Microsoft wil goedkope IoT-apparaten gaan beveiligen
Microsoft is een nieuw project gestart om een groot aantal goedkope Internet of Things-apparaten te beveiligen. Volgens de softwaregigant zullen in de nabije toekomst miljarden apparaten met internet verbonden zijn, maar zijn die niet voorbereid op de veiligheidsuitdagingen die met een dergelijke verbinding komen kijken. Dit kan grote gevolgen voor de privacy van gebruikers en de veiligheid van de apparaten hebben.
Via "Project Sopris" wil Microsoft hier verandering in brengen. Als onderdeel van dit project hebben onderzoekers van de softwaregigant gekeken naar belangrijke beveiligingsmaatregelen waar goedkope IoT-apparaten over moeten beschikken. Het gaat onder andere om een automatische updatefunctie, het gebruik van certificaatgebaseerde authenticatie, de aanwezigheid van een meerlaagse beveiliging en een hardwaregebaseerde "Root of Trust".
Vervolgens hebben de onderzoekers gekeken of deze eigenschappen aan goedkope IoT-apparaten kunnen worden toegevoegd. Hiervoor werd een aangepaste microcontroller ontwikkeld die over de gewenste eigenschappen beschikt. Deze aanpak wordt nu naar een eenvoudig "device board" met software uitgebreid. "Gebaseerd op onze voorlopige experimentele ervaring zijn we hoopvol dat bijna elk apparaat kan worden aangepast om veiliger te worden gemaakt", aldus de onderzoekers in hun eerste technische rapport (pdf).
- geen hardcoded wachtwoord
- verplicht ww wijzigen bij 1e inlog
- geen upnp
- geen automatisch verbinding maken met fabrikant anders dan updates
- geen verplicht account bij de fabrikant
- control panel niet benaderbaar vanaf internet
- indien inkomende internetverbinding voor de werking noodzakelijk is, dit alleen via https
Er zijn vast nog meer punten waar ik even niet op kom.
Dat zou ik in hiervoor niet willen zeggen. Op deze secure hardware kan ook Linux gaan draaien.
Microsoft (ooit met IBM OS/2 NT) heeft grote stappen gezet. https://technet.microsoft.com/en-us/library/cc961950.aspx De weerstand van gebruikers "het is mijn machine en ik wil root blijven gebruiken" was en is een hoge drempel.
Het uitbesteden van verantwoordelijkheden lijkt leuk maar kan echt niet https://www-935.ibm.com/services/nl/nl/it-services/managed-security-services.html je kan alleen het werk via een bewerkersovereenkomst uitbesteden.
Oeps Appel doet niet mee en Google ook niet echt. En redhat: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/Security_Guide/index.html blijft hangen op het OS onderdeel of je moet JBOSS als tool/middleware meenemen. Wat je mist is de data-governance.
Met bashen op merken gaan we de security awareness niet krijgen en zeker niet een security invulling op gevoelige informatie.
https://www.security.nl/posting/506417
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
