Firmware: het belang van firmware updates voor je cybersecurity

Firmware is noodzakelijk voor het goed functioneren van je hardware en je hardware is weer nodig voor je bedrijfsvoering. Het niet updaten van firmware kan ernstige gevolgen hebben, zoals we later uitleggen. Frappant is dan ook dat de meeste bedrijven veel tijd besteden aan het updaten van besturingssystemen en applicaties, maar de firmware waarop de hardware draait nooit (of alleen in noodgevallen) updaten. Firmware-aanvallen zijn ingewikkelder en zeldzamer dan andere cyberaanvallen, maar door corona is het aantal sterk toegenomen. Gartner doet een straffe voorspelling: in 2022 worden zeven van de tien organisaties die niet in het bezit zijn van een firmware-updateprogramma getroffen door een firmware-gerelateerd cyberincident.

Wat is firmware?

Firmware betekent software die is ingebouwd in hardware en ervoor zorgt dat de hardware goed functioneert. Optische drives, routers, tv’s, wasmachines, Internet of Things (IoT)-apparaten zoals IP-camera’s en slimme deurbellen: ze bevatten allemaal firmware. Ook pc’s zijn ervan voorzien: firmware met de naam BIOS of UEFI ‘woont’ op het moederbord, daarnaast is het de softwarematige basis onder componenten als netwerk- en videokaarten. 

Voor complexere apparaten zoals pc’s bevat firmware alleen maar de basisfuncties van een apparaat en communiceert het met ‘hogere’ software die door eindgebruikers wordt gebruikt. Firmware fungeert als het volledige besturingssysteem voor minder complexe devices waaronder IoT-apparaten. Goed om op te merken: de termen firmware en driver worden vaak verward. Firmware is software die op de hardware zelf staat waardoor de hardware z’n taken kan verrichten. Drivers zijn computerprogrammaatjes op een pc die applicaties in staat stellen samen te werken met specifieke hardware.

De noodzaak van firmware-updates

Hardwarefabrikanten kunnen firmware-updates beschikbaar stellen. Dat kan bijvoorbeeld worden gedaan om programmeerfouten (‘bugs’) te herstellen of extra functionaliteiten toe te voegen. Een firmware-update voor een router kan bijvoorbeeld zorgen voor betere netwerkprestaties.

De belangrijkste reden is echter cybersecurity. Zoals alle software kan firmware kwetsbaarheden bevatten. En die kunnen een cyberrisico vormen. Allereerst omdat hackers toegang kunnen krijgen tot firmware door traditionele beveiliging te omzeilen. Als hackers firmware binnendringen, kunnen ze toegangsrechten van het hoogste niveau én volledige controle over een systeem krijgen. Soms is malware bovendien dusdanig hardnekkig dat het een factory reset overleeft, waardoor het onherstelbare schade toebrengt aan een apparaat. Een solide proces voor het updaten van firmware moet dus een belangrijke pijler van iedere cybersecurity-strategie zijn.

Wat zijn kwetsbaarheden van firmware?

De voorbeelden van firmware-kwetsbaarheden zijn talrijk. Honderden miljoenen pc-componenten hebben firmware die relatief eenvoudig te hacken is, zo blijkt uit onderzoek van Eclypsium. Beroemde firmware-malware is de exploit van de (waarschijnlijk aan de NSA gelieerde) Equation Group, waarmee harde schijven van allerlei populaire merken geherprogrammeerd kunnen worden. De TrickBot-malware kan wachtwoorden stelen en de Ryuk-ransomware verspreiden. Bijzonder slinks is ShadowHammer, dat werd gedistribueerd via het legitieme updatekanaal van ASUS en zo een achterdeur openzette op duizenden pc’s.

 
Notoir zijn de kwetsbaarheden in de firmware van IoT-apparaten zoals tracking devices, slimme sloten, brandmelders en beveiligingssystemen. Ethische hackers konden zo al auto’s kapen en pacemakers uitzetten. Met name apparaten die zijn gekocht via goedkope webshops hebben vaak rammelende firmware.

Zo kun je firmware updaten

Firmware updaten is helaas geen kwestie van één druk op de knop. Het is tijdrovend, kan riskant zijn én vereist waarschijnlijk dat een systeem opnieuw moet opstarten, met downtime tot gevolg. De meeste bedrijven hebben bovendien niet de juiste tools om updates veilig te testen en uit te rollen (of zelfs om te achterhalen welke firmware ze überhaupt hebben en of dat daar updates voor beschikbaar zijn).

Hoe het updaten werkt, verschilt per apparaat. Updates kunnen uitgerold worden via firmware-over-the-air: de update wordt dan vanuit een centrale locatie naar alle gebruikers gestuurd. Smartphones krijgen regelmatig firmware-updates van de fabrikant tezamen met updates van de besturingssystemen iOS en Android, waarbij de gebruiker alleen maar op ‘oké’ hoeft te klikken. Bij veel apparaten is het nodig om voor een update naar de website van de fabrikant te gaan. De handleiding vermeldt doorgaans hoe je firmware-updates kunt installeren.

Kunnen firmware updates automatisch worden geïnstalleerd?

Er zijn fabrikanten die automatische firmware-updates aanbieden. Dit is echter niet geheel zonder risico. In de regel moet hardware na een update namelijk opnieuw worden opgestart, waardoor bijvoorbeeld je bedrijfsnetwerk kan uitvallen. Fabrikanten rollen deze updates overigens over het algemeen ’s nachts uit om de overlast zoveel mogelijk te beperken.

Fabrikanten zoals HP, Lenovo, Dell, Cisco en Apple hebben tools voor het makkelijk controleren en updaten van firmware. Ook zijn er centrale platformen zoals Microsoft Update en Linux Vendor Firmware Service, waarop fabrikanten updates beschikbaar stellen via de technologie ‘encapsulation’. Met deze technologie kun je het updaten van firmware automatiseren en zo een hoop tijd besparen. Ook voor updates van macOS-firmware, die onderdeel zijn van de reguliere updates van het besturingssysteem, wordt gebruikgemaakt van encapsulation.

Tips voor het updaten van firmware

Een aantal aandachtspunten voor het updaten van firmware: 

1. Lees eerst de handleiding. Ieder apparaat is uniek en kan een eigen manier hebben voor het updaten of herstellen van firmware.
2. Zet het apparaat niet uit tijdens het installeren van de update, aangezien het hierdoor kan beschadigen.
3. Voor de hand liggend, maar niet minder belangrijk: verzeker je ervan dat je de juiste firmware installeert. Dubbelcheck hiervoor het modelnummer of zoek contact met de leverancier welke firmware past bij jouw device.
4. Check wanneer updates uitkomen. Sommige apparaten attenderen je niet op beschikbare updates, dus moet je zelf de website van de fabrikant checken. Vaak kun je het apparaat registreren, waarna de fabrikant je per e-mail bericht over de updates.
5. Installeer beveiligingsupdates altijd zo snel mogelijk.
6. Update niet alleen computers, routers en servers, maar alle apparaten in het netwerk zoals printers en IoT-apparaten.
7. Kijk bij het aanschaffen van hardware naar het updatebeleid van de fabrikant. De verschillen zijn namelijk enorm. Stelregel: hoe goedkoper het apparaat, hoe minder firmware-updates er worden uitgebracht.