image

"Consument kan veiligheid IoT-apparaten niet beoordelen"

zaterdag 25 maart 2017, 07:32 door Redactie, 17 reacties

Consumenten hebben nog steeds geen goede manier om de veiligheid van Internet of Things-apparaten te beoordelen en dat is een probleem, aangezien sommige fabrikanten nog steeds niet op een volwassen manier met de veiligheid van hun apparatuur omgaan.

Dat stelt Gavin Chow van beveiligingsbedrijf Fortinet. Vorig jaar was er een explosieve stijging van het aantal aanvallen op digitale videorecorders en netwerkvideorecorders. In 2015 zag het beveiligingsbedrijf zo'n 750 hits waarbij videorecorders werden aangevallen. Vorig jaar ging het om 1,5 miljoen hits. Het meest aangevallen probleem laat aanvallers kwetsbare apparaten overnemen en bevindt zich in de videorecorders van verschillende fabrikanten.

Ondanks de impact is er een jaar na de onthulling van de kwetsbaarheid nog altijd geen update voorhanden. Dat geldt ook voor het meest aangevallen lek in 2015. Het gaat om een kwetsbaarheid in de digitale videorecorders van Samsung, dat sinds 2013 bekend is, maar nog altijd op een update wacht. "Sommige fabrikanten zijn nog steeds niet volwassen genoeg om met productveiligheid om te gaan. De uitdaging is dat consumenten nog steeds geen goede manier hebben om te bepalen of een product dat ze aanschaffen goed beschermd is", zegt Chow.

Hij merkt op dat videorecorders vaak continu zijn ingeschakeld en er zelden op beveiligingsupdates wordt gecontroleerd. "Als white label IoT-code wordt gecombineerd met fabrikanten die minimale security-ervaring in hun producten hebben, is het slechts een kwestie van tijd voordat een vastbesloten aanvaller een kwetsbaarheid vindt om deze apparaten aan te vallen. Dat is wat de cijfers van 2016 duidelijk hebben laten zien. Zolang er geen updates beschikbaar zijn en eindgebruikers niet van deze dreigingen weten, verwachten we ook dit jaar en verder soortgelijke problemen te zien."

Reacties (17)
25-03-2017, 07:44 door Anoniem
Kan ern een verplichting komen op aantal packages per minuut bijvoorbeeld?
Een thermostaat hoeft namelijk nooit veel data door te geven en kán dit dan ook niet meer.
25-03-2017, 08:09 door Erik van Straten
Niet alleen consumenten hebben moeite met het beoordelen van cybersecurity van IoT software/firmware. Ook bedrijven hebben dat kennelijk met firmware die ze inkopen of door een mogelijk nieuwe afdeling met duidelijk onervaren ontwikkelaars op het gebied van ICT beveiliging laten ontwikkelen. De onervarenheid blijkt vervolgens ook uit het feit dat zulke bedrijven kennelijk geen plan op de plank hebben liggen voor als er een kwetsbaarheid gemeld wordt.

Voorbeeld van gisteren, samenvatting uit [1]:
Door Jens Regel, 24 Mar 2017: [CVE-2017-7240] Miele Professional PG 8528 - Web Server Directory Traversal
[...]
Timeline:
2016-11-16 Vulnerability discovered
2016-11-10 Asked for security contact
2016-11-21 Contact with Miele product representative
2016-12-03 Send details to the Miele product representative
2017-01-19 Asked for update, no response
2017-02-03 Asked for update, no response
2017-03-23 Public disclosure
[...]
Affected Products:
Miele Professional PG 8528 (washer-disinfector) with ethernet interface.
[...]
Details:
The corresponding embeded webserver "PST10 WebServer" typically listens to port 80 and is prone to a directory traversal attack, therefore an unauthenticated attacker may be able to exploit this issue to access sensitive information to aide in subsequent attacks.

Proof of Concept:
[...]
GET /../../../../../../../../../../../../etc/shadow
[...]
root:$1$$Md0i[...snip...]Z001:10933:0:99999:7:::
[...]
Fix:
We are not aware of an actual fix.

[1]http://seclists.org/fulldisclosure/2017/Mar/63
25-03-2017, 10:12 door Ron625 - Bijgewerkt: 25-03-2017, 10:13
Op elektronica zit normaliter 2 jaar garantie, verplicht de fabrikanten, om in ieder geval binnen deze periode updates beschikbaar te stellen, door de firmware/software die erbij zit ook in deze garantie onder te brengen.

Je kunt ook uitgaan van de te verwachte levensduur van een apparaat en de fabrikant verplichten om gedurende deze periode updates te blijven leveren, maar dat zal moeilijker worden denk ik.
25-03-2017, 11:02 door Anoniem
Door Anoniem: Kan ern een verplichting komen op aantal packages per minuut bijvoorbeeld?
Een thermostaat hoeft namelijk nooit veel data door te geven en kán dit dan ook niet meer.

Buiten dat ik een apart "guestnet" heb voor mijn IOT ding (1x thermostaat) wat verder nergens bij kan heb ik ook een bandbreedte limiet van 0.1Mb/s (lager kan mijn router niet) ingesteld voor dat ding.
Maar voor de meeste mensen zal dat niet weggelegd zijn omdat zelfstandig in te stellen.
25-03-2017, 11:29 door karma4
Door Ron625:..Je kunt ook uitgaan van de te verwachte levensduur van een apparaat en de fabrikant verplichten om gedurende deze periode updates te blijven leveren, maar dat zal moeilijker worden denk ik.
Een apparaat dat ondeugdelijk is door gebreken (te veel datalek risico's) hoort een update te krijgen. Als het gewoon zijn werk kan blijven doen is het de kosten/moeite niet waard om zoiets te doen. De overweging hoort te liggen bij de functionaliteit van het apparaat niet bij technisch geneuzel. Heel gangbaar met embedded software.

Nu nog doortrekken naar IOT. Je mag een baby-webcam op economische duur van b.v. 2 jaar zetten. Dat is wat anders dan mogelijke technisch levensduur dat het blijft werken, die wordt eigenlijk nooit gehanteerd.
25-03-2017, 12:16 door Anoniem
Door Anoniem: Kan ern een verplichting komen op aantal packages per minuut bijvoorbeeld?
Een thermostaat hoeft namelijk nooit veel data door te geven en kán dit dan ook niet meer.

Maar een full-Hd streaming webcam wel.
25-03-2017, 12:49 door Anoniem
Hoezo kunnen we dat niet? Dat kunnen we juist heel goed. Ik ken geen product waarvoor een bedrijf regelmatig updates voor uitbrengt of aan mijn privacy denkt. Dat is namelijk het hele verdienmodel. Zo weinig mogelijk geld naar productie, zoveel mogelijk geld vangen van de consument. Conclusie geen enkel IOT apparaat is veilig. Daarom zijn al die IOT apparaten gedoemt te mislukken.
25-03-2017, 16:30 door Anoniem
Door Anoniem: Hoezo kunnen we dat niet? Dat kunnen we juist heel goed. Ik ken geen product waarvoor een bedrijf regelmatig updates voor uitbrengt of aan mijn privacy denkt. Dat is namelijk het hele verdienmodel. Zo weinig mogelijk geld naar productie, zoveel mogelijk geld vangen van de consument. Conclusie geen enkel IOT apparaat is veilig. Daarom zijn al die IOT apparaten gedoemt te mislukken.

Ik heb mijn thermostaat iets meer dan een jaar en al tenminste 3-4 updates gehad. Ik mis echter wel een release overzicht waarin staat wat er aangepast is.
25-03-2017, 17:04 door Anoniem
Door karma4:
Door Ron625:..Je kunt ook uitgaan van de te verwachte levensduur van een apparaat en de fabrikant verplichten om gedurende deze periode updates te blijven leveren, maar dat zal moeilijker worden denk ik.
Een apparaat dat ondeugdelijk is door gebreken (te veel datalek risico's) hoort een update te krijgen. Als het gewoon zijn werk kan blijven doen is het de kosten/moeite niet waard om zoiets te doen. De overweging hoort te liggen bij de functionaliteit van het apparaat niet bij technisch geneuzel. Heel gangbaar met embedded software.

Nu nog doortrekken naar IOT. Je mag een baby-webcam op economische duur van b.v. 2 jaar zetten. Dat is wat anders dan mogelijke technisch levensduur dat het blijft werken, die wordt eigenlijk nooit gehanteerd.

Zelf heb ik bijvoorbeeld producten in huis die ouder zijn dan tien jaar, technisch en functioneel nog prima in orde zijn.
Moet ik die gaan vervangen?!

Algemener met hierboven in het achterhoofd:
Welke levensduur ga je hanteren?
Voor welke producten?
enzovoorts...

En dan natuurlijk de hamvraag: Wie gaat dat betalen?
25-03-2017, 19:30 door karma4
Door Anoniem:]
Zelf heb ik bijvoorbeeld producten in huis die ouder zijn dan tien jaar, technisch en functioneel nog prima in orde zijn.
Moet ik die gaan vervangen?!

Algemener met hierboven in het achterhoofd:
Welke levensduur ga je hanteren?
Voor welke producten?
enzovoorts...

En dan natuurlijk de hamvraag: Wie gaat dat betalen?
https://www.consumentenbond.nl/test/elektronica/levensduur-digitale-producten
https://www.consumentenbond.nl/espressomachine/afdanken-van-espressoapparaten
Dat is wat gangbaar is. Daarbinnen kosten/taak voor de leverancier met een afschrijving / gedeeld risico naar aard/leeftijd.
Daarboven is het voor jou. Natuurlijk mag je zelf kiezen om het zo lang te gebruiken als je wilt en verantwoord is.
25-03-2017, 21:01 door Anoniem
Consumenten kunnen de veiligheid in het algemeen niet beoordelen. Heeft niets met IoT te maken. Als de markt met consumenten en producenten zo goed in zelfregulering was waren er geen brandvoorschriften nodig, hoefde speelgoed niet gekeurd te worden, waren de bouwvoorschriften er niet, waren er geen strenge eisen voor de industrie en transportsectoren en was de APK keuring er niet gekomen naast de strenge toelatingseisen voor voertuigen. Consumenten zijn onderdeel van een markt die voor het gericht is op goedkoop aanschaffen en zo veel mogelijk winst maken. En sinds de tweede helft van de vorige eeuw is daar de wegwerpmaatschappij nog bij gekomen. Dat maakt het niet aantrekkelijker om te denken aan veiligheid van producten, dus ook niet IoT devices.
25-03-2017, 22:02 door Anoniem
Door karma4: Een apparaat dat ondeugdelijk is door gebreken (te veel datalek risico's) hoort een update te krijgen.
Mee eens.
Als het gewoon zijn werk kan blijven doen is het de kosten/moeite niet waard om zoiets te doen. De overweging hoort te liggen bij de functionaliteit van het apparaat niet bij technisch geneuzel. Heel gangbaar met embedded software.
Alleen lijken de technische neuzelaars beter dan anderen door te hebben dat functionaliteit niet alleen gaat over wat een apparaat wel moet doen maar ook over wat het vooral niet moet doen. Als de beelden van die baby-webcam op een Russische website verschijnen, bijvoorbeeld, dan doet het nog altijd keurig alles wat dat ding aan functies moet ondersteunen, het doet alleen ook nog wat zeer ongewenste andere dingen. Dat technische geneuzel gaat over het risico op dat soort ongewenste functionaliteit, en ik denk dat de overweging juist nadrukkelijk ook daar hoort te liggen.
Nu nog doortrekken naar IOT. Je mag een baby-webcam op economische duur van b.v. 2 jaar zetten. Dat is wat anders dan mogelijke technisch levensduur dat het blijft werken, die wordt eigenlijk nooit gehanteerd.
Alleen waren we voor dat alles een computertje met netwerktoegang bevatte gewend dat apparaten die het technisch nog doen écht nog goed bruikbaar zijn. Het is heel gezellig en leuk voor een fabrikant om ergens een korte economische levensduur voor te definiëren, maar zolang die spullen niet nadrukkelijk worden aangeprezen met een juichend "dit gaat maar twee jaar mee" zie ik geen enkele reden waarom we daar als kopers van dat spul genoegen mee moeten nemen.
26-03-2017, 09:51 door karma4
Door Anoniem: .. wat een apparaat wel moet doen maar ook over wat het vooral niet moet doen.
Niets anders dan bij andere apparatuur. Als die koffiezetter nog wel goed koffie zet maar door slechte isolatie gevaarlijk (andere ongewenste functionaliteit) dan is het stuk Zie dat ongewenste datalek als de gebrekkige isolatie.

Met het technisch geneuzel bedoelde ik updates aanbrengen om het aanbrengen van de updates terwijl er geen functionele noodzaak is. Zeg maar de hype dat je het laatste model smartphone moet hebben als is die oude het voorgaande model maar 6 maanden oud en is er niets mis mee.

... dit gaat maar twee jaar mee" zie ik geen enkele reden waarom we daar als kopers van dat spul genoegen mee moeten nemen.
1/ Als je als koper achter de hypes aan loopt maak je zelf al de keus om het voortijdig te dumpen.
2/ Neem de huishoudelijke apparatuur (stofzuiger wasmachine) http://data.collectienederland.nl/page/aggregation/museum-rotterdam/82033-A-J waren al redelijk goed uitgewerkt. Wat dacht je van de eerste proefmodellen? http://www.mailux.nl/over-ons/geschiedenis/geschiedenis-van-de-stofzuiger/.
3/ Met de eerste modellen thuiscomputers in de jaren 80 wist je dat die maar een paar jaar mee gingen. Afschrijving standaard 2 jaar / 30 maanden. Intussen doen we er wel langer over, het veranderd.
4/ Ken het verhaal van de alfasud nog . Leuke auto http://www.autoblog.nl/nieuws/roestte-een-alfasud-echt-al-in-de-folder-93548 een auto die maar 3 jaar mee gaat 100.000 km en versleten. Dat accepteren we nu niet meer, tijden veranderen.

Dus ja mee eens, geeft alleen maar aan dat we nog in de kinderschoenen staan en er nu nog veel rommel gemaakt wordt.
Hopelijk verbeterd dat. Daar zullen normen en keuringen voor nodig zijn.
26-03-2017, 10:21 door [Account Verwijderd] - Bijgewerkt: 26-03-2017, 11:52
[Verwijderd]
27-03-2017, 01:11 door Anoniem
Ik zou beginnen met een scannetje hier: https://iotscanner.bullguard.com/

luntrus
27-03-2017, 08:22 door karma4
Door Rinjani:
De fabrikant! Want die heeft een (IoT) product gemaakt dat met internet verbonden is en heeft daarmee de verantwoordelijkheid geaccepteerd die daarbij hoort. De werking van het stuurmechanisme, remmen, de kreukelzones, etc. van je auto is gedurende de hele fysieke levensduur gegarandeerd. Zo moet dat ook (gaan) gelden voor IoT-apparatuur!
Met auto's en andere apparatuur wordt gewerkt met een garantieperiode gebaseerd op economisch.e levensduur. Oldtimers hoeven echt niet gerepareerd te worden op kosten van de fabrikant. Zoiets zou gewoon onwerkbaar zijn.

Alleen in het Oostblok heeft men het gepresteerd om een bestelling 20 jaar te laten duren en dan te leveren zoals de techniek 20 jaar geleden was.

Ooit van bitrot gehoord?

Er is geen enkel.apparaat of kleding dat gratis vervangen moet worden omdat het niet meer hip is. Hip zijn is nu net het grote verdienmodel.
27-03-2017, 09:24 door Anoniem
Waar in deze discussie ook aan gedacht moet worden, heb ik dit wel als IoT device nodig. Een koelkast, wasmachine/koffiemachine werkt ook goed zonder internet. Moet ik een thermostaat hebben met internet toegang, of kan het ook zonder? Dat is beveiliging op het basisniveau, gebruik wat nodig is, niet wat hip is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.