De router is het Grand Central Station van de thuistechnologie. Het regelt de verbindingen tussen alle slimme apparaten in huis, van de computer in de studeerkamer en de tablet op de salontafel, tot de slimme thermostaat aan de muur en de op internet aangesloten babyfoon in de kinderkamer. Consumenten verwachten dat de route een snelweg met beperkte toegang is, waarbij de router gegevens veilig doorstuurt en ongeautoriseerde toegang blokkeert. Maar een FTC-klacht tegen technologiegigant ASUSTeK Computer, Inc. – bij de meesten bekend als ASUS – betwisten als oneerlijk en misleidend het onvermogen van het bedrijf om de routers en ‘cloud’-diensten die het aan consumenten op de markt brengt, te beveiligen. De case biedt ook inzicht voor andere bedrijven die het Internet of Things betreden.
Hoe ASUS reclame maakte voor zijn producten. ASUS kondigde aan dat zijn routers verschillende beveiligingsfuncties hadden die “computers konden beschermen tegen ongeoorloofde toegang, hacking en virusaanvallen” en “(het) lokale netwerk konden beschermen tegen aanvallen door hackers.” Maar volgens de FTCASUS-routers hebben deze beloften niet waargemaakt. Bovendien omvatten de routers van het bedrijf diensten genaamd AiCloud en AiDisk waarmee consumenten een USB-harde schijf op de router konden aansluiten om hun eigen ‘cloud’-opslag te creëren, toegankelijk vanaf elk van hun apparaten – een soort centrale opslaghub voor het slimme huis. Terwijl ASUS deze diensten adverteerde als een ‘privé persoonlijke cloud voor het selectief delen van bestanden’ en een manier om ‘uw kostbare gegevens veilig te beveiligen en te benaderen via uw router’, beweert de FTC dat ze allesbehalve veilig waren.
Waar ASUS de fout inging met zijn routers. Ondanks de cruciale rol van de router bij het beschermen van het thuisnetwerk, zegt de FTC dat ASUS er niet in is geslaagd basisstappen te ondernemen om de software op zijn routers te beveiligen. Consumenten beheerden de router (inclusief deze beveiligingsfuncties) bijvoorbeeld via een webgebaseerde interface die we de beheerconsole noemen. Maar door misbruik te maken van wijdverbreide beveiligingsfouten in de beheerconsole, konden hackers de beveiligingsinstellingen van de router wijzigen – zelfs de firewall van de router uitschakelen, openbare toegang tot de ‘cloud’-opslag van de consument inschakelen of de router configureren om consumenten door te sturen naar kwaadaardige websites. In feite deed een exploitcampagne die specifiek gericht was op verschillende ASUS-routermodellen precies dat, door kwetsbare routers opnieuw te configureren zodat hackers het webverkeer van consumenten konden controleren. Zoals de klacht beweert, laten de routers van ASUS de thuisnetwerken van consumenten niet door hackers vernietigen.
ASUS’ onveilige “cloud” -diensten. De ‘cloud’-opslagdiensten van ASUS waren ook niet veilig. Volgens de FTC kon iedereen die het IP-adres van de router kende (een wandeling in het park voor een hacker) het inlogscherm van de AiCloud-service omzeilen en zonder inloggegevens toegang krijgen tot de opslagapparaten van consumenten, waardoor de bestanden van consumenten wijd open op internet achterbleven. AiDisk deed het niet veel beter. De FTC daagde deze dienst uit omdat deze vertrouwde op een onveilig protocol en een verwarrend installatieproces had met onveilige standaardinstellingen. Als consumenten de dienst bijvoorbeeld inschakelen, krijgt iedereen op internet standaard ongeautoriseerde toegang tot alle bestanden op het opslagapparaat van de consument. Erger nog, de installatiewizard legde deze standaardinstellingen niet uit en maakte niet duidelijk wat er aan de hand was. Om nog maar te zwijgen van het feit dat als de consument probeerde een beperkt account aan te maken, de service de inloggegevens voor iedereen standaard op dezelfde zwakke gebruikersnaam en hetzelfde wachtwoord (Familie/Familie) zette. Al deze beveiligingsproblemen en ontwerpfouten zorgden voor grote problemen voor de consument.
De vertraagde reactie van ASUS en het onvermogen om consumenten op de hoogte te stellen. De FTC zegt dat ASUS veel problemen had kunnen voorkomen als het bekende, veilige softwareontwerp-, coderings- en testpraktijken had gevolgd. Bovendien hadden beveiligingsonderzoekers contact opgenomen met ASUS om waarschuwingen te geven, maar het duurde vaak maanden – en soms meer dan een jaar – voordat ASUS reageerde. Toen een onderzoeker bijvoorbeeld meldde dat er naar schatting 25.000 AiDisk-opslagapparaten voor consumenten openlijk beschikbaar waren op internet, waren het sprinkhanen van ASUS. Sterker nog, het was pas na een pleidooi van een grote Europese retailer dat ASUS aandacht aan dat probleem begon te besteden. Tegen die tijd was het te laat.
Nog verontrustender, zo beweert de FTC, is dat toen ASUS beveiligingsoplossingen ontwikkelde, het de consumenten niet op de hoogte bracht. De beheerconsole van de router had een tool waarmee mensen konden controleren of hun router de nieuwste beschikbare firmware gebruikte (de software die in de router is ingebouwd). Zoals onderzoekers ASUS waarschuwden, werkte de upgradetool echter niet zoals het zou moeten. Volgens de klacht ging er meer dan een jaar voorbij en kregen consumenten nog steeds de melding dat “de huidige firmware van hun router de nieuwste versie is” terwijl er nieuwere firmware met kritieke beveiligingsupdates beschikbaar was.
Duizenden gecompromitteerde routers. Dit betekende dat ASUS-routers en “cloud”-diensten de thuisnetwerken en persoonlijke bestanden van consumenten overlieten aan de genade van hackers en identiteitsdieven. Je kunt raden wat er daarna gebeurde. Hackers gebruikten tools om de IP-adressen van duizenden kwetsbare ASUS-routers te lokaliseren, en dit is waar het verhaal echt interessant wordt. Door misbruik te maken van de kwetsbaarheden van AiCloud en de ontwerpfouten van AiDisk, kregen ze ongeoorloofde toegang tot duizenden USB-opslagapparaten voor consumenten. Maar ze kwamen en gingen niet stilletjes. Ze lieten een tekstbestand achter op de apparaten met de tekst: “Dit is een automatisch bericht dat naar alle betrokkenen wordt verzonden (sic). Uw Asus-router (en uw documenten) zijn toegankelijk voor iedereen ter wereld met een internetverbinding.”
De beveiligingsclaims van ASUS waren misschien misleidend, maar één ding bleek waar: de waarschuwing van de hackers dat de routers en documenten van consumenten voor iedereen ter wereld beschikbaar waren. Eén consument meldde bijvoorbeeld dat identiteitsdieven gevoelige informatie op zijn USB-opslagapparaat gebruikten, waaronder belastingaangiften en andere financiële gegevens, om ongeoorloofde kosten in rekening te brengen en zijn identiteit te manipuleren. Anderen klaagden dat een grote zoekmachine de persoonlijke bestanden die door hun kwetsbare ASUS-routers werden vrijgegeven, had geïndexeerd, waardoor ze online doorzoekbaar waren.
De klacht van de FTC. De rechtszaak uitdagingen zoals valse of misleidende beweringen van ASUS dat het redelijke stappen heeft ondernomen om ervoor te zorgen dat zijn routers de lokale netwerken van consumenten beschermden tegen aanvallen, dat AiCloud en AiDisk veilige manieren waren voor mensen om toegang te krijgen tot gevoelige informatie, en dat zijn firmware-upgradetool accuraat was. In de klacht wordt ook beweerd dat het onvermogen van ASUS om redelijke stappen te ondernemen om de software voor zijn routers te beveiligen een oneerlijke praktijk was.
Hoe ASUS zal moeten veranderen. De voorgestelde volgorde omvat veiligheidsvoorzieningen die standaard zijn geworden in FTC-schikkingen, maar er is nog iets anders. Als er een software-update is of andere stappen die consumenten kunnen nemen om zichzelf in de toekomst tegen een beveiligingsfout te beschermen, moet ASUS hen hiervan op de hoogte stellen. Belangrijk is dat de schikking duidelijk maakt dat het simpelweg plaatsen van een bericht op de website op zichzelf niet voldoende is. (Wie gaat er regelmatig naar de website van de routerfabrikant?) Bovendien vereist de voorgestelde bestelling dat ASUS consumenten een manier biedt om zich te registreren om beveiligingsmeldingen te ontvangen via directe communicatie, zoals e-mail, sms of pushmeldingen. In het internet der dingen, waar consumenten het vaak ‘instellen en vergeten’, kunnen dit soort directe communicatie cruciale instrumenten zijn om ervoor te zorgen dat consumenten de boodschap begrijpen. U kunt uiterlijk 24 maart 2016 een reactie op de schikking schrijven.
Als het Internet of Things uw bedrijf fascineert, biedt de case zes tips voor het onderhouden van zorgvuldige verbindingen.
- Begin met beveiliging. Hoewel de routers van ASUS last hadden van een groot aantal klassieke kwetsbaarheden, ging het probleem met AiDisk verder dan bugs of glitches. Volgens de klacht was het vanaf het begin onveilig, zowel wat betreft de keuze van het bedrijf voor een onveilig protocol als wat betreft de verwarrende en onveilige gebruikersinterface. Ja, u wilt uw product zo snel mogelijk op de markt brengen, maar neem in het begin de tijd om de beveiliging te ontwerpen. Het is een bijzonder belangrijke overweging in het internet der dingen, waar het onveilige ontwerp van een product invloed kan hebben op meerdere verbonden apparaten.
- Ontwerp uw producten door de ogen van klanten. Als u een connected product voor thuisgebruik verkoopt, variëren de klanten waarschijnlijk van beginner tot professional. Dus hoe kunnen ontwikkelaars communiceren met mensen aan beide uiteinden van het spectrum? Hier is een perspectief om te overwegen. Minder technisch onderlegde consumenten klagen vaak over producten die te ingewikkeld zijn. Maar heb je ooit een geavanceerde gebruiker horen klagen dat een interface te duidelijk of te eenvoudig was?
- Maak het mensen gemakkelijk om vanaf het begin de veiligere optie te kiezen. Besteed bijzondere aandacht aan de veiligheidsimplicaties van uw standaardinstellingen en installatieprocedures. Consumenten die worden afgeschrikt door een ingewikkeld doolhof van schermen kunnen hun apparaten verkeerd configureren of vasthouden aan keuzes die direct beschikbaar zijn. Daarom is het gevaarlijk om de standaardinstellingen van uw systeem in te stellen op “open” – of onveilig, zoals het geval was met AiDisk. Het aanbieden van aanpasbare functies voor technisch onderlegde mensen is geweldig, maar slimme ontwikkelaars beschouwen de voordelen van beveiliging als standaard.
- Let op veiligheidswaarschuwingen. In veel recente gevallen heeft de FTC opgemerkt dat bedrijven geen gehoor gaven aan geloofwaardige waarschuwingen over potentiële kwetsbaarheden in producten. Wanneer beveiligingsproblemen onder uw aandacht komen, is het verstandiger om dit te onderzoeken en onmiddellijk contact op te nemen met klanten als de zorgen terecht blijken te zijn.
- Denk na over hoe u consumenten op de hoogte stelt van correcties. Stel dat iemand een probleem ontdekt en u een patch ontwerpt om het probleem op te lossen. Het is een belangrijke eerste stap, maar de klus is nog niet geklaard. Een beveiligingspatch is alleen effectief als klanten deze installeren. Vooruitstrevende ontwikkelaars bouwen een ‘wat als’-noodplan in om de uitdagingen aan te gaan die gepaard gaan met het informeren van mensen terwijl ze bezig zijn.
- Leer van andere FTC-zaken. Volgens de FTC Begin met veiligheid publicatie bestaat er geen uniforme formule voor wat redelijk is. Maar elke klacht over gegevensbeveiliging biedt lessen over praktijken die onder bepaalde omstandigheden tot problemen kunnen leiden. Paragraaf 30 van de ASUS-klacht somt er tientallen op, waaronder zwakke standaardaanmeldingsgegevens, het kiezen van onveilige protocollen wanneer veiliger protocollen direct beschikbaar zijn, het overslaan van door de industrie geaccepteerde tests en het niet implementeren van goedkope bescherming tegen bekende kwetsbaarheden.
Op zoek naar meer tips? Lezen Zorgvuldige verbindingen: veiligheid opbouwen in het internet der dingen.
