Softwarerisico's:Open source beveiligen in IoT

Er zijn nu 7 miljard IoT-apparaten in gebruik over de hele wereld. Dit aantal zal naar verwachting verdrievoudigen in 2025, tot een ongekend aantal van 21,5 miljard apparaten, zegt Lev Lesokhin van CAST . De markt voor Internet of Things (IoT)-apparaten is geëxplodeerd. Nu willen makers van IoT-apparaten die geld willen verdienen aan de race om IoT te implementeren, wanhopig om hun producten op de markt te krijgen. In de voortdurende halsbrekende race om producten te verkopen, wordt niet alle software voor IoT-apparaten gemaakt volgens de hoogste standaard.

Om nieuwe producten en functies snel op de markt te brengen, is er weinig tijd om aangepaste code te schrijven, vooral wanneer vooraf ontworpen pakketten en frameworks gratis kunnen worden gedownload van open source-communities zoals GitHub  en Apache . Met IoT-code, zoals met alles in het leven, krijg je echter terug wat je erin stopt. In het Software Intelligence Report van CAST uit 2018 bleek dat veel open source-projecten slecht presteren op het gebied van naleving van beveiligingsregels.

Gratis open source code heeft geen waterdichte ingebouwde beveiliging. In de race naar de markt offeren veel bedrijven veiligheid op voor snelheid, waarbij ze afzien van strenge veiligheidscontroles die rekening houden met de structuur en de innerlijke werking van dergelijke code. Elk IoT-apparaat, alle zeven miljard, moet ook worden uitgevoerd met veilige software die robuust genoeg is om activiteiten van hackers af te weren.

Open source kan door iedereen worden geschreven. Veel van de code in software die is geschreven voor IoT-apparaten is ook geschreven door ingenieurs uit de embedded softwarewereld van standalone apparaten. Dit staat in schril contrast met de software die is gebouwd om de gegevens van grote ondernemingsbrede transacties te verwerken waar IoT-apparaten deel van uitmaken. Het beschermen van gegevens in deze laatste context vereist een ander soort expertise en vaardigheid die lang niet alle ontwikkelaars hebben.

Met de realiteit dat iedereen, ongeacht de ontwikkelingsachtergrond, kan bijdragen aan Open Source Software, is het veel moeilijker om ervoor te zorgen dat de beveiligings- en kwaliteitsnormen worden nageleefd. Inefficiënte, slordige of zelfs kwaadaardige code kan ongemerkt binnensluipen.

Zoveel gebreken, maar het is onwaarschijnlijk dat kopers het opmerken. Velen zien IoT-apparaten door de lens van het bedrijfsleven - een middel om een ​​strategisch doel te bereiken, zoals verbeterde productie-efficiëntie. De ironie is dat hoewel IoT-apparaten geavanceerd genoeg zijn om tegen hun eigenaren te worden gebruikt, ze vaak niet als geavanceerd genoeg worden beschouwd om tegen aanvallen te worden beschermd.

De ogen van de wereld zijn op uw code gericht

Er komen fouten in bedrijfseigen, interne code voor, maar alleen de ontwikkelaars die zijn gecontracteerd om de code te schrijven, mogen hiervan ooit op de hoogte zijn. De broncode zou privé zijn en ontoegankelijk voor nieuwsgierige blikken. Maar net zoals open source gemakkelijk toegankelijk is voor bedrijven, is het voor iedereen hetzelfde. Code is mogelijk door veel ontwikkelaars en mogelijk hackers bekeken voordat deze is opgenomen in de codebase waarvan een IoT-apparaat afhankelijk is.

De Amerikaanse winkelketen Target werd in 2013 voor een bedrag van 220 miljoen dollar (€ 194 miljoen) het slachtoffer van diefstal van creditcardgegevens, toen aanvallers een zwak punt ontdekten in het klimaatbeheersingssysteem dat de keten gebruikte.

Referenties werden gestolen van de leverancier van het klimaatbeheersingssysteem en waren ongewijzigd bij implementatie bij Target, waardoor elk geïnstalleerd systeem volledig kwetsbaar was.

Controleer jezelf voordat je jezelf kapot maakt

Hoewel kwetsbaarheden nooit volledig teniet kunnen worden gedaan, kan de kans worden verkleind door drie belangrijke stappen:

De essentiële eerste stap is dat een fabrikant begrijpt wat er in de IoT-software zit die ze leveren. Open source kan, mits zorgvuldig gebruikt, zeer nuttig zijn. Om alle betrokkenen, van de makers tot de eindgebruikers, te beschermen, moet de herkomst van de code die in gebruik wordt genomen echter worden getraceerd tot aan de oorsprong en moet worden verwezen naar bekende kwetsbaarheden.

Echte zorg en zoveel mogelijk tijd moeten worden genomen. Eenmaal gefabriceerd, is het onwaarschijnlijk dat eventuele problemen die achteraf worden ontdekt, zullen worden verholpen, zoals gebeurde in het geval van Target, waar systemen relatief gemakkelijk toegankelijk waren. Hoewel producenten van IoT-apparaten graag voor concurrenten willen sprinten, moeten ze zich ervan bewust zijn dat eventuele problemen zeer lang kunnen bestaan.

De software moet end-to-end worden geanalyseerd, omdat de code op het apparaat niet meer op zichzelf staat. Na het scannen moeten bedrijven direct aan de slag. Pak alle gemarkeerde kwetsbaarheden aan en versterk de transacties met een lage veerkracht. Het doel zou moeten zijn om zoveel mogelijk van de technische schuld van de code af te werken, een robuust systeem te creëren dat de tand des tijds zal doorstaan ​​en de toekomstige eigenaren zal beschermen.

Onthoud dat de kantoren van de leverancier van klimaatbeheersingssystemen van Target uiteindelijk werden bezocht door de Amerikaanse geheime dienst en dat het bedrijf nog steeds deel uitmaakt van een lopend onderzoek dat hen $ 18,5 miljoen (€ 16,3 miljoen) heeft gekost. Dat zou niemand anders moeten overkomen en het kan worden vermeden.

De auteur van deze blog is Lev Lesokhin, EVP van Strategy &Analytics bij CAST.