedrijf ze vaak opnieuw gebruiken voor hun eigen projecten. "Als je wilt inbraak in een iPhone of in Internet Explorer, kost het maandenlang moeite. Als je de nieuwste schaal voor Wi-Fi wilt gebruiken, heb je een week nodig zonder ervaring. "Het verbreken van moderne IoT-apparaten is zo onopvallend in de wereld van netwerkbeveiliging dat het 'junk-hacking' wordt genoemd.

"Bevordering van de veiligheid gebeurt niet echt." Guido legt uit, wat suggereert dat het een probleem van onderwijs is. "Het bieden van betere tools en incentives voor beveiliging van computerwetenschappelijk onderwijs kan een verschil maken. Er moeten beveiligingsstandaarden zijn voor de code die studenten inbrengen, maar op dit moment is het moeilijk voor een leraar om de beveiliging te beoordelen."

De afhaalmaaltijd van Guido's kritiek: alles is kwetsbaar, maar specifieke soorten apparaten zijn gevoeliger voor succesvolle invasies. Alles wat nieuw en hyped of zeer iteratief is, is waarschijnlijk bijzonder kwetsbaar, net als bootstrapped-producten en elk technisch product dat waarde verkrijgt door gebruik te maken van een niet-technologisch merk. Moet dit aanleiding geven tot bezorgdheid of afstandelijkheid bij consumenten? Dat hangt ervan af. Als uw hackbare deurknop een legitiem veiligheidsrisico vormt, vertegenwoordigt uw hackable broodrooster een potentieel, maar onwaarschijnlijk ongemak. En er kan waarde zijn voor dat ongemak. Een super hackable broodrooster is immers ook hackbaar voor de eigenaar, wat een leuk nieuw type keukenaanpassing mogelijk maakt.

Verhalen over kwetsbaarheid gaan zich verspreiden. Het belangrijkste om te onthouden wanneer de koppen beginnen te schreeuwen is dat niet alle hacks gelijk zijn gemaakt en dat er geen dingen zijn als absolute beveiliging - alleen betere weddenschappen.