"Providers hadden veiligheid routers moeten controleren"
De recente problemen met aanvallen op routers, waardoor onder andere 900.000 klanten van Deutsche Telekom met storingen te maken kregen, hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.
Dat zegt Joe Bursell van het Britse beveiligingsbedrijf Pen Test Partners. Naast Deutsche Telekom kregen ook internetproviders in Groot-Brittannië, Ierland en andere landen met aanvallen te maken. Wereldwijd zijn mogelijk miljoenen routers kwetsbaar voor de malware die achter de aanvallen zit. De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Providers gebruiken de protocollen om routers op afstand te beheren. Bij sommige modems en routers zijn de protocollen niet voor het internet afgeschermd en zijn de apparaten voor kwaadwillenden via het protocol toegankelijk.
Op de vraag hoe dit kon gebeuren wijst Bursell naar de internetproviders. "Het is een lang verhaal, maar we denken dat providers de veiligheid niet goed hebben gecontroleerd van de routers die ze aan klanten geven." De software van de routerfabrikanten zou het TR-064-configuratieprotocol niet goed beveiligen. "De providers hadden beter de routers moeten controleren voordat ze die naar klanten stuurden. De fabrikanten hadden in de eerste plaats veilige software moeten schrijven."
Volgens Bursell is het probleem van TR-064 al enige tijd bekend. "Maar tot voor kort beseften maar weinigen hoe ernstig het was. Totdat iemand een botnet begon te bouwen en de routers van mensen stopten met werkten, namen maar weinig mensen dit serieus." Pen Test Partners liet eerder deze week weten dat de malware de router niet alleen infecteert, maar ook het wifi-wachtwoord steelt. Getroffen gebruikers krijgen dan ook het advies om hun router te updaten en hun wifi-wachtwoord te wijzigen, hoewel Bursell hoopt dat providers bij hun abonnees de routers gaan vervangen.
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.
Weet nog dat mijn modem (Zyxel) met de firmware van mijn provider(telfort) ook een aantal problemen had. Zoals CPE dat open stond en er was een command waarmee je de gateway kon offline halen. Dat is niet eens alles, er zat ook een XSS in.
Dus ik heb dat toen eens gepost op hun forum, blijkbaar zat in hun forum CMS ook een XSS bug.
Good game!
Leuk tr064 en tr069 afschermen van het internet, maar bij een inbraak bij de provider heeft een aanvaller alsnog toegang tot de router EN het lokale netwerk van klanten.
Veel te gevaarlijk dus. Deze protocollen kunnen het best samen met IPv6 de prullenbak in. Het effect van deze protocollen is onbeheersbaar.
Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.
Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.
Pentesters kun je inhuren, en het is altijd goed om een leverancier niet op z'n woord en contract te moeten geloven.
Ik weet niet of de ISP iets van een pen test gedaan heeft (zelf, of ingehuurd ), maar ook pentesters kunnen dingen missen.
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.
Dus wat voegt "dit is geen nieuws" precies toe?
Gewoon omdat mijn router geen docsis spreekt en geen F-Connector heeft om de tv-kabel in te duwen.
Ze hebben me wel een paar keer een nieuwe gestuurd, met wifi etc. maar ik hou liever mijn oude vertrouwde modem en mijn eigen router....
Maar als je als provider de router levert en meent te beheren (wat klanten denken) duw er dan ook even updates heen.
Gros van de klanten kijkt nooit om naar dat ding.
Als zulke basis instellingen al niet goed gaan wat is er dan nog mis wat de consument niet bemerkt of pas als het te laat is.
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
Welkom, dit is het probleem van closed source firmware en software.
Ze hebben een houdbaarheid datum zeg maar. Het is slechts een kwestie van tijd voordat de problemen door hobbyisten of professionals ontdekt zal worden. En dan maar hopen dan de fabrikant zo mooi is en er nog geld in wilt stoppen om een firmware update uit te brengen..
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
Voor kabel- en DSL-modems geldt zo'n eis niet.
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
Auto's moeten door RDW goedgekeurd worden voor ze de weg op mogen, voor routers is er niet zo'n strenge keuring. Informatietechnologie is sowieso nogal een wildwest-verhaal qua kwaliteit (van software/firmware vooral), het is nog zo nieuw dat nog lang niet zo uitgekristalliseerd is wat voor eisen je er eigenlijk aan mag stellen als op veel andere terreinen, en het is duidelijk dat heel wat fabrikanten en andere partijen de nodige steken laten vallen. En dus kan een ISP die beweert kwaliteit te leveren (en welke doet dat niet) niet zo blind op de kwaliteit van de toeleveranciers vertrouwen als een afnemer van een autofabrikant dat kan. Of eigenlijk kan die ISP dat wel, maar dan valt hij wel door de mand voor wat betreft die pretentie van kwaliteit als er iets mis mee gaat. En zolang het grote publiek amper een idee heeft waar het over gaat komen ze er nog mee weg ook.
Gewoon omdat mijn router geen docsis spreekt en geen F-Connector heeft om de tv-kabel in te duwen.
Ze hebben me wel een paar keer een nieuwe gestuurd, met wifi etc. maar ik hou liever mijn oude vertrouwde modem en mijn eigen router....
Maar als je als provider de router levert en meent te beheren (wat klanten denken) duw er dan ook even updates heen.
Gros van de klanten kijkt nooit om naar dat ding.
Je kan de routers van ziggo in "Bridge" mode plaatsen en je eigen router aansluiten...
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.
Je hebt gelijk dat het geen nieuws is. Ze horen dat al jaren te doen.
Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.
Het gaat er in de meeste gevallen op dat je bij de controle van de router het standaard wachtwoord wijzigt en de firewall zo instelt dat niet de hele wereld, maar alleen je eigen beheernetwerk, bij de router kan.
Ik heb een aantal jaren toezicht gehouden op de security maatregelen bij een ISP. Het probleem uitleggen was voldoende om hen ervoor te laten zorgen dat er geen router naar een klant ging zonder dat die veilig geconfigureerd was.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
