Steeds meer beveiligingsbedrijven bieden routers aan met ingebouwde security. Niet zozeer om malware op je router zelf te voorkomen, maar om de apparatuur in je thuisnetwerk te beveiligen. We leggen het hoe, en waarom voor je uit.
Beveiliging van je thuisnetwerk verplaatst zich van je pc naar je meterkast. De oorzaak hiervan ligt vooral in het feit dat onze netwerken behoorlijk veranderd zijn. Waren dat eerst nog enkel Windows-pc’s en -laptops, die je stuk voor stuk met antivirus of internet security moe(s)t uitrusten. Nu is een netwerk opgebouwd uit een diversiteit aan apparaten: smartphones, tablets, een NAS, Chromebooks, Macbooks en wearables zoals een Fitbit, Samsung Gear of Apple Watch... Maar vergeet ook je verbonden huishoudelijke apparatuur (domotica), zoals je slimme thermostaat, verlichting of babycamera. Al deze verbonden apparatuur worden ook vaak IOT-apparaten (internet of things) genoemd. Op al deze systemen installeer je geen antivirus- of internet security-programma. Toch is het wel slim, en binnenkort misschien wel noodzakelijk, om deze apparatuur ook te beveiligen. Dat doe je op het knooppunt waar al het verkeer van je thuisnetwerk naar buiten (het internet op) gaat: je router.
Thuisnetwerk kwetsbaar
Maar hoe noodzakelijk is het om al deze apparatuur in je thuisnetwerk te beveiligen? In 2016 kregen onderzoekers het voor elkaar om ransomware te ontwikkelen voor een slimme thermostaat. Deze besmetting vereiste echter fysieke toegang tot het netwerk en is niet ‘in het wild’ voorgekomen. Het geeft echter wel aan dat het niet alleen Windows kwetsbaar genoeg is voor ransomware en andere vormen van malware.
Als je erover nadenkt zijn apparaten in je thuisnetwerk interessant voor malwareverspreiding. De verbonden apparatuur in je huishouden staat 24 uur per dag aan én stabiel in verbinding met internet. Bovendien zijn fabrikanten erg laks in de beveiliging. Ontdekte kwetsbaarheden worden slechts zelden aangepakt. Hierdoor blijven vatbare apparaten makkelijke doelwitten voor criminele activiteiten.
In praktijk zijn thuisnetwerken al ingezet voor cybercrime. De Mirai-malware bijvoorbeeld. Deze malware richtte zich op apparatuur in thuisnetwerken die constant aan staan, om zo een extreem krachtig botnet op te zetten. Aanvankelijk werden routers en ip-camera’s besmet, maar varianten die andere IOT-apparatuur te grazen nam doken ook op. Het Mirai-botnet werd in het najaar van 2016 gebruikt voor de zwaarste DDOS-aanvallen die de wereld ooit heeft gezien. De besmette apparaten bestookten (ongezien vanuit huishoudens) veel webdiensten met idioot veel dataverkeer, waardoor onder meer Netflix, Twitter, Github en Reddit onbereikbaar werden. DDOS-aanvallen worden vaak gebruikt om webdiensten af te persen. Wanneer er niet wordt betaald, dan wordt de dienst platgelegd. Er worden zelfs DDOS-diensten aangeboden, zodat je zelf sites tegen betaling plat kunt leggen. Dat overkwam ABN Amro (gevolgd door andere banken) begin dit jaar.
Er zijn echter ook andere nare vormen van cybercrime te bedenken met je aangesloten huishoudelijke apparatuur. Denk aan afpersing omdat er stiekem met je ip- of nannycams is meegekeken, inbraak omdat je speaker met spraakassistent al dagen niets registreert omdat je op vakantie bent of een koude winter omdat je losgeld moet betalen om je thermostaat weer te mogen gebruiken.
Veel IOT-apparaten zijn niet ontwikkeld met veiligheid in het achterhoofd.
-
Beveiliging wordt genegeerd
Hoe beveilig je je apparatuur? Op je besmette pc draai je een virusscanner of herstelschijf om de malware te verwijderen. Probeer dat maar eens op je besmette thermostaat of ip-camera. Je kunt niets installeren of verwijderen. Fabrikanten zijn ook niet erg happig om apparatuur te ondersteunen met veiligheidsupdates. Dat brengt namelijk extra kosten met zich mee, voor producten die al over de toonbank zijn gegaan. Ook zijn veel IOT-apparaten niet ontwikkeld met veiligheid in het achterhoofd, waardoor ze zo lek als een mandje in de huishoudens geplaatst worden.
Maar vaak ligt de zwakke plek in de beveiliging ook bij de gebruiker zelf. Bijvoorbeeld door het standaardwachwoord om het apparaat in te stellen niet te wijzigen. Zo kunnen anderen simpelweg toegang verkrijgen tot de apparatuur door de standaard-inlog van een product te googlen.
Security routers
Om je al thuisgebruiker toch nog te kunnen beveiligen worden veel routers uitgerust met ingebouwde security. Bijvoorbeeld de Bitdefender Box 2. Ook worden routers van bestaande grote merken tegenwoordig steeds vaker uitgerust met security. De vraag blijft echter hoe deze beveiliging wel kan ingrijpen, terwijl je eigen opties al uiterst beperkt zijn?
Wat de Bitdefender Box 2 doet is eigenlijk simpel. Het maakt een netwerk aan, dat het verkeer van ieder verbonden apparaat beveiligt. Probeert je ip-camera opeens contact te leggen met een onbetrouwbaar webadres? Dan wordt dit verkeer geblokkeerd. Wordt er opeens enorm veel verkeer gegenereerd omdat je apparaat onderdeel uitmaakt van een botnet dat een DDOS uitvoert? Dan gooit je router zelf de sluizen dicht. Sterker nog, als de router zijn werk nog beter doet, dan voorkomt hij dat je apparatuur een seintje kan krijgen van de opdrachtgever van een DDOS-aanval. Of er wordt voorkomen dat er überhaupt een besmetting plaatsvindt, omdat het als verdacht verkeer wordt bestempeld en tegengehouden. Kortom, zo’n Bitdefender Box 2 speelt een actieve rol in je netwerkverkeer.
Ook wanneer je op een pc, tablet of smartphone verbindt met je Bitdefender Box 2 kun je extra beveiliging verwachten. Zo worden malware-verkeer en gevaarlijke sites door de router geblokkeerd. Zo'n veilige router is echter geen vervanger voor malwarebescherming op je pc, maar een aanvulling.
Noodzaak
Zo’n Bitdefender Box brengt natuurlijk wel kosten met zich mee. De router kost 200 euro en na een jaar betaal je 100 per jaar aan abonnementskosten. Wanneer je thuisnetwerk alleen uit een paar pc’s en mobiele apparaten bestaan, ben je beter af met Bitdefender’s Antivirus of Internet Security op je pc’s. Maar door de opkomst van IOT-apparaten en bedreigingen, kan een Bitdefender Box 2 een waardevolle beveiligingslaag voor je thuisnetwerk zijn.