Het is triest maar waar: ingebakken inloginfo bestaat nog steeds. Dat kan niet langer. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
2016 was een woelig jaar wat ict-security betreft. Grote hacks, impactvolle kwetsbaarheden, overtreffende trappen van datalekkages, het afgelopen jaar heeft de ene op de andere securityschok gestapeld. Een dieptepunt is echter wel het feit dat ingebakken inlogcredentials nog bestaan. En natuurlijk worden die dan benut door cybercriminelen, DDoS’ers en andere onverlaten.
Zo zijn grote DDoS-aanvallen van afgelopen jaar te danken aan slecht beschermde apparaten van het internet of things, met in veel gevallen nog default-inlogs. Dit gebeurde niet alleen met slechte of spotgoedkope elektronica van vage, vaak Chinese merken. Zie maar de bewakingscamera’s van het Japanse elektronicaconcern Sony. Zo’n tachtig modellen daarvan bleken een geheime backdoor te hebben, mét hardcoded root-login. Dit kan écht niet meer. Dit mág echt niet meer. Wat vind jij?
hard gecodeerde account logins zijn een vorm van luiheid en van onkunde. Of dit nu in firmware of in scripts toegepast wordt. Ik snap niet dat een persoon met gevoel voor systeemveiligheid dit bewust doet, het is makkelijk om zo een script of een device werkend te krijgen, maar je zet daarmee ook meteen een deur naar je it omgeving open
hard coded logins kunnen zo in het rijtje wat ik opgesomd heb in onderstaande blog:
https://www.computable.nl/artikel/blogs/development/5911339/5260614/de-ouderwetse-service-klap-heeft-kort-effect.html
Dit ontstaat als er geen “product owner” is die security meeneemt in het ontwerp en helder onderscheid maakt tussen pilot / poc / prototype en productie.
ipv4 ipv ipv6
dns ipv dnssec
koper ipv glas
1 factor auth ipv 2
gezond verstand ipv certified
certified ipv gezond verstand
SSL ipv TLS
delivered ipv quality
TLS1.0 ipv TLS1.2
working product ipv comprehensive documentation
md5 ipv sha1
workaround ipv late fix
strong password ipv keybased auth
self-documenting ipv documented
sha1 ipv sha256
SLA ipv trust
raid5 ipv raid6
USA cloud ipv European
onkunde, luiheid, kort-effect-klap, moet-verboden-worden ?
Het wordt tijd dat productaansprakelijkheid wettelijk wordt geregeld. Gecertificeerde producten hebben een streepje voor.