Microsoft vindt tientallen kritieke kwetsbaarheden in IoT-apparaten
Onderzoekers van Microsoft hebben tientallen kritieke kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten en industriële systemen ontdekt waardoor aanvallers in het ergste geval de machines kunnen overnemen. De meer dan 25 beveiligingslekken hebben de naam "BadAlloc" gekregen en bevinden zich in de functies die worden gebruikt voor het toewijzen van geheugen binnen real-time operating systems (RTOS), embedded software development kits (SDKs) en C standard library (libc) implementaties.
Het gaat dan om functies als malloc, calloc, realloc, memalign, valloc en pvalloc. Uit het onderzoek van Microsoft blijkt dat bij de implementatie van deze functies binnen de software van IoT- en OT-apparaten er onvoldoende invoervalidatie is toegepast. Een aanvaller kan zodoende de memory allocation functies misbruiken en een heap overflow veroorzaken, waardoor er kwaadaardige code op het apparaat kan worden uitgevoerd.
Volgens Microsoft vormen de kwetsbaarheden, vanwege het feit dat IoT- en OT-apparaten overal aanwezig zijn, een groot risico voor allerlei soorten organisaties. Via de beveiligingslekken kan een aanvaller beveiligingsmaatregelen omzeilen om willekeurige code uit te voeren of de systemen te laten crashen. Voor zover bekend is er nog geen misbruik van de kwetsbaarheden gemaakt.
Microsoft heeft de betreffende leveranciers van tevoren ingelicht, zodat die beveiligingsupdates konden ontwikkelen. Het techbedrijf erkent dat het lastig kan zijn om IoT- en OT-apparaten te patchen. Wanneer het uitrollen van updates niet meteen mogelijk is worden mitigerende maatregelen aangeraden, zoals kwetsbare apparaten niet toegankelijk maken vanaf het internet, toepassen van netwerkmonitoring en implementeren van netwerksegmentatie.
Nutteloos advies voor consumenten, die niet eens weten dat de lekken aanwezig zijn, laat staan dat ze weten hoe ze deze technieken toe moeten passen op hun thuisnetwerkje om hun lekke maar kekke IoT apparaat te beveiligen.
Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.
Welke code is geen bagger. Microsoft levert i.i.g. elke maand updates, om gaten te dichten. Er zijn organisaties, die dat meteen doen (niet fijn in grote bedrijfsomgevingen) of elk kwartaal. Dat geeft aan, dat je het goed bedoelt. Helaas komt het ook voor dat er geen updates (meer) uitkomen. Echte bagger is voor mij eigenlijk de manier waarop Android werkt, aangezien de telefoonmakers zelf beslissen of ze nog updates uitbrengen voor je toestel en niet de maker van de software.
En anderen op hun fouten wijzen? Wanneer jij merkt dat je klanten problemen hebben en bij het onderzoeken/oplossen daarvan ontdek je, dat een lek bij een ander de oorzaak is, is het logisch dat je die waarschuwt.
Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.
Daar ben ik het niet mee eens. Je verschuift het probleem naar een onwetende consument. De leverancier veroorzaakt het probleem, dus die moet het probleem oplossen. Daarnaast, met jouw insteek zal de consument uiteindelijk blijven betalen, want er is altijd wel een lek dat kan worden uitgebuit. En waarom dan stoppen bij IoT? Laten we dan alles maar erbij betrekken. TV's, computers, IoT, modems van de provider, smart watches enz. Dat gaat een dure grap worden, laat staan wat de sociale gevolgen zijn voor b.v. mensen met een bijstandsuitkering.
Dit is het bijzondere van de softwarewereld. Iedere andere bedrijfstak zou niet wegkomen met het opleveren van deze ellende. Ik zie al voor me dat gebruiksproducten als een fiets of gereedschap keer op keer mankementen vertoont. Maar met software vinden we het allemaal wel best en blijven we de meest brakke rommel accepteren van leveranciers die er niet echt op worden aangesproken. Zolang dat zo is verandert er weinig.
Welke code is geen bagger. Microsoft levert i.i.g. elke maand updates, om gaten te dichten. Er zijn organisaties, die dat meteen doen (niet fijn in grote bedrijfsomgevingen) of elk kwartaal. Dat geeft aan, dat je het goed bedoelt. Helaas komt het ook voor dat er geen updates (meer) uitkomen. Echte bagger is voor mij eigenlijk de manier waarop Android werkt, aangezien de telefoonmakers zelf beslissen of ze nog updates uitbrengen voor je toestel en niet de maker van de software.
En anderen op hun fouten wijzen? Wanneer jij merkt dat je klanten problemen hebben en bij het onderzoeken/oplossen daarvan ontdek je, dat een lek bij een ander de oorzaak is, is het logisch dat je die waarschuwt.
Code die getest is door professionele pentesters.
van de week nog een presentatie van ze gezien over hun antivirus; laten ze doodleuk zien dat een klant een pfishing mail opent de malicious bijlage activeert en wat gebeurt er? Het wordt prima gedetecteerd in hun cloud crap, maar ...het netwerk van de klant wordt besmet. Een antivirus product moet ingrijpen!
Tof zo'n antivirus product; die lui mogen wat mij betreft aan de schandpaal! code hoor je niet 10 jaar klakkeloos te hergebruiken
kwa maandelijkse updates etc...
Daarom zou er ook sneller en makkelijker schade gevorderd moeten kunnen worden van die consument. Als hij elke maand €50 boete krijgt, omdat zijn modem overlast heeft veroorzaakt. Koopt hij wel een betere, of neemt hij een betere internet provider.
Daar ben ik het niet mee eens. Je verschuift het probleem naar een onwetende consument. De leverancier veroorzaakt het probleem, dus die moet het probleem oplossen.
Ja maar dat begint bij het signaleren van het probleem door een partij die er belang bij heeft dat het wordt opgelost.
Als de consument er voor verantwoordelijk wordt gesteld met als optie om de actie bij de leverancier en/of producent neer
te leggen dan gaat er in ieder geval wat gebeuren (want de consument wil niet met rekeningen opgescheept worden en
als dat toch gebeurt gaat ie klagen, evt via TV programma's enzo). De leverancier zal, als er geen klachten komen,
meestal niets doen. De producent zal proberen het probleem onder tafel te vegen door het product al snel "verouderd"
te verklaren en geen support meer te leveren. Zeker bij problemen waar de gebruiker zelf niet echt last van heeft maar
de rest van de wereld wel, zal er op de een of andere manier druk moeten worden uitgeoefend.
meestal niets doen. De producent zal proberen het probleem onder tafel te vegen door het product al snel "verouderd"
te verklaren en geen support meer te leveren. "
er moet een oplossing hiervoor gevonden worden, want dit typische gedrag en deze a-symmetry is iets dat los staat van IoT of OS oid. je zou je kunen afvragen hoe dat zit met andere (analoge) huishoudelijke apparaten en diensten...
Kijken naar IoT apparaten, dan is het maar de vraag of je updates krijgt...
Dit vind ik kwalijker dan de Microsoft software die continue onderhouden wordt.
Tegenwoordig zijn er zoveel "internet verbonden" apparaten.
Consumenten kopen van alles, zelfs liefst zo goedkoop mogelijk via Wish en AliExpress.
Deze Chinese leveranciers zullen zich nooit verantwoordelijk gaan voelen...
Dus feit is dat deze onveilige producten er altijd zullen zijn.
Eigenlijk is het Microsoft advies niet zo gek, alleen weten zij niet hoe dit moet.
Mogelijk zouden Internet Providers hier iets mee kunnen doen.
Bijvoorbeeld Ziggo die bij abonementen standaard Router/Modems levert met VLAN opties, instructies erbij geeft dat IoT apparaten naar het "IoT" netwerk moeten verbinden.
Hierdoor kunnen deze apparaten niet met je "netwerk praten" waar je laptop/pc aan hangt.
Huidige meegeleverde modems/routers hebben deze functies niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
