EFF luidt noodklok over gevolgen van firmware-malware
De ontdekking van malware die de firmware van harde schijven kan aanpassen is een "wake up call" voor fabrikanten en de security-industrie dat het risico echt is en het aantal firmware-gebaseerde aanvallen zal toenemen. Daarvoor waarschuwt de Amerikaanse burgerrechtenbeweging EFF. De organisatie stelt zelfs dat als de problematiek nu niet wordt opgelost, de gevolgen "desastreus" kunnen zijn.
Firmware is de software die op allerlei computeronderdelen draait, zoals de videokaart, netwerkkaart en harde schijf, en het mogelijk maakt om deze onderdelen te besturen. Aanleiding voor de noodkreet van de EFF is de ontdekking van de Equation Group. Deze groep cyberspionnen had malware ontwikkeld die de firmware van allerlei harde schijven kon aanpassen. De malware kon zodoende het opnieuw installeren of formatteren van de harde schijf overleven. Ook maakte het op de harde schijf een verborgen container voor gestolen bestanden aan en was nauwelijks te detecteren.
Firmware is naast computeronderdelen in allerlei andere elektronica aanwezig, van auto-onderdelen tot televisies. Het grote probleem met firmware is dat de code gesloten is. De meeste fabrikanten maken de broncode van hun firmware niet openbaar. In sommige gevallen nemen ze zelfs stappen om het "reverse engineeren" van hun firmware tegen te gaan. Volgens Cooper Quintin van de EFF is het daarnaast niet mogelijk om vanuit de computer te bekijken of de firmware van bepaalde onderdelen is aangepast of niet.
Malware
Firmware-gebaseerde malware is in vergelijking met andere soorten malware nog een vrij onontgonnen gebied. Het aanvallen van de firmware heeft niet alleen voordelen voor cyberspionnen, maar ook voor cybercriminelen. De malware zou namelijk lastig te detecteren en te verwijderen zijn. Ook is de meeste firmware nog nooit openbaar gecontroleerd en is de broncode gesloten. Daardoor is het volgens Quintin een "rijke bron" voor zero day-kwetsbaarheden. Van veel apparaten wordt de firmware nooit geüpdatet, waardoor malware of exploits lange tijd aanwezig kunnen blijven.
Maatregelen
De EFF roept fabrikanten dan ook op om hun firmware goed te auditen op kwetsbaarheden en vervolgens de resultaten te publiceren. Daarnaast moeten firmware-updates digitaal gesigneerd zijn en als laatste moet er een mechanisme komen om de integriteit van geïnstalleerde firmware te controleren. "We hebben de controle over onze computers opgegeven. We vertrouwen teveel verschillende apparaten. Apparaten die we niet zouden moeten vertrouwen, gegeven dat ze zonder dat we het weten kunnen worden gecompromitteerd", aldus Quintin.
Volgens hem is het dan ook de hoogste tijd om de controle en daarmee ook de security terug te nemen. "We moeten fabrikanten aansporen zodat ze ervoor zorgen dat hun producten betrouwbaar zijn, zelfs en met name als ze de fabrieksvloer verlaten. We moeten nu handelen voor een toekomst waar de basis van onze computers veilig is."
Als het niet aan internet hangt, wordt het in elk geval al een stuk lastiger om hiermee te maken te krijgen...
Als het niet aan internet hangt, wordt het in elk geval al een stuk lastiger om hiermee te maken te krijgen...
Als het niet aan internet hangt, wordt het in elk geval al een stuk lastiger om hiermee te maken te krijgen...
Mijn settop box, omdat ik geen tv kijk maar Netflix, mijn telefoon omdat ik anders niet op jouw reactie kon reageren.
Het is zo simpel, maar je moet het wel even doen.
Als het niet aan internet hangt, wordt het in elk geval al een stuk lastiger om hiermee te maken te krijgen...
En mijn PC ? , harde schijven, videokaarten , netwerkkaarten, moederborden etc, allemaal firmware. De oplossing? briefpost gebruiken en snel de PC in de prullenbak gooien (niet vergeten de data opslag te vernietigen) ;-)
EFF maakt hier toch volkomen terecht een valide punt? "In the wild" aangetroffen, hé mensen.
Het probleem is het ontbreken van een degelijk wettelijk kader inzake aansprakelijkheid en keuring.
Zelfregulering ("certificering") werkt gewoon niet, en is m.i. de oorzaak dat alle security-eilandjes en -hoedjes met het vingertje naar elkaar staan te wijzen en altijd achter de feiten aanlopen.
Het bizarre is, dat zelfs de overheid regelmatig een groot slachtoffer is van deze ICT-chaos, maar geen enkele intentie lijkt te hebben om zaken op orde te stellen. Onmacht of onwil?
Iedereen die ooit een kit-car door de RDW heeft laten keuren, snapt wel wat ik bedoel.
Het is zo simpel, maar je moet het wel even doen.
Jaja, een tomtom die je na een jaar kan weggooien, een TV die niet de nieuwe versie van Netflix kan laden, een ...
Maar het belangrijkste is: de beveiligings updates. Het is een utopie om te denken dat je een stuk software kan maken dat de komende 10 - 15 jaar niet kwetsbaar zal zijn. We weten hoe dit werkt voor Windows, Linux, IOS, etc., en ook al is firmware kleiner, er zullen fouten gevonden worden.
Ik zie meer in de andere kant: maak fabrikanten verantwoordelijk voor de producten die ze uitbrengen. Dus als er een fout gevonden is, moet men die updaten gedurende de economische levensduur van het apparaat. Dat zal veel meer zoden aan de dijk zetten.
Vergelijk het met de auto-industrie: de milieu bewegingen wilden in de jaren 80 het verkeer beperken om de uitstoot van schadelijke gassen (NOx en CO) te beperken. Men ging uit van halvering van het autoverkeer om de schade met 50% terug te brengen.
Waar echter voor gekozen is, is de verantwoordelijkheid bij de leveranciers leggen: de auto's moeten schoner, anders mag je ze niet verkopen. Gevolg is de introductie van injectiesystemen met katalysatoren, waarmee met gelijkblijvende aantal kilometers de vervuiling met meer dan 90% verminderde (dus veel meer dan de milieubewegingen als streven hadden)
Q
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.