Gehackt in 2016

We verbinden niet alleen computers en telefoons maar ook voorwerpen met elkaar via internet. Apparatuur in een smart home (slimme lampen, thermostaten en stekkers), slimme leasebakken en zelfs vliegtuigen. Als dat allemaal maar goed beveiligd is... Niet dus. Wie worden er in 2016 de dupe van computercriminelen of hackers?

1Kinderelektronica

‘Bonnie, heb je echt een pop die praat?’ zong Bonnie St. Claire in 1980. Vijfendertig jaar later hebben kinderen een pop die echt luistert en vervolgens een ‘slim’ antwoord geeft. Een virtuele assistent zoals Siri op je iPhone, maar dan gegoten in plastic – met een jurkje aan.

Hello Barbie hoort bij de eerste generatie smart dolls. Net als Cayla (uit 2014), en de Cognitoys Dino (komt in 2016 op de markt): een dinosaurus met internetverbinding ‘die meegroeit met je kind’. Connected toys doen het goed in de winkel, maar zijn ook kwetsbaar.

Barbie bleek makkelijk af te luisteren door een nep-wifinet op te zetten. Het wachten is op nieuwe lekken: kinderspeelgoed wordt vaak goedkoop geproduceerd, maakt zelden gebruik van de allernieuwste besturingssystemen (vaak oude Androidversies) en de internetaccounts zijn niet altijd goed beveiligd. De database van elektronicafabrikant VTech werd gehackt; ook het forum van Hello Kitty bleek onveilig.

Kinderen zijn makkelijke slachtoffers, bijvoorbeeld via de ‘gratis’ apps op een tablet of telefoon. Het zijn meestal verkapte winkels voor in-app-aankopen. Ouders moeten bedacht zijn op een rekening van een paar tientjes voor virtuele goederen.

2 Camera’s in huis

Alsof er buiten nog niet genoeg bewakingscamera’s hangen, plaatsen we ook extra camera’s in huis. Homevideocamera’s als de Nest Cam of de Circle van Logitech nemen continu ‘magische momenten’ op, midden in de huiskamer. Alle video’s worden online bewaard, zodat je ze snel kunt delen met de rest van de wereld. Zo’n gezinscamera kan ook inbrekers betrappen en ondeugende huisdieren en echtgenoten corrigeren.

Zoveel gevoelige persoonlijke informatie, dat smeekt om een hack. Camera’s zijn niet altijd goed beveiligd. Denk aan de mensen die het standaardwachtwoord van hun babyfoon of bewakingscamera niet wijzigen en zo de hele wereld laten meegluren. De opkomst van de gezinscamera brengt meer privacyproblemen met zich mee. Bijvoorbeeld mensen die hun logees begluren. Hoe komt Logitech er eigenlijk bij om de homevideocamera ‘Circle’ te noemen? Blijkbaar hadden ze The Circle van Dave Eggers niet gelezen; over een wereld waarin iedereen elkaar met camera’s in de gaten houdt.

3 Auto’s en vliegtuigen

Zou de Wegenwacht ook een fix hebben als je auto onklaar is gemaakt door cybercriminelen? Auto’s die via het web benaderbaar zijn, blijken kwetsbaar voor hackers. Afgelopen zomer kraakten veiligheidsexperts Charlie Miller en Chris Valasek een Jeep Grand Cherokee op afstand. Ook het elektronische slot van een BMW bleek niet veilig. Het aantal verbonden auto’s op de weg groeit snel en zulke experimentele hacks zijn nodig om het systeem te testen en veiliger te maken. Zodat we bij de dealer beveiligingsupdates kunnen downloaden, net zoals we nu de pc up-to-date houden. Als het goed is.

Ook vliegtuigen zijn een doelwit. Veiligheidsexpert Chris Roberts toonde dit jaar aan dat hij via het entertainmentsysteem kon doordringen tot de gevoelige onderdelen van een vliegtuig. De uitdaging voor terroristen: kun je een vliegtuig via een hack laten neerstorten, zonder explosieven? Gelukkig is het moeilijker om te oefenen op een vliegtuig dan op een auto. De onderzoekers die de Jeep kraakten, waren drie jaar in hun garage bezig om de kwetsbaarheid te vinden.

4 Nieuwe valuta: medische data

Cybercriminelen hebben het van oudsher voorzien op bankrekeningen en creditcards. Maar nu zijn ook medische gegevens in trek. Databases met patiëntengegevens en medische informatie geven cybercriminelen beschikking over hyperpersoonlijke informatie waarmee mensen makkelijk te chanteren zijn.

Ziekenhuizen, huisartsen en klinieken zijn nog niet zo ervaren in de strijd tegen cyberaanvallen als financiële instellingen. Ook bedrijven bewaren medische data in hun personeelsbestanden, maar schermen ze niet altijd goed af. Bij eerdere computerinbraken, zoals bij de Sony-hack, werden personeelsbestanden misbruikt voor ‘datakidnapping’.

Ook kwetsbaar, want chantabel: gebruikers van porno- en datingsites. In het heetst van de strijd laat je je meest persoonlijke gegevens achter bij een webdienst, drukt op ‘OK’ bij de gebruikersvoorwaarden, zonder te weten hoe (on)veilig je data worden opgeslagen. De klanten van Ashley Madison merkten hoe pijnlijk het is als cybercriminelen gestolen informatie uit laten lekken.

5 De chat-encryptie omzeild

WhatsApp (Facebook) en iMessage (Apple) gaan er prat op dat ze niet meer af te luisteren zijn dankzij betere versleuteling. Tot grote ergernis van inlichtingendiensten: die zoeken makkelijk toegang tot de berichtenstroom via een dwangbevel of een achterdeurtje, met versleuteling die snel te kraken is.

Een goed beveiligde berichtenstroom (‘end-to-end-encryptie’) beschermt je niet tegen andere onveilige praktijken. Chats via je telefoon kun je synchroniseren met andere apparaten (WhatsApp via de browser, of Apples berichten op je computer/tablet). Heel handig, maar je bent wel kwetsbaarder. Er zijn al nep-versies van de web-pagina van WhatsApp in omloop. En een MacBook of iMac is makkelijker te hacken dan een iOS. De telefoon zelf is ook doelwit: de Android-wereld puilt uit van kwaadaardige software, Apple iOS is veilig maar niet onfeilbaar. Vorig jaar verspreidde Apple nep-apps, omdat er met het ontwikkelgereedschap geknoeid was.