image

Duizenden computers met VNC wagenwijd open

zondag 17 augustus 2014, 13:16 door Redactie, 15 reacties

Duizenden computers op het internet staan wagenwijd open doordat ze het programma VNC draaien zonder dat dit van een wachtwoord is voorzien, waardoor een onderzoeker onlangs bij allerlei mensen live kon meekijken. VNC is software om op afstand toegang tot computers te krijgen.

Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Tijdens de afgelopen Defcon conferentie in Las Vegas gaf beveiligingsonderzoeker Paul McMillan een demonstratie waarbij hij naar onbeveiligde en open VNC-installaties zocht. In minder dan een uur vond McMillan duizenden computers waar hij direct op kon inloggen. Het totale aantal ligt waarschijnlijk boven de 30.000. De onderzoeker schreef ook een programma dat automatisch op de computers inlogde en een screenshot maakte van wat mensen aan het doen waren.

Op de screenshots was te zien dat mensen op Facebook zaten, spelletjes speelden, Ender's Game keken, Reddit lazen, Skypten, surveillancecamera's vergeleken, op Amazon winkelden, e-mail lazen, rekeningen en prijslijsten aanpasten en porno bekeken. Naast consumenten stonden de VNC-installaties ook open bij bedrijven en organisaties, zoals apotheken, kassasystemen, energiebedrijven, benzinestations, technische- en mediabedrijven, een bedrijf dat vee volgt en honderden taxi's in Zuid-Korea, zo meldt Forbes.

"Het is belangrijk om te weten dat deze scan alleen het topje van de ijsberg laat zien. Vanwege juridische redenen kunnen we niet op wachtwoorden scannen, maar ik weet zeker dat als we dit zouden doen de resultaten nog vele malen erger zouden zijn", aldus McMillan. Hij stelt dat steeds meer apparaten met het internet verbonden zijn en mensen weten niet altijd weten hoe ze die moeten beveiligen.

Reacties (15)
17-08-2014, 13:27 door Anoniem
Begrijp ik het goed dat VNC via uPnP automatisch poorten open zet voor de buitenwereld?
Het lijkt me dat als je in staat bent handmatig een poort open te zetten, je ook een wachtwoord op je VNC kan zetten.
17-08-2014, 13:45 door [Account Verwijderd] - Bijgewerkt: 17-08-2014, 13:50
Een wat gedateerd goed artikel: VNC: installatie, configuratie, gebruik en veiligheid:

http://www.multidesk.be/artikels/artikel/226/VNC:-installatie-configuratie-gebruik-en-veiligheid.html
17-08-2014, 15:40 door Anoniem
Tsja. Gezien het totale aantal computers --meer dan een miljard, dus dan is die "meer dan 30000" nog steeds maar drie honderdste van een procent!-- en allerlei "makkelijke" mechanismen als upnp is het niet raar dat er allerlei dingen openstaan.

Leuk dat'ie met dit praatje zijn conferentietoegang wist te betalen maar meer ook niet echt.
17-08-2014, 19:49 door Euro10000
uPnP is gevaarlijk, zonder wachtwoord door alle computers en hardware kijken.
Dus in je router uPnP uitzetten, is veiliger.
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
17-08-2014, 21:04 door Spiff has left the building
Door Euro10000:
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
GRC biedt twee UPnP port probe tests, voor poort 1900 en poort 5000:
https://www.grc.com/port_1900.htm
https://www.grc.com/port_5000.htm
En er is de Rapid7 UPnP router scan:
http://upnp-check.rapid7.com/
18-08-2014, 10:11 door Anoniem
Wow, dit nieuws komt zo'n 13 jaar te laat...
Dit hackten we zo lang geleden al aan de lopende band.

Wel erg retro dit bericht.
Begin security steeds minder te waarderen door alle berichten met nieuwswaarde 0.00000
18-08-2014, 11:01 door FSF-Moses - Bijgewerkt: 18-08-2014, 11:02
@Spiff: Bedankt voor de info. Na controle bleek dat ik lokaal en op de router alle uPnP al had uitgeschakeld. De tests op GRC.com (my all-time-favourite!) kwamen allemaal uit op stealth \(^_^)/
De enige uPnP-test (tot nu toe dan) deed het niet lekker en dat is die van Rapid7.com. Die blijft maar doordraaien bij mij.... Zou dat wellicht komen doordat dat hele uPnP, wat nooit uitgevonden had moeten worden (imho), hier uitgeschakeld is?
18-08-2014, 12:44 door [Account Verwijderd]
[Verwijderd]
18-08-2014, 13:01 door Anoniem
Door rufus-1.4.9.exe:
Door Spiff:
En er is de Rapid7 UPnP router scan:
http://upnp-check.rapid7.com/
die kun je minutenlang laten draaien, maar er gebeurt verder nix.
bij mij ook niet..
18-08-2014, 13:07 door QaQa79
Door Spiff:
Door Euro10000:
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
GRC biedt twee UPnP port probe tests, voor poort 1900 en poort 5000:
https://www.grc.com/port_1900.htm
https://www.grc.com/port_5000.htm
En er is de Rapid7 UPnP router scan:
http://upnp-check.rapid7.com/

dank je wel, die grc.com gebruikte ik al eerder, maar wist niet dat je ook per poort kon checken.
18-08-2014, 14:23 door Anoniem
VNC is met wachtwoord ook onveilig - ja ook dit is erg oud nieuws!
VNC kan maar op 1 wijze redelijk veilig werken op een windows computer:
1. VNC service staat standaard uit
2. Bij gebruik eerst de VNC service starten
3. Vervolgens inloggen met wachtwoord

Dan aanvullend:
Niet oneindig open laten staan
Niet vergeten na gebruik VNC Service uit te schakelen

Echter deze methode heeft 1 nadeel: je moet ook toegang van buiten voor de services open zetten.

Eigenlijk is het raadzaam om VNC helemaal niet te gebruiken...
18-08-2014, 15:15 door Spiff has left the building
Door FSF-Moses:
De enige uPnP-test (tot nu toe dan) deed het niet lekker en dat is die van Rapid7.com.
Die blijft maar doordraaien bij mij....
Door rufus-1.4.9.exe:
die kun je minutenlang laten draaien, maar er gebeurt verder nix.
Door Anoniem:
bij mij ook niet..
Ja, jullie hebben gelijk,
die Rapid7 UPnP router scan die werkt om een of andere reden niet meer.
Toen die Rapid7 UPnP router scan net uitgebracht was waren er ook al problemen mee (misschien door overbelasting?), daarna werkte die scan prima, maar inmiddels werkt het dus weer niet meer. (Of zitten de Security.NL gebruikers nou met z'n allen full-time die test te doen en 'm te overbelasten? Kom op lui ;-)
Hmm .. Ik had die Rapid7 UPnP router scan natuurlijk even opnieuw moeten proberen voordat ik 'm tipte, sorry :-\
18-08-2014, 15:28 door Anoniem
Door Eric-Jan H te A

Geen of slecht wachtwoord in combinatie met UPnP is natuurlijk vragen om moeilijkheden.
Maar als je een VNC-host draait wil je er natuurlijk wel bij kunnen. Dus zul je iets van
port-forwarding in je router moeten regelen. Of daar UPnP nu wel of niet aan staat maakt
dan niets uit. Je enige bescherming is dan nog een niet standaard gebruikersnaam met een
voldoende sterk wachtwoord.
18-08-2014, 22:12 door FSF-Moses - Bijgewerkt: 18-08-2014, 22:23
Door Spiff:
Ja, jullie hebben gelijk,
[...]
Hmm .. Ik had die Rapid7 UPnP router scan natuurlijk even opnieuw moeten proberen voordat ik 'm tipte, sorry :-\

Geen probleem, kan iedereen gebeuren. Ben allang blij dat ik niet de enige was met het 'oneindigheidsprobleem' van de uPnP scanner van Rapid7 ;)

Overigens, ik maak ikzelf gebruik van RemoteAdministrator (RAdmin) voor een aantal Windows-machines. Werkt prima en inderdaad, zoals Anoniem om 15:28 al aangaf, geen uPnP gebruiken en login-credentials goed configureren of er zelfs een apart account per machine voor aanmaken, en geen standaard ingestelde po(o)rt(en) forwarden en persoonlijk kies ik altijd (een) po(o)rt(en) in de hogere ranges. Is misschien iets meer werk maar dat vinden we toch geen probleem, toch?

Sommige routers of alternatieve firmwares voor je router geven vaak ook de mogelijkheid om een ipadres (+ netmask) op te geven waar vanaf wel mag worden verbonden wanneer je een port gaat forwarden. Zo hou je een groot deel van buiten af komende ellende ook een beetje buiten je deur. Alleen een beetje lastig instellen als je eigen ipadres dynamisch maar ook daar zou vast wel een mouw aan zijn te passen, lijkt mij.
19-08-2014, 11:26 door Anoniem
Door Anoniem: Begrijp ik het goed dat VNC via uPnP automatisch poorten open zet voor de buitenwereld?
Het lijkt me dat als je in staat bent handmatig een poort open te zetten, je ook een wachtwoord op je VNC kan zetten.
Ik weet het niet, het is een tijd geleden dat ik met VNC heb gespeeld en me er enigzins in heb verdiept. Van VNC bestaat een heel scala aan implementaties, dus wellicht zitten er implementaties bij die uPnP gebruiken om poorten op routers open te zetten. Het is echter geen onderdeel van wat VNC in de basis is.

Maar versleuteling van het protocol is ook geen standaardonderdeel van VNC. Dat is ook niet erg als je het over een versleutelde verbinding (SSH bijvoorbeeld) tunnelt. VNC is daarmee in mijn ogen geen totaaloplossing voor op afstand werken maar onderdeel van een oplossing voor mensen die voldoende overzien wat ze doen. Het probleem met die duizenden computers die wagenwijd openstaan zou wel eens kunnen zijn dat VNC enthousiast is ingezet door mensen die niet voldoende overzien wat ze doen (en het lastige is dat mensen over het algemeen slecht kunnen beoordelen hoe gebrekkig hun eigen kennis en inzicht is, daar heb je die kennis en inzicht nou juist bij nodig). Dat levert zoiets op als met elektriciteit knutselen zonder in de gaten te hebben dat je isolatie nodig hebt om ongelukken te voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.