Microsoft wil goedkope IoT-apparaten gaan beveiligen
Microsoft is een nieuw project gestart om een groot aantal goedkope Internet of Things-apparaten te beveiligen. Volgens de softwaregigant zullen in de nabije toekomst miljarden apparaten met internet verbonden zijn, maar zijn die niet voorbereid op de veiligheidsuitdagingen die met een dergelijke verbinding komen kijken. Dit kan grote gevolgen voor de privacy van gebruikers en de veiligheid van de apparaten hebben.
Via "Project Sopris" wil Microsoft hier verandering in brengen. Als onderdeel van dit project hebben onderzoekers van de softwaregigant gekeken naar belangrijke beveiligingsmaatregelen waar goedkope IoT-apparaten over moeten beschikken. Het gaat onder andere om een automatische updatefunctie, het gebruik van certificaatgebaseerde authenticatie, de aanwezigheid van een meerlaagse beveiliging en een hardwaregebaseerde "Root of Trust".
Vervolgens hebben de onderzoekers gekeken of deze eigenschappen aan goedkope IoT-apparaten kunnen worden toegevoegd. Hiervoor werd een aangepaste microcontroller ontwikkeld die over de gewenste eigenschappen beschikt. Deze aanpak wordt nu naar een eenvoudig "device board" met software uitgebreid. "Gebaseerd op onze voorlopige experimentele ervaring zijn we hoopvol dat bijna elk apparaat kan worden aangepast om veiliger te worden gemaakt", aldus de onderzoekers in hun eerste technische rapport (pdf).
- geen hardcoded wachtwoord
- verplicht ww wijzigen bij 1e inlog
- geen upnp
- geen automatisch verbinding maken met fabrikant anders dan updates
- geen verplicht account bij de fabrikant
- control panel niet benaderbaar vanaf internet
- indien inkomende internetverbinding voor de werking noodzakelijk is, dit alleen via https
Er zijn vast nog meer punten waar ik even niet op kom.
Dat zou ik in hiervoor niet willen zeggen. Op deze secure hardware kan ook Linux gaan draaien.
Microsoft (ooit met IBM OS/2 NT) heeft grote stappen gezet. https://technet.microsoft.com/en-us/library/cc961950.aspx De weerstand van gebruikers "het is mijn machine en ik wil root blijven gebruiken" was en is een hoge drempel.
Het uitbesteden van verantwoordelijkheden lijkt leuk maar kan echt niet https://www-935.ibm.com/services/nl/nl/it-services/managed-security-services.html je kan alleen het werk via een bewerkersovereenkomst uitbesteden.
Oeps Appel doet niet mee en Google ook niet echt. En redhat: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/Security_Guide/index.html blijft hangen op het OS onderdeel of je moet JBOSS als tool/middleware meenemen. Wat je mist is de data-governance.
Met bashen op merken gaan we de security awareness niet krijgen en zeker niet een security invulling op gevoelige informatie.
https://www.security.nl/posting/506417
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
