Nieuws

Firmware in veel breedbandrouters oud en onveilig

donderdag 10 december 2015, 15:02 door Redactie, 10 reacties

De firmware in veel breedbandrouters is jaren oud en bevat allerlei kwetsbaarheden, zo blijkt uit onderzoek van onderzoekers van de Edith Cowan University. De onderzoekers analyseerden de firmware van 37 breedbandrouters, de software die het hart van het apparaat is.

Van de firmware werden het besturingssysteem, softwarebibliotheken en uitvoerbare bestanden onderzocht. Met deze gegevens konden de onderzoekers een database van apparaten, softwareversies en bekende kwetsbaarheden aanleggen. Ze ontdekten dat 90% van de onderzochte onderdelen meer dan 6 jaar oud is. In elke firmware werd verouderde software met bekende beveiligingsproblemen aangetroffen, ongeacht fabrikant of de datum dat de router op de markt verscheen.

"Oude software lijkt misschien niet zo belangrijk, maar beveiligingsexperts zijn het erover eens dat ontwikkelaars met een solide basis moeten beginnen, en er met softwareonderdelen moet worden gewerkt die worden ondersteund en up-to-date zijn", aldus de onderzoekers. Toch bleken 7 breedbandrouters een versie van OpenSSL te gebruiken met kwetsbaarheden die uit 2005 stammen. Beveiligingsproblemen in verouderde software zijn vaak zo bekend, dat er allerlei 'hackprogramma's' zijn die hier eenvoudig misbruik van kunnen maken. "Oude ifrmware-onderdelen zijn dus een groot probleem", zo waarschuwen de onderzoekers.

Ze adviseren consumenten om firmware-updates tijdig te installeren, maar merken op dat het probleem uiteindelijk alleen door fabrikanten kan worden opgelost. "Consumenten en IT-professionals moeten betere veiligheid eisen, maar zonder onafhankelijk onderzoek van apparaten zullen voor veel mensen de beveiligingsproblemen of gevolgen onduidelijk zijn. Dit is een gebied dat meer aandacht vereist", zo laten de onderzoekers weten. Om het probleem aan te pakken stellen ze onder andere een beoordelingssysteem voor waarbij routers afhankelijk van de veiligheid een aantal sterren krijgen.

EU-autoriteit waarschuwt voor opslag passagiersgegevens

FBI vraagt bedrijven om end-to-end-encryptie te heroverwegen

Reacties (10)

10-12-2015, 16:29 door [Account Verwijderd] - Bijgewerkt: 10-12-2015, 16:30

Consumenten en IT-professionals moeten betere veiligheid eisen, ...

Wetgeving zal de enige oplossing zijn. De "markt" beweegt niet uit zichzelf en heeft zelfs een financieel voordeel bij het sneller moeten vervangen van producten die onveilig zijn (zie ook Android telefoons). Het is maar weer wachten op 1 of andere politicus die hier brood in ziet en het ellendig lange traject van wetgeving creeren wil inslaan. Tot die tijd zijn we overgeleverd aan de zogenaamd "zelfregulerende" markt-ideologie van de liberalen....

10-12-2015, 16:45 door Anoniem

Lijstje met routers erbij had het geloofwaardiger gemaakt. Zo kan iedereen wel van alles beweren.

10-12-2015, 16:55 door [Account Verwijderd]

[Verwijderd]

10-12-2015, 19:22 door Anoniem

Door MAC-user: Belangrijk is ook om de backdoor van je Internet Service Provider in je router om zeep te helpen. Als zij binnen kunnen komen kan straks de bad-guy ook binnenkomen.

Dat is niet altijd mogelijk, en vaak als er in optie is om dat te doen, blijft het toch gewoon actief en benaderbaar. Vaak is alleen het remote management via https uit te schakelen terwijl management via tr069 gewoon enabled blijft.

Met andere woorden je kan beter die router bij het afval gooien en iets fatsoendelijks aanschaffen of bouwen. En management alleen via een specifiek lokaal poortje mogelijk maken waar niets op aangesloten zit. Dan maakt het zoveelste ssl lek ook niet zoveel meer uit.

Lekker gemakkelijk altijd, dat remote management... :|

10-12-2015, 20:06 door Anoniem

Door MAC-user: Belangrijk is ook om de backdoor van je Internet Service Provider in je router om zeep te helpen. Als zij binnen kunnen komen kan straks de bad-guy ook binnenkomen.

Welke backdoor heb jij het over? TR069 is nou niet echt een backdoor te noemen, bovendien kun je dit bij de meeste door ISP geleverde modems niet uitschakelen. (Ja misschien als je er een andere firmware in hackt)

10-12-2015, 23:30 door Anoniem

Het ontbreekt simpelweg aan aansprakelijkheid die het (langere termijn) maatschappelijk belang dient.
Een geschiedenisles die keer op keer geleerd moet worden.

Een eeuw of wat geleden in de auto industrie (af en toe een dode klant is voor ons goedkoper dan veiligheidsgordels en dergelijke inbouwen).
De smog in beginnend industrieel London.
Lood in brandstoffen.
Kwik in vullingen.
Zelfregulatie boven onafhankelijke veiligheidsinspecties met tanden.
Pas na 6 doodgereden kinderen eindelijk straatverlichting plaatsen voor een donkere, druk bereden, weg door gemeente X.
Enzovoorts.

De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.

11-12-2015, 08:12 door Anoniem

Door Rotsmoel:

Consumenten en IT-professionals moeten betere veiligheid eisen, ...

De "markt" beweegt niet uit zichzelf en heeft zelfs een financieel voordeel bij het sneller moeten vervangen van producten die onveilig zijn (zie ook Android telefoons).

of, voor het voorbeeld met ISP's, langer oudere en waarschijnlijk daardoor lager geprijsde modems aan blijven schaffen, ondanks de makken. De meeste ISP's leveren een modem bij, geef ze daar ook bijbehorende verantwoordelijkheden bij... zeker met het oog op de meldplicht datalekken ;)

11-12-2015, 09:56 door Anoniem

Door MAC-user: Belangrijk is ook om de backdoor van je Internet Service Provider in je router om zeep te helpen. Als zij binnen kunnen komen kan straks de bad-guy ook binnenkomen.

Juist niet!! De ISP de firmware te laten updaten is de enige in de praktijk werkbare manier om te zorgen dat routers
uptodate blijven. Je kunt echt niet verwachten dat de gebruikers dat zelf gaan regelen.

11-12-2015, 10:23 door karma4

Door Anoniem: Het ontbreekt simpelweg aan aansprakelijkheid die het (langere termijn) maatschappelijk belang dient. Een geschiedenisles die keer op keer geleerd moet worden.
De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.

Correct je hebt denk ik, de kern te pakken. Wijzen naar consumenten / IT-professionals als de initiatiefnemers helpt niet.

Nu wijzen hier naar het routertje (dat goedkope bakje) dat thuis neergezet wordt. Makkelijk het is is zichtbaar. Dat routertje maakt verbinding met het netwerk (de echte wereld waar het gebeurt) van je ISP provider. Wat daar gebeurt zie je niet maar is veel wezenlijker voor al het dataverkeer. Dat is de voordeur voor je gegevens waar je je zorgen over moet maken.

Door Anoniem: [ De meeste ISP's leveren een modem bij, geef ze daar ook bijbehorende verantwoordelijkheden bij... zeker met het oog op de meldplicht datalekken ;)

Dat is een interessante om je af te vragen of dat al niet zo is. Ze zijn de dataverwerker blijven gewoonlijk eigenaar van die router etc. http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_10-12-2015 het is vergezocht als je de router als persoonsgegeven moet zien en als bij lekken de verwerker (ISP providers) aangesproken kan worden.

12-12-2015, 21:52 door Anoniem

Door Anoniem: Het ontbreekt simpelweg aan aansprakelijkheid die het (langere termijn) maatschappelijk belang dient.
Een geschiedenisles die keer op keer geleerd moet worden.

Een eeuw of wat geleden in de auto industrie (af en toe een dode klant is voor ons goedkoper dan veiligheidsgordels en dergelijke inbouwen).
De smog in beginnend industrieel London.
Lood in brandstoffen.
Kwik in vullingen.
Zelfregulatie boven onafhankelijke veiligheidsinspecties met tanden.
Pas na 6 doodgereden kinderen eindelijk straatverlichting plaatsen voor een donkere, druk bereden, weg door gemeente X.
Enzovoorts.

De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.

En vergeet vuurwerk afsteken niet,ook daar moeten er eerst een paar doden vallen voordat het verboden gaat worden om als particulier vuurwerk te hebben en/of af te steken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer