Hoe jouw waterkoker het internet kan platleggen

Het mysterieuze botnet Hajime

Cyberveiligheidsonderzoekers staan voor een raadsel: wie zit er achter het kapen van honderdduizenden apparaten met een internetverbinding? De gevolgen kunnen ontwrichtend zijn, waarschuwen ze.

Illustraties Roel Venderbosch

Er is iets mysterieus aan de hand op internet. De laatste maanden zijn honderdduizenden ‘slimme’ babyfoons, camera’s, waterkokers, thermostaten en deurbellen gekaapt door een onbekende. De anonieme dader dringt kinderlijk eenvoudig binnen. Hij (of zij) probeert een lijstje van standaard ingestelde wachtwoorden uit om toegang te krijgen. Omdat veel mensen dat standaardwachtwoord nooit veranderen, is binnenkomen vaak zó gepiept. Vervolgens steelt hij de reken- en internetkracht van de machines, om ze onderdeel te maken van een wereldwijd zombie-netwerk van gekaapte apparaten, een zogeheten botnet, met de Japanse naam Hajime.

Extra bizar: elke tien minuten is door onderzoekers een speciale boodschap af te lezen via de gehackte babyfoons en camera’s: „Slechts een vriendelijke hacker, die wat systemen beveiligt. Belangrijke berichten zullen op dezelfde manier worden ondertekend! Hajime-maker. Contact GESLOTEN Blijf scherp”, knippert er dan op de computers van de onderzoekers.

Hajime begon al eind 2016 apparaten te kapen, maar de laatste weken signaleren veel veiligheidsbedrijven een snelle stijging van het aantal infecties. „Inmiddels zijn volgens onze schattingen ruim 300.000 apparaten besmet”, zegt onderzoeker Jornt van der Wiel van Kaspersky Lab, die er net een rapport over schreef. „Het raadselachtige: het is volstrekt onduidelijk wat het doel is”, zegt hij.

Tot nu toe is het botnet alleen bezig om zoveel mogelijk andere apparaten te infecteren en te kapen, waarna ze niet meer te kapen zijn door andere botnets. De apparaten blijven gewoon werken. Niemand, behalve de voortvluchtige dader, snapt waarom.

Hajime leidt op techsites de laatste weken tot verhitte discussies. Is de maker een vigilante hacker, een anonieme weldoener die de apparaten kaapt voordat een crimineel dat kan doen? Dat is wel de suggestie van de boodschap die hij via de apparaten rondstuurt.

Of is het een crimineel die de boel misleidt met een onschuldig bericht en op die manier tijd koopt om straks al die honderdduizenden gekaapte apparaten te veranderen in één groot wereldomspannend cyberwapen?

Andere botnets zijn recent namelijk gebruikt voor grootschalige cyberaanvallen, waarbij zelfs cruciale onderdelen van het internet werden platgelegd. „Het probleem is: we weten simpelweg niet zeker wat de plannen van Hajime zijn,” zegt Van der Wiel. „Het lijkt me sowieso niet verstandig om al te naïef te zijn over de motieven”, zegt hoogleraar computerbeveiliging Michel van Eeten van de TU Delft. „Bovendien is wat Hajime doet hoe dan ook illegaal.”

  1. Wat kan er misgaan?

    Dat hebben we in oktober 2016 in volle glorie kunnen zien. Toen werd een vergelijkbaar botnet, Mirai, plots gebruikt voor wat veel experts zien als de grootste cyberaanval tot nu toe. De kracht van alle gekaapte apparaten, waaronder babyfoons en webcams, werd toen gebundeld om tientallen populaire websites als Twitter, Amazon, de BBC en The New York Times te overspoelen met internetverkeer en zo onbereikbaar te maken voor anderen. Die aanval kwam in drie golven van enkele uren per stuk en leidde tot grote zorgen en verhit crisisoverleg, tot in het Witte Huis aan toe. De dader is nooit gepakt. Financiële motieven zijn een optie: afpersers kunnen dreigen met een aanval, rivalen kunnen platgelegd worden. De rekenkracht van een botnet kan ook gebruikt worden voor het ‘mijnen’ van bitcoins, een proces waarvoor veel rekenkracht nodig is.

    Sinds Mirai is de rammelende beveiliging van huishoudelijke apparaten hét gesprekonderwerp onder cyberexperts. Zij hebben het de laatste tijd aanhoudend over de potentieel ontwrichtende gevolgen van slecht beveiligde waterkokers en babyfoons. Harvard-onderzoeker Bruce Schneier waarschuwde in januari bijvoorbeeld dat we met het internet of things „een wereldomspannende robot” aan het creëren zijn, opgebouwd uit alle apparaten met een internetverbinding. En als de beveiliging zo gammel blijft als nu kan die robot zich op elk moment tegen ons keren.

    Hajime is niet het enige botnet dat huishoudelijke apparaten aan het kapen is. „Het is wachten op de volgende Mirai”, zegt Van Eeten. Er zijn tientallen van dergelijke botnets bekend, met wisselende omvang. Eén concurrent van Hajime, Amnesia, is ook al maanden bezig. Dat botnet werkt net iets anders en slokt vrijwel uitsluitend slecht beveiligde digitale videorecorders op. Beveiligingsbedrijf Palo Alto Networks meldde in april dat in Amnesia inmiddels 220.000 apparaten heeft gekaapt. Ook met Amnesia zijn voorzover bekend nog geen aanvallen uitgevoerd, maar de zorgen groeien met de dag.

  2. Wat merken eigenaren van de gekaapte apparaten ervan?

    Weinig tot niks. De gekaapte apparaten in botnets blijven meestal gewoon werken. En dat is juist een belangrijk onderdeel van het probleem. Gebruikers ondervinden geen problemen van hun gehackte waterkoker, ook al draait die mee in een botnet dat de BBC platlegt.

    Gebruikers hebben weinig prikkels om zelf goed te letten op de beveiliging. Dat is ook niet altijd even eenvoudig. „Ga maar aan de gemiddelde gebruiker uitleggen hoe hij zijn digitale camera beveiligt met een firmware-update”, zegt Van Eeten. De Finse cyberveiligheidsgoeroe Mikko Hyppönen vergelijkt het met de dvd-spelers van vroeger. „Hoe vaak namen gebruikers bij die apparaten de moeite om de tijd in te stellen?”, zegt hij. „Bij de meeste mensen thuis stond die gewoon op ‘00:00u’ te knipperen. Als dat al te veel moeite was …” Het probleem is dat al die niet goed ingestelde apparaten tegenwoordig gehackt kunnen worden en gekaapt kunnen worden voor botnets.

    Fabrikanten hebben ook geen directe financiële prikkels om wat aan het probleem te doen. Extra veiligheidsmaatregelen zouden apparaten waarschijnlijk duurder en moeilijker in gebruik maken.

  3. Zijn er oplossingen?

    Er is in Nederland en Europa wetgeving in de maak voor betere veiligheidsstandaarden voor het internet of things, maar dat gaat niet bepaald snel. Jornt van der Wiel van Kaspersky denkt dat fabrikanten gebruikers met verplichte opstartmenu’s moeten dwingen tot het kiezen van een moeilijk te raden wachtwoord. „Dat zou een oplossing kunnen zijn.”

    Cyberveiligheidsexpert Mikko Hyppönen stelde onlangs in NRC iets radicalers voor: overheden moeten fabrikanten aansprakelijk maken voor cyberaanvallen die via hun apparaten verlopen. Maar ook dat is juridisch zeer ingewikkeld.

    En de politie dan: kan die niet wat doen om burgers tegen deze criminelen te beschermen? „Wij zijn op de hoogte van de dreiging van botnets, maar kennen Hajime niet specifiek”, geeft woordvoerder Dennis Janus van het Team High Tech Crime van de Nationale Politie eerlijk toe na een rondvraag op de afdeling. Eerlijk, maar niet erg geruststellend.

    Dat strookt met de observatie van Van der Wiel van Kasperky: „Ik krijg niet de indruk dat er prioriteit aan gegeven wordt bij opsporingsdiensten, simpelweg omdat Hajime tot nu toe geen schade heeft gemaakt”, zegt hij. „Je ziet helaas dat er meestal pas actie wordt ondernomen als het al mis is gegaan.”