Nieuws
image

"Internet of Things-apparaten kwetsbaar vanwege Linux"

dinsdag 25 oktober 2016, 16:22 door Redactie, 24 reacties

Internet of Things-apparaten worden aangevallen omdat ze voornamelijk op Linux zijn gebaseerd, zo stelt de Chinese fabrikant Hangzhou Xiongmai Technology. Gehackte IoT-apparaten van het bedrijf, zoals ip-camera's en digitale videorecorders, waren betrokken bij ddos-aanvallen tegen dns-aanbieder Dyn.

De apparaten waren besmet door de Mirai-malware. Deze malware weet apparaten waar het standaard wachtwoord niet van is gewijzigd te infecteren en onderdeel van een botnet te maken. Hangzhou Xiongmai liet eerder weten dat het verschillende producten die het in de Verenigde Staten verkocht, en kwetsbaar voor de Mirai-malware zijn, zal terugroepen. Tegenover de Associated Press verklaarde het bedrijf dat het om 4 miljoen ip-camera's zou gaan, maar tegen Reuters wordt een getal van onder de 10.000 camera's genoemd.

De fabrikant heeft zich ook uitgelaten over de oorzaak van de aanvallen. Naast het leggen van de schuld bij gebruikers die het standaard wachtwoord niet wijzigen krijgt ook Linux een veeg uit de pan. "Internet of Things-apparaten zijn het doelwit van cyberaanvallen omdat ze voornamelijk op het Linux-opensourcesysteem zijn gebaseerd", aldus het bedrijf. "Onze r&d-afdeling kijkt sinds vorig jaar naar het ontwikkelen van producten gebaseerd op andere systemen en is van plan dit in de toekomst vaker te doen." Dit zou voor veiligere apparaten moeten zorgen, zo stelt de woordvoerder.

Hij heeft ook een verklaring voor de aanvallen in de Verenigde Staten. "De reden dat er zo'n gigantische aanval in de Verenigde Staten was en dit waarschijnlijk niet in China zal plaatsvinden is dat de meeste van onze producten in China industriële apparaten zijn die alleen in gesloten intranet-omgevingen worden gebruikt. In de Verenigde Staten gaat het om consumentenapparaten die in het publieke domein zijn te vinden."

Reacties (24)
25-10-2016, 16:39 door Anoniem
Vooral niet de schuld zelf nemen. Linux heeft hier helemaal niets mee te maken. Het gaat puur om eigen development van je applicatie die je maakt en hoe je de authenticatie / autorisatie laat verlopen. Dat deze tent ervoor kiest om standaardwachtwoord en standaardusername niet aan te passen is belachelijk. Het is helemaal niet moeilijk om voor elk apparaat een wachtwoord specifiek voor dat apparaat te creeren.
Van de standaard gebruiker hoef je niet te verwachten dat zij weten wat voor gevaar dat hun device loopt, daarvoor geven ze niet genoeg om hun privacy of hebben niet door wat voor implicaties het heeft.
25-10-2016, 16:45 door Anoniem
Daar hebben ze wel een punt. Het draaien van een general-purpose OS op een embedded systeem is zeker een
extra risico. Ze zouden zelf wel wat kunnen doen door geen telnet en andere shell services aan te bieden, maar een
wat geavanceerdere gebruiker vindt dit soort dingen vaak juist wel grappig of interessant.

Met een op embedded gebruik gericht OS of alleen gebruik van de Linux kernel en geen telnet service en busybox
op de machine zal de situatie zeker verbeteren.
25-10-2016, 16:48 door [Account Verwijderd]
[Verwijderd]
25-10-2016, 16:48 door Anoniem
Wat een onzin. Je moet die dingen gewoon niet uit de doos met telnet en upnp en andere protocollen aan uitleveren, maakt niet uit op welke kernel het gebasseerd is. Wanneer upnp pas aangezet wordt nadat het default username en wachtwoord is gewijzigd zouden al deze problemen voorkomen kunnen worden. Standaard hangen die apparaten toch gewoon achter een NAT bij de huis. tuin en keuken gebruiker.
25-10-2016, 16:51 door Anoniem
Want op X ander OS is het wel veilig zonder onderhoud?
25-10-2016, 17:16 door Hans_US
Als ik W10 embedded op een raspberry pi installeer dan is het standaard u/p combi niet pi/raspberry maar Admninistrator/p@ssw0rd . Zelfs als het standaard wachtwoord !#G34g135ASdy34zcvqeRg3 is voor 100-en IoTs dan is het nog steeds een gemakkelijk standaard wacthwoord.

Zolang het EmbeddedOS 1) niet standaard om een nieuw wachtwoord vraagt 2) niet toestaat om het admin username aan te passen 3) het aantal pogingen op onbeperkt heeft staan zonder verrtraging 4) verborgen wachtwoorden bevat 5) gevoelige diensten zoals uPnP, WPS en telnet standaard heeft aanstaan 6) niet kan worden bijgewerkt met updates 7) ........, dan moet de FABRIKANT verantwoordelijk worden gesteld.

XiongmaiOS met de bovenstaande fouten is net zo gemakkelijk te hacken als elk ander OS
25-10-2016, 17:18 door Anoniem
Door Anoniem: Daar hebben ze wel een punt. Het draaien van een general-purpose OS op een embedded systeem is zeker een
extra risico. Ze zouden zelf wel wat kunnen doen door geen telnet en andere shell services aan te bieden, maar een
wat geavanceerdere gebruiker vindt dit soort dingen vaak juist wel grappig of interessant.

Met een op embedded gebruik gericht OS of alleen gebruik van de Linux kernel en geen telnet service en busybox
op de machine zal de situatie zeker verbeteren.

Ze hebben een punt, maar als ze dat punt ook toepassen zouden ze al snel ontdekken dat degene die de keuze voor dat generieke os genaakt heeft ... juist, pure afschuiverij.
Het is nog puurdere onzin dan beweren dat osx het veiligste os is, enkel en alleen omdat er relatief weinig virussen voor zijn.
25-10-2016, 17:23 door karma4
Het ligt inderdaad niet aan Linux Windows of wat dan ook.
Het echte issue is het negeren van de secùrity bij het ontwerp van het geheel. Als het maar goedkoop en snel op de markt is.

De houding van merk verslaafden/haters helpt bij dat negeren van een veilig ontwerp. Hoe ga je dat veranderen?
Dat is meer dan enkel wijzen naar Telnet en onveilige user passwords als de oplossing voor alles. Er is geen silver bullet.
25-10-2016, 18:04 door Anoniem
"Internet of Things-apparaten kwetsbaar vanwege incapabele managers"
25-10-2016, 18:44 door karma4 - Bijgewerkt: 25-10-2016, 18:46
Door Anoniem: Wat een onzin. Je moet die dingen gewoon niet uit de doos met telnet en upnp en andere protocollen aan uitleveren, maakt niet uit op welke kernel het gebasseerd is. Wanneer upnp pas aangezet wordt nadat het default username en wachtwoord is gewijzigd zouden al deze problemen voorkomen kunnen worden. Standaard hangen die apparaten toch gewoon achter een NAT bij de huis. tuin en keuken gebruiker.
Je kunt aan een keurmerk denken alleen gebruik voor binnenhuis (intranet) niet geschikt met privacy gevoelige data etc. Op zich is de techniek niet leidend maar de omgeving waarin en hoe je het gebruikt.
Achter een nat klinkt leuk als ze als optie hebben als babyfoon te bsnaderen buiten je eigen huis dan gaat het door je nat heen naar buiten. Hoe zijn de ito's gehackt?

Een geisoleerd lokaal ip netwerk zonder netwerk connectie naar buiten is de eis die je er aan wilt stellen.
25-10-2016, 19:35 door [Account Verwijderd] - Bijgewerkt: 26-10-2016, 08:50
[Verwijderd]
25-10-2016, 21:56 door Anoniem
Wacht maar tot binnenkort wanneer die devices zich niet meer achter een NAT firewall kunnen verstoppen, maar volledig exposed zijn met hun IPv6 ip address. Dat belooft....het gaat er niet op verbeteren....
26-10-2016, 08:47 door Anoniem
<quote>"Onze r&d-afdeling kijkt sinds vorig jaar naar het ontwikkelen van producten gebaseerd op andere systemen en is van plan dit in de toekomst vaker te doen." Dit zou voor veiligere apparaten moeten zorgen, zo stelt de woordvoerder.</quote>

De woordvoerder heeft een punt. 20 Jaar geleden heeft ene heer Torvalds gekozen voor een monolitische kernel. Dat ontwerp leid ook tot monolitische appliaties.

Een microkernel-architectuur leidt tot een veel meer gesplitst systeem waarbij een fout in een subsysteem niet gelijk een security-risico inhoudt. Zou de woordwoerder soms http://genode.org in gedachten hebben?
26-10-2016, 09:00 door Anoniem
Door karma4: Het ligt inderdaad niet aan Linux Windows of wat dan ook.
Het echte issue is het negeren van de secùrity bij het ontwerp van het geheel. Als het maar goedkoop en snel op de markt is.

De houding van merk verslaafden/haters helpt bij dat negeren van een veilig ontwerp. Hoe ga je dat veranderen?
Dat is meer dan enkel wijzen naar Telnet en onveilige user passwords als de oplossing voor alles. Er is geen silver bullet.

Ik kan het niet beter kunnen verwoorden. Linux != 'de mens' .. De 60 gebruikte logins/pw voor Mirai (malware die gebruikt is voor de DDOS aanval) laten geen spaan heel van de menselijke logica en onderstrepen alleen maar weer hoe stupide developers zijn bij het kieze van 'root' wachtwoorden (en die via reverse engineering) uitstekend uit Firmware te halen zijn..
26-10-2016, 10:18 door Anoniem
Altijd al gedacht: Linux deugt van geen kant.
26-10-2016, 10:56 door Anoniem
Door Anoniem: Wacht maar tot binnenkort wanneer die devices zich niet meer achter een NAT firewall kunnen verstoppen, maar volledig exposed zijn met hun IPv6 ip address. Dat belooft....het gaat er niet op verbeteren....

Met IPv6 is de noodzaak voor NAT komen te vervallen, niet de mogelijkheid. Een fatsoenlijke router kan IPv6 prima firewallen voor de achterliggende devices.
26-10-2016, 11:18 door Anoniem
Door Rinjani: Ik weet niet of ze Embedded Linux gebruiken. Zo niet dan zouden dedicated real-time besturingssystemen als VxWorks, RTOS, QNX wellicht meer geschikt zijn in dergelijke apparaten. Maar dat konden of wilden ze natuurlijk niet betalen. Voor een dubbeltje op de eerste rang willen zitten, niet de moeite nemen om basale onnodige services uit te schakelen en wanneer het fout gaat de bal afspelen richting gebruikers en Linux :-(

Waarschijnlijk om het OS meer kost dan dat de huidige device kost?
Daarnaast, al neem je zo'n OS wat je noemt..... Als de applicatie brak is, kan je het meest veilige OS wat er bestaat neer zetten. Dit maakt helemaal niets uit, als je applicatie zo open is als een draai deur.

OS is niet relevant. Het gaat om de applicatie die er op draait.
26-10-2016, 11:22 door Anoniem
Neem eens een proef op de som:

1. Neem een Windows computer
2. Zet een netwerk op
3. Schakel de Firewall en de virusscanner uit
4. Wacht verder af.

Binnen 20 minuten of minder is uw mooie machine overgenomen.
Schuld van Windows? Of kwam het doordat de beveiliging was uitgeschakeld?

Herhaal de proef met uw woning.

1. Ga naar uw woning
2. Doe al uw ramen en deuren open
3. Wacht verder af.

Wedden dat na een paar dagen uw huis volledig is leeggehaald?
Schuld van de woning? Of kwam het doordat de beveiliging was uitgeschakeld?
26-10-2016, 11:31 door [Account Verwijderd] - Bijgewerkt: 26-10-2016, 11:32
[Verwijderd]
26-10-2016, 11:34 door Anoniem
IoT is mooi voor de industrie (mits werkelijk goed geïmplementeerd), maar huishoudens met IoT stellen zich óf bloot aan allerlei gevaren die ze niet eens kennen, óf hebben een huisgenoot die de godganse dag met die apparaten zit te pielen (met onzeker resultaat), óf maken zich afhankelijk van nerds die wel doen maar niet zeggen wat ze doen (met dus eveneens onzeker resultaat).
26-10-2016, 11:39 door Anoniem
Bizar om dat op Linux af te schuiven. Je kan Linux zo installeren als je wil. Je kan zelfs een uit de doos beveiligde versie kiezen, of niet. Je bent zelf verantwoordelijk. Er is zo veel keuze in Linuxland. GNU\Linux is juist heel modulair.

Er is geen fabrikant die zegt dat je iets niet mag met Linux. Je kan het zelf uitbreiden, je kan de kernel bouwen zoals je zelf wil. Je kan userland tools installeren of niet.

Als je zelf geen tijd/moeite steekt in het kiezen/bouwen van een juiste install en alles met standaard login uitlevert dan is het te verwachten dat het mogelijk is om toegang te nemen.
26-10-2016, 12:43 door Anoniem
Gisteren was het de schuld van de gebruikers, vandaag die van Linux.
En morgen? De ISP's zeker, omdat ze poort 23 toestaan?
26-10-2016, 13:36 door Anoniem
Kwestie van lezen. Het is niet "de schuld van Linux". De onveiligheid komt door "het gebruik van Linux", een general purpose OS, dat uit de doos, niet perse veilig is. Het is een kwestie van instellen. Om die reden is Linux ook niet veiliger dan Windows, het gaat er om hoe je het instelt en hoe je het gebruikt.
31-10-2016, 12:00 door PJW9779
Hans_US geeft het perfect weer.
Einde discussie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure