Column

De wraak van het smart home

Marc Hijink bespreekt de laatste ontwikkelingen in tech.

Beeld: Terminator 3: Rise of the Machines

Over dertig jaar leren ze het op school: vrijdag 21 oktober 2016, om tien over zeven ’s ochtends Amerikaanse tijd, overspoelde het Internet der Dingen het Internet der Mensen.

Het was geen bloederige invasie als in Terminator 3: Rise of the machines, ook geen superieure computermacht van The Matrix. Het was een bij elkaar geraapt huurleger van oude webcams en lekke wifi-routers dat Twitter, Spotify, Amazon, Netflix en Airbnb onderuit haalde.

Wat gebeurde er? Het Mirai-botnet, een groep van zo’n miljoen gekraakte internetapparaten, bombardeerde het Amerikaanse bedrijf Dyn met internetverkeer. Dyn is één van de firma’s die domeinnamen als twitter.com omzet in een computeradres (199.16.156.198 in het geval van Twitter). Leg zo’n spin in het web plat en bijna iedereen heeft er last van: de online aardbeving was zelfs in Europa voelbaar.

Cybercriminelen gebruiken zulke botnets om bedrijven te chanteren of spam te versturen. De bots zijn meestal pc’s – slecht beveiligde Windows-computers die niet meer geüpdatet worden. Maar ook de computertjes in routers, webcams en harddiskrecorders zijn te kraken.

Veel van die gadgets worden geleverd met een standaard wachtwoord en inlognaam. Het klassieke voorbeeld is admin:admin. Een verstandige gebruiker verandert die wachtwoorden meteen. Veel verstandige gebruikers zijn er niet, daarom zijn er zo veel webcams die je mee laten gluren in winkels en babykamers. 

Mirai bevat een lijstje van 62 veelgebruikte wachtwoorden waarmee je terabits per seconde af kunt vuren. Daar is geen server tegen bestand: ook de site van botnet-kenner Brian Krebs werd zo al onderuit geschopt. Het vervelende is dat de code van Mirai nu openbaar is: reken op meer online aardbevingen, dus.

Dit is de wraak van onze smart homes. Elektronicafabrikanten zijn te zuinig – te knieperig, zeggen ze waar ik vandaan kom – om spullen veilig te maken. Ze zouden een willekeurig wachtwoord voor elk apparaat moeten gebruiken, maar kiezen voor de makkelijkste weg en de goedkoopste onderdelen. De Chinese webcamfabrikant Xiongmai haalt in de VS, waar de grond iets te heet wordt onder de voeten, een paar kwetsbare producten van de markt. Sommige apparaten hebben een ‘hard-coded’ wachtwoord: zelfs als je zou willen kun je dat niet veranderen. Veel knulliger wordt het niet.

In de zucht alles ‘smart’ te maken moet en zal elke gadget 24 per uur dag online zijn. Om achteraf de software te kunnen updaten – als fabrikanten daar al de moeite voor nemen. Of omdat jij perse de sapcentrifuge met een app wilt bedienen. Vaak is een tijdelijke verbinding met het thuisnetwerk al voldoende. Maar ja, ingewikkeld. Gedoe.

‘Smart’ is vaak dommer dan je denkt. Dat is iets om te overwegen als je je in de Mediamarkt vergaapt aan die online koelkast of wifi-grillpan. Voor je het weet ben je medeplichtig aan de volgende opstand van de machines.