image

Microsoft wil goedkope IoT-apparaten gaan beveiligen

donderdag 6 april 2017, 13:33 door Redactie, 11 reacties

Microsoft is een nieuw project gestart om een groot aantal goedkope Internet of Things-apparaten te beveiligen. Volgens de softwaregigant zullen in de nabije toekomst miljarden apparaten met internet verbonden zijn, maar zijn die niet voorbereid op de veiligheidsuitdagingen die met een dergelijke verbinding komen kijken. Dit kan grote gevolgen voor de privacy van gebruikers en de veiligheid van de apparaten hebben.

Via "Project Sopris" wil Microsoft hier verandering in brengen. Als onderdeel van dit project hebben onderzoekers van de softwaregigant gekeken naar belangrijke beveiligingsmaatregelen waar goedkope IoT-apparaten over moeten beschikken. Het gaat onder andere om een automatische updatefunctie, het gebruik van certificaatgebaseerde authenticatie, de aanwezigheid van een meerlaagse beveiliging en een hardwaregebaseerde "Root of Trust".

Vervolgens hebben de onderzoekers gekeken of deze eigenschappen aan goedkope IoT-apparaten kunnen worden toegevoegd. Hiervoor werd een aangepaste microcontroller ontwikkeld die over de gewenste eigenschappen beschikt. Deze aanpak wordt nu naar een eenvoudig "device board" met software uitgebreid. "Gebaseerd op onze voorlopige experimentele ervaring zijn we hoopvol dat bijna elk apparaat kan worden aangepast om veiliger te worden gemaakt", aldus de onderzoekers in hun eerste technische rapport (pdf).

Image

Reacties (11)
06-04-2017, 16:22 door mcb
Ik mis in de lijst:
- geen hardcoded wachtwoord
- verplicht ww wijzigen bij 1e inlog
- geen upnp
- geen automatisch verbinding maken met fabrikant anders dan updates
- geen verplicht account bij de fabrikant
- control panel niet benaderbaar vanaf internet
- indien inkomende internetverbinding voor de werking noodzakelijk is, dit alleen via https

Er zijn vast nog meer punten waar ik even niet op kom.
06-04-2017, 16:36 door Anoniem
Dit is angst aanjaag tactiek van Microsoft. Ze hebben de mobiele markt volledig gemist, en missen de embedded/IoT markt ook volledig, die is vrijwel volledig Linux based. Nu willen ze zich op deze manier relevant maken in de tak van sport. Fabrikanten van smart devices moeten idd veel beter omgaan met security, mensen moeten dat zelf ook (ww's aanpassen etc). Maar Microsoft heeft in deze markt niet veel te zoeken, zijn al te laat, en daar hoeft niemand rouwig om te zijn.
06-04-2017, 17:37 door [Account Verwijderd]
[Verwijderd]
06-04-2017, 17:39 door [Account Verwijderd]
[Verwijderd]
06-04-2017, 17:50 door karma4
Door Rinjani: ....
Dat zou ik in hiervoor niet willen zeggen. Op deze secure hardware kan ook Linux gaan draaien.
Maakt niet uit welk os als het maar secùrity by design gaat worden. Daar is tot nu toe het nodige mis gelopen.
06-04-2017, 18:04 door Anoniem
Maak eerst windows maar eens veilig zou ik zeggen.
06-04-2017, 18:11 door [Account Verwijderd] - Bijgewerkt: 06-04-2017, 18:12
[Verwijderd]
06-04-2017, 23:19 door W.T.
Microsoft en beveiligen ? Schoenmaker blijf bij je leest.
07-04-2017, 11:41 door karma4
Door W.T.: Microsoft en beveiligen ? Schoenmaker blijf bij je leest.
Ik mag al die grote commercielen niet, IBM Microsoft Apple Google RedHat wegens de commercie. Ga je kijken wat ze aan kennis onderzoek opbouwen en delen dan is het heel anders.
Microsoft (ooit met IBM OS/2 NT) heeft grote stappen gezet. https://technet.microsoft.com/en-us/library/cc961950.aspx De weerstand van gebruikers "het is mijn machine en ik wil root blijven gebruiken" was en is een hoge drempel.
Het uitbesteden van verantwoordelijkheden lijkt leuk maar kan echt niet https://www-935.ibm.com/services/nl/nl/it-services/managed-security-services.html je kan alleen het werk via een bewerkersovereenkomst uitbesteden.
Oeps Appel doet niet mee en Google ook niet echt. En redhat: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/Security_Guide/index.html blijft hangen op het OS onderdeel of je moet JBOSS als tool/middleware meenemen. Wat je mist is de data-governance.

Met bashen op merken gaan we de security awareness niet krijgen en zeker niet een security invulling op gevoelige informatie.
08-04-2017, 00:53 door [Account Verwijderd]
[Verwijderd]
08-04-2017, 22:04 door ph-cofi
Door W.T.: Microsoft en beveiligen ? Schoenmaker blijf bij je leest.
Ik zou Microsoft meer vertrouwen geven dan een anoniem IoT ding van "Ching Chang Trading, Shanghai". De eerste heeft een naam te verliezen. MITS, de US consumentenbond had al een mooie standaard neergelegd, het enige dat MS nog hoeft te doen is deze aantoonbaar te volgen.
https://www.security.nl/posting/506417
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.