Fabrikant gehackte IoT-apparaten legt schuld bij gebruikers
De Chinese fabrikant Hangzhou Xiongmai Technology van wie de digitale videorecorders en ip-camera's door de Mirai-malware besmet raakten en vervolgens werden ingezet voor het aanvallen van populaire websites legt de schuld bij gebruikers die het standaard wachtwoorden niet wijzigden. Ook zegt het bedrijf al het mogelijke gedaan te hebben om de ddos-aanvallen van afgelopen vrijdag op dns-aanbieder Dyn te voorkomen.
Mirai is malware die allerlei op internet aangesloten apparaten via tientallen standaard wachtwoorden weet te infecteren. De besmette apparaten worden onderdeel van botnets die vervolgens voor ddos-aanvallen op websites en internetdiensten worden gebruikt. Onderzoekers van Level 3 onderzochten de communicatie en infrastructuur van Mirai. Meer dan 80% van de besmette apparaten bleken digitale videorecorders te zijn. De rest bestaat uit routers, ip-camera's en Linux-servers.
Naar aanleiding van de ddos-aanvallen op dns-aanbieder Dyn, die ervoor zorgden dat verschillende populaire websites slecht of niet bereikbaar waren, liet de Chinese fabrikant weten een aantal van de producten die het in de Verenigde Staten heeft verkocht terug te roepen. In een nieuwe reactie tegenover de Associated Press verklaart het bedrijf dat de apparaten konden worden gehackt omdat gebruikers de standaard wachtwoorden niet wijzigden.
"We begrijpen niet waarom wij nu onder vuur liggen", aldus een woordvoerder. Vorig jaar april werd de fabrikant over een kwetsbaarheid in de apparatuur ingelicht. Vervolgens werd er een update uitgerold. Producten die sindsdien zijn verkocht zouden niet meer kwetsbaar voor de Mirai-malware zijn. Naar eigen zeggen wil Hangzhou Xiongmai 4 miljoen ip-camera's terugroepen die nog kwetsbaars zijn en heeft het klanten beveiligingsupdates aangeboden. De terugroepactie geldt echter alleen voor producten die onder de eigen naam worden verkocht. Als fabrikant van hardware-onderdelen wordt bijna 95% van de producten die het maakt door andere bedrijven gebruikt die het vervolgens als hun eigen product aanbieden.
Maatregelen
Het Internet Storm Center (ISC) meldt dat scans op poort 23 en 2323, die de malware gebruikt om via telnet op apparaten in te loggen, iets afnemen. "Het lijkt erop dat tegenmaatregelen van internetproviders tot op enige hoogte succes hebben", aldus Johannes Ullrich van het ISC. Ook verschillende command en controle-servers van het Mirai-botnet zijn offline gehaald. Verder laat Ullrich weten dat Mirai ook andere apparaten dan digitale videorecorders probeert te infecteren, maar de meeste besmette apparaten nog steeds videorecorders zijn.
Lijkt me heerlijk als een USA advocatenbureau nu rechtzaken gaat aanspannen. Straalt mooi uit naar andere fabrikanten.
Zolang het EmbeddedOS 1) niet standaard om een nieuw wachtwoord vraagt 2) niet toestaat om het admin username aan te passen 3) het aantal pogingen op onbeperkt heeft staan zonder verrtraging 4) verborgen wachtwoorden bevat 5) gevoelige diensten zoals uPnP, WPS en telnet standaard heeft aanstaan 6) niet kan worden bijgewerkt met updates 7) ........, dan moet de FABRIKANT verantwoordelijk worden gesteld.
XiongmaiOS met de bovenstaande fouten is net zo gemakkelijk te hacken als elk ander OS
Alleen al om die reden mag dit bedrijf keihard aangepakt worden. Een product moet in orde zijn VOORDAT je het verkoopt.
Je gaat toch ook geen auto leveren en de remblokken pas een jaar later met een nabestelling. Waarom dan wel een IOT device wat als digitaal wapen gebruikt kan worden leveren en pas met de beveiliging aankomen als het te laat is...
Als auto bestuurder hoor je te weten hoe een auto rijdt, welk gedrag wenselijk is in het verkeer enz. Daarvoor moet je in NL rijLESSEN nemen. Als auto eigenaar mag je verwachten dat je sleutel ALLEEN werkt op jouw auto en niet alle andere auto's van hetzelfde MERK kan openen. Ook mag je verwachten dat fabrikage fouten in (bijv) de stuurinrichting door de fabrikant worden hersteld.
Het verschil tussen een auto en een IoT device is dat auto's moeten voldoen aan wettelijke eisen en fabrikanten hebben een langdurige verantwoordelijkheid ivm veiligheid van de omzittenden en derden. Voor IoT bestaat helaas zoiets nog niet.
Iemand die een camera aan internet hangt en zich geen zorgen maakt om privacy of wachtwoorden is in de huidge tijd erg stom bezig. Tegen deze mensen hoeft een fabrikant zich niet te bescheremn. Daarentegen behoort een fabrikant ook common sense te hebben, dwz ook de fabrikant weet dat een standaard wachtwoord vragen is om problemen.
Iemand die een camera aan het internet hangt en zich wel zorgen maakt om security, moet de mogelijkheden hebben om de beveiliging te verbeteren. Dat betekent niet automatisch dat deze persoon gelijk via SSH naar de root gaat om extra packages te installeren om zo de beveiliging te verbeteren.
Een ander verweer is dat men geen GOEDKOPE Chinese cameras moet kopen, dat is vragen om problemen. Jammer genoeg is bijna alles Chinees en/of worden chinese camera onderdelen vaak gebruikt in andere merken. "Dure" merken zijn niet per definitie beter. Je mag niet van Jan Modaal verwachten dat hij de kennis heeft om dit goed te beoordelen.
Dat is toch wel het luxere segment cameras.
Not your typical China shitcam.
Als auto bestuurder hoor je te weten hoe een auto rijdt, welk gedrag wenselijk is in het verkeer enz. Daarvoor moet je in NL rijLESSEN nemen. Als auto eigenaar mag je verwachten dat je sleutel ALLEEN werkt op jouw auto en niet alle andere auto's van hetzelfde MERK kan openen. Ook mag je verwachten dat fabrikage fouten in (bijv) de stuurinrichting door de fabrikant worden hersteld.
Het verschil tussen een auto en een IoT device is dat auto's moeten voldoen aan wettelijke eisen en fabrikanten hebben een langdurige verantwoordelijkheid ivm veiligheid van de omzittenden en derden. Voor IoT bestaat helaas zoiets nog niet.
.
Toch blijf ik als gebruiker verantwoordelijk dat mijn auto in een deugdelijke, veilige staat verkeert. Dit wordt af en toe gecontroleerd middels APK en daarnaast ben ik verplicht verzekerd tegen fouten in mijn rijkunst. Het onderhoud en reparatie van de auto kan ik uitbesteden, maar ik blijf zelf verantwoordelijk. En de meeste mensen blijken dat ook aan te kunnen. In ieder geval mogen ze zonder begeleiding rondrijden in een brok staal van meer dan 700 kg. De meeste mensen hebben daarnaast gevaarlijke apparatuur in huis zoals electriek, gasaansluitingen en apparaten die daar gebruik van maken. Ook hier weer de verantwoordelijkheid om deze zaken netjes op orde te houden (zelfs schoorsteenvegen is verplich)zodat je huis niet affakkelt, je huisgenoten geen gevaar lopen en je buren niet hoeven te vrezen voor ongeplande explosies. Ook hier: onderhoud mag je uitbesteden, maar je bent zelf verantwoordelijk.
Diezelfde mensen achten wij ICTers totaal niet in staat om enige verantwoording te nemen voor het netjes configureren en onderhouden van IoT apparaten. En niemand stelt ze daar ook verantwoordelijk voor. Ik blijf dat ongerijmd vinden, want de overlast komt bij anderen terecht. Wat is er bijvoorbeeld overgebleven van de plicht tot goed huisvaderschap uit de WCC?
Toch blijf ik als gebruiker verantwoordelijk dat mijn auto in een deugdelijke, veilige staat verkeert. Dit wordt af en toe gecontroleerd middels APK en daarnaast ben ik verplicht verzekerd tegen fouten in mijn rijkunst. Het onderhoud en reparatie van de auto kan ik uitbesteden, maar ik blijf zelf verantwoordelijk. En de meeste mensen blijken dat ook aan te kunnen. In ieder geval mogen ze zonder begeleiding rondrijden in een brok staal van meer dan 700 kg. De meeste mensen hebben daarnaast gevaarlijke apparatuur in huis zoals electriek, gasaansluitingen en apparaten die daar gebruik van maken. Ook hier weer de verantwoordelijkheid om deze zaken netjes op orde te houden (zelfs schoorsteenvegen is verplich)zodat je huis niet affakkelt, je huisgenoten geen gevaar lopen en je buren niet hoeven te vrezen voor ongeplande explosies. Ook hier: onderhoud mag je uitbesteden, maar je bent zelf verantwoordelijk.
Diezelfde mensen achten wij ICTers totaal niet in staat om enige verantwoording te nemen voor het netjes configureren en onderhouden van IoT apparaten. En niemand stelt ze daar ook verantwoordelijk voor. Ik blijf dat ongerijmd vinden, want de overlast komt bij anderen terecht. Wat is er bijvoorbeeld overgebleven van de plicht tot goed huisvaderschap uit de WCC?
Een auto moet aan allerlei (veiligheids)voorschriften voldoen voordat het überhaupt de weg op mag. Hier mag je als gebruiker niets aan doen (dus niet bijvoorbeeld de veiligheidsriemen en airbags verwijderen of andere kleur verlichting voeren)
Een auto moet door een goedgekeurde(vooral bij nieuw) garage onderhouden worden.Dit vanwege de garantie (en aansprakelijkheid) Ook het configureren en updaten wordt door de garage gedaan.
Voor het gebruik van de auto moet je rijbewijs hebben en je aan de verkeersregels houden.
Je hebt dus te maken met de fabrikant, garage, overheid en de gebruiker. Allemaal hebben ze een rol in dit verhaal. Als jij een auto koopt dan ga je er blind vanuit dat de fabrikant, garage en overheid hun werk na behoren hebben gedaan.
Dit ontbreekt momenteel bij IoT apparaten.Dat is voor de meeste ICTers geen probleem, maar voor een gewone gebruiker wel. Zij moeten net als bij een auto een(relatief) veilig apparaat kunnen kopen. Dat je daar verantwoordelijk mee om moet gaan lijkt me logisch (je kan een IP camera ook voor foute dingen inzetten)
De auto is begonnen als IoT nu. In begin was er chaos (ongelukken, ontbrekende regels) en dat is langzamerhand gereguleerd. Wij mensen leren van vallen en opstaan. Het probleem met ons is, dat we eerst altijd hard moeten vallen ... :(
Een goedkopen product zal om redenen goedkoper zijn, niet omwille van dat een camera gemaakt door een andere producent meer marge calculeert maar er worden andere componenten gebruikt ! en met reden.
Zelf bij devices waar men de gebruikers naam etc., heeft aangepast is het nog steeds relatief makkelijk om via telnet het apparaat te voorzien van kwaadwillende software.
https://ipvm.com/reports/dahua-telnet
Conclusie, beveiligingscamera ? nee gewoon een Camera welke niets meer met beveiliging te maken heeft. Betaal gewoon iets meer en je krijgt wel een fatsoenlijk product.
Conclusie, beveiligingscamera ? nee gewoon een Camera welke niets meer met beveiliging te maken heeft. Betaal gewoon iets meer en je krijgt wel een fatsoenlijk product.
Iets meer betalen is zeker geen garantie dat je fatsoenlijk product krijgt. Ik heb het in andere postings ook al eens gezegd, de grote merken zoals Asus, D-Link, Belkin leveren apparaten (en die zijn zeker niet altijd goedkoop) die behoorlijk brak zijn.
http://arstechnica.com/security/2016/02/asus-lawsuit-puts-entire-industry-on-notice-over-shoddy-router-security/
https://www.yahoo.com/tech/popular-belkin-wi-fi-router-numerous-security-holes-020012573.html
http://www.networkworld.com/article/2224469/microsoft-subnet/hacks-to-turn-your-wireless-ip-surveillance-cameras-against-you.html
Het is symptomatisch voor de gehele IoT industrie. Er zijn maar een handjevol bedrijven die security wel serieus nemen. Helaas zijn veel producten brak en/of het zijn spionage apparaten die allerlei gegevens verzamelen die niets met de werking van de product te maken hebben. Wat dat betreft is het volledig uit de hand gelopen.
Het is symptomatisch voor de gehele IoT industrie. Er zijn maar een handjevol bedrijven die security wel serieus nemen. Helaas zijn veel producten brak en/of het zijn spionage apparaten die allerlei gegevens verzamelen die niets met de werking van de product te maken hebben. Wat dat betreft is het volledig uit de hand gelopen.
Er zijn bedrijven/fabrikanten welke dit echt wel serieus nemen, ik ken er een aantal, zelfs een Koreaanse CCTV fabrikant welke een hele Cybercrime afdeling hebben opgezet in 2012 om alle mogelijkheden te onderzoeken en aanpassingen te maken aan hardware en software. Het blijft water naar de zee dragen naar mijn persoonlijke mening. Een oplossing in de vorm van een Fix update is tijdelijk. Men dient bij ontwikkelingen rekening te houden met dergelijke dreigingen en deze dan ook realtime blijven monitoren en met aanpassingen komen voor de markt uit. Dus voordat het ontdekt wordt door het groten publiek.
Ik ben ook van mening dat er tussen de A merken problemen zitten, over het algemeen gaat men er toch serieus mee om. En vind er door een degelijke fabrikant een deugdelijk onderzoek plaats. Bij Chinese producenten zie ik toch bar weinig gebeuren, geen preventie maar oplappen en waar mogelijk de verantwoordelijkheid afschuiven.
IoT is maar een trendy naam, binnen de security branche kennen we deze connectiviteit al decennia's. Echter nu veelvuldig gebruik door de massa en dus we verzinnen met zijn alle een naampje ! De dreigingen waren, zijn en zullen er blijven. Produrenten moeten hier gewoon beter op anticiperen !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
