Kwetsbaarheden in SEC-IP alarm protocol
De Nederlandse vereniging voor de beveiligingsbranche VEBON laat weten dat er kwetsbaarheden in IP alarmtransmissie protocollen zitten.
Voor het zenden van alarmcommunicatie over IP wordt gebruik gemaakt van het SEC-IP protocol, een open protocol dat begin van deze eeuw is opgesteld leveranciers met als doel standaardisatie. Gebleken is echter dat het protocol een aantal kwetsbaarheden kent. Zo bevat het protocol onvoldoende authenticatie, waardoor de identiteit van de IP kiezer of ontvanger niet voldoende controleerbaar is. Vergelijkbare kwetsbaarheden zijn mogelijk ook van toepassing op andere alarmtransmissie protocollen die in de branche worden gebruikt. Dit specifieke protocolprobleem dienen fabrikanten, indien van toepassing, dan ook wereldwijd met nieuwe releases op te lossen.
Direct na de constatering heeft VEBON samen met enkele betrokken leden en een tweetal gespecialiseerde bureaus gezocht naar een adequate oplossing voor het probleem. De bij VEBON aangesloten fabrikanten en PAC’s zijn vervolgens eind februari 2013 geïnformeerd en voorzien van tools om een en ander op te lossen. Op dit moment is men bezig met implementatie van het verbeterde SEC-IP protocol. Firmwares zijn of komen op korte termijn beschikbaar. Recent is ook het Nationaal Cyber Security Centrum in Den Haag op de hoogte gesteld van de oplossing.
In opdracht van VEBON heeft Certified Secure, specialist in IP Security, een ‘vulnerability report’ opgesteld waarin wordt beschreven welke kwetsbaarheden zijn aangetroffen en hoe deze zijn opgelost. Een tweede extern internet security bedrijf, Pine, heeft het verbeterde protocol (versie 2.1.0) getest en goedgekeurd. Verschillende fabrikanten hebben inmiddels firmware updates voor hun producten uitgebracht.