Nieuws
image

Onderzoeker: geen duidelijk pad richting veiligere IoT-apparaten

zaterdag 16 mei 2020, 10:53 door Redactie, 17 reacties

De afgelopen jaren hebben tal van instanties, onderzoekers en beleidsmakers zich beziggehouden met de veiligheid van Internet of Things-apparaten, maar ondanks voorstellen voor labels en acties die eindgebruikers en fabrikanten zouden moeten uitvoeren is er geen duidelijk pad richting veiligere IoT-apparaten, zo stelt onderzoeker Alexander Vetterl van de Universiteit van Cambridge.

Vetterl wijst naar drie onderzoeken die naar verschillende aspecten van de IoT-omgeving keken. Het eerste onderzoek (pdf) keek naar het gedrag van mensen die IoT-apparatuur aanschaffen. Kopers zeggen privacy en security belangrijk te vinden, maar vinden prijs en features nog belangrijker. Wel waren deelnemers aan het onderzoek bereid om tien tot dertig procent meer voor hun IoT-apparaat te betalen als ze de garantie kregen dat hun security en privacy werd beschermd. Iets wat in de praktijk lastig te meten valt, aldus Vetterl.

De onderzoekers bedachten daarop een veiligheidslabel zodat potentiële kopers konden zien of het om een veilig apparaat ging. Hoewel deelnemers aan het onderzoek het label begrepen, gaven ze aan bekende merken zonder label meer te vertrouwen dan onbekende merken met een dergelijk veiligheidslabel.

Updates

Het tweede onderzoek keek naar de manier waarop fabrikanten en gebruikers omgaan met beveiligingsupdates. Voor het onderzoek werd het patchmanagement van zes fabrikanten geanalyseerd. Het ging om totaal 450 IoT-apparaten die tussen 2006 en 2017 op de markt verschenen. Vijf van deze fabrikanten bleken tijdig met beveiligingsupdates te komen. Fabrikanten maakten echter niet duidelijk aan hun klanten wanneer het om ernstige kwetsbaarheden ging.

Ondanks de beschikbaarheid van updates blijken eindgebruikers die niet altijd te installeren. Canonical vroeg tweeduizend mensen hoe ze met beveiligingsupdates voor hun IoT-apparatuur omgaan (pdf). 31 procent installeert updates zodra ze beschikbaar zijn. Veertig procent had sinds de aanschaf nog nooit een update voor hun IoT-apparaat geïnstalleerd en acht procent wist niet wat een firmware-update is.

Adviezen

Als het om IoT-veiligheid gaat zijn er tal van adviezen en best practices te vinden, wat het onderwerp van het derde onderzoek was. Voor dit onderzoek werd er naar 1014 adviezen, richtlijnen, aanbevelingen, standaarden en best practices van overheden, academici en industrie gekeken. Daaruit kwam naar voren dat maar liefst 91 procent van de onderzochte items niet eenvoudig is uit te voeren, maar eerder een overzicht van gewenste uitkomsten biedt.

Wanneer zelfs beveiligingsexperts de adviezen en richtlijnen lastig vinden uit te voeren is het onrealistisch om te verwachten dat fabrikanten ze implementeren, aldus de onderzoekers. Verder bleek dat het grootste deel van de onderzochte adviezen (706) door de fabrikant moet worden uitgevoerd, en er slechts 260 door de eindgebruiker zijn op te pakken. Volgens de onderzoekers spelen fabrikanten dan ook een centrale rol in de veiligheid van IoT-apparaten. Fabrikanten hebben echter onvoldoende prikkels om best practices door te voeren, aldus de onderzoekers, die stellen dat het daarom beter is om eindgebruikers te onderwijzen en zo hun koopgedrag te beïnvloeden.

Weg voorwaarts

Volgens Vetterl laten de onderzoeken zien dat de IoT-omgeving complex is en er allerlei verschillende krachten spelen, zoals economische prikkels, de verwachtingen en het gedrag van kopers en allerlei adviezen die niet eenvoudig zijn uit te voeren en vaak buiten de mogelijkheden van de koper liggen. "Het is duidelijk dat zelfregulatie van de IoT-markt grotendeels onsuccesvol is geweest, maar er is geen duidelijke weg voorwaarts", aldus de onderzoeker.

Moet er bijvoorbeeld een vrijwillige of verplichte ranking van IoT-fabrikanten komen en hoe moet die eruit zien zodat eindgebruikers er ook gebruik van maken? Moeten beleidsmakers bijvoorbeeld verplichte updatelabels introduceren en wat zullen de gevolgen zijn van strengere regimes voor productveiligheid en aansprakelijkheid, vraagt Vetterl zich af. "Het onderzoeken en beantwoorden van deze vragen heeft niet alleen gevolgen voor het Internet of Things, maar ook andere technologieplatformen", besluit de onderzoeker.

Reacties (17)
16-05-2020, 11:34 door Anoniem
Kopers zeggen privacy en security belangrijk te vinden, maar vinden prijs en features nog belangrijker.
Ik denk dat het probleem is dat prijs en features redelijk makkelijk te beoordelen zijn maar privacy en security niet. Het lijkt mij een open deur dat mensen spullen beoordelen op de eigenschappen die ze weten te beoordelen.
16-05-2020, 11:55 door Anoniem
De onderzoekers bedachten daarop een veiligheidslabel zodat potentiële kopers konden zien of het om een veilig apparaat ging. Hoewel deelnemers aan het onderzoek het label begrepen, gaven ze aan bekende merken zonder label meer te vertrouwen dan onbekende merken met een dergelijk veiligheidslabel.
Uiteraard. De meeste consumenten weten immers wel dat een label weinig zegt en dat iedereen zijn eigen label kan bedenken, ook voor eigen commercieel gewin.
Labels met een strenge keuring en handhaving erachter dat bestaat (bijna) niet meer, het is tegenwoordig allemaal dezelfde waardeloze zelfcertificatie rommel.
16-05-2020, 12:39 door Anoniem
Bij IoT is het als bij mondkapjes. Veel rommel op de markt. Veel design en weinig doordachte veiligheid.
Hang maar aan het grid, aan het Internet. Fijn voor centraal beheer. Alles aan het plafond door een IT-er op afstand te managen, bugje, exploitje, virusje, pats en dan binnen een zeer kort ogenblik het hele netwerk besmet en erger. Stuxnet is het afschrikwekkende voorbeeld, uitgevoerd met expertise over intern gebruikte firmware zwakheden.

Goed beheren is het antwoord. Shodan zoekqueries laten zien hoe dat niet moet. Url scannetje doen is veel kwetsbaarheid ontdekken. De dagen van covid-19 zijn feestdagen voor de l33t hacker, de cybercrimineel fasciliterende staatsoperatoren.
Het gevaar loert alom, vanuit alle smart-kanten - ijskast, stofzuiger, slimme led-lamp. "Hackers klaar, hacken maar", met daarbij het bekende handgebaar niet te vergeten, dat erbij gemaakt moet worden.

#sockpuppet
16-05-2020, 12:52 door [Account Verwijderd]
Over de privacy/security risico's die in een label beschreven zouden moeten worden is enkele jaren geleden master thesis geschreven, zie https://openaccess.leidenuniv.nl/bitstream/handle/1887/64571/Diermen_R_van_2018_CS.pdf.
16-05-2020, 12:52 door souplost - Bijgewerkt: 16-05-2020, 12:53
Nergens in het onderzoek staat vermeld dat de makers van het OS hier het probleem zijn. Daar zal karma4 blij mee zijn.
Hopelijk kunnen de leveranciers een keer aangepakt worden want gebruikers zijn aan de goden overgeleverd.
16-05-2020, 14:23 door Anoniem
Internet is als een militair wapen begonnen, hoe wou je dat veranderen ?
Nog "lekker dan lek" maken, is wat ze doen, en ze kunnen in je huis meekijken en luisteren "analyseren en opslaan".
Gebeurt nu al met hun afstand-bediening-loze spraak-gestuurde stereo speler.
Tog word het verkocht aan hersen-loze of ik-heb-niets-te-verbergen-types.
16-05-2020, 14:48 door karma4 - Bijgewerkt: 16-05-2020, 15:30
Door souplost: Nergens in het onderzoek staat vermeld dat de makers van het OS hier het probleem zijn. Daar zal karma4 blij mee zijn. Hopelijk kunnen de leveranciers een keer aangepakt worden want gebruikers zijn aan de goden overgeleverd.
Het zijn de leveranciers dienstverleners beheerders die er een zooitje van maken. Dat staat in het artikel.
Ze kunnen er zo'n zooitje van maken omdat ze het argument kunnen hanteren dat met OSS je niets meer zelf aan beveiliging hoeft te doen. Dat doen anderen wel gratis en voor niets. Nog kwalijker is het gebreken aan gedegen systeemontwerp. Doe wat knip en plakwerk gooi het in git en je voldoet aan de wens van de marketing sprint.

Dat is het verhaal wat ik constant neerzet. Alleen jammer dat oss evangelisten dat als een persoonlijke aanval in hun geloof zien. Dat is de echte blokkade tot verbetering. Dat met dat rare OSS is good Microsoft is bad in dat geloof. Google Apple Amazon lachen zich daar rot om met daarna een lange reeks van andere grote commerciëlen.
16-05-2020, 15:48 door souplost
Door karma4:
Door souplost: Nergens in het onderzoek staat vermeld dat de makers van het OS hier het probleem zijn. Daar zal karma4 blij mee zijn. Hopelijk kunnen de leveranciers een keer aangepakt worden want gebruikers zijn aan de goden overgeleverd.
Ze kunnen er zo'n zooitje van maken omdat ze het argument kunnen hanteren dat met OSS je niets meer zelf aan beveiliging hoeft te doen. Dat doen anderen wel gratis en voor niets.
Dat argument hanteren ze niet karma4. Het is ook lulkoek, of te wel een hersenspinsel van karma4.
Uit geen enkel onderzoek komt na voren dat OSS het probleem zou zijn. Heb je het onderzoek al gelezen?
16-05-2020, 16:41 door Anoniem
Door karma4:
Door souplost: Nergens in het onderzoek staat vermeld dat de makers van het OS hier het probleem zijn. Daar zal karma4 blij mee zijn. Hopelijk kunnen de leveranciers een keer aangepakt worden want gebruikers zijn aan de goden overgeleverd.
Het zijn de leveranciers dienstverleners beheerders die er een zooitje van maken. Dat staat in het artikel.
Ze kunnen er zo'n zooitje van maken omdat ze het argument kunnen hanteren dat met OSS je niets meer zelf aan beveiliging hoeft te doen.
Nou nee hoor. Vaak zitten de problemen ook helemaal niet op het level van "het OS is onveilig".
Het gaat om standaard wachtwoorden of wachtwoorden in het algemeen (te raden), waardoor bijvoorbeeld je camera voor
iedereen te bekijken is omdat je nooit het wachtwoord veranderd hebt of je hebt het 123456 gemaakt.
Daarnaast gaat het dan om zaken als privacy, bijvoorbeeld dat de leverancier gegevens verzamelt en zelfs doorverkoopt.
Dat heeft allemaal niks met OSS of veiligheid van software te maken.

Als dat al wel zo was dan zou er wel een aanbod zijn van "veilige IoT apparatuur" voor mensen die wel wat meer willen
uitgeven om het warme gevoel van Windows 10 IoT op hun apparaat te hebben.
16-05-2020, 21:13 door karma4 - Bijgewerkt: 16-05-2020, 21:16
Door souplost:
Dat argument hanteren ze niet karma4. Het is ook lulkoek, of te wel een hersenspinsel van karma4.
Uit geen enkel onderzoek komt na voren dat OSS het probleem zou zijn. Heb je het onderzoek al gelezen?
Ik wel, pag 12 - ik citeer:
" By closely analysing the IoT’s security vulnerabilities and the failings of existing approaches for better IoT security:
1. THE INDUSTRY HAS TO START WITH THE OS
2. ANY IOT OS NEEDS TO BE DESIGNED FROM THE GROUND UP FOR SECURITY
3. THE OS SHOULD BE KEPT SIMPLE WHILE MAINTAINING APPROPRIATE FUNCTIONALITY
4. THE OS SHOULD FEATURE A CENTRALISED UPDATE MECHANISM
5. THE OS SHOULD FEATURE AUTOMATIC, INBUILT ROLLBACK OF UPDATES
6. FILES SHOULD BE READ ONLY BY DEFAULT AND REQUIRE UNIVERSAL DIGITAL AUTHENTICATION TO BE REPLACED
7. APPLICATIONS SHOULD BE SELF-CONTAINED AND SANDBOXED
8. THE OS SHOULD FEATURE FAMILIAR ARCHITECTURES AND KNOWN CODING METHODS
9. SECURITY SHOULD NOT RESTRICT THE OPEN AND INNOVATIVE NATURE OF THE IOT"
Sorry voor de hoofdletters, het is knippen plakken van de paragraaf koppen.
Dat lijken me prima adviezen, niet veel anders dan wat ik constant zeg. Alleen staat het nu in het canonical rapport.
Wel verrekt veel verwijzingen naar zaken die in het OS geregeld moeten worden.

Door Anoniem: ...Daarnaast gaat het dan om zaken als privacy, bijvoorbeeld dat de leverancier gegevens verzamelt en zelfs doorverkoopt.Dat heeft allemaal niks met OSS of veiligheid van software te maken.
...
Vind je nu zelf echt niet dat je probeert goed te praten wat krom is? De software van die leverancier daar ligt het niet dat er allemaal gegevens verzameld worden. Het regelen van sandboxing is geen OS taak? zout zouter
16-05-2020, 22:06 door souplost - Bijgewerkt: 16-05-2020, 22:08
Door karma4:
Door souplost:
Dat argument hanteren ze niet karma4. Het is ook lulkoek, of te wel een hersenspinsel van karma4.
Uit geen enkel onderzoek komt na voren dat OSS het probleem zou zijn. Heb je het onderzoek al gelezen?
Ik wel, pag 12 - ik citeer:
" By closely analysing the IoT’s security vulnerabilities and the failings of existing approaches for better IoT security:
1. THE INDUSTRY HAS TO START WITH THE OS
2. ANY IOT OS NEEDS TO BE DESIGNED FROM THE GROUND UP FOR SECURITY
3. THE OS SHOULD BE KEPT SIMPLE WHILE MAINTAINING APPROPRIATE FUNCTIONALITY
4. THE OS SHOULD FEATURE A CENTRALISED UPDATE MECHANISM
5. THE OS SHOULD FEATURE AUTOMATIC, INBUILT ROLLBACK OF UPDATES
6. FILES SHOULD BE READ ONLY BY DEFAULT AND REQUIRE UNIVERSAL DIGITAL AUTHENTICATION TO BE REPLACED
7. APPLICATIONS SHOULD BE SELF-CONTAINED AND SANDBOXED
8. THE OS SHOULD FEATURE FAMILIAR ARCHITECTURES AND KNOWN CODING METHODS
9. SECURITY SHOULD NOT RESTRICT THE OPEN AND INNOVATIVE NATURE OF THE IOT"
Sorry voor de hoofdletters, het is knippen plakken van de paragraaf koppen.
Dat lijken me prima adviezen, niet veel anders dan wat ik constant zeg. Alleen staat het nu in het canonical rapport.
Wel verrekt veel verwijzingen naar zaken die in het OS geregeld moeten worden.

Door Anoniem: ...Daarnaast gaat het dan om zaken als privacy, bijvoorbeeld dat de leverancier gegevens verzamelt en zelfs doorverkoopt.Dat heeft allemaal niks met OSS of veiligheid van software te maken.
...
Vind je nu zelf echt niet dat je probeert goed te praten wat krom is? De software van die leverancier daar ligt het niet dat er allemaal gegevens verzameld worden. Het regelen van sandboxing is geen OS taak? zout zouter
En weer presteer je het om een verkeerde relatie te leggen. Wat jij constant zegt is iets heel anders. Basale logica ontbreekt bij jou heeft iemand je al uitgeprobeerd te leggen.
Die punten gaan juist over The Ubuntu Core van het Canonical rapport, de leverancier van Ubuntu Linux notabene!
Dat rapport Is geen advies maar een onderzoek naar hoe mensen met beveiligingsupdates voor hun IoT-apparatuur omgaan.
Het derde onderzoek wel. Dat gaat over adviezen en best practices. Daar wordt de naam LInux of OSS niet eens genoemd!
Dus mijn stelling "Uit geen enkel onderzoek komt na voren dat OSS het probleem zou zijn" staat nog vier overeind.
Die punten die jij noemt is juist de kern (core) van Ubuntu Linux sukkel, en waarschijnlijk ook een van de redenen waarom Microsoft voor Linux heeft gekozen omdat windows niet voldoet. Microsoft is bekeerd nu jij nog :) https://www.theregister.co.uk/2020/05/15/microsoft_brad_smith_open_source/
17-05-2020, 08:01 door The FOSS - Bijgewerkt: 17-05-2020, 08:07
Door souplost:
Door karma4:...
... Microsoft voor Linux heeft gekozen omdat windows niet voldoet. Microsoft is bekeerd nu jij nog :) https://www.theregister.co.uk/2020/05/15/microsoft_brad_smith_open_source/

Microsoft heeft inderdaad ingezien dat hun besturingssysteem voor lichte consumententoepassingen ongeschikt is om in te zetten voor IoT-toepassingen. Hun keuze voor het open source Linux is tekenend. De handdoek wordt eindelijk in de ring gegooid! Het werd ook tijd...

http://techcrunch.com/2018/04/16/microsoft-built-its-own-custom-linux-kernel-for-its-new-iot-service/
17-05-2020, 09:24 door karma4 - Bijgewerkt: 17-05-2020, 09:27
Door souplost: Die punten gaan juist over The Ubuntu Core van het Canonical rapport, de leverancier van Ubuntu Linux notabene! Dat rapport Is geen advies maar een onderzoek naar hoe mensen met beveiligingsupdates voor hun IoT-apparatuur omgaan. ….
Het gaat om het falen van IOT en daar is Ubuntu duidelijk in, het nodige ontbreekt in het goed omgaan met een OS.
Informatieveiligheid heeft weinig met een OS te maken. Het wordt wel ondergraven door OS flamers
En andere bedreiging is de monocultuur en een directe vendor locking van dienstverleners. OSS is een valkuil van doublethink. Geen informatieveiiligheid omdat anderen dat wel gratis en voor niets doen.
Waarom is er geen duidelijk pad richting veilige IOT apparatuur?
17-05-2020, 09:58 door The FOSS
Door karma4: ...
Waarom is er geen duidelijk pad richting veilige IOT apparatuur?

Dat pad is er wel degelijk. Microsoft heeft namelijk niet al te lange tijd geleden ingezien dat hun besturingssysteem voor lichte consumententoepassingen ongeschikt is om in te zetten voor IoT. Hun keuze voor het open source Linux is tekenend voor de toekomst van IoT.

http://techcrunch.com/2018/04/16/microsoft-built-its-own-custom-linux-kernel-for-its-new-iot-service/
17-05-2020, 23:46 door Anoniem
Er staat al in een hele oude RFC dat elke host die aangesloten is op internet een postmaster@ emailadres moet hebben. Waar dan ook bij technische storingen een email naar gestuurd kan worden. En elke wifi-ijskast hoort daar netjes op te reageren en de systeembeheerder in te schakelen.
18-05-2020, 11:16 door The FOSS
Door Anoniem: Er staat al in een hele oude RFC dat elke host die aangesloten is op internet een postmaster@ emailadres moet hebben. Waar dan ook bij technische storingen een email naar gestuurd kan worden. En elke wifi-ijskast hoort daar netjes op te reageren en de systeembeheerder in te schakelen.

Als je een WiFi-ijskast als host ziet dan zijn je PC en smartphone dat ook. Kan je daar een e-mail naartoe sturen?
20-05-2020, 07:48 door Anoniem
Door Anoniem: Er staat al in een hele oude RFC dat elke host die aangesloten is op internet een postmaster@ emailadres moet hebben. Waar dan ook bij technische storingen een email naar gestuurd kan worden. En elke wifi-ijskast hoort daar netjes op te reageren en de systeembeheerder in te schakelen.

Probeer maar eens een mail te sturen naar een postmaster@windowssysteem.dom.

Maar het verhaal klopt ook niet wat je zegt, niet iedere host moet te mailen zijn maar ieder top level domein.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure