De router is het Grand Central Station voor thuistechnologie. Het beheert de verbindingen tussen alle slimme apparaten in huis, van de computer in de studeerkamer en de tablet op de salontafel, tot de slimme thermostaat aan de muur en de op internet aangesloten babyfoon in de kinderkamer. Consumenten verwachten dat de route een snelweg met beperkte toegang is, waarbij de router gegevens veilig doorstuurt en ongeautoriseerde toegang blokkeert. Maar een FTC-klacht tegen technologiegigant ASUSTeK Computer, Inc. – de meeste mensen kennen het als ASUS – betwist het onvermogen van het bedrijf om routers en “cloud”-diensten te beschermen die aan consumenten op de markt worden gebracht als oneerlijk en bedrieglijk. De case biedt ook inzichten voor andere bedrijven die het Internet of Things betreden.
Hoe ASUS reclame maakte voor zijn producten. ASUS adverteerde dat zijn routers over talrijke beveiligingsfuncties beschikken die “computers kunnen beschermen tegen ongeoorloofde toegang, hacking en virusaanvallen” en “het lokale netwerk kunnen beschermen tegen hackeraanvallen”. Maar volgens de FTCASUS-routers zijn hun beloften niet nagekomen. Bovendien bevatten de routers van het bedrijf diensten genaamd AiCloud en AiDisk waarmee consumenten een USB-harde schijf op de router konden aansluiten om hun eigen ‘cloud’-opslag te creëren, toegankelijk vanaf elk apparaat: een soort centrale opslaghub voor het slimme huis. Terwijl ASUS deze diensten aanprees als een ‘privé persoonlijke cloud voor het selectief delen van bestanden’ en een manier om ‘uw waardevolle gegevens veilig te beschermen en te openen via uw router’, beweert de FTC dat ze allesbehalve veilig waren.
Waar ASUS de fout inging met zijn routers. Ondanks de cruciale rol van de router bij het beschermen van uw thuisnetwerk, zegt de FTC dat ASUS er niet in is geslaagd kritische stappen te ondernemen om de software op zijn routers te beschermen. Consumenten beheerden de router (inclusief beveiligingsfuncties) bijvoorbeeld via een webgebaseerde interface die we de beheerconsole zullen noemen. Maar door misbruik te maken van wijdverbreide beveiligingsbugs in de beheerdersconsole, konden hackers de beveiligingsinstellingen van de router wijzigen, zelfs de firewall van de router uitschakelen, openbare toegang tot ‘cloud’-opslag voor consumenten mogelijk maken of de router configureren om gebruikers om te leiden naar kwaadaardige websites. In feite deed een exploitcampagne die specifiek gericht was op talrijke ASUS-routermodellen precies dat, door kwetsbare routers opnieuw te configureren zodat hackers het webverkeer van consumenten konden volgen. Zoals de klacht beweert, bieden ASUS-routers hackers de mogelijkheid om er grote schade aan te richten, in plaats van de thuisnetwerken van consumenten te beschermen.
ASUS’ onveilige “cloud” -diensten. Zelfs de “cloud” -opslagdiensten van ASUS waren niet veilig. Volgens de FTC kon iedereen die het IP-adres van de router kende – een makkie voor een hacker – het inlogscherm van de AiCloud-service omzeilen en zonder inloggegevens toegang krijgen tot de opslagapparaten van consumenten, waardoor de bestanden van consumenten wijd open op internet achterbleven. AiDisk deed het niet veel beter. De FTC daagde die dienst uit omdat deze afhankelijk was van een onveilig protocol en een verwarrend installatieproces kende met onveilige standaardinstellingen. Wanneer consumenten de dienst bijvoorbeeld activeerden, kreeg iedereen op het internet standaard toegang tot alle bestanden op het opslagapparaat van de consument. Erger nog, de installatiewizard legde deze standaardinstellingen niet uit en maakte niet duidelijk wat er aan de hand was. Om nog maar te zwijgen van het feit dat als de consument probeert een beperkt account aan te maken, de service voor iedereen inloggegevens met dezelfde gebruikersnaam en zwak wachtwoord (Familie/Familie) heeft ingesteld. Al deze beveiligingsproblemen en ontwerpfouten vormden grote problemen voor consumenten.
ASUS’ vertraagde reactie en het onvermogen om consumenten op de hoogte te stellen. De FTC zegt dat ASUS veel problemen had kunnen voorkomen als het bekende en veilige softwareontwerp-, coderings- en testpraktijken had gevolgd. Bovendien hadden beveiligingsonderzoekers contact opgenomen met ASUS om waarschuwingen te geven, maar het duurde vaak maanden – en soms meer dan een jaar – voordat ASUS reageerde. Toen een onderzoeker bijvoorbeeld rapporteerde dat naar zijn schatting 25.000 consumenten AiDisk-opslagapparaten vrij toegankelijk hadden op internet, was ASUS de krekel. Sterker nog, het was pas na een oproep van een grote Europese retailer dat ASUS aandacht begon te besteden aan dat probleem. Tegen die tijd was het te laat.
Nog verontrustender, zo beweert de FTC, is dat toen ASUS de beveiligingspatches ontwikkelde, het er niet in slaagde de consumenten op de hoogte te stellen. De beheerdersconsole van de router had een tool waarmee mensen konden controleren of de router de nieuwste beschikbare firmware gebruikte (de software die in de router is ingebouwd). Maar zoals onderzoekers ASUS waarschuwden, werkte de updatetool niet zoals het zou moeten. Volgens de klacht is er meer dan een jaar verstreken en kregen consumenten nog steeds de melding dat “de huidige firmware van hun router de nieuwste versie is” terwijl er nieuwere firmware met kritische beveiligingsupdates beschikbaar was.
Duizenden routers zijn gecompromitteerd. Dit betekende dat ASUS-routers en “cloud”-diensten de thuisnetwerken en persoonlijke bestanden van consumenten overlieten aan de genade van hackers en identiteitsdieven. Je kunt raden wat er daarna gebeurde. Hackers gebruikten tools om de IP-adressen van duizenden kwetsbare ASUS-routers te lokaliseren en dit is waar het verhaal echt interessant wordt. Door kwetsbaarheden in AiCloud en ontwerpfouten in AiDisk te misbruiken, kregen ze ongeautoriseerde toegang tot de USB-opslagapparaten van duizenden consumenten. Maar ze kwamen en gingen niet in stilte. Ze lieten een tekstbestand achter op de apparaten met de tekst: “Dit is een automatisch bericht dat naar alle geïnteresseerde (sic) mensen wordt verzonden. Uw Asus-router (en uw documenten) zijn toegankelijk voor iedereen ter wereld met een internetverbinding.”
De beweringen van ASUS over beveiliging waren misschien bedrieglijk, maar één ding bleek waar: de waarschuwing van de hackers dat routers en consumentendocumenten voor iedereen ter wereld toegankelijk waren. Eén consument meldde bijvoorbeeld dat identiteitsdieven gevoelige informatie op zijn USB-opslagapparaat gebruikten, waaronder belastingaangiften en andere financiële gegevens, om ongeoorloofde kosten in rekening te brengen en verwarring over zijn identiteit te zaaien. Anderen klaagden dat een grote zoekmachine persoonlijke bestanden had geïndexeerd die waren blootgesteld door hun kwetsbare ASUS-routers, waardoor ze online doorzoekbaar waren.
De FTC-klacht. DE oorzaak De beweringen van ASUS dat het redelijke stappen heeft ondernomen om ervoor te zorgen dat zijn routers de lokale netwerken van consumenten beschermden tegen aanvallen, dat AiCloud en AiDisk veilige manieren waren voor mensen om toegang te krijgen tot gevoelige informatie en dat zijn firmware-updatetool accuraat was, zijn vals of misleidend. In de klacht wordt ook beweerd dat het onvermogen van ASUS om redelijke stappen te ondernemen om de software voor zijn routers te beschermen een oneerlijke praktijk was.
Hoe ASUS zal moeten veranderen. DE voorgestelde volgorde het omvat veiligheidsvoorzieningen die standaard zijn geworden in FTC-schikkingen, maar er is nog iets anders. Als er een software-update is of andere stappen die consumenten kunnen nemen om zichzelf in de toekomst tegen een beveiligingsfout te beschermen, moet ASUS hen hiervan op de hoogte stellen. Belangrijk is dat de overeenkomst duidelijk maakt dat het simpelweg plaatsen van een mededeling op de website niet voldoende is. (Wie bezoekt regelmatig de website van de routerfabrikant?) Bovendien vereist de voorgestelde bestelling dat ASUS consumenten een manier biedt om zich aan te melden voor het ontvangen van beveiligingswaarschuwingen via directe communicatie, zoals e-mail, sms-berichten of pushmeldingen. In het internet der dingen, waar consumenten vaak ‘het instellen en vergeten’, kunnen dit soort directe communicatie cruciale hulpmiddelen zijn om ervoor te zorgen dat consumenten de boodschap begrijpen. U kunt vóór 24 maart 2016 commentaar geven op de transactie.
Als het Internet of Things uw bedrijf intrigeert, biedt de koffer zes tips voor het onderhouden van doordachte verbindingen.
- Begin met veiligheid. Hoewel ASUS-routers last hadden van een aantal klassieke kwetsbaarheden, ging het probleem met AiDisk verder dan bugs of glitches. Volgens de klacht was het vanaf het begin onveilig vanwege zowel de keuze van het bedrijf voor een onveilig protocol als de verwarrende en onveilige gebruikersinterface. Ja, u wilt uw product zo snel mogelijk op de markt brengen, maar neem vanaf het begin de tijd om veilig te ontwerpen. Dit is een bijzonder belangrijke overweging in het internet der dingen, waar een onveilig productontwerp invloed kan hebben op meerdere verbonden apparaten.
- Ontwerp uw producten door de ogen van klanten. Als u een connected product voor thuisgebruik verkoopt, variëren uw klanten waarschijnlijk van beginner tot professional. Dus hoe kunnen ontwikkelaars communiceren met mensen aan beide uiteinden van het spectrum? Hier is een perspectief om te overwegen. Minder technisch onderlegde consumenten klagen vaak over producten die te ingewikkeld zijn. Maar heb je ooit een geavanceerde gebruiker horen klagen dat een interface te duidelijk of te simpel was?
- Maak het mensen gemakkelijk om vanaf het begin de veiligste optie te kiezen. Besteed bijzondere aandacht aan de beveiligingsimplicaties van standaardinstellingen en configuratieprocedures. Consumenten die ontmoedigd raken door een ingewikkeld doolhof van schermen kunnen hun apparaten verkeerd configureren of vasthouden aan kant-en-klare keuzes. Dit is de reden waarom het gevaarlijk is om de standaardinstellingen van het systeem in te stellen als ‘open’ of onveilig, zoals het geval is bij AiDisk. Het is geweldig om aanpasbare functies aan te bieden aan technische gebruikers, maar verstandige ontwikkelaars houden standaard rekening met de voordelen van beveiliging.
- Let op veiligheidswaarschuwingen. In verschillende recente gevallen heeft de FTC opgemerkt dat bedrijven er niet in zijn geslaagd geloofwaardige waarschuwingen te geven over mogelijke kwetsbaarheden van producten. Wanneer beveiligingsproblemen onder uw aandacht komen, is het het verstandigst om dit te onderzoeken en onmiddellijk contact op te nemen met klanten als de zorgen terecht blijken te zijn.
- Denk na over hoe u oplossingen aan consumenten gaat communiceren. Stel dat iemand een probleem identificeert en u een patch ontwerpt om het probleem op te lossen. Dit is een belangrijke eerste stap, maar het werk is nog niet af. Een beveiligingspatch is alleen effectief als klanten deze installeren. Vooruitstrevende ontwikkelaars creëren een ‘wat-als’-noodplan om de uitdagingen aan te gaan die gepaard gaan met het achteraf informeren van mensen.
- Leer lessen uit andere FTC-zaken. Volgens de FTC Begin met veiligheid publicatie bestaat er geen one-size-fits-all formule voor wat redelijk is. Maar elke klacht over gegevensbeveiliging biedt lessen over praktijken die onder bepaalde omstandigheden problemen kunnen veroorzaken. Punt 30 van de ASUS-klacht vat er tientallen samen, waaronder zwakke standaardaanmeldingsgegevens, het kiezen van onveilige protocollen terwijl er veiligere beschikbaar zijn, het overslaan van door de industrie geaccepteerde tests en het niet implementeren van goedkope bescherming tegen bekende kwetsbaarheden.
Op zoek naar meer tips? Licht Zorgvuldige verbindingen: veiligheid opbouwen in het internet der dingen.
