Vijf brandende vragen om aan je IoT-leverancier te stellen
Maar verwacht geen antwoord...
Hoe zou het minimumniveau aan beveiliging van IoT-apparaten eruit moeten zien? Johannes Ullrich van het Internet Storm Center van Sans Institute denkt dat deze 5 vragen aan je IoT-leverancier moeten worden gesteld.
Momenteel zijn standaardwachtwoorden en simpele zwaktes op het gebied van de beveiliging van webapplicaties het grootste probleem. Maar we weten allemaal dat terwijl één kwetsbaarheid wordt verholpen, er twee nieuwe worden ontdekt. Leveranciers vragen om een 'product zonder kwetsbaarheden' is onrealistisch. Dus wat moeten we de leveranciers wél vragen?
1 Hoe lang na de aanschaf van een apparaat ontvang ik beveiligingsupdates?
Als we weten dat de apparaten die we vandaag kopen kwetsbaar zijn, moeten we van de leverancier kunnen verwachten dat deze voor in elk geval een aantal jaar patches levert. Op die manier kunnen we voorkomen dat we het apparaat eerder moeten vervangen dan verwacht.
Als onderdeel van de 'End of Life Policy' moet de leverancier gedetailleerd beschrijven wat hij in dit geval gaat doen. Voor een consumentenapparaat zou ik willen dat wanneer het apparaat uit de verkoop gaat, er nog tot vijf jaar daarna security patches worden ontwikkeld en geleverd. (Nee, ik ken geen enkele leverancier van consumentenproducten die dit doet. Ik vroeg het enkele, en ze vertelden mij dat op de dag dat een apparaat 'End of Life' wordt verklaard, ook alle ondersteuning stopt. Mogelijk word je een aantal maanden voordat dit gebeurt geïnformeerd.)
2 Hoe blijf ik op de hoogte van security updates?
De leverancier moet een manier aanbieden om notificaties te krijgen van nieuwe updates. Ik prefereer zelf een e-mailbericht. Een melding in de admin interface van het toestel zal ook werken, of op zijn minst een webpagina waarmee ik kan controleren wat de nieuwste firmware-versie is van een apparaat.
Idealiter zou er een standaard web-service zijn, maar ik heb nog niets in die richting gezien. Een eenvoudig GET-verzoek met het serienummer, modelnummer (of MAC-adres?) dat de nieuwste versie van de firmware voor het apparaat oplevert zou geweldig zijn.
3 Mag ik een pentest rapport van je apparaat zien?
Ik verwacht niet alle bloederige details. Wat ik wel wil weten: heb je überhaupt aan enige vorm van testen gedaan? Hoe gedetailleerd jouw rapport is en welke firma de pentest uitvoerde, kan het verschil maken tussen een keuze voor jou of voor een van je concurrenten. Een pentest rapport kan me mogelijk ook vertellen of je een bepaalde vorm van software security programmering hanteert.
4 Hoe kan ik kwetsbaarheden melden?
Misschien ben je niet 's werelds beste hacker. Misschien ben je niet eens geïnteresseerd in het doen van een security test op je nieuwe routers. Anderen zijn dat echter wel, en het moet hen mogelijk gemaakt worden om kwetsbaarheden te melden. Een bug bounty is super, maar een makkelijk vindbare webpagina die uitlegt hoe je kwetsbaarheden kan melden, volstaat.
5 Als je gebruikmaakt van encryptie, leg dan uit welke algoritmes je gebruikt en hoe dit wordt geïmplementeerd
Dit is een wat specifieker onderwerp. Maar encryptie wordt zo vaak verkeerd toegepast. Welke opties ondersteun je? Is MD5 de enige hashing-functie die je gebruikt? Je mag ook "Proprietary" zeggen als je het me niet wilt vertellen. Maar dan loop ik wel naar je concurrent. Ondersteunt je SSL-library TLS 1.2 wel? Of denk je dat openssl 0.9.6l oké is? De reden waarom ik dit allemaal vraag is omdat ik wil kunnen vaststellen of je encryptie belangrijk genoeg vindt om vast te leggen wat je doet en hoe je het implementeert. Misschien doe je het nog steeds niet goed. Maar je kans om het wel goed te doen wordt groter als je het belangrijk genoeg vindt.
Waarom alleen deze vijf vragen stellen? Waarom niet meer? Ik zie deze vragen als de minimale test waarvoor leveranciers zouden moeten slagen. Er kan altijd meer worden gedaan, maar deze vijf zaken zijn min of meer "tijdloos" genoeg om ze niet elke vijf maanden te hoeven updaten.
Ik ken geen enkele leverancier die alle vijf vragen zal beantwoorden. De kans is groter dat je een antwoord krijgt van leveranciers die focussen op grootzakelijke en industriële systemen. Verwacht niet te veel van leveranciers op consumentenniveau. Maar laat het mij vooral weten als je een leverancier kent die enkele van of al deze vijf vragen zal beantwoorden (en ben je zelf een leverancier, ik hoor het graag van je).
Johannes Ullrich, Hoofd SANS Internet Storm Center (SICS)