Leren van de game-industrie

Zeven lessen die IoT-fabrikanten kunnen leren op het gebied van security 

Gameconsoles zijn enorm lastig te hacken, omdat de fabrikanten altijd veel aandacht besteden aan security. IoT-fabrikanten kunnen hier nog wat van leren:

1. TPM-chips en crypto-sleutels
Een Trusted Platform Module chip is een soort securitykluis waar onder andere encryptiesleutels veilig in worden bewaard, zodat hackers er niet bij kunnen. Met de sleutels kan de TMP-chip het device en de communicatie met de gameserver zelf authentiseren.

2. Secure boot
De bovenstaande TPM-chip zorgt er ook voor dat de console aan de hand van de sleutels elke stap in het bootproces kan nalopen op afwijkingen. Dit is waardevol, want hackers hebben het vaak gemunt op dat opstartproces.

3. Ondertekende firmware-updates
Gameconsoles bevatten in de processor een securitymodule met een specifieke sleutel van de fabrikant. Door deze sleutel kunnen hackers geen niet-geverifieerde software starten op het systeem. Dit voorkomt onder andere de installatie van besmette firmware.  

4. Versleuteld geheugen en opslag
Het komt voor dat armoedig geïmplementeerde software gevoelige informatie, zoals digitale sleutels, in het geheugen bewaart. Wanneer deze data niet versleuteld is, kunnen met RAM-scraping-technieken de hackers nog veel verdere toegang creëren. Ook hier kan een veilige sleutel bescherming bieden.

“Het veiligste digitale apparaat in je huiskamer is hoogstwaarschijnlijk je PlayStation of Xbox”

5. Hypervisor
Dit is een tussenlaag tussen een virtuele machine en de fysieke hardware, waar moderne gameconsoles mee werken. Een besturingssysteem op een virtuele machine heeft geen directe toegang tot bijvoorbeeld het geheugen van het apparaat, wat securityvoordelen biedt.

6. Online checks
Door gameconsoles worden checks uitgevoerd om de geïnstalleerde games te controleren. Dit gebeurt door ‘naar huis te bellen’ met de fabrikant, die de data daarna controleert. IoT-fabrikanten kunnen dit gebruiken om te kijken of er niet is gerommeld met hun software of digitale sleutels.  

7. Automatische updates
Automatische updates maken het de fabrikant eenvoudiger om hun apparaten te beveiligen tegen nieuwe dreigingen en ontdekte lekken. IoT-fabrikanten zouden hun apparaten ook van deze functionaliteit moeten voorzien, zodat er indien nodig snel veiligheidsupdates kunnen worden uitgerold. 

Power to the people! ...
Lees artikel