Handig: je tampon aansluiten op het internet. Maar hoe veilig is dat?
Steeds meer alledaagse objecten worden aan het internet gehangen. Maar hoe houd je controle over de datastromen van je slimme tv, Barbie, auto en, ja, zelfs tampons?
Vijf jaar geleden registreerde Kevin Larkin een uitvinding bij het Amerikaanse patentbureau: het Tampon Saturation Monitoring System. Gebruik je het, dan meet een kleine sensor in je tampon of die verzadigd is of niet. Ook geeft het informatie over de duur, regelmaat en intensiteit van de menstruatiecyclus en over het ijzergehalte in het bloed. Vervolgens stuurt de sensor die data naar je smartphone en kun je die analyseren of naar je arts zenden wanneer nodig.
Welkom op het Internet der Dingen, waar werkelijk alles aan een netwerk gehangen kan worden.
Neem de Barbie. De fabrikant heeft onlangs een nieuw model geïntroduceerd dat uitgerust is met kunstmatige intelligentie: Hello Barbie. Deze nieuwe Barbie kan een simpel gesprek voeren met een kind. Daarvoor zijn in het toch al slanke lichaam van Barbie een microfoon, een paar chips en een netwerkkaart gepropt. Zodra een kind tegen de pop spreekt, wordt de opgenomen spraak verzonden naar een server van ToyTalk, het bedrijf dat de kunstmatige intelligentie voor Mattel bestiert. Daar wordt de spraak geanalyseerd en een antwoord teruggestuurd dat Barbie dan vervolgens netjes uitspreekt.
Of neem de auto. Steeds meer wagens zijn op het internet aangesloten. Je kunt via je eigen autonetwerk whatsappen als je in de file staat en je eigen Spotifyfavorieten door je speakers laten galmen. In Chicago werd onlangs een vrouw gearresteerd die na een ongeluk was doorgereden. De getuige? Haar eigen auto, die had automatisch de hulpdiensten gewaarschuwd.
Zelfs geweren kun je aan een netwerk hangen. Als je niet zo goed kunt mikken, is er een vizier met een app die je helpt met richten. Als je daarmee een hertje hebt geveld, kun je de beelden naar je smartphone overzetten zodat je later kunt laten zien wat voor goede jager je wel niet bent.
Alles aansluiten, een goed idee?
Het Internet der Dingen is zo oud als het internet zelf. Een aangesloten router of computer is immers ook een ding. Wel lijkt de ontwikkeling in een stroomversnelling terechtgekomen te zijn: werkelijk alles wordt aangesloten. In het onderzoek voor dit verhaal kwam ik bijvoorbeeld de volgende producten tegen: gloeilampen, zwembaden, T-shirts, schoenen, koelkasten, koffiemokken, toiletten, deuren, alarmsystemen, thermostaten en armbanden waarmee je kinderen, opstandige pubers, huisdieren en demente ouderen kunt volgen of opsporen.
Wie is eigenlijk de baas over dat Internet der Dingen en de data die erover stromen?
De prognoses over het aantal aangesloten apparaten lopen nogal uiteen. Onderzoeksbureau Gartner schat dat volgend jaar wereldwijd meer dan zes miljard apparaten zijn aangesloten, waar per dag dan ruim vijf miljoen apparaten zouden bijkomen. Volgens een Nederlands investeringsconsortium bestaat het Internet der Dingen over vijf jaar uit 22 miljard apparaten. En Cisco schat dat aantal in 2020 op 50 miljard apparaten.
Toch weten we nog maar weinig over het Internet der Dingen. Met de toenemende populariteit komen er ook nieuwe problemen aan het licht. Het belangrijkste probleem is vertrouwen. Want wie is eigenlijk de baas over dat Internet der Dingen en de data die erover stromen? En hoe houden we zélf controle over dat nieuwe netwerk dat we aan het opbouwen zijn?
De computer komt tussen ons en de wereld te staan
Het Internet der Dingen is straks overal, meent ook Rob van Kranenburg, die als onderzoeker en consultant werkzaam is bij enkele denktanks, medialabs en Europese projecten over het Internet der Dingen. Volgens hem bestaat het eigenlijk uit vier netwerken: de BAN, LAN, WAN en VWAN (en is hét Internet der Dingen dus eigenlijk een verzameling netwerken).
In al die netwerken praten computers met elkaar, met hun makers en met derde partijen als adverteerders. Voor ons, de gebruiker, is die communicatie vaak niet waar te nemen.
Met de opbouw van het Internet der Dingen vervaagt en verdwijnt uiteindelijk de grens tussen de fysieke en virtuele wereld, zegt Jaap-Henk Hoepman, privacy- en technologieonderzoeker aan de Radboud Universiteit in Nijmegen. ‘Straks wordt alles wat je doet door technologie gemedieerd. Het licht doe je aan met een app. De voordeur doe je op afstand op slot.’
Dat kan tot maffe situaties leiden. Hoepman: ‘Stel, je wilt een spijker in de muur slaan. Iedereen slaat in zo’n situatie weleens op zijn duim. Het is niet zo raar te veronderstellen dat er straks hamers zijn met een sensor, een chip en een mechaniekje die kunnen zien dat je mis dreigt te slaan en de hamer zo bewegen dat je recht op de kop van de spijker komt.’
Van wie is het Internet der Dingen?
Die slimme objecten zijn niet alleen handig, maar proberen ook hun eigen regels af te dwingen.
‘Stel nou dat de hamer herkent wat voor merk spijker je in de muur probeert te slaan. Als het een merk is waarmee de fabrikant geen contract heeft, kan de hamer moeilijk gaan doen. Onze fysieke omgeving versmelt niet alleen met de virtuele wereld, maar we krijgen ook allerlei copyright- en digital-rights-managementvraagstukken op ons af waar we nog totaal niet over nagedacht hebben.’
Stel dat de hamer herkent wat voor spijker je in de muur probeert te slaan. Als het een merk is waarmee zijn fabrikant geen contract heeft, kan de hamer moeilijk gaan doen
Dat soort problemen komen we steeds vaker tegen. Nog niet zo lang geleden leende je een fysiek boek gewoon uit aan een vriend. Met een e-boek is dat al een stuk lastiger, zo niet onmogelijk. Amazon kan zomaar boeken van je Kindle wissen. Je router, dus je toegang tot de virtuele wereld, is vaak helemaal niet van jou, maar van je Internet Service Provider.
Het probleem van onduidelijk eigenaarschap geldt niet alleen voor de hardware. Philips kreeg vorige week kritiek te verduren van softwareontwikkelaars. Het bedrijf had de software voor hun slimme gloeilamp, de Hue, geüpdatet. De open software werd vervangen door een gesloten versie waarbij de code niet meer beschikbaar was voor buitenstaanders. Door die update konden veel ontwikkelaars ineens de software niet meer gebruiken voor hun eigen lampen.
De onderliggende vraag is: vertrouw je al deze bedrijven met je apparaten?
En wie bezit de datastromen?
Eind vorig jaar was er flinke consternatie over de nieuwe slimme tv’s van Samsung. Een onderzoeker had eens de 46 pagina’s tellende privacy policy doorgelezen en was zich doodgeschrokken. Volgens het document registreert Samsung waar, wanneer, hoe en hoelang je de tv aan hebt staan. De tv plaatst cookies en houdt bij welke websites je bezoekt, welke mail je hebt gelezen, de apps die je gebruikt en welke andere content je leest. Ook heeft het apparaat een camera met gezichtsherkenning, al slaat die de gezichten lokaal op.
Zorgwekkender is dat er ook spraakherkenning op zit. In de privacy policy stond hierover: ‘Wees ervan bewust dat persoonlijke of gevoelige informatie opgevangen wordt en wordt verstuurd naar een derde partij.’ Of zoals de onderzoeker concludeerde: ‘Zeg geen gevoelige dingen in het bijzijn van de tv.’
Een ander voorbeeld toont hoe apparaten met elkaar gaan praten. Over jou. Het bedrijf SilverPush probeert in kaart te brengen welke apparaten je allemaal bezit, zodat je surfgedrag op verschillende platforms gevolgd kan worden. SilverPush gebruikt daarvoor een voor mensen onhoorbare toon. Apps, waarop SilverPush is geïnstalleerd horen dat wel. Zo kunnen je laptop, smartphone en tv aan elkaar gekoppeld worden.
Apparaten praten dus met vreemden, achter je rug om. Daar is een woord voor: roddelen.
Veel apparaten die we aan het net hangen zijn onveilig
Dat vertrouwen moet ook op een ander belangrijk punt nog groeien: de veiligheid van al die apparaten. Neem de voorbeelden die ik aan het begin van dit artikel noemde: de Barbie, de auto en het geweer.
De Barbie is in de korte tijd dat ze op de markt is al op verschillende manieren gehackt. Een onderzoeker vond enkele zwakheden die het mogelijk maakten om het dataverkeer af te tappen. Daarnaast kon de versleuteling van het dataverkeer omzeild worden door misbruik te maken van een kwetsbaarheid die al lang bekend is.
In juli slaagden twee hackers erin om de besturing van een Jeep Cherokee over te nemen. De hackers zaten een aantal kilometer verderop en de Jeep reed over de snelweg. Via een beveiligingsfout in de radio konden de hackers toegang krijgen tot de primaire systemen van de Jeep.
En in juli werd bekend dat een aantal onderzoekers een geweer had gehackt. Ze konden inbreken in het vizier en de schutter daarmee op het verkeerde been zetten. Als ze het slim aanpakten, konden ze de schutter zelfs dwingen om een ander doelwit te raken.
Deze voorbeelden staan niet op zichzelf. Het beveiligen van een apparaat lijkt makkelijk, maar omdat ze in de praktijk onderdeel zijn van een omvangrijk ecosysteem van andere apparaten, netwerken en protocollen, zijn er veel punten waarop de beveiliging kan falen. Ik heb striptekenaar Rob van Barneveld gevraagd om er een paar te verbeelden.
We hangen onszelf, onze huizen en onze omgeving vol met apparaten waarvan we niet weten wat voor data ze genereren, wat ze daarmee doen en of ze een beetje veilig zijn. Hoe krijgen we, als gewone gebruiker, wat meer grip op het Internet der Dingen?
Neem controle over de datastromen
Een mooi initiatief is Dowse. Het is nog niet af, maar de gedachte achter de software heeft volgens mij veel zeggingskracht.
Dowse is bedacht door het Amsterdamse hackerslab Dyne.org van Denis Roio en Federico Bonelli. Het is software die je op een eigen apparaat, bijvoorbeeld een laptop, kunt installeren. Je laat vervolgens al het dataverkeer in je huis via dat apparaat naar je router lopen. Vandaaruit kan alles het grote boze internet op.
De eerste stap is inzicht krijgen in wat er nu precies je huis binnenkomt en wat er weer uitgaat. Ik sluit mijn smartphone en laptop aan op het Dowsenetwerk en zie meteen allemaal datastromen gaan naar Apple en Google. Als ik een aantal nieuwssites bezoek, wordt er contact gemaakt met flink wat advertentieplatforms en -bedrijven, websites, mijn wachtwoordmanager en nog veel meer. Die verbindingen worden op een groot scherm getoond als een netwerk.
De volgende stap is die verbindingen controleren. Stel je houdt thuis een feestje en iedereen zit op jouw netwerk. Je wilt dat je gasten zich vrij voelen en gewoon lekker kunnen drinken. Je wilt daarom niet dat er foto’s op Facebook geplaatst kunnen worden. Met Dowse kun je dat makkelijk instellen: je maakt het dataverkeer van en naar Facebook simpelweg onmogelijk. Of je kunt ervoor zorgen dat Google Glass geen verbinding met jouw netwerk kan maken.
Maar je kunt ook advertentienetwerken blokkeren, uitvogelen waar de data van je tandenborstel of Barbie naartoe gaan, wie je allemaal volgt op je tv. Kortom: je krijgt controle.
Voor de goede orde: het is nog experimentele software en nog zeker geen kant-en-klaar product. Maar als je wilt, kun je er al zelf mee aan de slag.
De smartphone als ultieme interface
Privacyonderzoeker Jaap-Henk Hoepman vindt Dowse een leuk initiatief, maar nog te beperkt. ‘Het echte probleem zit niet in je huis, maar juist daarbuiten,’ zegt hij. ‘Het Internet der Dingen is overal, niet alleen thuis. Je hebt een entiteit nodig die je overal beschermt, die als een firewall tussen jou en de wereld staat.’
Er is eigenlijk maar één apparaat dat zoiets zou kunnen doen: je smartphone.
Volgens Hoepman moeten alle apparaten die informatie van jou verzamelen en versturen dat uiteindelijk via je smartphone doen, ook als je onderweg bent. Eigenlijk zou je ook willen dat al die apparaten transparant zijn over wat ze doen: je smartphone moet in staat zijn om automatisch bepaalde datastromen toe te staan of te blokkeren.
‘Je zou een soort privacyprofiel moeten hebben. Dat hoef je niet zelf vast en op te stellen, dat is best moeilijk. Ik kan mij voorstellen dat je dat laat doen door organisaties die je vertrouwt. Je zou dan bijvoorbeeld een privacyprofiel van de Consumentenbond, of de ANWB, of een politieke partij kunnen downloaden. Dat profiel bepaalt dan vervolgens wat al die Internet der Dingen-apparaten van je mogen weten en wat niet.’
Transparantie, veiligheid, controle: ze staan aan de basis van vertrouwen. En zonder dat vertrouwen kan het Internet der Dingen nog weleens een heel bizarre en soms ronduit enge plek worden.