De router is Grand Central Station voor thuistechnologie. Het beheert de verbindingen tussen alle slimme apparaten in huis, van de computer in de studeerkamer en de tablet op de salontafel, tot de slimme thermostaat aan de muur en de op internet aangesloten babyfoon in de kinderkamer. Consumenten verwachten dat deze route een snelweg met beperkte toegang zal zijn, waarbij de router gegevens veilig doorstuurt en ongeautoriseerde toegang blokkeert. Maar een FTC-klacht tegen technologiegigant ASUSTeK Computer, Inc. – de meeste mensen kennen ze als ASUS – betwist het oneerlijke en bedrieglijke onvermogen van het bedrijf om de routers en “cloud”-diensten die het aan consumenten op de markt brengt, te beveiligen. De case biedt ook inzichten voor andere bedrijven die het Internet of Things betreden.
Hoe ASUS reclame maakte voor zijn producten. ASUS adverteerde dat zijn routers over talrijke beveiligingsfuncties beschikten die “computers konden beschermen tegen ongeoorloofde toegang, hacking en virusaanvallen” en “(het) lokale netwerk konden beschermen tegen aanvallen van hackers.” Maar volgens de FTCmaakten de routers van ASUS deze beloften niet waar. Bovendien omvatten de routers van het bedrijf diensten genaamd AiCloud en AiDisk waarmee consumenten een USB-harde schijf op de router konden aansluiten om hun eigen ‘cloud’-opslag te creëren, toegankelijk vanaf elk van hun apparaten – een soort centrale opslaghub voor het slimme huis. Terwijl ASUS deze diensten adverteerde als een ‘privé persoonlijke cloud voor het selectief delen van bestanden’ en een manier om ‘uw dierbare gegevens veilig te beveiligen en te benaderen via uw router’, beweert de FTC dat ze allesbehalve veilig waren.
Waar ASUS de fout inging met zijn routers. Ondanks de cruciale rol van de router bij het beschermen van het thuisnetwerk, zegt de FTC dat ASUS geen basisstappen heeft ondernomen om de software op zijn routers te beveiligen. Consumenten beheerden de router (inclusief de beveiligingsfuncties) bijvoorbeeld via een webgebaseerde interface die we de beheerdersconsole noemen. Maar door misbruik te maken van wijdverbreide beveiligingsbugs in de beheerdersconsole kunnen hackers de beveiligingsinstellingen van de router wijzigen. Ze kunnen zelfs de firewall van de router uitschakelen, openbare toegang tot de ‘cloud’-opslag van de consument inschakelen of de router zo configureren dat consumenten naar kwaadaardige websites worden omgeleid. Eén exploitcampagne die specifiek gericht was op talrijke ASUS-routermodellen deed precies dat, door kwetsbare routers opnieuw te configureren zodat hackers het webverkeer van consumenten konden controleren. Zoals de klacht beweert, beschermen de routers van ASUS de thuisnetwerken van consumenten niet, maar laten hackers er grote schade aanrichten.
ASUS’ onveilige “cloud”-diensten. De “cloud”-opslagdiensten van ASUS waren ook niet veilig. Volgens de FTC kon iedereen die het IP-adres van de router kende – een wandeling in het park voor een hacker – het inlogscherm van de AiCloud-service omzeilen en zonder inloggegevens toegang krijgen tot de opslagapparaten van consumenten, waardoor de bestanden van consumenten wijd open op internet achterbleven. AiDisk deed het niet veel beter. De FTC maakte bezwaar tegen deze dienst omdat deze vertrouwde op een onveilig protocol en een verwarrend installatieproces had met onveilige standaardinstellingen. Als consumenten de dienst bijvoorbeeld inschakelen, krijgt iedereen op internet standaard niet-geverifieerde toegang tot alle bestanden op het opslagapparaat van de consument. Erger nog, de installatiewizard legde deze standaardinstellingen niet uit en maakte niet duidelijk wat er aan de hand was. Om nog maar te zwijgen van het feit dat als de consument probeerde een beperkt account aan te maken, de service de inloggegevens voor iedereen had ingesteld op dezelfde zwakke gebruikersnaam en hetzelfde wachtwoord (Familie/Familie). Al deze beveiligingsproblemen en ontwerpfouten zorgden voor grote problemen voor de consument.
ASUS’ vertraagde reactie en het onvermogen om consumenten op de hoogte te stellen. De FTC zegt dat ASUS veel problemen had kunnen voorkomen als het bekende, veilige softwareontwerp-, coderings- en testpraktijken had gevolgd. Bovendien hadden beveiligingsonderzoekers contact opgenomen met ASUS om waarschuwingen te laten horen, maar het duurde vaak maanden (en soms meer dan een jaar) voordat ASUS reageerde. Toen een onderzoeker bijvoorbeeld rapporteerde dat naar zijn schatting 25.000 consumenten AiDisk-opslagapparaten openlijk toegankelijk hadden op internet, waren het krekels van ASUS. Sterker nog, het was pas na een pleidooi van een grote Europese retailer dat ASUS aandacht begon te besteden aan dat probleem. Tegen die tijd was het te laat.
Nog verontrustender, beweert de FTC, is dat toen ASUS beveiligingspatches ontwikkelde, het de consumenten niet op de hoogte bracht. De beheerdersconsole van de router had een tool waarmee mensen konden controleren of hun router de nieuwste beschikbare firmware gebruikte (de software die in de router is ingebouwd). Maar zoals onderzoekers ASUS waarschuwden, werkte de upgradetool niet zoals het zou moeten. Volgens de klacht ging er meer dan een jaar voorbij en kregen consumenten nog steeds de melding dat “de huidige firmware van hun router de nieuwste versie is” terwijl er nieuwere firmware met cruciale beveiligingsupdates beschikbaar was.
Duizenden gecompromitteerde routers. Dit betekende dat de routers en “cloud”-diensten van ASUS de thuisnetwerken en persoonlijke bestanden van consumenten overlieten aan de genade van hackers en identiteitsdieven. Je kunt raden wat er daarna gebeurde. Hackers gebruikten tools om de IP-adressen van duizenden kwetsbare ASUS-routers te lokaliseren en dat is waar het verhaal echt interessant wordt. Door gebruik te maken van de kwetsbaarheden van AiCloud en de ontwerpfouten van AiDisk, verkregen ze ongeoorloofde toegang tot de USB-opslagapparaten van duizenden consumenten. Maar ze kwamen en gingen niet stilletjes. Ze lieten een tekstbestand achter op de apparaten met de tekst: “Dit is een automatisch bericht dat naar iedereen wordt verzonden (sic). Uw Asus-router (en uw documenten) zijn toegankelijk voor iedereen ter wereld met een internetverbinding.”
De beveiligingsclaims van ASUS waren misschien bedrieglijk, maar één ding bleek waar: de waarschuwing van de hackers dat de routers en documenten van consumenten voor iedereen ter wereld toegankelijk waren. Eén consument meldde bijvoorbeeld dat identiteitsdieven gevoelige informatie op zijn USB-opslagapparaat gebruikten, waaronder belastingaangiften en andere financiële gegevens, om ongeoorloofde kosten in rekening te brengen en een puinhoop van zijn identiteit te maken. Anderen klaagden dat een grote zoekmachine de persoonlijke bestanden had geïndexeerd die hun kwetsbare ASUS-routers hadden blootgelegd, waardoor ze online doorzoekbaar waren geworden.
De klacht van de FTC. De rechtszaak betwist de beweringen van ASUS dat het redelijke stappen heeft ondernomen om ervoor te zorgen dat zijn routers de lokale netwerken van consumenten beschermden tegen aanvallen, dat AiCloud en AiDisk veilige manieren waren voor mensen om toegang te krijgen tot gevoelige informatie, en dat zijn firmware-upgradetool accuraat was. In de klacht wordt ook beweerd dat het onvermogen van ASUS om redelijke stappen te ondernemen om de software voor zijn routers te beveiligen een oneerlijke praktijk was.
Hoe ASUS zal moeten veranderen. De voorgestelde volgorde omvat veiligheidsvoorzieningen die standaard zijn geworden in FTC-schikkingen, maar er is nog iets anders. Als er een software-update is of andere stappen die consumenten kunnen nemen om zichzelf in de toekomst tegen een beveiligingsfout te beschermen, moet ASUS hen hiervan op de hoogte stellen. Belangrijk is dat de schikking duidelijk maakt dat alleen het plaatsen van een bericht op de website op zichzelf niet voldoende is. (Wie gaat er regelmatig naar de website van de routerfabrikant?) Bovendien vereist de voorgestelde bestelling dat ASUS consumenten een manier biedt om zich te registreren om beveiligingsmeldingen te ontvangen via directe communicatie, zoals e-mail, sms of pushmeldingen. In het internet der dingen, waar consumenten het vaak ‘instellen en vergeten’, kunnen dit soort directe communicatie cruciale hulpmiddelen zijn om ervoor te zorgen dat consumenten de boodschap begrijpen. U kunt vóór 24 maart 2016 een opmerking over de schikking indienen.
Als het Internet of Things uw bedrijf intrigeert, biedt de casus zes tips voor het onderhouden van zorgvuldige verbindingen.
- Begin met beveiliging. Hoewel de routers van ASUS last hadden van een groot aantal klassieke kwetsbaarheden, ging het probleem met AiDisk verder dan bugs of glitches. Volgens de klacht was het vanaf het begin onveilig, zowel door de keuze van het bedrijf voor een onveilig protocol als door de verwarrende en onveilige gebruikersinterface. Ja, u wilt uw product zo snel mogelijk op de markt brengen, maar neem vanaf het begin de tijd om de beveiliging te ontwerpen. Dat is een bijzonder belangrijke overweging in het internet der dingen, waar het onveilige ontwerp van één product invloed kan hebben op meerdere verbonden apparaten.
- Ontwerp uw producten door de ogen van klanten. Als u een connected product voor thuisgebruik verkoopt, variëren de klanten waarschijnlijk van beginner tot professional. Dus hoe kunnen ontwikkelaars communiceren met mensen aan beide uiteinden van het spectrum? Hier is een perspectief om te overwegen. Minder technisch onderlegde consumenten klagen vaak over producten die te ingewikkeld zijn. Maar heb je ooit een geavanceerde gebruiker horen mopperen dat een interface te duidelijk of te eenvoudig was?
- Maak het mensen gemakkelijk om vanaf het begin de veiligere optie te kiezen. Besteed bijzondere aandacht aan de veiligheidsimplicaties van uw standaardinstellingen en installatieprocedures. Consumenten die ontmoedigd raken door een ingewikkeld doolhof van schermen kunnen hun apparaten verkeerd configureren of blijven vasthouden aan kant-en-klare keuzes. Daarom is het gevaarlijk om de standaardinstellingen van uw systeem in te stellen op “open” – of onveilig, zoals het geval was met AiDisk. Het is geweldig om aanpasbare functies aan te bieden voor de technologieliefhebber, maar verstandige ontwikkelaars houden standaard rekening met de voordelen van beveiliging.
- Veiligheidswaarschuwingen in acht nemen. In veel recente gevallen heeft de FTC opgemerkt dat bedrijven geen gehoor gaven aan geloofwaardige waarschuwingen over potentiële kwetsbaarheden in producten. Wanneer beveiligingsproblemen onder uw aandacht komen, is het verstandiger om onmiddellijk onderzoek te doen en contact op te nemen met klanten als de zorgen terecht blijken te zijn.
- Bedenk hoe u consumenten op de hoogte stelt van de oplossingen. Stel dat iemand een probleem opmerkt en u een patch ontwerpt om het probleem aan te pakken. Dat is een belangrijke eerste stap, maar de klus is nog niet geklaard. Een beveiligingspatch is alleen effectief als klanten deze installeren. Ontwikkelaars met een vooruitziende blik bouwen een wat-als-noodplan in om de uitdagingen aan te gaan die gepaard gaan met het achteraf informeren van mensen.
- Leer de lessen uit andere FTC-zaken. Volgens de FTC Begin met beveiliging publicatie bestaat er geen one-size-fits-all formule voor wat redelijk is. Maar elke klacht over gegevensbeveiliging biedt lessen over praktijken die onder bepaalde omstandigheden tot problemen kunnen leiden. Paragraaf 30 van de ASUS-klacht vat er tientallen samen, waaronder zwakke standaard inloggegevens, het kiezen van onveilige protocollen terwijl er veiliger protocollen beschikbaar zijn, het overslaan van door de industrie geaccepteerde tests en het niet implementeren van goedkope bescherming tegen bekende kwetsbaarheden.
Op zoek naar meer tips? Lezen Zorgvuldige verbindingen: veiligheid opbouwen in het internet der dingen.
