Eerder dit jaar kwam het nieuws naar buiten dat de federale Amerikaanse regering de wet rondom het vergroten van IoT-cybersecurity heeft ingevoerd. Deze kwestie is hierdoor opnieuw onder de aandacht gebracht. Het beveiligen van IoT-netwerken lijkt nog steeds geen prioriteit op de agenda van ontwikkelaars te zijn.
Sommige analisten hebben opgemerkt dat, ondanks het toenemende bewijs dat het IoT een belangrijk doelwit van cyberaanvallen is, fabrikanten van IoT-apparaten soms prioriteit geven aan connectiviteit en functionaliteit boven beveiling. Dit lijkt echter te veranderen. Het opnieuw opduiken van het Mirai-botnet heeft het belang benadrukt van het beschermen van het IoT, evenals de recente zorgen over hoe gemakkelijk de Triton-malware in staat was IoT-apparaten te infiltreren.
Er is al veel geschreven en nagedacht over hoe we IoT-netwerken in de toekomst kunnen beveiligen. Sommigen hebben gesuggereerd dat AI en Blockchain-technologie uiteindelijk een oplossing zullen bieden. Echter zijn op dit moment de schaalproblemen bij blockchains zodanig dat ze een slechte oplossing bieden voor het beveiligen van grote IoT-netwerken.
Vandaag de dag vertrouwen de meeste IoT-fabrikanten op beproefde beveiligingsoplossingen. Dit betekent voornamelijk het inzetten van SSL-certificaten. Het feit dat deze technologie al een tijdje bestaat, betekent zeker niet dat het minder veilig is dan meer exotische oplossingen. In feite bieden SSL-certificaten van een vertrouwde SSL-provider het hoogste beveiligingsniveau dat momenteel beschikbaar is. In dit artikel gaan we dieper in op de redenen waarom SSL-certificaten een goede optie zijn voor het beveiligen van IoT-netwerken.
SSL en de beveiliging van IoT-netwerken
SSL-certificaten worden meestal gebruikt om de beveiliging, identiteit en integriteit van websites te waarborgen. Maar ze kunnen ook worden ingezet om de beveiliging van IoT-apparaten te verbeteren. Er zijn verschillende soorten SSL-certificaten, maar ze werken allemaal op dezelfde manier.
Het SSL-protocol maakt gebruik van asymmetrische codering om de gegevens die worden gedeeld tussen twee apparaten op hetzelfde netwerk te beveiligen. In de meest voorkomende applicatie verzendt een website een SSL-certificaat naar de browser van een gebruiker. Dit certificaat is ondertekend door een vertrouwde provider.
De wiskunde achter het protocol impliceert dat deze SSL-certificaten eigenlijk onmogelijk te vervalsen zijn bij een voldoende encryptie grootte. Dit betekent dat gebruikers er zeker van kunnen zijn dat de site waarmee ze verbinding maken veilig is.
SSL-certificaten kunnen ook op andere manieren worden ingezet. Ze worden vaak gebruikt door grote bedrijven om klanten te authenticeren, of om bepaalde werknemers beveiligde toegang tot databases of documenten te geven. SSL-certificaten worden ook gebruikt in beveiligde e-mail. Diezelfde technologie kan ook worden gebruikt om de identiteit van apparaten die zijn verbonden met IoT-netwerken te valideren.
Voordelen van SSL voor IoT-netwerken
Het gebruiken van SSL-certificaten verbetert de beveiliging van IoT-apparaten op drie belangrijke manieren:
- Een IoT-apparaat kan een publiek vertrouwd SSL-certificaat krijgen. HIermee kunnen gebruikers verbinding maken (via hun smartphone of ander apparaat), net zoals bij een beveiligde website. Omdat dit SSL-certificaat ook publiekelijk vertrouwd is, hoeft een gebruiker niet door een beveiligingswaarschuwing te klikken of een handmatige uitzondering op zijn apparaat toe te voegen.
- Omgekeerd kan een IoT-apparaat een cliëntcertificaat van het apparaat van de gebruiker aanvragen om bepaalde taken uit te voeren. Dit wordt bijvoorbeeld vaak gebruikt in ‘smart locks’, die een SSL-certificaat van de telefoon van een gebruiker nodig hebben om een deur te ontgrendelen.
- Als laatste wordt, nadat de certificaten zijn uitgewisseld, de verbinding tussen een IoT-apparaat en een ander apparaat gecodeerd. Dit voorkomt dat wachtwoorden en andere belangrijke informatie worden onderschept en gelezen tijdens een cyberaanval.
Waarom niet alleen een VPN?
SSL-certificaten en de technologie voor virtual private network (VPN), gebruiken dezelfde encryptie-algoritmen. Waarom kun je niet gewoon het één of het ander gebruiken? Waarom zijn beide nodig?
Voor dat antwoord moet je begrijpen dat elke technologie geschikt is voor een compleet andere cyberbeveiliging. Met VPN-software profiteer je van een geëncrypte internetverbinding die jouw gegevens voor dede partijen verberg. Hiermee kun je jezelf onopgemerkt achter een IP-adres op afstand verschuilen, zonder enige informatie of jouw daadwerkelijke geografische locatie. De meeste populaire VPN-services van nu zullen dit redelijk goed doen.
Het probleem is dat een VPN geen zekerheid kan bieden dat een website die je bezoekt of waaraan je een creditcardnummer verstrekt wel veilig is. Een VPN is niet ontworpen om dit te doen, een SSL-certificaat wel.
De uitdagingen
Historisch gezien waren er enkele uitdagingen bij het gebruik van SSL om IoT-netwerken te beveiligen. In de eerste plaats zijn deze gebaseerd op de veronderstelling dat SSL rekenkundig te zwaar is om op kleine IoT-apparaten te kunnen gebruiken. Dit was misschien een paar jaar geleden het geval en kan nog steeds van toepassing zijn voor oudere apparaten. Echter hebben recente ontwikkelingen in de SSL-protocollen en de toegenomen rekenkracht van IoT-apparaten deze zorgen grotendeels achterhaald.
Een studie uit 2011 over de energie die wordt verbruikt door mobiele apparaten die SSL gebruiken liet zien dat de SSL/TLS overhead voldoende is voor zeer kleine transacties (minder dan 10 KB). Bij grote transacties (groter dan 500 KB) overtreft de energie die nodig is om de werkelijke gegevens te verzenden overduidelijk de SSL/TLS overhead.
Er zijn ook tools beschikbaar die deze voetafdruk verder zullen verkleinen. De open-source TLS Toolkit (voorheen MatrixSSL) kan worden geconfigureerd met een code voetafdruk van slechts 66 KB. WolfSSL, een vergelijkbare kit, belooft een minimale voetafdruk grootte van 20 – 100 KB.
Een tweede uitdaging was de ontdekking dat SSL niet volledig veilig is. Dit is ook waar, maar is geen reden voor IoT-fabrikanten om de technologie te negeren. In combinatie met een VPN biedt SSL momenteel het beste beveiligingsniveau dat beschikbaar is voor IoT-apparaten.
Hoe zijn IoT-netwerken te beveiligen met SSL?
Hoe je SSL gebruikt om IoT-apparaten te beveiligen, hangt af van je situatie. Ben jij een fabrikant, of een gebruiker die een extra beetje beveiliging op het IoT-thuisnetwerk wil?
Voor fabrikanten is het noemenswaardig dat SSL waarschijnlijk de meest voorkomende vorm van beveiligingsprotocol voor IoT-apparaten wordt in de komende jaren, omdat het op dit moment de enige schaalbare beveiligingstechnologie is die bescherming kan bieden tegen hedendaagse cyberaanvallen. Dit betekent dat IoT-apparaten moeten worden ontworpen met (bescheiden) extra rekenkundige overhead, zodat ze kunnen worden geconfigureerd om SSL te gebruiken door aftermarket-leveranciers.
Gebruikers die de beveiliging van hun IoT-netwerken met SSL willen verbeteren, moeten weten dat een codering vereist is. De eerste stap: zorg ervoor dat je één enkele SSL-provider vindt voor al je certificaten. Waarschijnlijk zullen in de toekomst alle IoT-apparaten SSL moeten gaan gebruiken, hetzij door de wetgeving of gewoon door openbare druk. Maar het doet geen pijn om alvast voorop te lopen.
Deze post is een bijdrage van Samuel Bocetta.