F-Secure publiceerde onlangs een onderzoeksrapport dat melding maakt van nagemaakte Cisco Catalyst 2960-X-serie switches. Het rapport bespreekt de uitdagingen waarmee organisaties te maken hebben als zij namaak in hun IT-infrastructuur ontdekken. Vervalste hardware is een terugkerend probleem dat zich vooral voordoet in zakelijke omgevingen. Helaas blijft het vaak onopgemerkt en dat brengt ernstige financiële, operationele en veiligheidsrisico’s met zich mee.
Het Hardware Security-team van F-Secure Consulting onderzocht twee verschillende namaakversies van de Cisco Catalyst 2960-X-serie switches. De namaak werd bij toeval ontdekt door een IT-bedrijf nadat de apparaten door een software-update niet meer werkten. De onderzoekers stelden vast dat de namaak voorzien was van functies om de authenticatie van netwerkcomponenten te omzeilen. Dat toont aan hoe lastig het is om een organisatie te beveiligen tegen nagemaakte hardware, aldus het rapport.
Het komt vaker voor dat namaak aan het licht komt door een software-update, want de vervalste hardware kan daar vaak niet mee omgaan. Op verzoek van het IT-bedrijf dat slachtoffer was van de namaak heeft F-Secure Consulting een grondige analyse uitgevoerd om de veiligheidsimplicaties te bepalen. Deze gedetailleerde technische analyse staat beschreven in het rapport en illustreert volgens de onderzoekers hoe criminelen toegang intellectueel kapitaal in handen krijgen, dit dupliceren en de beveiliging ervan omzeilen. Dat leidt tot nagenoeg perfecte namaak van bestaande producten.
De risico’s van namaak
Organisaties die gebruik maken van namaak lopen onder meer financiële, operationele en beveiligingsrisico’s. Meestal worden nagemaakte apparaten met korting gekocht, maar het financiële risico kan op de lange termijn duurder uitpakken dan de aankoop van originele apparaten. Bedrijven met namaakapparaten hebben bovendien geen geldige service level agreements en krijgen vaak ook nul op rekest bij ondersteuningsverzoeken van de leverancier.
Het operationeel risico ontstaat doordat de namaak na een tijdje waarschijnlijk niet meer goed functioneert. Dat kan het gevolg zijn van firmware-updates of van problemen die de leverancier niet ondersteunt of aanpakt. Dat leidt op zijn beurt tot uitval en dat eist zijn tol op de bedrijfsactiviteiten en -budgetten.
Gaten in de beveiliging
Het grootste risico van namaak is echter ligt echter op het vlak van IT-beveiliging. Een namaakapparaat kan voorzien zijn van firmware die afwijkt van de legitieme en geverifieerde firmware van het origineel. De firmware van het namaakapparaat kan bijvoorbeeld achterdeuren bevatten die cybercriminelen toegang en inzage geven tot, en de controle over, het netwerkverkeer.
Functies om de controle van de authenticiteit te omzeilen kunnen ook kwetsbaarheden bevatten die de beveiligingsmaatregelen van de oorspronkelijke firmware ondermijnen. De beveiliging van de namaak die F-Secure onderzocht is hierdoor niet bestand tegen bekende of nieuwe aanvallen op de Cisco-firmware, zeggen de onderzoekers in het rapport.
Bovendien maakt de namaak het voor aanvallers veel gemakkelijker om zich langdurig in de IT-omgeving te nestelen. De controles van de authenticiteit en achterdeuren zitten al ingebakken in een namaakapparaat en dat maakt het eenvoudig om via de vervalste apparaten binnen te dringen, en te blijven, in een bedrijfsnetwerk.
Goedkoop is duurkoop
Het vervalsen van hardware is een ernstig probleem voor zowel leveranciers als hun klanten, stelt F-Secure. Namaak kan echter zeer winstgevend zijn voor criminelen. Zij doen er alles aan om de productiekosten zo laag mogelijk te houden, en geven er niets om als dit ten koste gaat van de kwaliteit. Dat maakt de prestaties van de namaak twijfelachtig en het gebruik ervan onveilig. Dat heeft vervolgens een negatieve impact op zowel de oorspronkelijke fabrikant als op de gebruiker van een namaakapparaat, aldus het rapport.
Het gaat de producenten van namaak bijna altijd om geld. De apparaten die men kloont zijn vaak erg duur en als de vervalsers slechts een derde van de originele prijs verdienen, is het waarschijnlijk al de moeite waard. Het is veel duurder, en technisch ingewikkelder, voor criminelen om een achterdeur te creëren in originele apparaten om toegang te krijgen tot een bedrijfsnetwerk, zeggen de onderzoekers.
Onderzoeksresultaten
De namaak die F-Secure onderzocht was fysiek en operationeel vergelijkbaar met een authentieke Cisco-switch. Uit de techniek binnen de apparaten blijkt dat de vervalsers ofwel flink investeren in het repliceren van het oorspronkelijke ontwerp van Cisco, ofwel toegang hebben tot eigen technische documentatie daarvan, zeggen de onderzoekers.
De nagemaakte Cisco-switches beschikten weliswaar niet over een achterdeur, maar waren wel voorzien van verschillende functies om beveiligingsmaatregelen te omzeilen. Een van de apparaten maakt bijvoorbeeld misbruik van een tot nog toe onontdekte softwarekwetsbaarheid. Deze ondermijnt veilige opstartprocessen die bescherming bieden tegen de manipulatie van firmware.
De namaak omzeilt de authenticatie, maar de onderzoekers vonden geen bewijs voor andere risico’s. De vervalsers waren er waarschijnlijk alleen op uit om geld te verdienen met de verkoop van een namaakapparaat. De onderzoekers wijzen er echter op dat veel andere aanvallers dezelfde aanpak hanteren om ongezien in de netwerken van bedrijven te komen. Daarom is het belangrijk om alle aangepaste hardware grondig te controleren, aldus het rapport.
Beschermen tegen namaak
F-Secure geeft het volgende advies waarmee organisaties kunnen voorkomen dat ze vervalste apparaten gebruiken:
- Koop alle apparaten bij geautoriseerde resellers;
- Zorg voor duidelijke interne processen en beleidsregels voor inkoopprocessen;
- Zorg ervoor dat alle apparaten de meest recente software van leveranciers gebruiken;
- Let op fysieke verschillen tussen verschillende modellen van hetzelfde product, hoe subtiel ze ook lijken;
Namaak werkt meestal niet meer nadat de software is bijgewerkt. Bedrijven die deze modellen gebruiken, kunnen in de logbestanden zoeken naar mislukte authenticatiestappen.
Cisco heeft een speciaal team voor merkbescherming dat zich bezighoudt met namaak. Het bedrijf biedt onder meer een toepassing voor het controleren van serienummers om detectie mogelijk te maken. Dat laat op zich al zien hoe relevant dit probleem is. De handel in namaakproducten lijkt té lucratief om de criminelen ervan te weerhouden.
Bron: TechNewsWorld