Home Cloud Eindelijk een keurmerk

Eindelijk een keurmerk

129
heterdaad

Laatst was het weer zover: VPNFilter-malware besmet een half miljoen routers en NAS-apparaten. Het gaat hier om simpele routers en opslagsystemen die voornamelijk door consumenten worden gebruikt. De inzet van die half miljoen apparaten voor een aanval zou waarschijnlijk voor grote chaos zorgen. De securitywereld waarschuwt daarom al jaren voor dit soort onveilige apparatuur. Het lijkt er op dat die waarschuwingen eindelijk gehoor vinden.

De VPNFilter-malware – de naam komt van de directory waarin de schadelijke software is aangetroffen – maakt gebruik van oude exploits. Die zijn weliswaar gedateerd, maar op oude apparatuur doen het nog ‘prima’. Juist de consumentenapparatuur waar het hier om gaat is vaak verouderd. Ze doen het nog goed, dus waarom zou je ze vervangen? Maar ze zijn en blijven lek.

Vooral patchen

De hele securityindustrie roept ‘patchen, patchen en nog eens patchen’. Maar dan moeten die patches er natuurlijk wel zijn én de gebruiker moet in staat zijn om die te installeren. Aan beide ontbreekt het meestal en de VPNFilter-malware speelt hier genadeloos op in. De malware is bijvoorbeeld bestand tegen een reboot en we hebben versies gezien die in staat zijn om het apparaat onbruikbaar te maken. De gemiddelde gebruiker staat machteloos.

Over het doel van de VPNFilter-malware is veel gespeculeerd. Onze beveiligingstak Talos heeft het in een blog over een ‘waarschijnlijk door een staat gesponsorde of aan een staat gelieerde actor’ die de geïnfecteerde apparatuur zou kunnen gebruiken voor een grootschalige aanval. Waar een hack of de uitval van een router of NAS voor de consument al vervelend genoeg is, zijn grootschalige aanvallen echt van een andere orde.

Patchen vanuit de cloud

VPNFilter heeft geen grip kunnen krijgen op professionele routers van de serieuze leveranciers. Voor deze apparatuur komen direct patches beschikbaar als er securityproblemen worden ontdekt. Ook is er voldoende kennis voorhanden om die te installeren. Voor sommige apparatuur (Meraki) is het zelfs mogelijk de patches automatisch vanuit de cloud door te laten voeren. Voor de goedkope op internet aan te sluiten apparatuur uit het Verre Oosten is dat allemaal te duur. Gezien de enorme impact die ontbrekende security kan hebben, zou de overheid de security moeten afdwingen.

Tijdens het schrijven van deze blog kwam het bericht binnen dat het Agentschap Telecom een keurmerk wil voor slimme apparaten die aan het internet gekoppeld kunnen worden.
Twee maanden geleden heeft Het kabinet laten weten dat het zich hard maakt voor Europese eisen aan apparaten die met internet zijn verbonden. De Europese Commissie werkt aan vrijwillige regels, maar die moeten verplicht worden, vindt het kabinet.

Verplichting

Met die vrijwilligheid wordt het niks, dat ben ik met het kabinet eens. Alleen een verplichting heeft effect. Net als het Agentschap Telecom verwacht ik veel meer urgentie om tot een keurmerk te komen. Zonder een securitykeurmerk mag onveilige apparatuur hier gewoon niet op de markt komen!

Michel Schaalje, Directeur Security Cisco Nederland

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here