Beveiligingslek in 50.000 harde schijven en scanners
Een beveiligingslek in ondermeer printers van HP en netwerkschijven van iOmega heeft ervoor gezorgd dat gegevens van KLM, Unilever, ING, Europol en Ballast Nedam voor het grijpen lagen. Ook elektronische patiënteninformatie, paspoorten en financiële gegevens waren via internet te vinden. Dat meldt het KRO televisieprogramma Reporter, dat vanavond met een uitzending komt.
Reporter onderzocht de veiligheid van randapparatuur zoals printers, scanners, camera's en netwerkschijven. Steeds vaker zijn deze apparaten uitgerust met webservers, die het mogelijk maken de apparaten op afstand, via internet te benaderen. Een aanzienlijk aantal merken blijkt standaard onbeveiligd te zijn, waardoor ze voor iedereen, waar ook ter wereld toegankelijk zijn.
IP-adressen
De kopers van de apparatuur zijn zich er meestal niet van bewust dat hun scanner of netwerkschijf toegankelijk is voor derden. Wereldwijd werden er door het televisieprogramma meer dan 50.000 onbeveiligde systemen gevonden en werd er een lijst met alle IP-adressen van toegankelijke apparaten gemaakt. Uit een steekproef blijkt dat er veel informatie op de apparaten staat, die niet op het publieke internet thuis hoort.
Zo werd onder meer bedrijfsvertrouwelijke informatie van de KLM aangetroffen, waaronder investeringsplannen en noodprocedures van de ICT-afdeling. De Europese verkoopcijfers van meer dan 40.000 producten van voedingsmiddelenconcern Unillever waren publiek toegankelijk, net zoals vertrouwelijke bedrijfsplannen van Ballast Nedam en interne stukken van ING.
Ook werd informatie aangetroffen van Europol, het samenwerkingsverband van Europese politiekorpsen, waaronder wachtwoorden. Europol ontkent dit tegenover Security.nl. Behalve bedrijfsinformatie vond Reporter veel apparaten met privacygevoelige financiële informatie en paspoorten van particulieren. Maar ook vertrouwelijke patiëntendossiers van een huisarts in Amstelveen en een psychotherapeut in Amsterdam.
Patch
Fabrikant iOmega erkent het probleem en zal in februari een software-update uitbrengen om het probleem met zijn netwerkschijven te verhelpen. Op dit moment is de apparatuur nog steeds toegankelijk. Hewlett-Packard doet dat niet en zegt dat klanten zelf verantwoordelijk zijn voor het beveiligen van hun apparatuur.
Pas daarbij heb je immers dat domme "ieder apparaat adresseerbaar op internet" wat niemand wil behalve de IPv6 ontwerpers.
Dus er schijnen dus veel devices direct aan het internet geknoopt te zijn, klinkt als een absolute nono !
Vroeg of laat ,zoals nu al blijkt gaat het verkeerd.
Daarom ben ik ook tegen EPD.
IOMega is al niet zo'n sterk product qua veiligheid.
Metasploit heeft al geruime tijd een exploit liggen, exploit-db heeft meerdere poc's staande bij ;)
en genoeg cve's te vinden met als laatste CVE-2012-2283
http://exploitsdownload.com/exploit/na/iomega-onestep-backuptxt
Maar oh, zo'n EPD (of hoe het tegenwoordig heten mag) is zo handig. Ik (nu in de hoedanigheid van patiënt) zie er alleen een enorm risico in.
Pas daarbij heb je immers dat domme "ieder apparaat adresseerbaar op internet" wat niemand wil behalve de IPv6 ontwerpers.
Hadden we gelijk IPv6 ingevoerd (of was er een andere "transparante" oplossing geweest) dan was de druk veel groter geweest om al die brakke software erachter vlot beter te beveiligen. Dat is niet gebeurd en dus hebben we onszelf op een achterstand gezet. En daar plukken we nu de vruchten van.
Zelfs als we nooit aan de IPv6 gaan moeten dit soort problemen gewoon netjes opgelost worden. Dat geldt voor SCADA spul, maar dus ook voor netwerkschijven. Het is ook niet puur een technisch verhaal, maar veeleer een bewustwordingsproces van "gebruikers" die zich niet eens afvragen welke implicaties er vastzitten aan dat wat ze doen.
En dat kunnen we ons ondertussen niet meer veroorloven. Informatiebeveiliging behoort ondertussen tot het basispakket vereiste kennis om nog veilig met om het even welke gevoelige informatie te kunnen omgaan.
In een NAT omgeving is er veiligheid tegen het soort dreigingen die hier besproken wordt.
Je kunt het een noodoplossing noemen maar het is wel een oplossing en het biedt WEL veiligheid.
In IPv6 is er geen noodoplossing en geen veiligheid, tot er een firewall op geplakt wordt.
Dat is gewoon een concrete situatie en als er nu met IPv4 al bedrijven zijn die hun printers gewoon op internet hebben zitten (KLM, Unilever, ING, Europol en Ballast Nedam nog wel) dan zal dit met IPv6 allen maar erger worden, want dan komen daar ook nog eens bedrijven bij die zich nu geen publieke adresrange kunnen veroorloven.
(of die het niet in hun hoofd zouden halen om die aan te vragen voor een LAN)
Gr,
Fraidon
Werkelijk te triest voor woorden dit.
Gelukkig kun je de faxmogelijkheid uitzetten en voor faxen een ouderwetse fax gebruiken.
Ja EN DAN?? Een PPP sessie opzetten ofzo???
Kom toch op, dat gaat toch niet lukken neem ik aan? Dat is al net zo'n kreet als "NAT is wat lastiger te traverseren". Net of zo'n kiddie daar dan een methode voor weet om dat wel te doen.
Slaat gewoon nergens op.
WAT STOND ER OP DIE HARDDISKEN?
AnonymousSecurity: you are drunk, go home!
Jullie weten niet half hoe triest het gesteld is bij de overheid, commerciële bedrijven en haar dienstverleners.
Gek genoeg weet ik heel goed hoe het er bij staat. Er zijn genoeg competente mensen te vinden. 80% heeft z'n shit op orde, misschien wel meer. Maar die prutsers, die vallen zo op. En als jij geen 'opgeschoten puber of hackertje' bent en wel veel shit ziet werk je bij het verkeerde bedrijf. Just saying what most will think.
Ilja. _\\// (Tipsy, a little.., gonna catch that captcha...) ;-)
Ja kijk maar ik heb het gedownload.....
OM: U heeft shit gedownload
of
Er stond niets op.......
Ja echt wel......
Laat maar zien......
Ik heb niets gedownload......
Omdat er niets op stond........
????
staat hier beschreven:
https://iomega-eu-en.custhelp.com/app/answers/detail/a_id/31987
http://www.uitzendinggemist.nl/afleveringen/1311089 (wel Silverlight voor nodig)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
