Begin augustus werd het digitale-veiligheidsbedrijf Armis gebeld door een ziekenhuis, een klant. Een van de infuuspompjes zou last hebben van een netwerklek dat een paar weken eerder was ontdekt, maar dat lek was gevonden bij het besturingssysteem VxWorks. Daar draaide de pomp niet op. Vals alarm?
Het was, zo bleek de Armisonderzoekers, geen vals alarm en als hun conclusie juist was dan betekende dat een groot risico voor allerlei apparatuur die aan het internet-der-dingen is/wordt opgehangen, aan beveiligingscamera’s, ziekenhuisapparatuur, routers, regelprocessen in de industrie enz. Het blijkt dat die netwerklekken, Urgent/11 gedoopt, veel meer platforms bedreigt. Al die platforms hebben gemeen dat ze met een oud netwerkprotocol werken: IPnet.
“Het is een zootje en dat weerspiegelt de problemen van onbeheerde apparaten”, zegt Ben Seri van Armis. “De codewijzigingen in vijftien jaar waren groot, maar de kwetsbaarheden waren de enige dingen die bleven.”
TCP/IP-protocollen
Het verhaal is terug te brengen tot de introductie van het wereldwijde web. Om te zorgen voor de verbinding werden allerlei zogeheten protocollen ontwikkeld die samen bekend werden als TCP/IP. IPnet is daar een onderdeel van.
De maker van dat protocol, Interpeak dus, werd in 2006 opgekocht door Wind River, ontwikkelaar van VxWorks. Vervolgens werd IPnet niet meer onderhouden en bleven lekken lekken. Daarom kreeg dat infuuspompje te maken met kwetsbaarheden eigen aan VxWorks, terwijl dat daar niet mee werkte. Wind River meldt dat er zo snel mogelijk moet worden uitgezocht hoe groot de reikwijdte van de lekken is voor maatschappij en bedrijfsleven.
Gelukkig was er rond die tijd net een kraakcongres, Defcon’s Biohacking Village. Daar werd het probleem van het infuuspompje ter hand genomen met medewerking van, onder meer, de fabrikant van het infuuspompje BD Alaris..
Voorlopig lijkt er geen radicale oplossing mogelijk. Het geeft ook aan waar het zwakke punt ligt voor een gezamenlijke ‘oplossing’ voor alle platforms en van de bedreigingen van het internet-der-dingen. Zelfs als er ‘pleisters’ zouden komen voor de lekken in IPnet dan moeten die nog op de een of andere manier op de verschillende platforms/besturingssystemen terechtkomen. Seri: “Als je weet dat iets kwetsbaar is hoe werk je die apparaten bij? Vaak bestaat de mogelijkheid niet eens om ze bij te werken of het is een analoog proces zodat het net lijkt of je met een schroevendraaier bezig bent. Je kunt dat niet op grote schaal doen. Ik zou niet weten hoe je al die machines zou moeten bijwerken.”
Naast de infuuspomp van BD Alaris vonden de Armisonderzoekers dat ook monitors, camera’s, routers en wifi-toegangspunten gevoelig zijn voor Urgent/11-lekken. Naast VxWorks zijn tenminste nog vijf platforms ook gevoelig voor de lekken. Het bedrijf heeft een hulpmiddel beschikbaar gesteld, waarmee kan worden bekeken of jouw systeem daar ook gevoelig voor is en wat je daaraan zou kunnen doen. Overigens: IPnet is niet het enige ‘fossiel’ webland (dit om je (niet) gerust te stellen).
Bron: Wired