Niet alleen eindpuntdevices zoals servers, pc’s, tablets en telefoons, zijn te hacken. Ook apparatuur als routers en draadloze access points zijn interessante doelen voor aanvallers. Een recent voorbeeld is een kwetsbaarheid in de routers van bekende leveranciers als D-Link, ZTE en TP-Link.
Softwarekwetsbaarheden zijn overal. We zijn inmiddels wel gewend aan een fout in Windows, Adobe Flags, Linux of iOS, waardoor een slimme hacker toegang kan krijgen tot een netwerk of individueel device. En dan hebben we het nog niet over hardware. We beschouwen hardware meestal als iets dat alleen kwetsbaar is voor een mechanische storing door bijvoorbeeld slijtage of een schade. Maar dan vergeten we dat er nog een component aanwezig is tussen hardware en software: de firmware.
Firmware is ook gewoon software, maar in tegenstelling tot besturingssystemen en applicaties heel nauw verbonden met de hardware. Ook firmware bestaat uit een set van instructies om een systeem te besturen. Het belangrijkste verschil met andere software is dat firmware zich niet zomaar laat verwijderen. Moderne versies zijn echter wel te wijzigen of te upgraden.
Vroeger vond je firmware terug in het read only memory (rom) waardoor het niet aan te passen was. Nu is het gebruikelijk om firmware-instructies in het eeprom (electronically eraseable programmable read only memory) te plaatsen. Ondanks de term ‘read only’ in eeprom is code nu dus wel te verwijderen of te herschrijven. Ook firmwarecode kan kwetsbaar zijn, zo is gebleken.
Een voorbeeld is Zynos, dat terug te vinden is in veel routers voor consumenten en kleine bedrijven. Deze routers zijn via het internet te configureren met een webbrowser. In januari 2015 ontdekte beveiligingsexpert Todor Donev een kwetsbaarheid in Zynos. Daardoor is een router over te nemen en kan een hacker de domain name system (dns)-serverinstellingen aanpassen en zo het verkeer aftappen. Hij heeft daar niet eens de admin-gegevens voor nodig. Bovendien is het mogelijk om met behulp van cross-site request forgery (csrf) toegang tot een router te krijgen als deze al beperkte toegang biedt tot het lokale netwerk. Daarvoor moet een gebruiker wel eerst een website met malware hebben bezocht. Via een zogenoemde ‘drive-by download’ is een router dan te infecteren.
D-Link heeft in het verleden meer dan eens patches uitgebracht voor zijn routers. De bovenbeschreven kwetsbaarheid is een zero day-kwetsbaarheid die volgens Donev in de praktijk werkt op een D-Link DSL-2740R-router. Maar ook andere devices met Zynos zijn kwetsbaar. Als je die firmware gebruikt, is het dus verstandig om goed op te letten en gebruik te maken van veiligheidsscanners voor patchbeheer van firmware. Repareer kwetsbaarheden en zorg ervoor dat je netwerk tijdig is voorzien van de laatste patches van zowel Microsoft als derde partij software.
Gijs Schuilingh, partner manager Benelux GFI
OSS is inderdaad verifieerbaar, maar niet voor de gemiddelde gebruiker. Het is in dat geval zaak te kiezen voor OSS waar veel ontwikkelactiviteit op is, zodat eventuele security gaten sneller worden ontdekt en gedicht.