Duitse overheid publiceert veiligheidsregels voor routers

[Captain Kirk]

Nu mensen steeds meer apparaten in huis op internet aansluiten speelt de router een steeds belangrijkere rol. Al het interne netwerk- en internetverkeer loop namelijk via het apparaat. Een aanvaller die toegang tot een router weet te krijgen, heeft zo toegang tot allerlei persoonlijke data.

Routers moeten dan ook goed zijn beveiligd. Aanleiding voor het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, om technische beveiligingsrichtlijnen voor routers op te stellen. De richtlijnen zijn met name op fabrikanten gericht en beschrijven minimale beveiligingsmaatregelen waar routers voor particulieren over moeten beschikken. Met de publicatie van de richtlijn hoopt het BSI om routers beter bestand tegen aanvallen te maken.

Zo moeten routers updates kunnen ontvangen, maar is een automatische updatefunctie niet verplicht. Verder moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Daarnaast mag dit preset-wachtwoord bijvoorbeeld niet zijn afgeleid van het MAC-adres of andere kenmerken van de router. Volgens het BSI zijn de richtlijnen een belangrijke stap richting een it-beveiligingslabel.

 

 

bron: security.nl

[Captain Kirk]

CCC en OpenWRT hekelen routerrichtlijnen Duitse overheid

De veiligheidsrichtlijnen die de Duitse overheid vorige week voor routerfabrikanten publiceerde zijn een farce en schieten ernstig te kort, zo stellen de Duitse hackersvereniging CCC en de ontwikkelaars van OpenWrt, populaire opensourcefirmware voor routers.

Afgelopen vrijdag kwam het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met technische beveiligingsrichtlijnen voor routers. Doordat routers zo'n belangrijke rol in de netwerken van mensen spelen is het belangrijk dat de apparaten veilig zijn, aldus het BSI. Door het publiceren van de richtlijnen wil de Duitse overheidsinstantie fabrikanten zover zien te krijgen dat ze veilige producten gaan aanbieden.

Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten.

De richtlijnen zijn echter onvoldoende, aldus de CCC en OpenWrt. Zo hebben gebruikers nog steeds geen zinvolle manier om veilige en duurzame apparaten van risicovolle routers te onderscheiden of de mogelijkheid om de veiligheid in hun eigen handen te nemen. Bij het opstellen van de regels heeft het BSI met allerlei partijen overlegd. Tijdens verschillende inspraakmomenten hebben de CCC en OpenWrt voor toevoegingen gepleit, maar die zijn niet in de richtlijnen opgenomen.

De beide organisaties willen dat er alleen routers mogen worden verkocht waarop duidelijk staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt.

Door deze twee principes toe te voegen zou elke gebruiker kunnen zien hoe lang de router op een veilige manier is te gebruiken en de optie hebben om veilige, gratis firmware te installeren als de fabrikant geen updates meer uitbrengt, aldus OpenWrt en de CCC. "Het feit dat de richtlijn niet voorschrijft om veilige firmware zoals OpenWrt te kunnen installeren doet ons twijfelen over hoe serieus de Duitse overheid it-security neemt", aldus Hauke Mehrtens van het OpenWrt-project.

Volgens Mirko Vogt van de CCC beschikken alle lampen en wasmachines tegenwoordig over kleurenschema's waardoor mensen eenvoudig kunnen zien hoeveel stroom ze verbruiken. Bij routers, die voor grote aanvallen op internet kunnen worden gebruikt, ontbreken dergelijke onderscheidingscriteria, waardoor onveilige routers op grote schaal binnen thuis- en bedrijfsnetwerken zullen blijven worden uitgerold.

 

 

 

bron: security.nl