Bespioneren mijn smarthome-apparaten mij?

Sommige, ja – door ontwerp. Slimme luidsprekers luisteren naar wake-words en verzenden audiofragmenten naar de cloud wanneer ze worden geactiveerd. Slimme camera's kunnen video naar cloudopslag streamen. De privacycontroles variëren per leverancier; Apple, Amazon en Google publiceren gedetailleerd privacybeleid, maar de implementatiegeschiedenis is ongelijkmatig. Controleer de instellingen van het apparaat en het beleid van de leverancier voordat u het koopt.

Kan mijn smartapparaat worden gebruikt om andere sites aan te vallen?

Ja, indien gecompromitteerd. Een gecompromitteerd IoT-apparaat sluit zich aan bij een botnet dat wordt verhuurd voor DDoS-aanvallen. Je zou de activiteit niet opmerken, behalve mogelijk als traag internet tijdens aanvalsperioden. Het Mirai-patroon blijft vandaag de dag werken tegen veel consumentenapparaten.

Moet ik IoT-apparaten op een apart netwerk plaatsen?

Ja. Veel consumentenrouters bieden gastnetwerken die voorkomen dat IoT-apparaten uw andere LAN-apparaten bereiken. Een paar ondersteunen goede VLAN's of speciale IoT-segmenten. Netwerksegmentatie beperkt de schade als een apparaat wordt aangetast: het kan het internet aanvallen, maar niet uw laptop.

Hoe lang moeten IoT-apparaten beveiligingsupdates ontvangen?

Een goede praktijk in de sector is ten minste de verwachte levensduur van het apparaat: meer dan vijf jaar voor producten als camera's en zeven jaar voor routers en grote apparaten. De meeste verkopers schieten tekort. Zoek naar een schriftelijke toezegging in de productspecificaties; het ontbreken van een verbintenis is een gele vlag.

Is open-sourcefirmware veiliger?

Soms. OpenWrt, Tasmota en Home Assistant ESPHome bieden langdurig ondersteunde alternatieven voor sommige apparaatcategorieën. De beveiliging is ongeveer net zo goed als die van de upstream-onderhouders – over het algemeen beter dan de firmware van verlaten leveranciers, maar geen magie. Lijsten met compatibele hardware vertellen u welke apparaten vervangende firmware ondersteunen.

IoT-beveiliging uitgelegd: waarom uw slimme camera zich bij een botnet heeft aangesloten

Internet of Things-apparaten worden geleverd met standaardwachtwoorden, krijgen nooit firmware-updates en blijven jarenlang op netwerken nadat de fabrikant er niet meer om geeft. Gecombineerd creëerden deze eigenschappen de grootste botnetlegers die het internet ooit heeft gezien: Mirai, Mozi en hun opvolgers. Het verhaal van IoT-beveiliging is het verhaal van hoe schaal en beveiliging elkaar niet hebben kunnen vinden.

De volledige artikeltekst vindt u hieronder in het Engels.

IoT-beveiliging (Internet of Things) dekt de bescherming van op het netwerk aangesloten apparaten die geen laptops, telefoons of traditionele servers zijn: camera's, routers, slimme luidsprekers, thermostaten, deurbellen, gloeilampen, babyfoons, industriële sensoren. De categorie is geëxplodeerd van een paar honderd miljoen apparaten in 2015 naar meer dan 25 miljard in 2026, en de beveiligingssituatie heeft geen gelijke tred gehouden.

Waarom IoT-beveiliging uniek slecht is

Vier structurele redenen:

Razenddunne marges. Een IP-camera van $ 20 concurreert op prijs; de fabrikant heeft geen budget voor beveiligingstechniek of langdurige ondersteuning.
Standaardgegevens. De meeste apparaten worden geleverd met admin/admin, admin/wachtwoord of een gedocumenteerde standaardinstelling per leverancier. Veel gebruikers veranderen ze nooit.
Updatemechanisme ontbreekt of is kapot. Veel apparaten hebben geen automatische update; sommige hebben updates waarvoor handmatig downloaden en installeren vereist is; sommige hebben updates die de fabrikant na 1 à 2 jaar niet meer uitbrengt.
Standaard verbonden. Veel IoT-apparaten maken ongevraagd verbinding met cloudservices, waardoor inkomende paden of persistente uitgaande verbindingen nodig zijn die NAT omzeilen.

Het Mirai-verhaal

In 2016 verscheen het Het Mirai-botnet heeft honderdduizenden IoT-apparaten gecompromitteerd – voornamelijk DVR's en IP-camera's – en gebruikt deze bij recordbrekende DDoS-aanvallen tegen Krebs op Security, OVH en de DNS-provider Dyn (die urenlang de helft van het consumenteninternet platlegde).

De Mirai-aanpak was ongekunsteld: scan het internet op telnet/SSH op poort 23/22, probeer een kleine lijst met fabrieksstandaard gebruikersnaam/wachtwoord-paren, installeer de bot als dit lukt. Er waren geen exploits, geen zero-days, geen slimme trucs. De kwetsbaarheid was "het apparaat wordt geleverd met admin/admin en bevindt zich op het openbare internet." Dat alleen al was genoeg voor honderdduizenden infecties.

Mirai's broncode werd eind 2016 publiekelijk gelekt. Tientallen afgeleide producten – Hajime, Persirai, Reaper, Mozi, IZ1H9 – volgden. Hetzelfde aanvalspatroon werkt in 2026; alleen de apparaatdoelen en lijsten met inloggegevens evolueren.

De belangrijkste IoT-kwetsbaarheidsklassen

Standaard of hardgecodeerde inloggegevens. Nog steeds de meest voorkomende.
Blootgestelde beheerinterfaces op internet. Telnet-, SSH- en HTTP-beheerderspanelen bereikbaar vanaf overal.
Verouderde software. Ingebouwde Linux-distributies jaren na kernelbeveiligingsupdates.
Kwetsbaarheden door geheugencorruptie. Ingebedde C- en C++-code zonder moderne oplossingen (geen ASLR, geen stackcanaries op sommige platforms).
Onveilige cloudservices. Mobiele apps die met de cloud van de leverancier praten via API's zonder authenticatie, waardoor apparaten van andere gebruikers worden blootgesteld.
Fysieke aanvalsoppervlakken. Debug-headers, JTAG, blootgestelde seriële, niet-gecodeerde flash-opslag.

De levenscyclus probleem

Een typische beveiligingscamera die u in 2026 koopt, heeft:

1–3 jaar firmware-updates van de fabrikant (indien aanwezig)
Een nuttige levensduur van 5–10 jaar op uw netwerk
Geen mechanisme om u te waarschuwen wanneer updates stoppen

Na updates stopt, het apparaat blijft werken, maar accumuleert niet-gepatchte kwetsbaarheden. De gebruiker heeft geen signaal dat er iets mis is. Het apparaat is jarenlang gelukkig gecompromitteerd en bereikbaar via internet.

Wat toezichthouders doen

De beleidsreactie is begonnen:

EU Cyber Resilience Act (van kracht vanaf 2026) stelt beveiligingsvereisten, afhandeling van kwetsbaarheden en toezeggingen voor beveiligingsupdates verplicht voor verbonden producten die worden verkocht in de EU.
UK Product Security and Telecommunications Infrastructure Act (2022) verbiedt apparaten met standaardgegevens en vereist openbaar gemaakte ondersteuningsperioden.
California SB-327 (2020) vereist "redelijke" beveiligingsfuncties en unieke standaardinstellingen wachtwoorden.
FCC's Cyber Trust Mark (VS, uitrol 2024-2026) - vrijwillige etikettering voor compatibele apparaten.

Het effect op de markt is langzaam maar zichtbaar: grote fabrikanten (TP-Link, Netgear, Eufy) zijn begonnen met het verzenden van apparaten met unieke willekeurige initiële wachtwoorden en op zijn minst een aangekondigde update vensters.

Wat u als gebruiker kunt doen

Wijzig het standaardwachtwoord. Stap één voor elk apparaat.
Schakel internetblootstelling van beheerinterfaces uit. Als de camera niet van buitenaf bereikbaar hoeft te zijn, port-forward er dan niet naar.
Segmenteer de network. Een aparte VLAN/SSID voor IoT-apparaten, geïsoleerd van uw laptops en telefoons. De meeste consumentenrouters ondersteunen nu gastnetwerken; sommige ondersteunen volledige VLAN-segmentatie.
Update firmware. Controleer periodiek; veel leveranciers pushen niet automatisch.
Geef de voorkeur aan apparaten met gedocumenteerde updateverplichtingen. Merken die een ondersteuningstijdlijn publiceren zijn betrouwbaarder dan merken die dat niet doen.
Koop indien mogelijk bij grote leveranciers. De naamloze camera van $ 7 op Amazon is vrijwel zeker minder veilig dan een Eufy- of Ring-product van $ 40. Niet altijd, maar gemiddeld.
Vervang verlaten apparaten. Wanneer de updates stoppen, moet het apparaat buiten gebruik worden gesteld en niet blijven draaien.

Veelgestelde vragen

Bespioneren mijn smarthome-apparaten mij?: Sommige, ja – door ontwerp. Slimme luidsprekers luisteren naar wake-words en verzenden audiofragmenten naar de cloud wanneer ze worden geactiveerd. Slimme camera's kunnen video naar cloudopslag streamen. De privacycontroles variëren per leverancier; Apple, Amazon en Google publiceren gedetailleerd privacybeleid, maar de implementatiegeschiedenis is ongelijkmatig. Controleer de instellingen van het apparaat en het beleid van de leverancier voordat u het koopt.
Kan mijn smartapparaat worden gebruikt om andere sites aan te vallen?: Ja, indien gecompromitteerd. Een gecompromitteerd IoT-apparaat sluit zich aan bij een botnet dat wordt verhuurd voor DDoS-aanvallen. Je zou de activiteit niet opmerken, behalve mogelijk als traag internet tijdens aanvalsperioden. Het Mirai-patroon blijft vandaag de dag werken tegen veel consumentenapparaten.
Moet ik IoT-apparaten op een apart netwerk plaatsen?: Ja. Veel consumentenrouters bieden gastnetwerken die voorkomen dat IoT-apparaten uw andere LAN-apparaten bereiken. Een paar ondersteunen goede VLAN's of speciale IoT-segmenten. Netwerksegmentatie beperkt de schade als een apparaat wordt aangetast: het kan het internet aanvallen, maar niet uw laptop.
Hoe lang moeten IoT-apparaten beveiligingsupdates ontvangen?: Een goede praktijk in de sector is ten minste de verwachte levensduur van het apparaat: meer dan vijf jaar voor producten als camera's en zeven jaar voor routers en grote apparaten. De meeste verkopers schieten tekort. Zoek naar een schriftelijke toezegging in de productspecificaties; het ontbreken van een verbintenis is een gele vlag.
Is open-sourcefirmware veiliger?: Soms. OpenWrt, Tasmota en Home Assistant ESPHome bieden langdurig ondersteunde alternatieven voor sommige apparaatcategorieën. De beveiliging is ongeveer net zo goed als die van de upstream-onderhouders – over het algemeen beter dan de firmware van verlaten leveranciers, maar geen magie. Lijsten met compatibele hardware vertellen u welke apparaten vervangende firmware ondersteunen.