Tienduizenden routers en webcams wagenwijd open
Op het internet staan tienduizenden routers, webcams en VoIP-systemen wagenwijd open voor hackers omdat eigenaren het standaard wachtwoord niet hebben gewijzigd. Onderzoekers van de universiteit van Columbia scanden 130 miljoen IP-adressen op het internet en ontdekten 300.000 apparaten waarvan de administratieve interface via het internet toegankelijk was. 21.000 van deze apparaten gebruikten nog steeds de standaard login, maar de andere routers en webcams zouden nog steeds kwetsbaar voor brute-force aanvallen zijn. De onderzoekers extrapoleerden de gevonden gegevens en schatten dat er waarschijnlijk zo'n 6 miljoen kwetsbare apparaten met het internet verbonden zijn.
Via de openstaande routers kunnen aanvallers DNS instellingen wijzigen of andere systemen aanvallen, bijvoorbeeld voor het opzetten van een router-botnet. In het geval van de VoIP-systemen is het mogelijk om firmware te installeren en zo gesprekken op te nemen en af te luisteren. Het onderzoek vond plaats bij de grootste Europese, Amerikaanse en Aziatische internetproviders. Linksys routers behoren tot de meest gevonden kwetsbare apparaten. In Nederland zou de netwerkfabrikant voor 48,6% van alle kwetsbare apparaten verantwoordelijk zijn. Polycom VoIP-systemen komen de op de tweede plaats.
Wachtwoord
Via een speciaal script werden de machines gescand, waarin het doel werd uitgelegd. De onderzoekers hopen dat ISPs iets gaan doen om hun klanten te beschermen. Het zou dan voornamelijk om voorlichting gaan, waarin wordt uitgelegd hoe men de standaard inloggegevens kan wijzigen. Er ligt ook een taak voor de fabrikanten, die moeten eisen dat gebruikers een complex wachtwoord instellen. "Dit is niet een wachtwoord dat je elke dag nodig het, dus het instellen van een lastig wachtwoord en het op een papiertje schrijven is waarschijnlijk veilig om te doen", aldus één van de onderzoekers.
Het Intrusion Detection Systems Laboratory dat de scan uitvoerde en onderdeel van de universiteit is, wordt gesponsord door het Defense Advance Research Projects Agency (Darpa), het Ministerie van Homeland Security en andere agentschappen.
Dit weet toch iedereen !
Ander leuk voorbeeld:
Als je een scan doet op snmp porten en je kijkt hoeveel apparaten nog in community string "Public" hangen.
Moet je eens kijken wat voor info je daar uit kunt halen.
Misschien voor je pingpong routertje thuis maar niet voor een beetje volwassen router die LAN/WAN/INTERNET verkeer moet routeren !
Wat een opmerking !
geen "standaard" paswoord dus...
en er staat duidelijk vermeld dat je pas bepaalde services langs wan kunt openzetten als het een "complex" paswoord is ... geen '1234' of 'azerty' dus..
ook WPA staat standaard aan met een "complex" paswoord... uniek voor elk toestel...
en dat hoort bij de "huis/tuin/keuken" merken...
Alleen wat was dat http:/ adress ook alweer?
Misschien voor je pingpong routertje thuis maar niet voor een beetje volwassen router die LAN/WAN/INTERNET verkeer moet routeren !
Wat een opmerking !
Nee dit is een leuke situatie...
Misschien zouden fabrikanten de mogelijkheid kunnen toevoegen om dit uit te schakelen, special voor jouw 'volwassen' router :O
Alleen wat was dat http:/ adress ook alweer?"
door even te googelen ben ik zo alle standaard info van mijn router te weten gekomen.
of is het een ironische getinte post misschien?
130M IP adressen gescant.
gezien er heel wat hackertes in dat land wonen, had ik mijn firewall al voorzien van de IP adressen van dat land..
Op bovenstaande link een lijstje met een paat duizend standaard wachtwoorden. Geen misbruik graag..
Misschien voor je pingpong routertje thuis maar niet voor een beetje volwassen router die LAN/WAN/INTERNET verkeer moet routeren !
Wat een opmerking !
Nee dit is een leuke situatie...
Misschien zouden fabrikanten de mogelijkheid kunnen toevoegen om dit uit te schakelen, special voor jouw 'volwassen' router :O
In jouw belevingswereld is een Router wellicht een Lynksys doosje dat je thuis hebt staan voor 79 euro op de kop getikt bij de MediaMarkt.
Wellicht haalt men hier ook Routers en Modems een beetje door elkaar.
Als ik over een Router praat, refereer ik aan een Cisco 2600, 2800, 7000 , 10000 en 12000 serie en gelijkwaardige van andere leveranciers.
Daarbij gaat het meestal niet om een patch (soms wel zoals met BGP probleem van 2 maanden geleden) maar meestal om een IOS upgrade. Een IOS upgraden houdt dus een reload in hetgeen vaak niet wenselijk is omdat de Routers soms op plaatsen staan waar niemand bij staat (Colo's) Als de reload dus niet goed gaat zal er iemand in de auto moeten springen en de boel handmatig weer in de lucht moeten brengen. Daarnaast kan een Router reload een tijdje duren afhankelijk van de config. Gedurende die tijd is er dus geen verkeer routering mogelijk. Ook al is het systeem dan redundant je zit dus altijd even met een hikje. Daarnaast heb je natuurlijk ook nog je SLA's waar je rekening mee moet houden als je enkelvoudig uitgevoerd bent.
Kortom het is in de grote wereld iets gecompliceerder.
Echter van dit kaliber staan ze niet zo vaak open en blood.
Misschien voor je pingpong routertje thuis maar niet voor een beetje volwassen router die LAN/WAN/INTERNET verkeer moet routeren !
Wat een opmerking !
Nee dit is een leuke situatie...
Misschien zouden fabrikanten de mogelijkheid kunnen toevoegen om dit uit te schakelen, special voor jouw 'volwassen' router :O
In jouw belevingswereld is een Router wellicht een Lynksys doosje dat je thuis hebt staan voor 79 euro op de kop getikt bij de MediaMarkt.
Wellicht haalt men hier ook Routers en Modems een beetje door elkaar.
Als ik over een Router praat, refereer ik aan een Cisco 2600, 2800, 7000 , 10000 en 12000 serie en gelijkwaardige van andere leveranciers.
Daarbij gaat het meestal niet om een patch (soms wel zoals met BGP probleem van 2 maanden geleden) maar meestal om een IOS upgrade. Een IOS upgraden houdt dus een reload in hetgeen vaak niet wenselijk is omdat de Routers soms op plaatsen staan waar niemand bij staat (Colo's) Als de reload dus niet goed gaat zal er iemand in de auto moeten springen en de boel handmatig weer in de lucht moeten brengen. Daarnaast kan een Router reload een tijdje duren afhankelijk van de config. Gedurende die tijd is er dus geen verkeer routering mogelijk. Ook al is het systeem dan redundant je zit dus altijd even met een hikje. Daarnaast heb je natuurlijk ook nog je SLA's waar je rekening mee moet houden als je enkelvoudig uitgevoerd bent.
Kortom het is in de grote wereld iets gecompliceerder.
Echter van dit kaliber staan ze niet zo vaak open en blood.
Dat is vragen om ellende.
deze te blacklisten?
of een script laten lopen dat het standaard wachtwoord veranderd in een lang random password?
Zouden producenten dit kunnen doen?
Zouden ISPs dit kunnen doen?
Zou de overheid dit kunnen doen?
anders commissie stiekem misschien of aivd?
of moet er weer een gemaskerde digitale held worden geboren om dit klusje te klaren?
Greetingz,
Jacco
deze te blacklisten?
of een script laten lopen dat het standaard wachtwoord veranderd in een lang random password?
Zouden producenten dit kunnen doen?
Zouden ISPs dit kunnen doen?
Zou de overheid dit kunnen doen?
anders commissie stiekem misschien of aivd?
of moet er weer een gemaskerde digitale held worden geboren om dit klusje te klaren?
Greetingz,
Jacco
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
