Vandaag op Tweakers.net een bericht dat ip-telefoons kwetsbaar zijn voor afluisteren en het plaatsen van malware.
De onderzoekers demonstreren de mogelijkheid om via fysieke, maar ook via logische toegang, malware te plaatsen op een ip-telefoon, deze keer een model 7900 van Cisco. In de demonstratie wordt duidelijk dat als een ip-telefoon bereikbaar is via het (inter) netwerk, dan is het dus ook te hacken. In de demonstratie is te zien dat de onderzoekers een worm van een ip-telefoon naar een andere ip-telefoon wordt verplaatst, hierdoor is het dus mogelijk om een heel netwerk van ip-telefoons te besmetten vanaf één ip-telefoon.
Volgens de onderzoekers zitten er kwetsbaarheden in de software (kernel) van de ip-telefoon, dit is Cisco's eigen Unix-distributie. Cisco heeft patches uitgebracht om slechts één specifieke exploit te blokkeren. Maar wie op een gepatcht toestel probeert om het beveiligingsprobleem te misbruiken, laat het apparaat crashen.
De crux zit hem volgens de hoogleraar die de studenten begeleidt in het feit dat meer en meer embedded devices, zoals telefoons en printers voorzien worden van de mogelijkheid om direct met een ip-netwerk (en het internet) verbonden te worden, waarbij ontwikkelaars van deze embedded devices voorbij gaan aan het simpele feit dat er dan ook beveiliging opgenomen moet worden in de ontwerpen van de embedded devices. Onlangs werd die ook al aangetoond bij KRO-reporter met betrekking tot (cloud) gekoppeld opslagtoepassingen en hulpmiddelen.
Ontwikkelaars van embedded devices vergeten maar al te vaak (meestal doordat de basale (beveiliging) kennis ontbreekt, maar vaak ook door de commerciële druk van een verkoopafdeling om maar vooral zo snel mogelijk het apparaat op de markt te kunnen zetten) dat het apparaat, mede door de mogelijkheid om het te koppelen aan een ip-netwerk, gezien moet worden als een 'volwaardige server of client' en dus ook de volwaardige set van beveiligingsmaatregelen standaard ingebouwd moet krijgen, waarbij de default instellingen op 'geblokkeerd' moeten staan. Een door de gebruiker uit te voeren handeling moet noodzakelijk zijn om services vrij te geven om direct te communiceren over een ip-netwerk en beveiliging van de apparaten moet standaard op 'ja' komen te staan. De embedded programmacode (software) moet nagekeken door middel van (externe) veiligheidstests om te zien of deze kwetsbaar is voor (onbekende) exploits en of er onnodige maintenance hooks, backdoors en trapdoors zijn geïnstalleerd of men vergeten is weg te halen. Als deze fouten in de programmacode achter blijven is de software al kwetsbaar voordat deze op de markt komt.
De conclusie van de onderzoekers is vergelijkbaar: "er is veel aandacht voor de beveiliging van servers, maar de end user devices zijn kwetsbaar. Daarnaast is er geen infrastructuur om beveiligings-updates uit te rollen, in tegenstelling tot Windows of OS X waarbij updates automatisch worden geïnstalleerd. Zoiets bestaat nog niet voor embedded devices".
Wie neemt het initiatief?
De onderzoekers demonstreren de mogelijkheid om via fysieke, maar ook via logische toegang, malware te plaatsen op een ip-telefoon, deze keer een model 7900 van Cisco. In de demonstratie wordt duidelijk dat als een ip-telefoon bereikbaar is via het (inter) netwerk, dan is het dus ook te hacken. In de demonstratie is te zien dat de onderzoekers een worm van een ip-telefoon naar een andere ip-telefoon wordt verplaatst, hierdoor is het dus mogelijk om een heel netwerk van ip-telefoons te besmetten vanaf één ip-telefoon.
Volgens de onderzoekers zitten er kwetsbaarheden in de software (kernel) van de ip-telefoon, dit is Cisco's eigen Unix-distributie. Cisco heeft patches uitgebracht om slechts één specifieke exploit te blokkeren. Maar wie op een gepatcht toestel probeert om het beveiligingsprobleem te misbruiken, laat het apparaat crashen.
De crux zit hem volgens de hoogleraar die de studenten begeleidt in het feit dat meer en meer embedded devices, zoals telefoons en printers voorzien worden van de mogelijkheid om direct met een ip-netwerk (en het internet) verbonden te worden, waarbij ontwikkelaars van deze embedded devices voorbij gaan aan het simpele feit dat er dan ook beveiliging opgenomen moet worden in de ontwerpen van de embedded devices. Onlangs werd die ook al aangetoond bij KRO-reporter met betrekking tot (cloud) gekoppeld opslagtoepassingen en hulpmiddelen.
Ontwikkelaars van embedded devices vergeten maar al te vaak (meestal doordat de basale (beveiliging) kennis ontbreekt, maar vaak ook door de commerciële druk van een verkoopafdeling om maar vooral zo snel mogelijk het apparaat op de markt te kunnen zetten) dat het apparaat, mede door de mogelijkheid om het te koppelen aan een ip-netwerk, gezien moet worden als een 'volwaardige server of client' en dus ook de volwaardige set van beveiligingsmaatregelen standaard ingebouwd moet krijgen, waarbij de default instellingen op 'geblokkeerd' moeten staan. Een door de gebruiker uit te voeren handeling moet noodzakelijk zijn om services vrij te geven om direct te communiceren over een ip-netwerk en beveiliging van de apparaten moet standaard op 'ja' komen te staan. De embedded programmacode (software) moet nagekeken door middel van (externe) veiligheidstests om te zien of deze kwetsbaar is voor (onbekende) exploits en of er onnodige maintenance hooks, backdoors en trapdoors zijn geïnstalleerd of men vergeten is weg te halen. Als deze fouten in de programmacode achter blijven is de software al kwetsbaar voordat deze op de markt komt.
De conclusie van de onderzoekers is vergelijkbaar: "er is veel aandacht voor de beveiliging van servers, maar de end user devices zijn kwetsbaar. Daarnaast is er geen infrastructuur om beveiligings-updates uit te rollen, in tegenstelling tot Windows of OS X waarbij updates automatisch worden geïnstalleerd. Zoiets bestaat nog niet voor embedded devices".
Wie neemt het initiatief?
