image

Meestvoorkomende kwetsbaarheden in IoT-apparaten

dinsdag 2 januari 2018, 16:39 door Redactie, 16 reacties

Dat de beveiliging van Internet of Things-apparaten te wensen overlaat werd het afgelopen jaar meer dan eens aangetoond. Het Britse securitybedrijf Pen Test Partners ontdekte in allerlei IoT-producten kwetsbaarheden, van IoT-seksspeeltjes en smart ovens tot pratende speelgoedvogels en andere smart toys. "Keer op keer troffen we dezelfde ernstige problemen aan", aldus onderzoeker Andrew Tierney.

Het securitybedrijf heeft daarom besloten een overzicht van de meestvoorkomende kwetsbaarheden in IoT-apparaten te maken. De impact van elke kwetsbaarheid is afhankelijk van allerlei factoren, waardoor het lastig is om te bepalen wat het grootste probleem is. In totaal gaat het om zestien problemen, zoals alle processen die als root draaien, niet gesigneerde firmware, het niet valideren van ssl-certificaten, het gebruik van hardcoded of lege wachtwoorden, het lekken van het SSID/PSK en het gebruik van verouderde kernels en andere software.

Reacties (16)
02-01-2018, 17:36 door Anoniem
lijkt erop allemaal zaken waar de fabrikant zelf verantwoordelijk voor hoort te zijn.

juweeltjes:

- Lots of devices have a certificate authority bundles from 2012 or before.
- The kernel found on many devices dates back many years, with some having a 2007 vintage.
- Also web servers that haven’t been touched since 2005.
- Busybox 1.19 and below – dating from 2012 and before – is often found on these systems.
- The root user either has no password, or a hardcoded password.

het is net 2018, er zijn dus gadgets op de markt die al 10j lang niets van een update of ondehoud gezien hebben vanuit de ontwikkelaar / fabrikant.

er moet een soort kema keurmerk komen en handhaving waarbij dit soort fabrikanten die rommel op de markt brengen tot de orde geroepen gaan worden en regelmatig getoets gaan worden. en kun je je voorstellen hoeveel werkgelegenheid dat op kan leveren? win-win!

oh en dit heeft NIETS met OSS of CSS te maken, dus blijf weg als je weer die drang hebt daar over te ventileren! Dit is een gevolg van nalatigheid van bedrijven en fabrikanten in een verziekte commerciele markt. gewoon weer 'Snake Oil' uit het wilde westen!
02-01-2018, 18:07 door karma4
Door Anoniem: .....
er moet een soort kema keurmerk komen en handhaving waarbij dit soort fabrikanten die rommel op de markt brengen tot de orde geroepen gaan worden en regelmatig getoets gaan worden. en kun je je voorstellen hoeveel werkgelegenheid dat op kan leveren? win-win!

oh en dit heeft NIETS met OSS of CSS te maken, dus blijf weg als je weer die drang hebt daar over te ventileren! Dit is een gevolg van nalatigheid van bedrijven en fabrikanten in een verziekte commerciele markt. gewoon weer 'Snake Oil' uit het wilde westen!
Ben het hardgrondig met je eens. Sorry dat ik dat post.
02-01-2018, 18:18 door Anoniem
Door karma4:
Door Anoniem: .....
er moet een soort kema keurmerk komen en handhaving waarbij dit soort fabrikanten die rommel op de markt brengen tot de orde geroepen gaan worden en regelmatig getoets gaan worden. en kun je je voorstellen hoeveel werkgelegenheid dat op kan leveren? win-win!

oh en dit heeft NIETS met OSS of CSS te maken, dus blijf weg als je weer die drang hebt daar over te ventileren! Dit is een gevolg van nalatigheid van bedrijven en fabrikanten in een verziekte commerciele markt. gewoon weer 'Snake Oil' uit het wilde westen!
Ben het hardgrondig met je eens. Sorry dat ik dat post.

Nee ik ben heel blij dat je post. Want hiermee geef je eindelijk te kennen dat de IoT ellende voortkomt uit (zwaar) verouderde software en niets te maken heeft met het feit of er nu Linux of W10 (IoT core) gebruikt wordt.
02-01-2018, 20:17 door Anoniem
Een andere regel werkt direct:

Iedereen tot nader order geen IoT apparaten aanschaffen en net zolang wachten totdat fabrikanten de zaak op orde hebben. Dan weer testen om te zien of de junkware is vervangen door recente software die wel vakkundig dichtgetimmerd is.

Zo niet, dan niet aanschaffen. Misschien leren de fabrikanten het dan.
02-01-2018, 21:31 door Anoniem
Ja het enige wat een fabrikant nog verstaat is de dichtgehouden portemonnee.
Daar is men gevoelig voor. Voor de rest schijnen ze overal zowat al lak aan te hebben.

Alleen jammer dat dit soort zaken zeer slecht doordringt bij het grote publiek.

Het grote publiek kijkt alleen maar naar de prijs en mist het "vanaf nadeel" bijvoorbeeld
of het "twee kopen en als het onveilig is eigenlijk drie betalen" nadeel.
(ironische modus werd hier door mij aangezet, in feite ben ik zelfs een beetje cynisch).

Omdat de algemene gebruiker niet security bewust is of bijna niet security bewust te maken valt,
komt men weg met zulk soort "onveilige rotzooi" op de markt te plempen.

Je mag al blij zijn als er nog brand-vertragende spray overheen gespoten is,
of het niet spontaan bij het opladen ontploft.

De goede spullen niet te na gesproken overigens,
dat moet ook gezegd, 20% levert nog "goede waar behoeft geen krans".
Dat spul is toppie en geen kwaad woord erover
en ja, daar zitten ook innovatieve fabrikanten uit Rotterdam bij.

En dat is niet de schuld van die arme kindertjes, die het vaak voor een hongerloontje in elkaar moeten zetten
in Verweggistan. Wat een r*twereld is het eigenlijk toch om dat weer te moeten overdenken,
zo vlak na Kerst en Oud- en Nieuw.

Uitzuigers en graaiers regeren de wereld en houden haar onveilig
en wij doen allemaal mee en zijn daarom even schuldig,
als we alles zo maar aan het Internet gaan hangen.

Daarnaast is de commercie heilig verklaard in het huidige systeem, waarbinnen we leven,
waarbij de eindgebruiker en kritische burger meestal alleen maar als lastige in de weg zitter wordt beschouwd.

Jodocus Oyevaer
02-01-2018, 21:59 door Anoniem
Door Anoniem: Een andere regel werkt direct:

Iedereen tot nader order geen IoT apparaten aanschaffen en net zolang wachten totdat fabrikanten de zaak op orde hebben. Dan weer testen om te zien of de junkware is vervangen door recente software die wel vakkundig dichtgetimmerd is.

Zo niet, dan niet aanschaffen. Misschien leren de fabrikanten het dan.

De grote massa kent de term IoT niet eens. Ze kopen alles wat ze leuk en handig vinden. Geen benul van de gevaren.
03-01-2018, 08:51 door Anoniem
Door Anoniem:het is net 2018, er zijn dus gadgets op de markt die al 10j lang niets van een update of ondehoud gezien hebben vanuit de ontwikkelaar / fabrikant.

Geen van die gadgets bestond in 2008. Het is dus geen sprake van geen onderhoud, maar ze hebben gewoon (om voor mij onverklaarbare redenen) oude software gepakt toen ze enkele jaren geleden hun gadgets hebben ontwikkeld.

Peter
03-01-2018, 08:58 door Anoniem
Mediamarkt promoot nog voluit lenovo.
Ik zeg mensen altijd - koop dat merk niet,.
03-01-2018, 08:59 door Anoniem
Door Anoniem: Een andere regel werkt direct:

Iedereen tot nader order geen IoT apparaten aanschaffen en net zolang wachten totdat fabrikanten de zaak op orde hebben. Dan weer testen om te zien of de junkware is vervangen door recente software die wel vakkundig dichtgetimmerd is.

Zo niet, dan niet aanschaffen. Misschien leren de fabrikanten het dan.

Dat is tegen de bierkaai opzwemmen. Bedenkers van IoT oplossingen willen verkopen. Mensen zijn lui en willen dat soort ondersteuning in dagelijkse bezigheden kopen. Koelkast die automatisch bestelt wat op begint te raken. Ik word er sip en huiverig van, maar mijn buurman vind het een fantastisch idee. Hoeft hij geen boodschappen meer te doen.
Waarom zou hij dan moeten omkijken naar de software, versies en security er van?
Hij ziet er geen pijn van. Tot het te laat is, maar zo werkt ons menselijk brein. Is heel slecht in goed inschatten van reeële risico's.
03-01-2018, 12:48 door Anoniem
Ja en jij wordt later gehackt via zijn fijne verlaten smart IoT code op zijn smart peripheral.
Hangt zijn AH thuisbezorgd gedreven koelkast in een kwaadaardig botnet.

De cyberboef lacht zich de b*llen uit de broek en lanceert nog een kwaadaardige spy-drone.

Maar dat zal de korte termijn "smart is zo handig" denker een rotzorg zijn.
Als korte termijn voordeel denkertje let je toch niet op zaken van algemeen belang en nadelen voor de ander,
je pakt je eigen kleine voordeeltje en maakt je Internetomgeving ongewild onveiliger. Huh - lekker puh.

Omdat producenten meestal geen strobreed in de weg wordt gelegd, hebben we zo'n wereld.
Zeg er niet te veel van, want dan ben je een ouderwetse zeikerd, toch?
03-01-2018, 14:47 door Anoniem
Er moet inderdaad een keurmerk komen. Hierbij moet niet alleen naar het IoT apparaat zelf gekeken worden maar o.a. ook naar de ontwikkel en support processen van de leverancier om security issue sten eerste te voorkomen maar ook adequaat te adresseren wanneer deze zich voordoen.
03-01-2018, 18:07 door karma4
Door Anoniem: .....
Nee ik ben heel blij dat je post. Want hiermee geef je eindelijk te kennen dat de IoT ellende voortkomt uit (zwaar) verouderde software en niets te maken heeft met het feit of er nu Linux of W10 (IoT core) gebruikt wordt.
Laat dat eindelijk maar weg. Ik heb niets met welk os dan ook.
Het is zeer ergerlijk dat informatieveiligheid weggedrukt wordt In dat gedoe van merkhaat dan wel merkverslaving (inclusief oss). Een keurmerk met standaarden zou de norm horen te zijn.
03-01-2018, 20:22 door Anoniem
Afz FB

Net zoals er wetgeving is tegen brandgevaarlijke kleding
zo moet er ook wetgeving komen tegen braak-, spionage- en spamgevaarlijke IoT

Net zoals er wetgeving en keuring moet zijn voor voertuigen
zo moet er ook wetgeving en keuring komen voor IoT.

Niet (alleen) omdat ondeugdelijke IoT gevaarlijk is voor de eigenaar
zeker ook omdat (te veel) verspreide IoT gevaarlijk is (geworden) voor elke internetgebruiker.
Ook voor diegenen die internet gebruiken voor 'kritische' infrastructuren.
We zijn te afhankelijk geworden van internet om de veiligheid (ook stabiliteit) te laten verslonzen
We zijn te afhankelijk geworden van internet om de business case ervan kapot te (laten) maken.

Wetgeving in deze maakt dat iedereen in alle vrijheid gebruik kan blijven maken van het internet.

Net zoals ik blij ben als een spookrijder van de weg wordt gehaald. Om mijn vrije verkeer over de weg (binnen de verkeersregels) mogelijk te houden.
04-01-2018, 09:20 door Krakatau
Door Anoniem:
Door karma4:
Ben het hardgrondig met je eens. Sorry dat ik dat post.

Nee ik ben heel blij dat je post. Want hiermee geef je eindelijk te kennen dat de IoT ellende voortkomt uit (zwaar) verouderde software en niets te maken heeft met het feit of er nu Linux of W10 (IoT core) gebruikt wordt.

Helaas verliest deze oude vos zijn streken niet: https://www.security.nl/posting/543767#posting544721
04-01-2018, 22:06 door karma4
Door Krakatau: Helaas verliest deze oude vos zijn streken niet: https://www.security.nl/posting/543767#posting544721
Ai Ai krakatau toch waarom ga je in de OSS flaming mode?
Het is de bedoeling daaruit te blijven en nu eens ITO security goed te zien regelen. Kun je het hebben dat die mallotige manier van werken met security gewoon niet op orde is?
04-01-2018, 23:31 door Anoniem
Mooie lijst, maar gaat alleen in op de apparaten zelf, vergeet niet de posting die ook hier staat over lekke backend systemen van GPS trackers. Een kenmerk van IoT is immers ook dat er communicatie plaatsvindt, vaak met een systeem van de leverancier, waar vervolgens weer jouw app mee praat. Dus heb je veilige IoT devices dan nog kan het ergens anders goed fout gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.