Softwarerisiken:Sicherung von Open Source im IoT

Derzeit sind weltweit 7 Milliarden IoT-Geräte im Einsatz. Diese Zahl soll sich bis 2025 verdreifachen und beispiellose 21,5 Milliarden Geräte erreichen, sagt Lev Lesokhin von CAST . Der Markt für Internet-of-Things-Geräte (IoT) ist explodiert – jetzt wollen Hersteller von IoT-Geräten, die vom Wettlauf um die Implementierung des IoT profitieren wollen, unbedingt ihre Produkte auf den Markt bringen. Im kontinuierlichen halsbrecherischen Wettlauf um den Verkauf von Produkten wird nicht jede Software für IoT-Geräte auf höchstem Niveau hergestellt.

Um neue Produkte und Funktionen schnell auf den Markt zu bringen, bleibt wenig Zeit, benutzerdefinierten Code zu schreiben, insbesondere wenn vorgefertigte Pakete und Frameworks kostenlos von Open-Source-Communitys wie GitHub  heruntergeladen werden können und Apache . Allerdings bekommt man bei IoT-Code wie bei allem im Leben das zurück, was man hineingesteckt hat. Der Software Intelligence Report 2018 von CAST ergab, dass viele Open-Source-Projekte bei der Einhaltung von Sicherheitsregeln schlecht abschneiden.

Freier Open-Source-Code ist nicht mit eingebauter wasserdichter Sicherheit ausgestattet. Im Wettlauf um den Markt opfern viele Unternehmen Sicherheit für Geschwindigkeit und verzichten auf strenge Sicherheitsprüfungen, die die Struktur und das Innenleben eines solchen Codes berücksichtigen. Jedes IoT-Gerät, alle sieben Milliarden, muss auch mit sicherer Software betrieben werden, die robust genug ist, um Hackeraktivitäten abzuwehren.

Open Source kann von jedem geschrieben werden. Ein Großteil des Codes in Software, die für IoT-Geräte geschrieben wurde, wird auch von Ingenieuren aus der Embedded-Software-Welt der Standalone-Geräte geschrieben. Dies steht im krassen Gegensatz zu der Software, die entwickelt wurde, um die Daten großer unternehmensweiter Transaktionen zu verarbeiten, an denen IoT-Geräte beteiligt sind. Der Schutz von Daten in diesem letzteren Kontext erfordert eine andere Art von Fachwissen und Fähigkeiten, die bei weitem nicht alle Entwickler haben.

Angesichts der Tatsache, dass jeder, unabhängig von seinem Entwicklungshintergrund, zu Open Source Software beitragen kann, ist es viel schwieriger sicherzustellen, dass Sicherheits- und Qualitätsstandards eingehalten werden. Ineffizienter, schlampiger oder sogar bösartiger Code kann sich möglicherweise unbemerkt einschleichen.

So viele Mängel, die Käufer jedoch kaum bemerken werden. Viele sehen IoT-Geräte durch die Linse des Geschäfts – ein Mittel zu einem strategischen Ziel wie einer verbesserten Produktionseffizienz. Die Ironie ist, dass IoT-Geräte zwar ausgereift genug sind, um sich gegen ihre Besitzer zu wehren, sie jedoch oft nicht als ausgereift genug gelten, um vor Angriffen geschützt zu werden.

Die Augen der Welt sind auf Ihren Code gerichtet

Fehler in proprietärem, internem Code treten auf, aber nur die Entwickler, die mit dem Schreiben des Codes beauftragt wurden, können jemals davon erfahren. Der Quellcode wäre privat und für neugierige Blicke unzugänglich. Doch so wie Open Source für Unternehmen leicht zugänglich ist, ist es für alle anderen gleich. Code wurde möglicherweise von vielen Entwicklern und möglicherweise Hackern untersucht, bevor er in die Codebasis integriert wird, von der ein IoT-Gerät abhängt.

Die amerikanische Einzelhandelskette Target wurde bereits 2013 Opfer von 220 Millionen US-Dollar (194 Millionen €) durch den Diebstahl von Kreditkartendaten, als Angreifer eine Schwachstelle im Klimatisierungssystem der Kette entdeckten.

Die Anmeldeinformationen wurden vom Lieferanten des Klimatisierungssystems gestohlen und blieben bei der Bereitstellung bei Target unverändert, wodurch jedes installierte System vollständig anfällig war.

Überprüfe dich selbst, bevor du dich selbst ruinierst

Während Schwachstellen nie vollständig negiert werden können, kann die Wahrscheinlichkeit durch drei wichtige Schritte verringert werden:

Der wesentliche erste Schritt besteht darin, dass ein Hersteller versteht, was in der von ihm gelieferten IoT-Software enthalten ist. Open Source kann bei sorgfältiger Verwendung sehr nützlich sein. Um jedoch alle Beteiligten zu schützen, vom Hersteller bis zum Endbenutzer, sollte die Herkunft des verwendeten Codes bis zu seinen Wurzeln zurückverfolgt und mit bekannten Schwachstellen querverwiesen werden.

Es sollte wirkliche Sorgfalt und so viel Zeit wie möglich genommen werden. Nach der Herstellung ist es unwahrscheinlich, dass im Nachhinein entdeckte Probleme behoben werden, wie es im Fall von Target der Fall war, wo die Systeme vergleichsweise leicht zugänglich waren. Obwohl Hersteller von IoT-Geräten bestrebt sein mögen, der Konkurrenz voraus zu sein, sollten sie sich bewusst sein, dass Probleme sehr lange bestehen können.

Die Software muss Ende-zu-Ende analysiert werden, da der Code auf dem Gerät nicht mehr eigenständig ist. Nach dem Scannen sollten Unternehmen sofort an die Arbeit gehen. Beheben Sie alle hervorgehobenen Schwachstellen und verstärken Sie die Transaktionen mit geringer Widerstandsfähigkeit. Das Ziel sollte es sein, die technischen Schulden des Codes so weit wie möglich abzuarbeiten, um ein robustes System zu schaffen, das die Zeit überdauert und seine zukünftigen Besitzer schützt.

Denken Sie daran, dass die Büros des Klimaanlagenherstellers von Target schließlich vom US-Geheimdienst besucht wurden und das Unternehmen immer noch Teil einer laufenden Untersuchung ist, die sie 18,5 Millionen $ (16,3 Millionen €) kostet. Das sollte keinem anderen passieren und kann vermieden werden.

Der Autor dieses Blogs ist Lev Lesokhin, EVP of Strategy &Analytics bei CAST.