image

IBM: Telnet opent Internet of Things voor hackers

vrijdag 6 mei 2016, 10:05 door Redactie, 10 reacties

Het Internet of Things (IoT) is volgens sommige experts de toekomst, maar de manier waarop hackers deze systemen kunnen aanvallen gaat terug tot 1969, zo stelt IBM. Slimme koelkasten, VoIP-telefoons, slimme televisies en op internet aangesloten beveiligingscamera's bestonden toen nog niet.

De technologie die veel van deze apparaten gebruiken wel, namelijk Telnet. Via Telnet is het mogelijk om op afstand toegang tot een systeem te krijgen. "Hoewel Telnet al sinds 1969 bestaat en niet meer zoveel gebruikt wordt als voorheen, zijn er veel embedded systeemapplicaties in IoT-apparaten, zoals routers, VoIP-telefoons, digitale videorecorders, televisies en industriële controlesystemen, die er gebruik van maken", zegt Scott Craig van IBM.

Onderzoek dat eerder deze maand werd uitgevoerd liet zien dat meer dan 16 miljoen apparaten op internet zijn aangesloten die via een Telnet-server toegankelijk zijn. Aangezien Telnet geen encryptie toepast zijn gebruikersnamen en wachtwoorden eenvoudig af te luisteren, merkt Craig op. In het geval een aanvaller een open Telnet-poort kan vinden is het vervolgens mogelijk om via bruteforce-aanvallen in te loggen, informatie voor verdere aanvallen te achterhalen en kan er worden gekeken of het systeem kwetsbaarheden bevat.

"Het gebruik van Telnet om IoT-apparaten aan te vallen is weer een voorbeeld van aanvallers die oudere technieken gebruiken om nieuwe technologie te compromitteren. IoT-apparaten en industriële controlesystemen die in onze netwerken aanwezig zijn krijgen niet altijd de aandacht die een nieuwe server krijgt en kunnen daarom eenvoudiger worden gehackt", besluit Craig.

Reacties (10)
06-05-2016, 11:16 door Anoniem
Open deur is open. Met een fatsoenlijk opgestelde netwerkpolicy zou dit verkeer geblokkeerd moeten zijn waar niet noodzakelijk. Maar ja goed beheer kost meer geld dan middelmatig.
06-05-2016, 11:23 door Anoniem
Ik moet zeggen dat ik telnet eigenlijk alleen nog maar zie in (antieke) ethernet-naar-serieel converters. Waarbij natuurlijk ook de nieuwe types van diezelfde fabrikanten hetzelfde probleem hebben.

Peter
06-05-2016, 12:36 door karma4
Het problem met telnet is dat je kan zien wat er over network gaat. Maak er ssh of https van, dan blijft het echte problem het zelfde. Dat zijn:
a/ Waarom zou je het beheer remote over een publiek network doen,
b/ wat zijn de hardcoded default users/wachtwoorden ook al weer... admin/admin.
06-05-2016, 12:55 door Anoniem
Leuk dat er gesproken wordt over bedrijfs netwerken, omzetten naar ssh. Gooi er zelf even een certificaat op en dwing https af.
Kijk via wireshark even wat er over je network gaat en block het op je router.
Maar hoeveel mensen die een koelkast kopen, smart tv of zelfs een babyfoon hebben een idee waar jullie het over hebben?
Deze mensen kopen een product wat geleverd wordt door een fabricant en de kopers bloot stelt aan allerlei narigheden.
Als een auto fabricant dit zou doen zou hij binnen de korste keren voor de rechter staan en gelyched worden.

Maar met ITO is het de normaalste zaak van de wereld om je spul naar buiten te gooien en de consument (moedwillig?) te laten hacken.
06-05-2016, 17:10 door Anoniem
16 miljoen op heel het internet lijkt me eigenlijk net redelijk weinig.
Zeer onveilig, uiteraard. Maar daar hoef je op het internet nu ook weer niet van schrikken.
06-05-2016, 17:57 door Anoniem
Het probleem met IoT is, dat het hierbij óók over qua rekenkracht en qua geheugen nogal "lichte" apparaatjes gaat.
Het is dus lastiger om daar zware encryptie op te draaien (hoewel niet geheel onmogelijk lijkt mij, maar dat kan in sommige situaties te nadelig zijn voor het stroomverbruik hetgeen voor batterij gevoede IoT-appaatjes onwenselijk is.
Ook is het kostenverhogend omdat er dan onderdelen in het IoT apparaat moeten met meer capaciteit, en bijv. grotere
zonnepanelen etc...)

Goeroehoedjes
08-05-2016, 10:19 door ph-cofi
Moet het punt niet zijn: "IoT apparaten, die niet volledig instelbaar zijn door de consumenten, dragen bij aan het instanthouden van een onveilige wereld"? Zolang de koper de open poorten niet kan beheersen en het root-ww niet kan wijzigen, blijft het pret.
Dus... voortaan met dit document naar de Mediamarkt om de verkopers uit te horen :)
http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
09-05-2016, 11:50 door Anoniem
Door Anoniem: Leuk dat er gesproken wordt over bedrijfs netwerken, omzetten naar ssh. Gooi er zelf even een certificaat op en dwing https af.
Kijk via wireshark even wat er over je network gaat en block het op je router.
Maar hoeveel mensen die een koelkast kopen, smart tv of zelfs een babyfoon hebben een idee waar jullie het over hebben?
Deze mensen kopen een product wat geleverd wordt door een fabricant en de kopers bloot stelt aan allerlei narigheden.
Als een auto fabricant dit zou doen zou hij binnen de korste keren voor de rechter staan en gelyched worden.

Maar met ITO is het de normaalste zaak van de wereld om je spul naar buiten te gooien en de consument (moedwillig?) te laten hacken.

Eh - autofabrikanten leveren ook producten die de kopers blootstellen aan allerlei narigheden. Had je het laatste nieuws even gemist over alle dingetjes in de auto die op afstand benaderbaar zijn? En dat die dus niet allemaal zo goed afgeschermd zijn omdat autofabrikanten:
a) geen bal weten of willen weten van cybersecurity
b) autofabrikanten dit soort onderdelen inkopen bij de goedkoopste leverancier, en daarbij niet letten op security
c) die leveranciers er niet perse rekening mee houden wat er gebeurt als hun spullenboel in een auto ingebouwd wordt en vervolgens gehackt.

Ik vind het voorlopig minder erg als mijn koelkast gehackt wordt dan mijn auto. Zolang de koelkast over mijn eigen LAN naar buiten wil, kan ik hem ook nog eens beter in de gaten houden.
09-05-2016, 16:20 door mrunix
IBM is een van de grootste security leveranciers, met name aan (groot) bedrijfs leven.

die heeft er dus belang bij om wat aandacht te krijgen voor dit soort zaken. an sich is dat prima, maar ze is belanghebbend.

1 miljard devices met telnet zegt me niets.

1 miljard raket lanceerders ? kerncentrales ? beveiligings verlichting ?

t is maar waar het over gaat.

risiko managen is valideren en quantificeren, anders heeft t weinig zin.

( frequentie X bedrag per incident ) + reputatie schade = levert op of het de moeite is of niet....

zou wel graag data zien mbt waar gaat het nu precies over, voordat we massaal gaan roepen dat de zaak
dichtgemetseld moet worden.....
......
10-05-2016, 09:40 door Anoniem
Wie gebruikt er nog Telnet?
Fietsen hebben toch ook al lang geen houten wielen meer?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.