image

"Routers eenvoudig doelwit voor inlichtingendiensten"

donderdag 5 september 2013, 12:40 door Redactie, 13 reacties

Routers en switches zijn een eenvoudig en ideaal doelwit voor inlichtingendiensten om langdurig toegang tot netwerkverkeer te krijgen, omdat de apparaten niet vaak met nieuwe software worden geüpdatet, of gepatcht zoals bij Windows- en Linuxsystemen het geval is.

Dat zegt beveiligingsexpert Marc Maiffret, tevens Chief Technology Officer (CTO) van BeyondTrust. Hij reageerde op een bericht dat de Washington Post vorige week publiceerde. Daaruit zou blijken dat de Amerikaanse inlichtingendienst NSA op tienduizenden machines malware had geïnstalleerd, waaronder routers, computers en firewalls.

Updates

"Niemand updatet zijn routers", laat Maiffret tegenover Wired weten. "Als je denkt dat mensen slecht zijn in het patchen van Windows en Linux (wat ze ook zijn), dan zijn ze ... verschrikkelijk in het updaten van hun netwerkapparatuur omdat het te kritiek is en ze meestal niet over redundantie beschikken om het goed te doen." Daarnaast zouden routers ook niet over beveiligingssoftware beschikken om een inbraak of hack te detecteren.

"[Router software is] slechts een besturingssysteem dat net als Windows en Linux gehackt kan worden", gaat Maiffret verder. "Ze hebben geprobeerd ze iets beter [dan deze andere systemen] te beveiligen, maar voor mensen bij de NSA of andere inlichtingendiensten is het doorsnee werk om een backdoor in je Cisco of Juniper modellen te hebben."

Reacties (13)
05-09-2013, 15:06 door Anoniem
Het updaten van een router is (nodelooos?) ingewikkeld,tijdrovend en ook niet zonder risico.Vaak is de update ook moeilijk te verkrijgen bij de fabrikant. Zeker voor oudere modellen routers. Veder is het zo dat vrijwel alle routers enige security ontwerpfouten hebben plus het feit dat ook wpa2 tegenwoordig vrij snel kan worden gekraakt.Kortom ga er maar vanuit dat routerbeveiliging zo goed als niet bestaat.De consument wacht nog steeds op betere beveiliging.ecvryptie dan wpa2,net als dat de consument wacht op een betere beveiliging dan dect voor draadloze telefoonsets,en ook op betere beveiliging van mobiele telefoons en simkaarten (tegen o.m. afluisteren)!
05-09-2013, 16:27 door yobi
Voor consumenten is het niet te doen. Het apparaat wordt verstrekt door de provider. De provider is ook de eigenaar. Het updaten mag dan ook meestal niet. Verantwoordelijkheid voor een inbraak zal denk ik wel door de provider worden uitgesloten.

Een gerenommeerd bedrijf zal toch de spullen moeten testen, voordat het op de markt wordt gebracht. Misschien laten certificeren door een instantie.
05-09-2013, 16:38 door Anoniem
r-Au!-ter

* Terug naar het snoertje (ook nog sneller)
* Modem deurtjes dicht, snaveltjes toe (www.grc.com , services, )
* Machientje op Stealth mode, zoveel mogelijk hekjes sluiten (van die 65535)
05-09-2013, 16:49 door Briolet - Bijgewerkt: 05-09-2013, 16:52
Het updaten van een router is (nodelooos?) ingewikkeld,tijdrovend en ook niet zonder risico.Vaak is de update ook moeilijk te verkrijgen bij de fabrikant.
Dat zal er vanaf hangen of je een A of B merk router hebt. Ik heb twee airports (die niet eens als router ingesteld zijn). Daar kun je in de voorkeuren instellen om zelfs dagelijks naar een update te zoeken. De laagste frequentie is maandelijks. Dus in de slechtste situatie wordt je na een maand gewaarschuwd dat je even de 'update knop' moet activeren.

En ook bij ISP verstrekte modems hoeft het niet zo erg te zijn. De door Ziggo verstrekte routers kijken na een stroom onderbreking altijd of er een update is en halen die dan automatisch op.

Dus ik zie het update probleem niet zo dramatisch. Of er backdoors in zitten is een ander verhaal.
05-09-2013, 17:19 door Anoniem
Door Briolet:
Het updaten van een router is (nodelooos?) ingewikkeld,tijdrovend en ook niet zonder risico.Vaak is de update ook moeilijk te verkrijgen bij de fabrikant.
Dat zal er vanaf hangen of je een A of B merk router hebt. Ik heb twee airports (die niet eens als router ingesteld zijn). Daar kun je in de voorkeuren instellen om zelfs dagelijks naar een update te zoeken. De laagste frequentie is maandelijks. Dus in de slechtste situatie wordt je na een maand gewaarschuwd dat je even de 'update knop' moet activeren.

En ook bij ISP verstrekte modems hoeft het niet zo erg te zijn. De door Ziggo verstrekte routers kijken na een stroom onderbreking altijd of er een update is en halen die dan automatisch op.

Dus ik zie het update probleem niet zo dramatisch. Of er backdoors in zitten is een ander verhaal.
Nou ik heb een Arris modem vd UPC en moest er zelf een router (Netgear) bij kopen.Of de modem automatisch wordt ge-update weet ik niet en vd Netgear router weet ik niet hoe ik die zou moeten updaten en/of auto-updates instellen.Eigenlijk zou dat laatste op elke router en modem standaard ingesteld moeten zijn,dat ie automatisch naar updates zoekt en deze ook zelf automatisch ophaalt en instelt.
05-09-2013, 17:39 door Anoniem
Zou mij niks verbazen,je kan tegenwoordig op het internet eigenlijk ook niet zonder goede kennis iedere site vertrouwen.
Mijn netwerk is alleen toegankelijk met mijn eigen toegewezen macaddressen,wijken deze af van de naam van het apparaat dan worden deze meteen gebounced.
Alleen mijn toegwezen randapparatuur,heeft dus toegang tot mijn netwerk.
Hoe ik alles heb ingesteld daar ga ik geen mededelingen verder over doen.
Ik heb gewoon gezorgd voor een goede beveiliging van mijn netwerk,omdat ik goede kennis van zaken heb met het werken met de computer.
05-09-2013, 21:09 door cyberpunk
Ik weet niet of het écht veel veiliger is, maar waar mogelijk installeer ik DD-WRT op routers die ik instel.
05-09-2013, 23:26 door Anoniem
Door cyberpunk: Ik weet niet of het écht veel veiliger is, maar waar mogelijk installeer ik DD-WRT op routers die ik instel.

En heb je dan de garantie dat de ontwikkelaars van DD-WRT er geen NSA achterdeurtje in hebben gebouwd? Die gasten doen het tenslotte ook niet omdat ze niets beters te doen hebben en, laten we wel wezen, als de NSA de knip trekt dan komen er miljoenen uit. Knappe jongen die dan nee durft te zeggen. Het is erg lastig om nog bedrijven te vertrouwen momenteel, er gaat teveel geld rond en belangen zijn blijkbaar eenvoudiger te koop dan we gedacht hadden.
06-09-2013, 09:07 door Anoniem
" dat ook wpa2 tegenwoordig vrij snel kan worden gekraakt"
Bron? link?

"is alleen toegankelijk met mijn eigen toegewezen macaddressen,wijken deze af van de naam van het apparaat dan worden deze meteen gebounced"

Haha, jij denkt dat enige veiligheid introduceert?
06-09-2013, 09:43 door Anoniem
Door Anoniem:
Mijn netwerk is alleen toegankelijk met mijn eigen toegewezen macaddressen,wijken deze af van de naam van het apparaat dan worden deze meteen gebounced.
Alleen mijn toegwezen randapparatuur,heeft dus toegang tot mijn netwerk.
Hoe ik alles heb ingesteld daar ga ik geen mededelingen verder over doen.
Ik heb gewoon gezorgd voor een goede beveiliging van mijn netwerk,omdat ik goede kennis van zaken heb met het werken met de computer.

Tjonge jonge, wat een arrogantie en overschatting van de eigen 'goede kennis'. Weet je wel hoe easy het is om macadressen te spoofen ?
06-09-2013, 11:18 door Anoniem
Tjonge jonge, wat een arrogantie en overschatting van de eigen 'goede kennis'. Weet je wel hoe easy het is om macadressen te spoofen ?

Daarom gebruikt hij ook een combinatie van macadressen en hostname, maakt het ietsje moeilijker maar niet onoverkomelijk.
06-09-2013, 12:10 door Anoniem
Door Anoniem: Het updaten van een router is (nodelooos?) ingewikkeld,tijdrovend en ook niet zonder risico.Vaak is de update ook moeilijk te verkrijgen bij de fabrikant. Zeker voor oudere modellen routers. Veder is het zo dat vrijwel alle routers enige security ontwerpfouten hebben plus het feit dat ook wpa2 tegenwoordig vrij snel kan worden gekraakt.Kortom ga er maar vanuit dat routerbeveiliging zo goed als niet bestaat.De consument wacht nog steeds op betere beveiliging.ecvryptie dan wpa2,net als dat de consument wacht op een betere beveiliging dan dect voor draadloze telefoonsets,en ook op betere beveiliging van mobiele telefoons en simkaarten (tegen o.m. afluisteren)!

Of WPA2 i.c.m. AES snel gekraakt acht ik te betwijfelen. Het kraken van een WPS sleutel, wat default nog steeds aan staat bij veel routers, kan binnen een paar minuten plaats vinden net als WPA2 i.c.m. met PSK. Daarnaast is elke vorm van beveiliging kwetsbaar met zwakke wachtwoorden. Via SET kun je een behoorlijk profiel samenstellen van mensen d.m.v. de gegevens die je van ze terug vindt op allerlei social media. De wachtwoordlijst die SET kan opleveren is dan al vaak voldoende omdat veel mensen de naam van hun kinderen, huisdieren ed. gebruiken. Allemaal gegevens die je met een beetje zoekwerk vrij eenvoudig kan vinden.
Maar aan WPA2 + AES met een sterk (cijfer, letter en leestekens) en lang wachtwoord ( minimaal 22 karakters) zal ook de NSA een flinke kluif hebben en er jaren voor nodig hebben omdat te kraken, verwacht ik. WPA2 enterprise i.c.m. Radius zal nog eens stuk lastiger zijn.
Aan de andere kant, wanneer router leveranciers zelf achterdeurtjes aanbrengen (recent was TP-Link nog in het nieuws) dan maakt het natuurlijk niet meer uit hoe zwaar de voordeur dan op slot zit.
06-09-2013, 15:07 door Anoniem
Door Anoniem: Het updaten van een router is (nodelooos?) ingewikkeld,tijdrovend en ook niet zonder risico.Vaak is de update ook moeilijk te verkrijgen bij de fabrikant. Zeker voor oudere modellen routers. Veder is het zo dat vrijwel alle routers enige security ontwerpfouten hebben plus het feit dat ook wpa2 tegenwoordig vrij snel kan worden gekraakt.Kortom ga er maar vanuit dat routerbeveiliging zo goed als niet bestaat.De consument wacht nog steeds op betere beveiliging.ecvryptie dan wpa2,net als dat de consument wacht op een betere beveiliging dan dect voor draadloze telefoonsets,en ook op betere beveiliging van mobiele telefoons en simkaarten (tegen o.m. afluisteren)!

En dan heb je een groot professioneel netwerk. En je gebruikt OSPF en je hebt er een wachtwoord op staan. Hoe wijzig je nou ooit het OSPF wachtwoord voor alle routers zonder je netwerk plat te leggen en het land af te racen om ze allemaal aan te passen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.