Fabrikant gehackte IoT-apparaten legt schuld bij gebruikers
De Chinese fabrikant Hangzhou Xiongmai Technology van wie de digitale videorecorders en ip-camera's door de Mirai-malware besmet raakten en vervolgens werden ingezet voor het aanvallen van populaire websites legt de schuld bij gebruikers die het standaard wachtwoorden niet wijzigden. Ook zegt het bedrijf al het mogelijke gedaan te hebben om de ddos-aanvallen van afgelopen vrijdag op dns-aanbieder Dyn te voorkomen.
Mirai is malware die allerlei op internet aangesloten apparaten via tientallen standaard wachtwoorden weet te infecteren. De besmette apparaten worden onderdeel van botnets die vervolgens voor ddos-aanvallen op websites en internetdiensten worden gebruikt. Onderzoekers van Level 3 onderzochten de communicatie en infrastructuur van Mirai. Meer dan 80% van de besmette apparaten bleken digitale videorecorders te zijn. De rest bestaat uit routers, ip-camera's en Linux-servers.
Naar aanleiding van de ddos-aanvallen op dns-aanbieder Dyn, die ervoor zorgden dat verschillende populaire websites slecht of niet bereikbaar waren, liet de Chinese fabrikant weten een aantal van de producten die het in de Verenigde Staten heeft verkocht terug te roepen. In een nieuwe reactie tegenover de Associated Press verklaart het bedrijf dat de apparaten konden worden gehackt omdat gebruikers de standaard wachtwoorden niet wijzigden.
"We begrijpen niet waarom wij nu onder vuur liggen", aldus een woordvoerder. Vorig jaar april werd de fabrikant over een kwetsbaarheid in de apparatuur ingelicht. Vervolgens werd er een update uitgerold. Producten die sindsdien zijn verkocht zouden niet meer kwetsbaar voor de Mirai-malware zijn. Naar eigen zeggen wil Hangzhou Xiongmai 4 miljoen ip-camera's terugroepen die nog kwetsbaars zijn en heeft het klanten beveiligingsupdates aangeboden. De terugroepactie geldt echter alleen voor producten die onder de eigen naam worden verkocht. Als fabrikant van hardware-onderdelen wordt bijna 95% van de producten die het maakt door andere bedrijven gebruikt die het vervolgens als hun eigen product aanbieden.
Maatregelen
Het Internet Storm Center (ISC) meldt dat scans op poort 23 en 2323, die de malware gebruikt om via telnet op apparaten in te loggen, iets afnemen. "Het lijkt erop dat tegenmaatregelen van internetproviders tot op enige hoogte succes hebben", aldus Johannes Ullrich van het ISC. Ook verschillende command en controle-servers van het Mirai-botnet zijn offline gehaald. Verder laat Ullrich weten dat Mirai ook andere apparaten dan digitale videorecorders probeert te infecteren, maar de meeste besmette apparaten nog steeds videorecorders zijn.
Reacties (13)
25-10-2016, 15:29 door
johanw
Die weet dus (zoals vrijwel alle hardware boeren trouwens) niets van beveiliging en user intreractie. Als ze wil dat het wachtwoord veranderd wordt moet je dat of afdwingen of al die dingen fabrieks-af een uniek wachtwoord geven (dat niet uit te rekenen is a.d.h.v. een apparaat gegeven anders wordt dat wel een keer ontdekt en ligt nog alles op straat). Maar ze zullen wel te bang zijn dat users dan de helpdesk platbellen met "ik ben m'n wachtwoord vergeten".
De schuld ligt m.i. toch voornamelijk bij de fabrikant die een product levert, dat out-of-the-box diensten levert aan de consument EN calling-home doet EN aan praat wie nog maar meer wil op het internet. Niet defensief genoeg opgezet. Waarom werkt het spul zonder eerst een WW in te stellen? Ook voor de administrator/root user? Waarom staat telnet aan? UPNP? Bonjour? SSH? Andere protocollen? Alles dat de consument niet kan instellen in de webinterface? Stiekeme backdoors in webinterface? Allemaal regelen en laten auditen, dan pas verkopen. En tenslotte graag een "reset to factory settings" schakelaar aanbrengen voor de mensen die hun ww vergeten zijn.
Lijkt me heerlijk als een USA advocatenbureau nu rechtzaken gaat aanspannen. Straalt mooi uit naar andere fabrikanten.
Lijkt me heerlijk als een USA advocatenbureau nu rechtzaken gaat aanspannen. Straalt mooi uit naar andere fabrikanten.
Snap niet dat de fabrikant nu opeens de schuld bij gebruikers gaat leggen. Hun leveren hardware met sofwate erop die vulnerable by design is, toch? Dan lijkt mij dat de fabrikant schuld is.
25-10-2016, 17:18 door
Hans_US
Als ik W10 embedded op een raspberry pi installeer dan is het standaard u/p combi niet pi/raspberry maar Admninistrator/p@ssw0rd . Zelfs als het standaard wachtwoord !#G34g135ASdy34zcvqeRg3 is voor 100-en IoTs dan is het nog steeds een gemakkelijk standaard wacthwoord.
Zolang het EmbeddedOS 1) niet standaard om een nieuw wachtwoord vraagt 2) niet toestaat om het admin username aan te passen 3) het aantal pogingen op onbeperkt heeft staan zonder verrtraging 4) verborgen wachtwoorden bevat 5) gevoelige diensten zoals uPnP, WPS en telnet standaard heeft aanstaan 6) niet kan worden bijgewerkt met updates 7) ........, dan moet de FABRIKANT verantwoordelijk worden gesteld.
XiongmaiOS met de bovenstaande fouten is net zo gemakkelijk te hacken als elk ander OS
Zolang het EmbeddedOS 1) niet standaard om een nieuw wachtwoord vraagt 2) niet toestaat om het admin username aan te passen 3) het aantal pogingen op onbeperkt heeft staan zonder verrtraging 4) verborgen wachtwoorden bevat 5) gevoelige diensten zoals uPnP, WPS en telnet standaard heeft aanstaan 6) niet kan worden bijgewerkt met updates 7) ........, dan moet de FABRIKANT verantwoordelijk worden gesteld.
XiongmaiOS met de bovenstaande fouten is net zo gemakkelijk te hacken als elk ander OS
Gek dat dezelfde mensen die niet een handleiding van hun apparaat kunnen lezen en het advies voor veilige instellingen opvolgen, wel stemrecht hebben en een auto mogen rijden. Ik weet dat het in is om de gebruiker uit de wind te houden, maar ik blijf dat toch iets te makkelijk vinden. Als je de weg op gaat neem je een bepaalde verantwoordelijkheid op je, zelfs als voetganger. Waarom zou dat niet kunnen gelden als je het internet op gaat? Het "natuurlijk moet je niks van de gebruiker verwachten, dat moet de ICT oplossen" is mij iets teveel spierballentaal. Leven brengt verantwoordelijkheden mee.
Het is tegenwoordig trend om eerst je product te verkopen en dan pas bezien of je het product af gaat maken en ernstige tekortkomingen gaat fixen.
Alleen al om die reden mag dit bedrijf keihard aangepakt worden. Een product moet in orde zijn VOORDAT je het verkoopt.
Je gaat toch ook geen auto leveren en de remblokken pas een jaar later met een nabestelling. Waarom dan wel een IOT device wat als digitaal wapen gebruikt kan worden leveren en pas met de beveiliging aankomen als het te laat is...
Alleen al om die reden mag dit bedrijf keihard aangepakt worden. Een product moet in orde zijn VOORDAT je het verkoopt.
Je gaat toch ook geen auto leveren en de remblokken pas een jaar later met een nabestelling. Waarom dan wel een IOT device wat als digitaal wapen gebruikt kan worden leveren en pas met de beveiliging aankomen als het te laat is...
25-10-2016, 18:03 door
Hans_US
Door Anoniem: Gek dat dezelfde mensen die niet een handleiding van hun apparaat kunnen lezen en het advies voor veilige instellingen opvolgen, wel stemrecht hebben en een auto mogen rijden. Ik weet dat het in is om de gebruiker uit de wind te houden, maar ik blijf dat toch iets te makkelijk vinden. Als je de weg op gaat neem je een bepaalde verantwoordelijkheid op je, zelfs als voetganger. Waarom zou dat niet kunnen gelden als je het internet op gaat? Het "natuurlijk moet je niks van de gebruiker verwachten, dat moet de ICT oplossen" is mij iets teveel spierballentaal. Leven brengt verantwoordelijkheden mee.
Als auto bestuurder hoor je te weten hoe een auto rijdt, welk gedrag wenselijk is in het verkeer enz. Daarvoor moet je in NL rijLESSEN nemen. Als auto eigenaar mag je verwachten dat je sleutel ALLEEN werkt op jouw auto en niet alle andere auto's van hetzelfde MERK kan openen. Ook mag je verwachten dat fabrikage fouten in (bijv) de stuurinrichting door de fabrikant worden hersteld.
Het verschil tussen een auto en een IoT device is dat auto's moeten voldoen aan wettelijke eisen en fabrikanten hebben een langdurige verantwoordelijkheid ivm veiligheid van de omzittenden en derden. Voor IoT bestaat helaas zoiets nog niet.
Iemand die een camera aan internet hangt en zich geen zorgen maakt om privacy of wachtwoorden is in de huidge tijd erg stom bezig. Tegen deze mensen hoeft een fabrikant zich niet te bescheremn. Daarentegen behoort een fabrikant ook common sense te hebben, dwz ook de fabrikant weet dat een standaard wachtwoord vragen is om problemen.
Iemand die een camera aan het internet hangt en zich wel zorgen maakt om security, moet de mogelijkheden hebben om de beveiliging te verbeteren. Dat betekent niet automatisch dat deze persoon gelijk via SSH naar de root gaat om extra packages te installeren om zo de beveiliging te verbeteren.
Een ander verweer is dat men geen GOEDKOPE Chinese cameras moet kopen, dat is vragen om problemen. Jammer genoeg is bijna alles Chinees en/of worden chinese camera onderdelen vaak gebruikt in andere merken. "Dure" merken zijn niet per definitie beter. Je mag niet van Jan Modaal verwachten dat hij de kennis heeft om dit goed te beoordelen.
Hangzhou is toch Hikvision ?
Dat is toch wel het luxere segment cameras.
Not your typical China shitcam.
Dat is toch wel het luxere segment cameras.
Not your typical China shitcam.
Door Hans_US:
Als auto bestuurder hoor je te weten hoe een auto rijdt, welk gedrag wenselijk is in het verkeer enz. Daarvoor moet je in NL rijLESSEN nemen. Als auto eigenaar mag je verwachten dat je sleutel ALLEEN werkt op jouw auto en niet alle andere auto's van hetzelfde MERK kan openen. Ook mag je verwachten dat fabrikage fouten in (bijv) de stuurinrichting door de fabrikant worden hersteld.
Het verschil tussen een auto en een IoT device is dat auto's moeten voldoen aan wettelijke eisen en fabrikanten hebben een langdurige verantwoordelijkheid ivm veiligheid van de omzittenden en derden. Voor IoT bestaat helaas zoiets nog niet.
.
Door Anoniem: Gek dat dezelfde mensen die niet een handleiding van hun apparaat kunnen lezen en het advies voor veilige instellingen opvolgen, wel stemrecht hebben en een auto mogen rijden. Ik weet dat het in is om de gebruiker uit de wind te houden, maar ik blijf dat toch iets te makkelijk vinden. Als je de weg op gaat neem je een bepaalde verantwoordelijkheid op je, zelfs als voetganger. Waarom zou dat niet kunnen gelden als je het internet op gaat? Het "natuurlijk moet je niks van de gebruiker verwachten, dat moet de ICT oplossen" is mij iets teveel spierballentaal. Leven brengt verantwoordelijkheden mee.
Als auto bestuurder hoor je te weten hoe een auto rijdt, welk gedrag wenselijk is in het verkeer enz. Daarvoor moet je in NL rijLESSEN nemen. Als auto eigenaar mag je verwachten dat je sleutel ALLEEN werkt op jouw auto en niet alle andere auto's van hetzelfde MERK kan openen. Ook mag je verwachten dat fabrikage fouten in (bijv) de stuurinrichting door de fabrikant worden hersteld.
Het verschil tussen een auto en een IoT device is dat auto's moeten voldoen aan wettelijke eisen en fabrikanten hebben een langdurige verantwoordelijkheid ivm veiligheid van de omzittenden en derden. Voor IoT bestaat helaas zoiets nog niet.
.
Toch blijf ik als gebruiker verantwoordelijk dat mijn auto in een deugdelijke, veilige staat verkeert. Dit wordt af en toe gecontroleerd middels APK en daarnaast ben ik verplicht verzekerd tegen fouten in mijn rijkunst. Het onderhoud en reparatie van de auto kan ik uitbesteden, maar ik blijf zelf verantwoordelijk. En de meeste mensen blijken dat ook aan te kunnen. In ieder geval mogen ze zonder begeleiding rondrijden in een brok staal van meer dan 700 kg. De meeste mensen hebben daarnaast gevaarlijke apparatuur in huis zoals electriek, gasaansluitingen en apparaten die daar gebruik van maken. Ook hier weer de verantwoordelijkheid om deze zaken netjes op orde te houden (zelfs schoorsteenvegen is verplich)zodat je huis niet affakkelt, je huisgenoten geen gevaar lopen en je buren niet hoeven te vrezen voor ongeplande explosies. Ook hier: onderhoud mag je uitbesteden, maar je bent zelf verantwoordelijk.
Diezelfde mensen achten wij ICTers totaal niet in staat om enige verantwoording te nemen voor het netjes configureren en onderhouden van IoT apparaten. En niemand stelt ze daar ook verantwoordelijk voor. Ik blijf dat ongerijmd vinden, want de overlast komt bij anderen terecht. Wat is er bijvoorbeeld overgebleven van de plicht tot goed huisvaderschap uit de WCC?
Toch blijf ik als gebruiker verantwoordelijk dat mijn auto in een deugdelijke, veilige staat verkeert. Dit wordt af en toe gecontroleerd middels APK en daarnaast ben ik verplicht verzekerd tegen fouten in mijn rijkunst. Het onderhoud en reparatie van de auto kan ik uitbesteden, maar ik blijf zelf verantwoordelijk. En de meeste mensen blijken dat ook aan te kunnen. In ieder geval mogen ze zonder begeleiding rondrijden in een brok staal van meer dan 700 kg. De meeste mensen hebben daarnaast gevaarlijke apparatuur in huis zoals electriek, gasaansluitingen en apparaten die daar gebruik van maken. Ook hier weer de verantwoordelijkheid om deze zaken netjes op orde te houden (zelfs schoorsteenvegen is verplich)zodat je huis niet affakkelt, je huisgenoten geen gevaar lopen en je buren niet hoeven te vrezen voor ongeplande explosies. Ook hier: onderhoud mag je uitbesteden, maar je bent zelf verantwoordelijk.
Diezelfde mensen achten wij ICTers totaal niet in staat om enige verantwoording te nemen voor het netjes configureren en onderhouden van IoT apparaten. En niemand stelt ze daar ook verantwoordelijk voor. Ik blijf dat ongerijmd vinden, want de overlast komt bij anderen terecht. Wat is er bijvoorbeeld overgebleven van de plicht tot goed huisvaderschap uit de WCC?
Een auto moet aan allerlei (veiligheids)voorschriften voldoen voordat het überhaupt de weg op mag. Hier mag je als gebruiker niets aan doen (dus niet bijvoorbeeld de veiligheidsriemen en airbags verwijderen of andere kleur verlichting voeren)
Een auto moet door een goedgekeurde(vooral bij nieuw) garage onderhouden worden.Dit vanwege de garantie (en aansprakelijkheid) Ook het configureren en updaten wordt door de garage gedaan.
Voor het gebruik van de auto moet je rijbewijs hebben en je aan de verkeersregels houden.
Je hebt dus te maken met de fabrikant, garage, overheid en de gebruiker. Allemaal hebben ze een rol in dit verhaal. Als jij een auto koopt dan ga je er blind vanuit dat de fabrikant, garage en overheid hun werk na behoren hebben gedaan.
Dit ontbreekt momenteel bij IoT apparaten.Dat is voor de meeste ICTers geen probleem, maar voor een gewone gebruiker wel. Zij moeten net als bij een auto een(relatief) veilig apparaat kunnen kopen. Dat je daar verantwoordelijk mee om moet gaan lijkt me logisch (je kan een IP camera ook voor foute dingen inzetten)
De auto is begonnen als IoT nu. In begin was er chaos (ongelukken, ontbrekende regels) en dat is langzamerhand gereguleerd. Wij mensen leren van vallen en opstaan. Het probleem met ons is, dat we eerst altijd hard moeten vallen ... :(
Het probleem zit hem niet in de default User/Pass methodiek, maar in de zeer kwetsbare ethernet stack (zeer goedkoop) welke zij gebruiken. Default is telnet actief en zorg voor mega problemen (kan niet uitgezet worden in veel bestaande versies). Xiongmai levert haar componenten als half fabrikaat aan oa. Dahua, Uniview, Hikvision, non-label copy van voorgaande en tevens OEM A-Merk fabrikanten zoals UTC, Bosch etc.
Een goedkopen product zal om redenen goedkoper zijn, niet omwille van dat een camera gemaakt door een andere producent meer marge calculeert maar er worden andere componenten gebruikt ! en met reden.
Zelf bij devices waar men de gebruikers naam etc., heeft aangepast is het nog steeds relatief makkelijk om via telnet het apparaat te voorzien van kwaadwillende software.
https://ipvm.com/reports/dahua-telnet
Conclusie, beveiligingscamera ? nee gewoon een Camera welke niets meer met beveiliging te maken heeft. Betaal gewoon iets meer en je krijgt wel een fatsoenlijk product.
Een goedkopen product zal om redenen goedkoper zijn, niet omwille van dat een camera gemaakt door een andere producent meer marge calculeert maar er worden andere componenten gebruikt ! en met reden.
Zelf bij devices waar men de gebruikers naam etc., heeft aangepast is het nog steeds relatief makkelijk om via telnet het apparaat te voorzien van kwaadwillende software.
https://ipvm.com/reports/dahua-telnet
Conclusie, beveiligingscamera ? nee gewoon een Camera welke niets meer met beveiliging te maken heeft. Betaal gewoon iets meer en je krijgt wel een fatsoenlijk product.
Conclusie, beveiligingscamera ? nee gewoon een Camera welke niets meer met beveiliging te maken heeft. Betaal gewoon iets meer en je krijgt wel een fatsoenlijk product.
Iets meer betalen is zeker geen garantie dat je fatsoenlijk product krijgt. Ik heb het in andere postings ook al eens gezegd, de grote merken zoals Asus, D-Link, Belkin leveren apparaten (en die zijn zeker niet altijd goedkoop) die behoorlijk brak zijn.
http://arstechnica.com/security/2016/02/asus-lawsuit-puts-entire-industry-on-notice-over-shoddy-router-security/
https://www.yahoo.com/tech/popular-belkin-wi-fi-router-numerous-security-holes-020012573.html
http://www.networkworld.com/article/2224469/microsoft-subnet/hacks-to-turn-your-wireless-ip-surveillance-cameras-against-you.html
Het is symptomatisch voor de gehele IoT industrie. Er zijn maar een handjevol bedrijven die security wel serieus nemen. Helaas zijn veel producten brak en/of het zijn spionage apparaten die allerlei gegevens verzamelen die niets met de werking van de product te maken hebben. Wat dat betreft is het volledig uit de hand gelopen.
Het is symptomatisch voor de gehele IoT industrie. Er zijn maar een handjevol bedrijven die security wel serieus nemen. Helaas zijn veel producten brak en/of het zijn spionage apparaten die allerlei gegevens verzamelen die niets met de werking van de product te maken hebben. Wat dat betreft is het volledig uit de hand gelopen.
Er zijn bedrijven/fabrikanten welke dit echt wel serieus nemen, ik ken er een aantal, zelfs een Koreaanse CCTV fabrikant welke een hele Cybercrime afdeling hebben opgezet in 2012 om alle mogelijkheden te onderzoeken en aanpassingen te maken aan hardware en software. Het blijft water naar de zee dragen naar mijn persoonlijke mening. Een oplossing in de vorm van een Fix update is tijdelijk. Men dient bij ontwikkelingen rekening te houden met dergelijke dreigingen en deze dan ook realtime blijven monitoren en met aanpassingen komen voor de markt uit. Dus voordat het ontdekt wordt door het groten publiek.
Ik ben ook van mening dat er tussen de A merken problemen zitten, over het algemeen gaat men er toch serieus mee om. En vind er door een degelijke fabrikant een deugdelijk onderzoek plaats. Bij Chinese producenten zie ik toch bar weinig gebeuren, geen preventie maar oplappen en waar mogelijk de verantwoordelijkheid afschuiven.
IoT is maar een trendy naam, binnen de security branche kennen we deze connectiviteit al decennia's. Echter nu veelvuldig gebruik door de massa en dus we verzinnen met zijn alle een naampje ! De dreigingen waren, zijn en zullen er blijven. Produrenten moeten hier gewoon beter op anticiperen !
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
