Zonder secure hardware geen security

probe-security-technolution

Security voor het IoT heeft de aandacht, en niet voor niets. Met het IoT krijgt de digitale wereld de grip op onze fysieke wereld. Dat geeft innovatieve en praktische oplossingen voor interessante vraagstukken, maar de keerzijde is dat we kwetsbaarder zijn voor nieuwe manieren van misbruik. De productontwikkelaars van professionele IoT-toepassingen hebben de verantwoordelijkheid om niet alleen na te denken over functionaliteit, maar ook over de beveiliging van hun producten voor de gehele levenscyclus. Bovendien moet het fundament in een goed hardwareontwerp liggen.

Artikel uit Bits&Chips #9, november 2015 - ook beschikbaar als pdf

IoT is hot en, en daarmee is security in IoT ook hot. De softwarebibliotheken en ip-blokken om het IoT te beveiligen schieten als paddenstoelen uit de grond. We volgen deze ontwikkeling echter met argusogen. Security is net als kwaliteit, het is niet iets wat je later kan toevoegen maar direct vanaf het begin moet meenemen. Het laat zich daarom niet oplossen door een ip-blok of biblIoTheek, en is niet hetzelfde als het toevoegen van encryptie aan een IoT-product.

De afgelopen jaren kwamen er met regelmaat van de klok nieuwe hacks bovendrijven in de media. Denk aan bank- of creditcardgegevens die gestolen werden, ransomware die vakantiefoto’s onleesbaar maakte, publicaties van inschrijvingsgegevens bij een datingsite voor gelukkig getrouwden of bedrijfsgeheimenen waar de concurrent mee aan de haal ging.

Het IoT voegt echter een hele nieuwe dimensie toe, waardoor de schade in potentie nog veel groter kan worden. Bij het consumer-IoT met koelkasten, verlichting en gimmicks zal het initieel nog niet zo hard lopen, maar het IoT bestrijkt ook professionele safety-kritische systemen: auto’s, tunnels, medische apparatuur, robots en industriële aansturingen. Een hack kan hier niet alleen financiële of reputatieschade opleveren, maar mogelijk het verschil betekenen tussen leven en dood. Vergezocht? De Amerikaanse overheid vond het enkele jaren geleden al verstandig om de draadloze toegang tot de pacemaker van toenmalig vicepresident Dick Cheney uit te schakelen. Maar ook de friendly hacks op bijvoorbeeld de Jeep Cherokee zetten ons aan het denken.

Slotgracht en kasteelmuur

Security is een balanceeract. Je moet een goede afweging maken tussen de dreiging, de kwetsbaarheden en de maatregelen. Het is belangrijk om te kijken naar de effort, kennis en geld die nodig zijn om een kwetsbaarheid in je product te misbruiken. Ook de motivatie van de aanvaller is belangrijk. Zo kan het gaan om een verveelde scholier die een grap wil uithalen, maar ook om een crimineel die geld wil verdienen of een vijandige groepering die een statement wil maken. Daarnaast is de schaalgrootte is van belang. Zo maakt het een groot verschil of je één of alle sluizen of gemalen in Nederland kunt bedienen.

Wanneer we bij Technolution een project aangaan, maken we daarom samen met de klant eerst een risicoanalyse waarin we de dreigingen, de kwetsbaarheden, de impact, de maatregelen en de toelaatbare restrisico’s in kaart brengen. Op basis hiervan bepalen we de security-maatregelen die in de ontwikkeling van het product worden meegenomen.

Die bestaan in eerste instantie uit preventie; het afsluiten van de toegang – het optrekken van een slotgracht en kasteelmuur – en het beperken van de impact - het verdelen van de goudvoorraad over verschillende kastelen. Maar net als bij een kasteel zijn de preventieve maatregelen vaak niet genoeg, er is ook actieve bewaking nodig. Deze bewaking wordt uitgevoerd door een Security Operations Center (SoC). De SoC kijkt naar verdachte communicatie op het IoT-netwerk, analyseert deze en grijpt zo nodig in. Hierdoor kunnen aanvallen vroeg gedetecteerd worden en blijft de impact beperkt. Sommige security bedrijven zijn gespecialiseerd in het continu bewaken van missiekritieke netwerken en hebben hiervoor een eigen SoC beschikbaar.

OV-Chipkaart

Bij de ontwikkeling van veilige IoT-systemen hanteren we een aantal basisprincipes. Zo is het belangrijk gebruik te maken van open standaarden voor cryptografische algoritmes. Deze ontstaan uit jaren van onderzoek door universiteiten over de hele wereld. Eigen verzonnen algoritmes en protocollen worden niet zo zwaar beproefd als de open algoritmes en bevatten daardoor vaak nog zwakheden. In de praktijk heeft ‘security through obscurity’ een zeer beperkte houdbaarheid. De ov-chipkaart is hier een goed voorbeeld van.

Wanneer gebruik gemaakt wordt van cryptografische algoritmes, zijn goede procedures rond generatie, distributie, opslag en vervanging van de gebruikte sleutels belangrijk. Vaak wordt het key-management echter onderschat of er wordt helemaal niet over nagedacht tijdens de ontwikkeling van het product. Het wil bijvoorbeeld nog wel eens gebeuren dat alle IoT-devices in de fabriek van dezelfde cryptografische sleutels voorzien worden. Maar slechts één gelekte sleutel geeft zo toegang tot álle devices - en voor een crimineel wordt het opeens veel interessanter om die ene sleutel te bemachtigen. Met andere woorden: geef elk IoT-device zijn eigen unieke sleutel.

Ook moet er voldoende diversiteit van sleutels zijn. Zo moet een crimineel een sleutel niet kunnen raden of bruteforce kunnen uitproberen. Dat betekent dat de digitale sleutels lang genoeg moeten zijn, maar ook dat elke mogelijke sleutel een even grote kans heeft om gegenereerd te worden. Belangrijk is dat dit soort overwegingen goed worden meegenomen in de levenscyclus van een product of dienst. Leveranciers zouden hier al tijdens de ontwikkeling van het product mee moeten beginnen.

Microfoon

Elke hype heeft zijn recht op een goede slogan, dus hier onze duit in het zakje: ‘zonder secure hardware geen professionele security in het IoT’. We zijn ervan overtuigd dat kritische security-componenten in hardware geïmplementeerd moeten worden. Hardware heeft een intrinsieke scheiding van verantwoordelijkheden (separation of concerns). Hierdoor kunnen twee onafhankelijke componenten elkaar ook echt niet beïnvloeden. In software is deze garantie veel minder hard. Een kwetsbaarheid in de ene applicatie kan ervoor zorgen dat de controle over de hele computer, en dus ook andere applicaties, overgenomen kunnen worden.

In hardware zijn side-channels ook beter te voorkomen, omdat je in hardware de volledige controle hebt over het elektrische gedrag van het circuit. Een side-channel is een onbedoeld kanaal waarover een cryptografisch algoritme informatie lekt over bijvoorbeeld de gebruikte sleutel. Deze onbedoelde kanalen ontstaan vaak in de low-level implementatie van de functie, bijvoorbeeld het elektrische circuit. Een fascinerend voorbeeld is een aanval waarbij onderzoekers een cryptografische sleutel achterhaalde door met een microfoon naar een pc te luisteren - tijdens de versleuteling maakte de pc geluiden in het ultrasoonspectrum. Andere voorbeelden van side-channels zijn stroomverbruik, executieduur, elektrische emissie en geheugengebruik. Side-channel-aanvallen zijn vaak met goedkope meetapparatuur (onder de driehonderd euro) uit te voeren, en dus laagdrempelig.

Een goed hardwareontwerp met oog voor de potentiële dreigingen kan side-channel-aanvallen voorkomen. Denk hierbij bijvoorbeeld aan goede emi-shielding. Asics zijn wanneer goed ontworpen fundamenteel zeer veilige componenten. Maar niet iedere IoT-applicatie zal zich een eigen asic kunnen veroorloven. Het alternatief is dan om een fpga te gebruiken, die het bijkomende voordeel heeft herprogrammeerbaar te zijn. Dit is belangrijk omdat security-maatregelen maar een beperkte levensduur hebben - kijk maar naar het aantal security-updates die je pc wekelijks naar binnen haalt. Voor IoT-apparaten is de noodzaak aan updates niet minder. Met de steeds krachtigere digitale middelen - en straks zelfs de opkomst van kwantumcomputing - zijn beveiligingsmethoden die nu goed genoeg zijn, over een paar jaar misschien niet meer toereikend.

Redactie: Pieter Edelman

 

 

 

Contact:

jonathan-hofman
  • Jonathan Hofman
  • ✆ +31 (0)182 59 40 00
    Contact
willem-de-boer-1
  • Willem de Boer
  • ✆ +31 (0)182 59 40 00
    Contact

Gerelateerde items

Video over IP: snelheid, kwaliteit en gebruiksgemak

Lees verder

Publicatie

De stille revolutie van de intelligente machine

Lees verder

Publicatie