Eigenlijk is het geen nieuws. Al veel vaker is ook in dit blog gemeld dat apparaten die aan het web worden gehangen vaak slecht of zelfs helemaal niet beveiligd zijn. Vrijwel alle aandacht op het gebied van veiligheid gaat naar telefoons en computers, terwijl we met de slecht beveiligde apparaten als camera’s of babyfoons, maar ook industriële regelsystemen de achterdeur wijd open zetten, zo blijkt uit onderzoek van het Amerikaanse digitale-veiligheidsbedrijf Forescout Technologies. Dat geldt zowel voor particulieren als voor bedrijven. Er is vooral gekeken naar de TCP/IP-programmatuur voor de verbinding van de apparaten met het wereldwijde web.
Er zou geen bewijs zijn dat daar misbruik van is/wordt gemaakt, maar het Amerikaanse cyberbeveiligingsagentschap CISA vond het bericht ernstig genoeg om er melding van de maken. Het gaat om apparaten van zo’n 150 fabrikanten. Het betreft, onder veel meer, (verbonden) thermometers, ‘slimme’ printers, (kantoor)routers, medische apparatuur en industriële regelsystemen. De kwetsbaarste producten zijn die welke voor Jan met de Pet bedoeld zijn, zoals bewakingscamera’s.
Volgens Awais Rashid van de universiteit van Bristol, die bevindingen van de Forescout-onderzoekers heeft beoordeeld, zouden in de ergste gevallen publieke diensten als water- of energievoorziening kunnen worden lamgelegd. Volgens hem gaat het vaak om slecht (programmeer)werk van ontwikkelaars. CISA beveelt gebruikers aan te zorgen voor minimale beveiliging om digitale inbraak in ieder geval lastiger te maken. Zo zouden industriële regelsystemen van het web moeten worden losgekoppeld en geïsoleerd worden van het bedrijfsnetwerk.
Lastig
Oplossingen voor die kwetsbaarheden zouden vaak lastig zijn te verwezenlijken aangezien de gebruikte programmatuur vaak ‘open’ is, dat wil zeggen dat iedereen daaraan kan/mag sleutelen en niemand de eigenaar is, stelt Elisa Costante van Forescout. Sommige kwetsbare TCP/IP-code is al twintig jaar oud, soms zelfs niet meer ondersteund, zegt ze. Volgens haar doen sommige fabrikanten ook weinig moeite daar iets aan te doen. Soms is de kwetsbare programmatuur ingebed in een onderdeel dat wordt ingekocht en als niemand dat op schrift heeft gesteld weet ook niemand van het bestaan.
Rashid: “Het belangrijkste is om uit te zoeken wat je in huis hebt.” Het feit dat er meer mensen dan anders thuis werken zou voor extra problemen kunnen zorgen, aangezien aanvallers via de apparatuur van de thuiswerker het bedrijfsnetwerk zouden kunnen binnendringen
Forescout heeft geprobeerd zoveel mogelijk fabrikanten op de hoogte te stellen van de lekken (AMNESIA:33 gedoopt), maar heeft niet alle producenten kunnen bereiken. Ook zusterorganisaties van het CISA buiten de VS zijn op de hoogte gesteld. De ontdekking van de kwetsbaarheden in de TCP/IP-programmatuur is het resultaat van Project Memoria, dat een jaar heeft geduurd.
Bron: ABC News