• Home

  • Documents

  • Internet of Things vereist Bart Stofb erg Admin of Things · 2014-11-19 · Internet of Things...
1
11 16 oktober 2014 ICT-BREED Internet of Things vereist Admin of Things door: Jasper Bakker Het Internet of Things bevindt zich op het hoogtepunt van de Hype Cycle van onderzoeksbureau Gartner. Volgens de loop van deze cyclus stevenen we nu de harde relativering af. Bijvoorbeeld vanwege gebrek aan beheer. Meer dan ooit tevoren zijn pc’s, smart- phones en tablets met elkaar verbonden via apparaten als routers, modembanken, load balancers, switches enzovoort. Al- lemaal apparaten die beheer behoeven voor ingebruikname, configuratie, controle, securityscans, updates en fixes en uit- eindelijk voor uitfasering en vervanging. Het lijkt wel of dit door de populariteit van IoT over het hoofd wordt gezien. Terwijl deze apparaten toch ook hun instellingen, eigenaardigheden, kwets- baarheden en dus ook onderhoudsnood- zaak hebben. Dat is in de praktijk al meermaals gebleken, zoals laatst nog met de wereldwijde uitval van Belkin-routers door een configuratiefout van de fabrikant. Kwetsbare printers Naar verwachting zal het niet bij inci- denten blijven, want de mogelijkheden voor ‘issues’ blijven toenemen. Zo heeſt Samsung onlangs zijn eerste multifunc- tional-printers (MFP’s) met Android aangekondigd, met de slogan‘Smartify your business’. De Zuid-Koreaanse leverancier zal vast serieus naar security hebben gekeken, maar is daarbij toch afhankelijk van Google en de andere Android-partners. Ondertussen hebben hackers wereldwijd interesse in Android om daar, met succes, gaten in te vinden. Rooten en jailbreaken van Android is een populaire sport. De hackersgemeenschap rond dat platform heeſt een andere omvang dan die rond printapparaten met meer obscure pro- grammatuur, zoals de HP LaserJets de Canon Pixma-machines. Voor eerst- genoemde is eind 2011 malafide firmware ontwikkeld die digitale documenten kan onderscheppen en via het netwerk wegsluizen. Bij laatstgenoemde wisten hackers afgelopen september de printer- firmware te vervangen door de gamecode van de klassieke DOS-game Doom. Firmware-updates Net als de LaserJet-kaping kon de Pixma- hack worden gepleegd dankzij zwakke beveiliging van de apparaten. Beheerders begrijpen geleidelijk aan dat de MFP’s in hun netwerk ook onderhouden moeten worden. Daarvoor moeten ze soms wel wachten op de fabrikanten die dan firmware-updates moeten maken en uitbrengen, mits de machine uiteraard nog wordt ondersteund. Producten bedoeld voor de zakelijke markt, zoals HP Laser- Jets, zijn vaak wel voorzien van duidelijk aangegeven periodes waarin onder- steuning wordt geboden. Dat geldt even- wel niet voor alle apparaten. Bovendien moet de beheerder op de hoogte zijn van eventuele kwetsbaarheden en patches daarvoor. Heel anders is het voor de apparaten die momenteel het IoT vormen, zoals smart- tv’s, NAS-systemen (network attached storage), digitale tv-decoders, satelliet- ontvangers, VoIP-internetrouters en andere alledaagse elektronica. Het wordt zor- gelijk wanneer deze apparaten in gebruik zijn op plekken waar weinig of geen it- beheer is – zoals in het MKB. Uit recent onderzoek door securityleverancier Kaspersky blijkt dat MKB-ondernemers zich ‘enigszins bewust zijn’ van dit gebrek. Ander onderzoek door Kaspersky wijst uit dat vooral kleine apparaten – die als simpel worden beschouwd – aan het oog van de beheerder ontsnappen. Jezelf hacken Senior securityspecialist bij Kaspersky, David Jacoby, hackte de connected devices in zijn eigen huis. Voordat hij daaraan begon, liep hij eerst alles na en instal- leerde hij updates. Dat bleek al een avontuur op zich te zijn. Jacoby ontdekte dat de meeste apparaten niet uit zichzelf, laat staan automatisch, op updates voor hun firmware controleerden. Vervolgens re- sulteerde het zoeken naar updates op de websites van fabrikanten ook in een stevige speurtocht. Enkele apparaten waren door de fabrikant ‘discontinued’, sommige al na een jaar.Vervolgens gedroeg Jacoby zich als een realistische aanvaller. Hij heeſt de rol van buitenstaander aan- genomen en dus niet zijn bestaande inlogrechten benut. Deze beperking heeſt hem niet lang tegengehouden. Zijn twee NAS-apparaten waren met hun Linux-installatie, webserver, beheersoſt- ware en andere draaiende services een vette prooi. Jacoby wist op die opslag- systemen diepgaande toegang te krijgen, voorbij de beheeromgeving, zodat zelfs een eventuele reset van het apparaat hem niet zou buitensluiten. Daarna ontdekte hij verborgen functies zoals een default beheer-login op zijn satellietontvanger, waarbij het beheeraccount ook gelijk root-rechten gaf op de gebruikte Linux- installatie. Eigen applicaties, services of firmware installeren, kan dus een peulenschil zijn. Jacoby zelf was flink verrast over de kwetsbaarheden in het IoT zoals dat nu al in ons connected leven bestaat. En hij is lang niet de enige security-onderzoeker die smart appliances en embedded devices kritisch aan de tand voelt. Beveiligingsbedrijven groot en klein, universiteiten, it-leveranciers en andere hackers storten zich op deze ontluikende en kwetsbare markt. Oude lessen De verrassing over de gebrekkige staat van beveiliging is des te groter, omdat het grotendeels om oude bekende kwets- baarheden gaat. Het lijkt erop dat we beveiligingslessen van toen weer opnieuw moeten leren. Dank maar aan het grote Heartbleed-lek, dat een flinke nasleep heeſt voor embedded devices en thuis- routers. Idem dito voor de Shellshock-bug, die naast serieuze servers ook kleine apparaten met het alomtegenwoordige Linux raakt. Kortom, het Internet of ings heeſt een Admin of ings nodig. Column Zeker en vast Een onderneming is een organisatie die doelen bereikt en geld verdient (in die volgorde!) door (verantwoord) risico te nemen. Ondernemersrisico heet dat dan ook. Vanaf de jaren 80 hebben we een periode met ongekende voorspoed gekend. Het ging zo goed dat we die doelen al bereikten en dat geld al verdienden als we juist risico’s vermeden. De laatste tien jaar hebben we het moeilijker en daar worden we onzeker van. Er zijn gewoon teveel bedreigingen. En dus gaan we op zoek naar zekerheid. Letterlijk om ons te zekeren. We maken zoveel mogelijk vast, met processen, met contracten, met KPI’s, met soſtware en met nog veel meer. Zoveel mogelijk vastigheid en alles onder controle, voor de zekerheid. Het probleem is alleen dat de wereld ingrijpend is veranderd. Nieuwe concurrenten melden zich op de markt die bereid zijn om veel meer risico’s te nemen dan wij. Markten veranderen ingrijpend en plotseling. Ze stellen ineens hele andere eisen aan (onder andere) producten, diensten en distributie. Ondernemingen moeten tegenwoordig ongelofelijk wendbaar en innovatief zijn. En daar staan we dan met al onze zekering, verankering en zekerheid. Zeker en vast. Niet in staat om adequaat te reageren. De Formule 1 coureur Mario Andretti zei ooit: “Als je alles onder controle hebt, ga je niet hard genoeg”. In het verlengde daarvan zou ik willen zeggen: Als je alles gezekerd hebt, ben je niet wendbaar genoeg. Dat wil niet zeggen dat het onverstandig is om ergens voor zekerheid te kiezen. Maar je moet je steeds goed realiseren wat die zekerheid je allemaal kost in termen van wendbaarheid en innovatie. Elk dilemma heeſt twee kanten: een bedreigingenkant en een kansenkant. Zekerheid en veiligheid weerstaan bedreigingen. De wereld om ons heen is onvoorspelbaar en dus eng. We willen veiligheid en zekerheid en we mikken dus ook op veiligheid en zekerheid. Wij van IT doen daar nog een schepje bovenop. Elke keus die we maken heeſt een bedreigingenkant en een kansenkant. Die kansenkant, die is van de business, daar bemoeien we ons niet mee. Dat is geen aparte discipline binnen IT. Maar die bedreigingenkant, ha, daar kunnen we bij helpen. Security! Veiligheid en zekerheid. En we beschrijven precies welke zekerheid je dan allemaal hebt. Maar niet wat je dan allemaal kwijtraakt aan wendbaarheid bijvoorbeeld. Wel de voordelen, niet de nadelen. Geen moeilijke keus voor de business! Maar daarmee zetten we onze onderneming op achterstand ten opzichte van con- currenten die wel risico’s durven te nemen. Als we willen overleven, als we succes willen hebben, dan moeten we ook naar die andere kant kijken. Als we de onderneming willen helpen, dan moet er naast het defensieve security ook een offensief kansen benutten worden ingericht. IT-organisaties die wel aan security doen, maar niet aan kansen benutten, maken de onderneming star. Dat is het allergrootste risico. Wat vindt security daar eigenlijk van? Bart Stofberg is organisatieveranderaar bij Quint Wellington Redwood. Bart Stoerg www.ictmagazine.nl

Internet of Things vereist Bart Stofb erg Admin of Things · 2014-11-19 · Internet of Things vereist Admin of Things door: Jasper Bakker Het Internet of Things bevindt zich op het

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Internet of Things vereist Bart Stofb erg Admin of Things · 2014-11-19 · Internet of Things vereist Admin of Things door: Jasper Bakker Het Internet of Things bevindt zich op het

1116 oktober 2014

ICT-BREED

Internet of Things vereist Admin of Things

door: Jasper Bakker

Het Internet of Things bevindt zich op het hoogtepunt van de Hype Cycle van onderzoeksbureau Gartner. Volgens de loop van deze cyclus stevenen we nu de harde relativering af. Bijvoorbeeld vanwege gebrek aan beheer.

Meer dan ooit tevoren zijn pc’s, smart-phones en tablets met elkaar verbonden via apparaten als routers, modembanken, load balancers, switches enzovoort. Al-lemaal apparaten die beheer behoeven voor ingebruikname, confi guratie, controle, securityscans, updates en fi xes en uit-eindelijk voor uitfasering en vervanging. Het lijkt wel of dit door de populariteit van IoT over het hoofd wordt gezien. Terwijl deze apparaten toch ook hun instellingen, eigenaardigheden, kwets-baarheden en dus ook onderhoudsnood-zaak hebben. Dat is in de praktijk al meermaals gebleken, zoals laatst nog met de wereldwijde uitval van Belkin-routers door een confi guratiefout van de fabrikant.

Kwetsbare printersNaar verwachting zal het niet bij inci-denten blijven, want de mogelijkheden voor ‘issues’ blijven toenemen. Zo heeft Samsung onlangs zijn eerste multifunc-tional-printers (MFP’s) met Android aangekondigd, met de slogan ‘Smartify your business’. De Zuid-Koreaanse leverancier zal vast serieus naar security hebben gekeken, maar is daarbij toch afhankelijk van Google en de andere Android-partners. Ondertussen hebben hackers wereldwijd interesse in Android om daar, met succes, gaten in te vinden. Rooten en jailbreaken van Android is een populaire sport. De hackersgemeenschap rond dat platform heeft een andere omvang dan die rond printapparaten met meer obscure pro-grammatuur, zoals de HP LaserJets de Canon Pixma-machines. Voor eerst-genoemde is eind 2011 malafi de fi rmware ontwikkeld die digitale documenten kan onderscheppen en via het netwerk wegsluizen. Bij laatstgenoemde wisten hackers afgelopen september de printer-fi rmware te vervangen door de gamecode van de klassieke DOS-game Doom.

Firmware-updatesNet als de LaserJet-kaping kon de Pixma-hack worden gepleegd dankzij zwakke

beveiliging van de apparaten. Beheerders begrijpen geleidelijk aan dat de MFP’s in hun netwerk ook onderhouden moeten worden. Daarvoor moeten ze soms wel wachten op de fabrikanten die dan fi rmware-updates moeten maken en uitbrengen, mits de machine uiteraard nog wordt ondersteund. Producten bedoeld voor de zakelijke markt, zoals HP Laser-Jets, zijn vaak wel voorzien van duidelijk aangegeven periodes waarin onder-steuning wordt geboden. Dat geldt even-wel niet voor alle apparaten. Bovendien moet de beheerder op de hoogte zijn van eventuele kwetsbaarheden en patches daarvoor.Heel anders is het voor de apparaten die momenteel het IoT vormen, zoals smart-tv’s, NAS-systemen (network attached storage), digitale tv-decoders, satelliet-ontvangers, VoIP-internetrouters en andere alledaagse elektronica. Het wordt zor-gelijk wanneer deze apparaten in gebruik zijn op plekken waar weinig of geen it-beheer is – zoals in het MKB. Uit recent onderzoek door securityleverancier Kaspersky blijkt dat MKB-ondernemers zich ‘enigszins bewust zijn’ van dit gebrek. Ander onderzoek door Kaspersky wijst uit dat vooral kleine apparaten – die als simpel worden beschouwd – aan het oog van de beheerder ontsnappen.

Jezelf hackenSenior securityspecialist bij Kaspersky, David Jacoby, hackte de connected devices in zijn eigen huis. Voordat hij daaraan begon, liep hij eerst alles na en instal-leerde hij updates. Dat bleek al een avontuur op zich te zijn. Jacoby ontdekte dat de meeste apparaten niet uit zichzelf, laat staan automatisch, op updates voor hun fi rmware controleerden. Vervolgens re-sulteerde het zoeken naar updates op de websites van fabrikanten ook in een stevige speurtocht. Enkele apparaten waren door de fabrikant ‘discontinued’, sommige al na een jaar. Vervolgens gedroeg Jacoby zich als een realistische aanvaller.

Hij heeft de rol van buitenstaander aan-genomen en dus niet zijn bestaande inlogrechten benut. Deze beperking heeft hem niet lang tegengehouden. Zijn twee NAS-apparaten waren met hun Linux-installatie, webserver, beheersoft -ware en andere draaiende services een vette prooi. Jacoby wist op die opslag-systemen diepgaande toegang te krijgen, voorbij de beheeromgeving, zodat zelfs een eventuele reset van het apparaat hem niet zou buitensluiten. Daarna ontdekte hij verborgen functies zoals een default beheer-login op zijn satellietontvanger, waarbij het beheeraccount ook gelijk root-rechten gaf op de gebruikte Linux-installatie. Eigen applicaties, services of fi rmware installeren, kan dus een peulenschil zijn.

Jacoby zelf was fl ink verrast over de kwetsbaarheden in het IoT zoals dat nu al in ons connected leven bestaat. En hij is lang niet de enige security-onderzoeker die smart appliances en embedded devices kritisch aan de tand voelt. Beveiligingsbedrijven groot en klein, universiteiten, it-leveranciers en andere hackers storten zich op deze ontluikende en kwetsbare markt.

Oude lessenDe verrassing over de gebrekkige staat van beveiliging is des te groter, omdat het grotendeels om oude bekende kwets-baarheden gaat. Het lijkt erop dat we beveiligingslessen van toen weer opnieuw moeten leren. Dank maar aan het grote Heartbleed-lek, dat een fl inke nasleep heeft voor embedded devices en thuis-routers. Idem dito voor de Shellshock-bug, die naast serieuze servers ook kleine apparaten met het alomtegenwoordige Linux raakt. Kortom, het Internet of Th ings heeft een Admin of Th ings nodig.

Column

Zeker en vast Een onderneming is een organisatie die doelen bereikt en geld verdient (in die volgorde!) door (verantwoord) risico te nemen. Ondernemersrisico heet dat dan ook. Vanaf de jaren 80 hebben we een periode met ongekende voorspoed gekend. Het ging zo goed dat we die doelen al bereikten en dat geld al verdienden als we juist risico’s vermeden. De laatste tien jaar hebben we het moeilijker en daar worden we onzeker van. Er zijn gewoon teveel bedreigingen.

En dus gaan we op zoek naar zekerheid. Letterlijk om ons te zekeren. We maken zoveel mogelijk vast, met processen, met contracten, met KPI’s, met soft ware en met nog veel meer. Zoveel mogelijk vastigheid en alles onder controle, voor de zekerheid.

Het probleem is alleen dat de wereld ingrijpend is veranderd. Nieuwe concurrenten melden zich op de markt die bereid zijn om veel meer risico’s te nemen dan wij. Markten veranderen ingrijpend en plotseling. Ze stellen ineens hele andere eisen aan (onder andere) producten, diensten en distributie. Ondernemingen moeten tegenwoordig ongelofelijk wendbaar en innovatief zijn. En daar staan we dan met al onze zekering, verankering en zekerheid. Zeker en vast. Niet in staat om adequaat te reageren.

De Formule 1 coureur Mario Andretti zei ooit: “Als je alles onder controle hebt, ga je niet hard genoeg”. In het verlengde daarvan zou ik willen zeggen: Als je alles gezekerd hebt, ben je niet wendbaar genoeg. Dat wil niet zeggen dat het onverstandig is om ergens voor zekerheid te kiezen. Maar je moet je steeds goed realiseren wat die zekerheid je allemaal kost in termen van wendbaarheid en innovatie.

Elk dilemma heeft twee kanten: een bedreigingenkant en een kansenkant. Zekerheid en veiligheid weerstaan bedreigingen. De wereld om ons heen is onvoorspelbaar en dus eng. We willen veiligheid en zekerheid en we mikken dus ook op veiligheid en zekerheid.

Wij van IT doen daar nog een schepje bovenop. Elke keus die we maken heeft een bedreigingenkant en een kansenkant. Die kansenkant, die is van de business, daar bemoeien we ons niet mee. Dat is geen aparte discipline binnen IT. Maar die bedreigingenkant, ha, daar kunnen we bij helpen. Security! Veiligheid en zekerheid. En we beschrijven precies welke zekerheid je dan allemaal hebt. Maar niet wat je dan allemaal kwijtraakt aan wendbaarheid bijvoorbeeld. Wel de voordelen, niet de nadelen. Geen moeilijke keus voor de business!

Maar daarmee zetten we onze onderneming op achterstand ten opzichte van con-currenten die wel risico’s durven te nemen. Als we willen overleven, als we succes willen hebben, dan moeten we ook naar die andere kant kijken. Als we de onderneming willen helpen, dan moet er naast het defensieve security ook een off ensief kansen benutten worden ingericht. IT-organisaties die wel aan security doen, maar niet aan kansen benutten, maken de onderneming star. Dat is het allergrootste risico. Wat vindt security daar eigenlijk van? ■ Bart Stofberg is organisatieveranderaar bij Quint Wellington Redwood.

Bart Stofb erg

www.ictmagazine.nl

Tugas pti.internet of things

Tugas pti.internet of things

Design
Internet of things

Internet of things

Internet
PTI Internet of Things

PTI Internet of Things

Presentations & Public Speaking
Forecast:Internet of Things 2025

Forecast:Internet of Things 2025

Technology
HOTEL of THINGS

HOTEL of THINGS

Documents
Internet Of Things Security

Internet Of Things Security

Technology
Pengertian internet of things

Pengertian internet of things

Documents
abnormal Internet of Things

abnormal Internet of Things

Engineering
Internet of Things Internet der Dinge Ungeahnte Möglichkeiten · Internet of Things – Internet der Dinge Ungeahnte Möglichkeiten Fast Track Internet of Things Promotion Stand:

Internet of Things Internet der Dinge Ungeahnte Möglichkeiten · Internet of Things – Internet der Dinge Ungeahnte Möglichkeiten Fast Track Internet of Things Promotion Stand:

Documents
Internet of things (iot)

Internet of things (iot)

Internet
Web of things introduction

Web of things introduction

Software
Tugas internet of things

Tugas internet of things

Education
City of Things slimmestad

City of Things slimmestad

Government & Nonprofit
Hacking Internet of Things

Hacking Internet of Things

Technology
The internet of things

The internet of things

Internet
Internet of Things (IoT) dan tantangankedepan · Internet of things • Things mean sensors, devices, machines, etcjust like human! Definisiformal IOT • The Internet of things (IoT)

Internet of Things (IoT) dan tantangankedepan · Internet of things • Things mean sensors, devices, machines, etcjust like human! Definisiformal IOT • The Internet of things (IoT)

Documents
Internet of things

Internet of things

Education
경영과정보기술 Internet of Things

경영과정보기술 Internet of Things

Technology