[Podcast] Helderheid over hardware security
De kwetsbaarheden Meltdown en Spectre die begin dit jaar aan het licht kwamen, brachten de beveiliging van hardware scherp in beeld. In de nieuwste aflevering van onze Cyber Security Sauna-podcast bespreekt F-Secure’s Head of hardware security, Andrea Barisani, de kritieke kwetsbaarheden. Hij vertelt waarom we juist dankbaar moeten zijn voor Meltdown, en heeft het over zijn passie voor de security van auto’s, vliegtuigen en embedded devices. Hier behandelen we kort vijf onderwerpen uit het interview met de oprichter van hardwarebedrijf Inverse Path, dat overgenomen is door F-Secure.
Hardware- versus software-security: de uitdagingen
“Vergissingen in de hardwarematige security zijn vaak lastig te patchen,” zegt Barisani. Met software worden beveiligingsproblemen in het ideale geval gecorrigeerd in een updateproces. Maar voor een fundamentele hardwarefout zijn soms dure wijzigingen in de hardware nodig, of zelfs een complete terugroeping van producten. Dit betekent dat het noodzakelijk is om vroeg in het ontwerpproces de juiste beslissingen te nemen.
Wees dankbaar voor Meltdown
Barisani zegt dat we veel geluk hebben gehad met Meltdown. Het had namelijk best eens het einde van cloud computing kunnen betekenen zoals wij het kennen.
“We hebben geluk dat je Meltdown kunt afzwakken door veranderingen in het besturingssysteem,” zegt Barisani. “Dat zijn weliswaar zeer ingrijpende veranderingen, maar we moeten dankbaar zijn dat er überhaupt strategieën zijn om Meltdown te beperken. Als dat niet het geval was geweest, was het onmogelijk om de geheugenscheiding tussen virtuele machines (VM) gehost op Google’s infrastructure op gedeelde hardware af te dwingen.”
Kwetsbaarheden openbaar gemaakt
“Als er een probleem is gevonden, horen we in onze branche vaak de zin: ‘voor zover we weten, zijn de kwetsbaarheden niet openbaar gemaakt.’ Dit klinkt geruststellend,” zegt Barisani. “Je moet echter voorzichtig zijn met deze uitspraak, omdat het misschien waar is, maar misschien ook niet. Het feit dat er geen bewijs is, betekent niet dat je geen risico loopt. Je weet ook niet zeker dat het niet is gebeurd.”
Barisani bepleit het principe van conservatieve security – ga uit van het ergste. “Als we een kwetsbaarheid hebben geïdentificeerd, gaan we er van uit dat we niet de enige zijn die dat hebben kunnen vinden.”
Relatie tussen veiligheid en beveiliging
Bepaalde bedrijfstakken, zoals de luchtvaart en de automotive sector, hebben naast beveiliging ook speciale veiligheidsoverwegingen.
“Als het op veiligheid aankomt, is falen geen optie”, zegt Barisani. “Dat betekent dat er een uitgebreid proces is om ervoor te zorgen dat kritieke componenten voor de veiligheid zich gedragen zoals bedoeld. Het begrijpen van de interactie tussen veiligheid en beveiliging is echter een vrij nieuw onderwerp.” De grote uitdaging is ervoor te zorgen dat infosec-medewerkers de processen die gerelateerd zijn aan veiligheid respecteren en er op de juiste manier mee omgaan. Dit zijn gevestigde processen die al lange tijd bestaan.
“Security kan veel leren van safety. Die cultuur van ‘falen is geen optie’ kennen we in de traditionele softwarebeveiliging niet.”
Het enige advies voor hardwarefabrikanten
Barisani zegt dat wanneer beveiligingsadviseurs vroeg in het proces betrokken zijn bij het ontwerp van het product, de fabrikant ervoor kan zorgen dat hij de juiste ontwerpbeslissingen neemt en eventuele beveiligingsproblemen van tevoren kan aanpassen.
“Wanneer we een apparaat pentesten en we problemen vinden, moeten we opnieuw beginnen en dit proces herhalen. Maar als we dit proces al in een vroeg stadium kunnen uitvoeren, verminderen we verschillende soorten problemen meteen,” zegt hij. “Bijvoorbeeld de beveiliging voor je hardware-apparaten, wanneer je ze ontwerpt en een derde partij betrekt. Het wordt rendabeler en heeft een grotere impact op het ontwerp van het product.”
Luister voor meer informatie over hardware-beveiliging naar de volledige aflevering. Barisani bespreekt daarin ook de vage grens tussen hardware en software, een van de eerste auto-hacks in de geschiedenis, en waarom niet elk beveiligingsprobleem in de luchtvaart noodzakelijkerwijs een veiligheidsprobleem is.
Ben je F-Secure partner/reseller of ben je geïnteresseerd in ons portfolio en wil je reseller worden? Meld je dan aan voor de F-Secure Partner Life Security Academy op 1 juni in Eindhoven. Klik hier voor meer informatie.
Categorieën