Vliegtuigen, speelgoed: zo word je gehackt in 2016

Wie worden er in 2016 de dupe van computercriminelen of hackers? Alvast een voorschotje op het slechte nieuws. Heeft de Wegenwacht ook een fix als je auto is gehackt?
Beeld iStock

We verbinden niet alleen computers of telefoons maar ook voorwerpen met elkaar via internet. Zo ontstaan nieuwe kwetsbaarheden en nieuwe slachtoffers. Apparatuur in een smart home (slimme lampen, thermostaten en slimme stekkers). Ook de auto gaat online; hoeveel sterren scoort de nieuwe leasebak op de digitale crashtest? Persoonlijke data slaan we massaal op in de cloud, de webserver op afstand. Als al die websites dan maar goed beveiligd zijn. Niet, dus.

1 Kinderelektronica

‘Bonnie, heb je echt een pop die praat?’ zong Bonnie St. Claire in 1980. Vijfendertig jaar later hebben kinderen een pop die echt luistert en vervolgens een ‘slim’ antwoord geeft. Een virtuele assistent zoals de spraakgestuurde vraagbaak Siri op je iPhone, maar dan gegoten in plastic, en met een jurkje aan.

Hello Barbie hoort bij de eerste generatie smart dolls. Net als Cayla (uit 2014), en de Cognitoys Dino (komt in 2016 op de markt): een dinosaurus met internetverbinding „die meegroeit met je kind”. Connected toys doen het goed in de winkel, maar zijn ook kwetsbaar.

Barbie bleek makkelijk af te luisteren door een nep-wifinet op te zetten. Het wachten is op nieuwe lekken: kinderspeelgoed wordt vaak goedkoop geproduceerd, maakt zelden gebruik van de allernieuwste besturingssystemen (vaak oude Android-versies) en de internetaccounts zijn niet altijd goed beveiligd. De database van elektronicafabrikant VTech werd gehackt; ook het forum van Hello Kitty bleek onveilig.

Kinderen zijn makkelijke slachtoffers, bijvoorbeeld via de ‘gratis’ apps op een tablet of telefoon. Het zijn meestal verkapte winkels voor in-app aankopen. Ouders moeten bedacht zijn op een rekening van een paar tientjes voor virtuele goederen.

2 Camera’s in huis

Alsof er buiten nog niet genoeg bewakingscamera’s hangen, zetten we ook extra camera’s in huis. Home video camera’s als de Nest Cam of de Circle van Logitech nemen continu „magische momenten” op, midden in de huiskamer. Alle video’s worden online bewaard, zodat je ze snel kunt delen met de rest van de wereld. Zo’n gezinscamera kan ook inbrekers betrappen en ondeugende huisdieren corrigeren, of echtgenoten.

Zoveel gevoelige, persoonlijke informatie – dat smeekt om een hack. Camera’s zijn niet altijd goed beveiligd. Denk aan de mensen die het standaardwachtwoord van hun babyfoon of bewakingscamera niet wijzigen en zo de hele wereld mee laten gluren. De opkomst van de gezinscamera brengt ook privacyproblemen met zich mee. Bijvoorbeeld mensen die hun logees begluren. Hoe komt Logitech er eigenlijk bij om zijn homevideocamera ‘Circle’ te noemen? Blijkbaar hadden ze The Circle van David Eggers niet gelezen, een roman over een wereld waarin iedereen elkaar met camera’s in de gaten houdt.

3 Auto’s en vliegtuigen

Zou de Wegenwacht ook een fix hebben als je auto onklaar is gemaakt door cybercriminelen? Auto’s die via het web benaderbaar zijn, blijken kwetsbaar voor hackers. Afgelopen zomer kraakten veiligheidsexperts Charlie Miller en Chris Valasek een Jeep Grand Cherokee op afstand. Ook het elektronische slot van een BMW bleek niet veilig. Het aantal verbonden auto’s op de weg groeit snel en zulke experimentele hacks zijn nodig om het systeem te testen en veiliger te maken. Zodat we bij de dealer beveiligingsupdates kunnen downloaden, net zoals we nu de pc up to date houden. Als het goed is.

Ook vliegtuigen zijn doelwit. Veiligheidsexpert Chris Roberts liet in 2015 weten dat hij via een hack in het entertainmentsysteem aan boord was doorgedrongen tot de besturing van een vliegtuig.

De uitdaging voor terroristen: kun je een vliegtuig via een hack laten neerstorten, zonder explosieven? Gelukkig is het moeilijker om te oefenen op een vliegtuig dan op een auto. De onderzoekers die de Jeep kraakten, waren drie jaar in hun garage bezig om de kwetsbaarheid te vinden.

4 Nieuwe valuta: medische gegevens

Cybercriminelen hebben het van oudsher voorzien op bankrekeningen en credit cards. Maar er is een nieuwe soort data in trek: medische gegevens. Databases met patiëntengegevens en medische informatie geven cybercriminelen beschikking over hyperpersoonlijke informatie waarmee mensen makkelijk te chanteren zijn.

Huisartsen, ziekenhuizen en andere klinieken zijn nog niet zo ervaren in de strijd tegen cyberaanvallen als financiële instellingen. Ook bedrijven bewaren medische data in hun personeelsbestanden – maar schermen ze niet altijd goed af. Bij eerdere computerinbraken, zoals bij de hack van Sony Pictures, in november 2014, werden personeelsbestanden misbruikt voor ‘datakidnapping’.

Ook kwetsbaar, want chantabel: gebruikers van porno- en datingsites. In het heetst van de strijd laat je je meest persoonlijke gegevens achter bij een webdienst, drukt op ‘OK’ bij de gebruikersvoorwaarden, zonder te weten hoe (on-) veilig je data worden opgeslagen. De klanten van Ashley Madison merkten hoe pijnlijk het is als cybercriminelen gestolen informatie laten uitlekken.

5 De chat-encryptie omzeild

WhatsApp (Facebook) en iMessage (Apple) gaan er prat op dat ze niet meer af te luisteren zijn dankzij betere versleuteling. Tot grote ergernis van inlichtingendiensten: die zoeken makkelijk toegang tot de berichtenstroom via een dwangbevel of een achterdeurtje – met versleuteling die snel te kraken is.

Maar een goed beveiligde berichtenstroom (‘end-to-end encryptie’) beschermt je niet tegen andere onveilige praktijken. Chats via je telefoon kun je synchroniseren met andere apparaten (WhatsApp via de browser, of Apple’s berichten op je computer/tablet). Heel handig, maar je bent wel kwetsbaarder. Er zijn al nep-versies van de webpagina van WhatsApp in omloop. En een MacBook of iMac is makkelijker te hacken dan iOS. De telefoon zelf is ook doelwit: de Android-wereld puilt uit van kwaadaardige software, Apple iOS is veilig maar niet onfeilbaar. Vorig jaar verspreidde Apple ongewild nep-apps, nadat er met het ontwikkelgereedschap geknoeid was.