Nieuws

Google: automatische router-updates erg belangrijk

woensdag 28 september 2016, 11:39 door Redactie, 6 reacties

Een ernstig beveiligingslek in de OnHub-router van Google dat eerder dit jaar werd ontdekt kon binnen een paar dagen bij alle gebruikers worden gepatcht doordat het apparaat over een automatische updatefunctie beschikt, wat volgens Google het belang van automatische router-updates aantoont.

Veel routers kampen namelijk met beveiligingsproblemen en zelfs als de fabrikant een update hiervoor uitbrengt, wordt die vaak niet door gebruikers geïnstalleerd. "Als het updaten niet automatisch gebeurt, doen veel mensen geen moeite", zegt Chris Millikin van Google. Daardoor zijn er inmiddels zeer grote botnets van gehackte routers die worden gebruikt voor het uitvoeren van grootschalige ddos-aanvallen. Waar computers, programma's en smartphones in steeds meer gevallen automatisch worden bijgewerkt, geldt dat nog altijd niet voor apparaten zoals routers.

De OnHub-router beschikt hier wel over en dat maakt een groot verschil, stelt Millikin. Eerder dit jaar werd er een ernstige kwetsbaarheid in de GNU C-softwarebibliotheek ontdekt die ook in het apparaat aanwezig is. Door de automatische updatefunctie kon het probleem bij alle OnHub-routers in een paar dagen worden gepatcht. "De meeste routers vereisen actieve tussenkomst van de gebruiker om tegen dit soort dreigingen te beschermen", gaat Millikin verder. Dat automatische updates een "unique selling point" van een router kunnen zijn bleek ook eind vorig jaar bij de aankondiging van de Turris Omnia. Deze router beschikt namelijk ook over automatische updates en zal in oktober worden geleverd.

Swift: netwerk twee banken deze zomer gehackt

Besmette advertenties Answers.com verspreiden ransomware

Reacties (6)

28-09-2016, 12:58 door Anoniem

Automatisch security update(s) kunnen ook routers ontzien van bepaalde functionaliteit zoals bijvoorbeeld HP heeft gedaan met printers die nu geen "huismerk" cartrigdes kunnen gebruiken.

Automatisch aanbieden van updates helemaal voor. Echter het door laten voeren zonder dat de eindgebruiker (eigenaar) er van weet is weer een stap te ver. Zou een gebruiker/eigenaar bijvoorbeeld een bepaalde configuratie er op na willen houden dan is dit het recht van de gebruiker/eigenaar dit te kunnen willen behouden.

Automatisch updating kan ook worden aangeboden met een opt-in voor het ook uitvoeren van het firmware.

28-09-2016, 13:19 door Anoniem

Dankzij HP lijkt mij dit niet meer verdedigbaar.

28-09-2016, 13:45 door Anoniem

Ze zijn geloof ik een zin vergeten: *So we can add some backdoors*

28-09-2016, 13:55 door Anoniem

Nu nog beschikbaarheid in NL...

28-09-2016, 13:59 door Anoniem

Dit is in de praktijk onwerkbaar, inderdaad door het "HP effect", zowel bedoeld als onbedoeld.
Router fabrikanten halen nog wel eens bestaande features weg met motivaties als "wettelijke bepalingen", claims
van anderen (rechten op software of protocollen), of domweg omdat er niet genoeg geheugen meer is nadat er andere
features zijn toegevoegd.
Als een bestaande gebruiker een update installeert moet die wel de kans krijgen om de release notes te lezen en af
te wegen of deze update wel geinstalleerd moet worden of dat dit moet worden uitgesteld tot er andere maatregelen
genomen zijn of de hele router vervangen kan worden.

Een automatische update functie moet minstens optioneel zijn.

28-09-2016, 16:00 door CBYvo

Hoewel ik liever de baas blijf over de software en apparaten in huis, heeft Google hier (vrees ik) wel gelijk.

Met het toenemen van internet apparaten (IoT), waar routers ook toe behoren, lukt het de normale sterveling het echt niet om dit allemaal up to date te houden. Het is te complex. En het zijn teveel apparaten op den duur.

Twee dingen zijn nodig:
1. Het vertrouwen in de fabrikant dat hij het ook goed doet. Dus geen backdoors, en geen rare fratsen zoals HP deed.
2. De termijn waarop je over updates kunt beschikken. Dat is dan gelijk aan de veilige levensduur, je moet weten waar je aan toe bent. Ter plekke verzonnen idee nog: Een verplicht rood ledje dat gaat branden als de ondersteuning opgehouden is, zou een goed plan kunnen zijn.

Ik gebruik graag DD-WRT op routers. Geweldig besturingssysteem voor routers is dat. Maar helaas het updaten gaat niet automatisch. Dat is echt een tekortkoming.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer