De router is het Grand Central Station van de thuistechnologie. Het beheert de verbindingen tussen alle slimme apparaten in huis, van de computer in de studeerkamer en de tablet op de salontafel, tot de slimme thermostaat aan de muur en de op internet aangesloten babyfoon in de babykamer. Consumenten verwachten dat de route een snelweg met beperkte toegang zal zijn, waarbij routers gegevens veilig doorsturen en ongeautoriseerde toegang blokkeren. Maar FTC-klacht tegen technologiegigant ASUSTeK Computer, Inc. – de meeste mensen kennen ze als ASUS – een oneerlijke en bedrieglijke uitdaging vanwege het onvermogen van het bedrijf om zijn routers en “cloud”-diensten die aan consumenten worden verkocht, te beveiligen. Deze case biedt ook inzicht voor andere bedrijven die het Internet of Things betreden.
Hoe ASUS reclame maakt voor zijn producten. ASUS adverteert dat zijn routers over veel beveiligingsfuncties beschikken die “computers kunnen beschermen tegen ongeoorloofde toegang, hacking en virusaanvallen” en “lokale netwerken kunnen beschermen tegen hackeraanvallen.” Maar volgens de FTCASUS-routers maken die belofte niet waar. Bovendien omvatten de routers van het bedrijf diensten genaamd AiCloud en AiDisk waarmee consumenten een USB-harde schijf op de router kunnen aansluiten om hun eigen ‘cloud’-opslag te creëren, toegankelijk vanaf elk apparaat – een soort centrale opslaghub voor het slimme huis. Hoewel ASUS de dienst adverteert als een ‘private private cloud voor het selectief delen van bestanden’ en een manier om ‘uw waardevolle gegevens veilig te benaderen via een router’, stelt de FTC dat de dienst allesbehalve veilig is.
Waar ASUS een fout op zijn router ondervond. Ondanks de belangrijke rol die routers spelen bij het beschermen van thuisnetwerken, zegt de FTC dat ASUS geen basisstappen heeft ondernomen om de software op zijn routers te beveiligen. Consumenten beheren bijvoorbeeld routers (inclusief de beveiligingsfuncties) via een webgebaseerde interface die we de beheerdersconsole noemen. Maar door misbruik te maken van een wijdverbreide beveiligingsbug in de beheerdersconsole kunnen hackers de beveiligingsinstellingen van een router wijzigen. Ze kunnen zelfs de firewall van de router uitschakelen, openbare toegang tot de ‘cloud’-opslag van een consument mogelijk maken of de router configureren om consumenten naar kwaadaardige websites te leiden. Eén exploitcampagne die specifiek gericht was op verschillende ASUS-routermodellen slaagde er zelfs in om precies dat te doen, door kwetsbare routers opnieuw te configureren zodat hackers het webverkeer van consumenten konden controleren. Zoals beweerd in de klacht, lieten ASUS-routers hackers toe om grote schade aan te richten op die netwerken, in plaats van de thuisnetwerken van consumenten te beschermen.
Onbeveiligde ASUS “cloud”-diensten. De cloudopslagservice van ASUS is ook niet veilig. Volgens de FTC kan iedereen die het IP-adres van de router kent – gemakkelijk voor een hacker – het inlogscherm van de AiCloud-service omzeilen en zonder inloggegevens toegang krijgen tot het opslagapparaat van een consument, waardoor de bestanden van de consument wijd open op internet staan. AiDisk leverde geen betere resultaten op. De FTC maakte bezwaar tegen de service omdat deze afhankelijk was van onveilige protocollen en een verwarrend installatieproces had met onveilige standaardinstellingen. Wanneer een consument bijvoorbeeld een dienst inschakelt, geeft de dienst iedereen op het internet standaard toegang tot alle bestanden op het opslagapparaat van de consument. Erger nog, de installatiewizard legt deze standaardinstellingen niet uit en legt niet uit wat er aan de hand is. Om nog maar te zwijgen van het feit dat als een consument een beperkt account probeert aan te maken, de service de inloggegevens voor iedereen op dezelfde zwakke gebruikersnaam en hetzelfde wachtwoord (Familie/Familie) heeft ingesteld. Al deze beveiligingsproblemen en ontwerpfouten vormen een groot probleem voor consumenten.
ASUS vertraagde reactie en verzuimde consumenten op de hoogte te stellen. De FTC zei dat ASUS veel van de problemen had kunnen voorkomen als het bekende en veilige softwareontwerp-, coderings- en testpraktijken had gevolgd. Bovendien hebben beveiligingsonderzoekers ASUS benaderd met waarschuwingen, maar het duurt vaak maanden (en soms meer dan een jaar) voordat ASUS reageert. Wanneer een onderzoeker bijvoorbeeld rapporteert dat volgens zijn schattingen 25.000 consumenten AiDisk-opslagapparaten hebben die openlijk toegankelijk zijn op internet, zijn dat krekels van ASUS. Sterker nog, pas na smeekbeden van grote Europese retailers begon ASUS aandacht aan het probleem te besteden. Tegen die tijd was het te laat.
Wat volgens de FTC nog verontrustender is, is dat toen ASUS beveiligingspatches ontwikkelde, ze de consumenten niet op de hoogte brachten. De routerbeheerdersconsole heeft een tool waarmee mensen kunnen controleren of hun router de nieuwste beschikbare firmware gebruikt (software die in de router is geïnstalleerd). Maar zoals onderzoekers ASUS waarschuwden, werkte de updatetool niet zoals bedoeld. Volgens de klacht is er meer dan een jaar verstreken en krijgen consumenten nog steeds berichten dat “de huidige firmware van hun router de nieuwste versie is” terwijl er nieuwere firmware met belangrijke beveiligingsupdates beschikbaar is gekomen.
Duizenden routers zijn gecompromitteerd. Dit betekent dat ASUS-routers en “cloud”-diensten de thuisnetwerken en persoonlijke bestanden van consumenten overlaten aan de genade van hackers en identiteitsdieven. Je kunt raden wat er daarna gebeurde. Hackers gebruikten tools om de IP-adressen van duizenden kwetsbare ASUS-routers te vinden en dat is waar het verhaal echt interessant wordt. Door misbruik te maken van de kwetsbaarheden in AiCloud en de ontwerpfouten van AiDisk, kregen ze ongeoorloofde toegang tot de USB-opslagapparaten van duizenden consumenten. Maar ze komen en gaan niet stilletjes. Ze lieten een tekstbestand achter op het apparaat met de tekst: “Dit is een automatisch bericht dat naar alle betrokkenen wordt verzonden. Uw Asus-router (en uw documenten) zijn toegankelijk voor iedereen ter wereld met een internetverbinding.”
De beveiligingsclaims van ASUS waren misschien bedrieglijk, maar één ding bleek waar: hackers waarschuwden dat routers en consumentendocumenten voor iedereen ter wereld toegankelijk waren. Een consument meldde bijvoorbeeld dat een identiteitsdief gevoelige informatie op zijn USB-opslagapparaat gebruikte, waaronder belastingaangiften en andere financiële gegevens, om ongeoorloofde kosten in rekening te brengen en zijn identiteit in gevaar te brengen. Anderen klaagden dat grote zoekmachines persoonlijke bestanden hadden geïndexeerd die waren blootgesteld door hun kwetsbare ASUS-routers, waardoor ze online doorzoekbaar waren.
FTC-klacht. Dat rechtszaak wordt betwist als valse of misleidende beweringen van ASUS dat het redelijke stappen onderneemt om ervoor te zorgen dat zijn routers de lokale netwerken van consumenten beschermen tegen aanvallen, dat AiCloud en AiDisk een veilige manier zijn voor mensen om toegang te krijgen tot gevoelige informatie, en dat zijn firmware-updatetools accuraat zijn. In de klacht wordt ook beweerd dat het onvermogen van ASUS om redelijke stappen te ondernemen om de software voor zijn routers te beveiligen een oneerlijke praktijk is.
Hoe ASUS zou moeten veranderen. Dat voorgestelde volgorde inclusief veiligheidsvoorzieningen die standaard zijn geworden in FTC-schikkingen, maar er zijn andere dingen. Als er software-updates zijn of andere stappen die consumenten kunnen nemen om zichzelf te beschermen tegen toekomstige beveiligingsfouten, moet ASUS hen hiervan op de hoogte stellen. Belangrijk is dat deze schikking duidelijk maakt dat het simpelweg plaatsen van een bericht op de website niet voldoende is. (Wie bezoekt de website van de routerfabrikant regelmatig?) Bovendien zou ASUS volgens het voorgestelde besluit consumenten een manier moeten bieden om zich aan te melden voor het ontvangen van beveiligingswaarschuwingen via directe communicatie, zoals e-mail, sms-berichten of pushmeldingen. In het internet der dingen, waar consumenten het vaak ‘instellen en vergeten’, kan dit soort directe communicatie een belangrijk instrument zijn om ervoor te zorgen dat consumenten de boodschap begrijpen. U kunt vóór 24 maart 2016 opmerkingen indienen over de schikking.
Als Internet of Things uw bedrijf interesseert, biedt deze case zes tips voor het onderhouden van een zorgvuldige verbinding.
- Begin met beveiliging. Hoewel ASUS-routers lijden aan een aantal klassieke kwetsbaarheden, zijn de problemen van AiDisk meer dan alleen bugs of glitches. Volgens de klacht was het protocol vanaf het begin onveilig, zowel vanwege de keuze van het bedrijf voor een onveilig protocol als vanwege de verwarrende en onveilige gebruikersinterface. Ja, u wilt dat uw product zo snel mogelijk op de markt komt, maar neem vanaf het begin de tijd om te ontwerpen met het oog op veiligheid. Dit is een bijzonder belangrijke overweging in het internet der dingen, waar het onveilige ontwerp van één product gevolgen kan hebben voor meerdere verbonden apparaten.
- Ontwerp uw product vanuit het perspectief van de klant. Als u verbonden producten voor thuisgebruik verkoopt, verkoopt u waarschijnlijk producten van beginners tot professionals. Dus hoe kunnen ontwikkelaars communiceren met mensen aan beide uiteinden van het spectrum? Hier is een perspectief om te overwegen. Consumenten die minder technologisch onderlegd zijn, klagen vaak dat producten te ingewikkeld zijn. Maar heb je ooit ervaren gebruikers horen klagen dat de interface te duidelijk of te simpel is?
- Maak het mensen in de eerste plaats gemakkelijk om voor veiligere opties te kiezen. Besteed speciale aandacht aan de veiligheidsimplicaties van uw standaardinstellingen en installatieprocedures. Consumenten die ontmoedigd raken door te veel ingewikkelde schermen kunnen hun apparaten verkeerd configureren of vasthouden aan kant-en-klare opties. Daarom is het gevaarlijk om de standaardinstelling van uw systeem in te stellen op “open” – of onveilig, zoals het geval is met AiDisk. Het is geweldig om aanpasbare functies voor technologie aan te bieden, maar verstandige ontwikkelaars houden standaard rekening met de beveiligingsvoordelen.
- Let op veiligheidswaarschuwingen. In veel recente gevallen merkte de FTC op dat bedrijven geen geloofwaardige waarschuwingen gaven over mogelijke kwetsbaarheden van producten. Wanneer een beveiligingsprobleem onder uw aandacht komt, is het verstandiger om dit te onderzoeken en onmiddellijk contact op te nemen met de klant als het probleem waar blijkt te zijn.
- Bedenk hoe u consumenten op de hoogte brengt van reparaties. Stel dat iemand een probleem vindt en u een patch ontwerpt om het op te lossen. Dat is een belangrijke eerste stap, maar het werk is nog niet af. Beveiligingspatches zijn alleen effectief als klanten deze installeren. Ontwikkelaars met een vooruitziende blik creëren ‘wat als’-noodplannen om de uitdagingen van het achteraf op de hoogte stellen van mensen te overwinnen.
- Leer lessen uit andere FTC-zaken. Volgens de FTC Begin met beveiliging publicaties bestaat er geen universele formule voor wat redelijk is. Maar elke klacht over gegevensbeveiliging biedt een les over praktijken die onder bepaalde omstandigheden problematisch kunnen zijn. Paragraaf 30 ASUS-klacht vat er tientallen samen, waaronder zwakke standaardaanmeldingsgegevens, het kiezen van onveilige protocollen als er veiligere protocollen beschikbaar zijn, het overslaan van door de industrie geaccepteerde tests en het niet implementeren van goedkope bescherming tegen algemeen bekende kwetsbaarheden.
Op zoek naar meer tips? Lezen Zorgvuldige verbindingen: veiligheid opbouwen in het internet der dingen.
