Niet alleen eindpuntdevices zoals servers, pc’s, tablets en telefoons, zijn te hacken. Ook apparatuur als routers en draadloze access points zijn interessante doelen voor aanvallers. Een recent voorbeeld is een kwetsbaarheid in de routers van bekende leveranciers als D-Link, ZTE en TP-Link.
Softwarekwetsbaarheden zijn overal. We zijn inmiddels wel gewend aan een fout in Windows, Adobe Flags, Linux of iOS, waardoor een slimme hacker toegang kan krijgen tot een netwerk of individueel device. En dan hebben we het nog niet over hardware. We beschouwen hardware meestal als iets dat alleen kwetsbaar is voor een mechanische storing door bijvoorbeeld slijtage of een schade. Maar dan vergeten we dat er nog een component aanwezig is tussen hardware en software: de firmware.
Firmware is ook gewoon software, maar in tegenstelling tot besturingssystemen en applicaties heel nauw verbonden met de hardware. Ook firmware bestaat uit een set van instructies om een systeem te besturen. Het belangrijkste verschil met andere software is dat firmware zich niet zomaar laat verwijderen. Moderne versies zijn echter wel te wijzigen of te upgraden.
Vroeger vond je firmware terug in het read only memory (rom) waardoor het niet aan te passen was. Nu is het gebruikelijk om firmware-instructies in het eeprom (electronically eraseable programmable read only memory) te plaatsen. Ondanks de term ‘read only’ in eeprom is code nu dus wel te verwijderen of te herschrijven. Ook firmwarecode kan kwetsbaar zijn, zo is gebleken.
Een voorbeeld is Zynos, dat terug te vinden is in veel routers voor consumenten en kleine bedrijven. Deze routers zijn via het internet te configureren met een webbrowser. In januari 2015 ontdekte beveiligingsexpert Todor Donev een kwetsbaarheid in Zynos. Daardoor is een router over te nemen en kan een hacker de domain name system (dns)-serverinstellingen aanpassen en zo het verkeer aftappen. Hij heeft daar niet eens de admin-gegevens voor nodig. Bovendien is het mogelijk om met behulp van cross-site request forgery (csrf) toegang tot een router te krijgen als deze al beperkte toegang biedt tot het lokale netwerk. Daarvoor moet een gebruiker wel eerst een website met malware hebben bezocht. Via een zogenoemde ‘drive-by download’ is een router dan te infecteren.
D-Link heeft in het verleden meer dan eens patches uitgebracht voor zijn routers. De bovenbeschreven kwetsbaarheid is een zero day-kwetsbaarheid die volgens Donev in de praktijk werkt op een D-Link DSL-2740R-router. Maar ook andere devices met Zynos zijn kwetsbaar. Als je die firmware gebruikt, is het dus verstandig om goed op te letten en gebruik te maken van veiligheidsscanners voor patchbeheer van firmware. Repareer kwetsbaarheden en zorg ervoor dat je netwerk tijdig is voorzien van de laatste patches van zowel Microsoft als derde partij software.
Gijs Schuilingh, partner manager Benelux GFI
Aanvallen op microcode zijn inderdaad zorgelijk, demonstratie daarvan betreffende UEFI BIOS laat zien dat (Unified) Extensible Firmware Interface eerder onveiliger dan veiliger is. Nu maakten console crackers al langer gebruik van ‘rootkit’ mogelijkheden om zodoende buiten de beoogde inzet van gebruik om te gaan.
Betreffende patch management aangaande firmware kan ik kort zijn, dat is er dus niet.
Reden daarvoor is even simpel als logisch wanneer we kijken naar het configuratie management, nog geen 1% van de organisaties administreert de versies van alle microcode.
Flags == Flash
Gewoon weer terug naar ROM dus. En als de firmware geupgraded moet worden moet je de nieuwe ROMs bestellen en kan je ze pas na een paar weken inbouwen.
Wanneer we naar de fabrieksinstellingen kijken waarmee routers uitgeleverd worden, dan reizen de haren je te berge. Sinds 2 jaar komt er ietsje verbetering in, vroeger liep je zo naar binnen vanwege de standaard adminkode.
Klaarblijkelijk interesseert de fabrikanten dit weinig. Ook als er een mogelijkheid tot firmware-update is dan vindt je er hooguit 1 in de 1 a 2 jaar, men vindt het niet belangrijk.
Inmiddels heeft Avast (antivirus) een mogelijkheid om de router op al te grove fouten te kontroleren.
Ik laat mijn Netgear router minimaal eenmaal per maand zoeken naar updates. In de ruim drie jaar die ik hem heb, is er slechts één update geweest. Ik heb dan eerder het gevoel dat er geen updates uitgebracht worden dan dat de router zonder lekken is….
Ewout corigeer me als ik je verkeerd begrijp, maar Firmware en MicroCode zijn twee totaal verschillende zaken waarbij geld dat MicroCode indien al mogelijk slechts via een omweg te bereiken valt.
Denk daarbij bv aan de instructieset van een MicroProcessor.
Firmware daarintegen kan vaak relatief gemakkelijk worden gewijzigd… denk bv aan een bios update.
Aldus verwacht ik niet snel een aanval op MicroCode terwijl corruptie van Firmware heel wel te doen is.
@Pascal
Zonder een semantische discussie in te gaan, de PEEK en POKE instructies kunnen ook vanuit een EEPROM afkomstig zijn:
http://legbacore.com/Research_files/HowManyMillionBIOSWouldYouLikeToInfect_Full2.pdf
Als randapparatuur goedkoop, gemakkelijk, toegankelijk en flexibel moeten zijn, dan komt de veiligheid al gauw in het gedrang. Het veelvuldig hacken van Wifi-routers of verbindingen is daarvan een gevolg. IP camera’s zijn meestal ook zwak beveiligd. Er zijn zelfs banken overvallen gepleegd nadat de overvallers eerst de beveiligingscamera’s hadden gekraakt om de bank te verkennen. Onze OV-chipkaart en veel toegangspassen blijken alweer een nieuw lek te hebben. En patch management van firmware bij goedkope randapparatuur is helaas niet altijd (lang) mogelijk.
Maar het is niet alleen de schuld van de nalatige producenten. Een leverancier die de standaard instellingen met admin wachtwoord, SSID en dergelijke niet vervangt, die is net zo nalatig. Installeren is meer dan aansluiten.
Beheer is belangrijk. Hoe de meeste ISP’s met beheer van modem/routers omgaan, dat is een treurig verhaal. Patchen van firmware moet je ook wel kunnen. De markt wordt overspoeld door Cisco en Cisco-Linksys routers die niet meer werken doordat men de firmware geheel wilde vervangen en het herstel te veel geld kost.
Alles open-source maken is een alternatief, zie bijvoorbeeld fsf.org/news/libreboot-x200-laptop-now-fsf-certified-to-respect-your-freedom
Alle device drivers en BIOS zijn ook open-source.
@Q, Ik ben al zo’n vijfentwintig jaar OSS aanhanger (ja nog van voor de tijd dat het een hype was)
Ik kan je echter verzekeren dat ook daar een hoop bagger tussen zit !
OSS is transparant ja, maar niet heilig !
Ook hier geld gewoon dat vakmanschap en niet het zakenlijke model de kwaliteit bepaald.
@Pascal, 03-04-2015 10:17: Wanneer je zelf zo’n laptop gebruikt en toegang hebt tot alle gebruikte sources dan ben je in principe in staat om alles te verifieren.