Internet of Things vereist Admin of Things

Jaspewr Bakker

Het Internet of Things bevindt zich op het hoogtepunt van de Hype Cycle van onderzoeksbureau Gartner. Volgens de loop van deze cyclus stevenen we nu de harde relativering af. Bijvoorbeeld vanwege gebrek aan beheer.

Meer dan ooit tevoren zijn pc’s, smartphones en tablets met elkaar verbonden via apparaten als routers, modembanken, load balancers, switches enzovoort. Allemaal apparaten die beheer behoeven voor ingebruikname, configuratie, controle, securityscans, updates en fixes en uiteindelijk voor uitfasering en vervanging. Het lijkt wel of dit door de populariteit van IoT over het hoofd wordt gezien. Terwijl deze apparaten toch ook hun instellingen, eigenaardigheden, kwetsbaarheden en dus ook onderhoudsnoodzaak hebben. Dat is in de praktijk al meermaals gebleken, zoals laatst nog met de wereldwijde uitval van Belkin-routers door een configuratiefout van de fabrikant.

 

Kwetsbare printers

Naar verwachting zal het niet bij incidenten blijven, want de mogelijkheden voor ‘issues’ blijven toenemen. Zo heeft Samsung onlangs zijn eerste multifunctional-printers (MFP’s) met Android aangekondigd, met de slogan ‘Smartify your business’. De Zuid-Koreaanse leverancier zal vast serieus naar security hebben gekeken, maar is daarbij toch afhankelijk van Google en de andere Android-partners. Ondertussen hebben hackers wereldwijd interesse in Android om daar, met succes, gaten in te vinden. Rooten en jailbreaken van Android is een populaire sport. De hackersgemeenschap rond dat platform heeft een andere omvang dan die rond printapparaten met meer obscure programmatuur, zoals de HP LaserJets de Canon Pixma-machines. Voor eerstgenoemde is eind 2011 malafide firmware ontwikkeld die digitale documenten kan onderscheppen en via het netwerk wegsluizen. Bij laatstgenoemde wisten hackers afgelopen september de printerfirmware te vervangen door de gamecode van de klassieke DOS-game Doom.

 

Firmware-updates

Net als de LaserJet-kaping kon de Pixma-hack worden gepleegd dankzij zwakke beveiliging van de apparaten. Beheerders begrijpen geleidelijk aan dat de MFP’s in hun netwerk ook onderhouden moeten worden. Daarvoor moeten ze soms wel wachten op de fabrikanten die dan firmware-updates moeten maken en uitbrengen, mits de machine uiteraard nog wordt ondersteund. Producten bedoeld voor de zakelijke markt, zoals HP LaserJets, zijn vaak wel voorzien van duidelijk aangegeven periodes waarin ondersteuning wordt geboden. Dat geldt evenwel niet voor alle apparaten. Bovendien moet de beheerder op de hoogte zijn van eventuele kwetsbaarheden en patches daarvoor.

Heel anders is het voor de apparaten die momenteel het IoT vormen, zoals smart-tv’s, NAS-systemen (network attached storage), digitale tv-decoders, satellietontvangers, VoIP-internetrouters en andere alledaagse elektronica. Het wordt zorgelijk wanneer deze apparaten in gebruik zijn op plekken waar weinig of geen it-beheer is – zoals in het MKB. Uit recent onderzoek door securityleverancier Kaspersky blijkt dat MKB-ondernemers zich ‘enigszins bewust zijn’ van dit gebrek. Ander onderzoek door Kaspersky wijst uit dat vooral kleine apparaten – die als simpel worden beschouwd – aan het oog van de beheerder ontsnappen.

Internet of things

Jezelf hacken

Senior securityspecialist bij Kaspersky, David Jacoby, hackte de connected devices in zijn eigen huis. Voordat hij daaraan begon, liep hij eerst alles na en installeerde hij updates. Dat bleek al een avontuur op zich te zijn. Jacoby ontdekte dat de meeste apparaten niet uit zichzelf, laat staan automatisch, op updates voor hun firmware controleerden. Vervolgens resulteerde het zoeken naar updates op de websites van fabrikanten ook in een stevige speurtocht. Enkele apparaten waren door de fabrikant ‘discontinued’, sommige al na een jaar.

Vervolgens gedroeg Jacoby zich als een realistische aanvaller. Hij heeft de rol van buitenstaander aangenomen en dus niet zijn bestaande inlogrechten benut. Deze beperking heeft hem niet lang tegengehouden. Zijn twee NAS-apparaten waren met hun Linux-installatie, webserver, beheersoftware en andere draaiende services een vette prooi. Jacoby wist op die opslagsystemen diepgaande toegang te krijgen, voorbij de beheeromgeving, zodat zelfs een eventuele reset van het apparaat hem niet zou buitensluiten. Daarna ontdekte hij verborgen functies zoals een default beheer-login op zijn satellietontvanger, waarbij het beheeraccount ook gelijk root-rechten gaf op de gebruikte Linux-installatie. Eigen applicaties, services of firmware installeren, kan dus een peulenschil zijn.

Jacoby zelf was flink verrast over de kwetsbaarheden in het IoT zoals dat nu al in ons connected leven bestaat. En hij is lang niet de enige security-onderzoeker die smart appliances en embedded devices kritisch aan de tand voelt. Beveiligingsbedrijven groot en klein, universiteiten, it-leveranciers en andere hackers storten zich op deze ontluikende en kwetsbare markt.

 

Oude lessen

De verrassing over de gebrekkige staat van beveiliging is des te groter, omdat het grotendeels om oude bekende kwetsbaarheden gaat. Het lijkt erop dat we beveiligingslessen van toen weer opnieuw moeten leren. Dank maar aan het grote Heartbleed-lek, dat een flinke nasleep heeft voor embedded devices en thuisrouters. Idem dito voor de Shellshock-bug, die naast serieuze servers ook kleine apparaten met het alomtegenwoordige Linux raakt. Kortom, het Internet of Things heeft een Admin ofThings!

Geef een reactie

Gerelateerde berichten...