De dialyse-machines worden ingezet voor thuisgebruik op het platteland in de VS, vertelt Lovejoy op HitB. Dit zijn arme gebieden met veel ouderen, waardoor nierpati├źnten niet meerdere malen per week kunnen afreizen naar het ziekenhuis om te spoelen. Dialyse-apparaten worden daarom aangesloten op het internet. Thuisdialyse is ook in Nederland mogelijk.

Terug naar default

De machines werden in dit geval beheerd door een softwarebedrijf en een boze medewerker zette alle machines uit. "Als zo'n machine weer wordt aangezet, gebeurt dat in een veilige modus. Deze failsafe zorgt ervoor dat er weer een standaard gebruikersnaam en wachtwoord wordt gebruik", vertelt Lovejoy de toehoorders op Hack in the Box.

"Zo'n mechanisme is aanwezig in erg veel IoT-apparaten. Houd er rekening mee dat dit oud spul is. Ter illustratie: we moesten onze pentesttools aanpassen om Windows 95 te ondersteunen. Dit zijn heel oude systemen die opeens worden aangesloten op het internet."

IoT: simpelweg "things"

Met de opkomst van IoT (Microsoft-beveiliger Katie Moussouris vertelt op hetzelfde congres dat IoT eigenlijk gewoon "things" gaat worden, omdat het gemeengoed wordt om apparaten aan te sluiten) dreigen we dus dezelfde fouten te maken als in de jaren 90: het zomaar aansluiten van machines op internet, zonder dat er van tevoren goed is nagedacht over de beveiliging.