VS wil automatische updates voor routers en afgeschermde beheerinterface
De Amerikaanse overheid heeft routerfabrikanten opgeroepen om hun apparaten van automatische updates te voorzien en de beheerinterface standaard voor het internet af te schermen. Aanleiding is een operatie tegen een botnet dat uit besmette Cisco- en Netgear-routers bestond en door de Chinese overheid als springplank zou zijn gebruikt voor het aanvallen van de Amerikaanse vitale infrastructuur. De FBI maakte gisteren bekend dat het de botnet-malware van honderden besmette routers in de VS heeft verwijderd.
"Fabrikanten maken vaak routers die geen automatische updatemogelijkheid en een groot aantal kwetsbaarheden in de beheerinterface hebben, wat deze apparaten kwetsbaar voor aanvallen maakt. Fabrikanten. verergeren deze beveiligingsproblemen door apparaten te maken waarbij de beheerinterface standaard benaderbaar vanaf het publieke internet is, vaak zonder klanten te informeren over deze vaak onveilige configuratie", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf).
Volgens het CISA moeten routerfabrikanten dan ook investeren in het beschermen van hun klanten en het publiek. Zo wordt aangeraden om automatisch gesigneerde beveiligingsupdates te installeren, zonder tussenkomst van gebruikers. Tevens moet de beheerinterface standaard alleen vanaf het lokale netwerk toegankelijk zijn. Verder moeten fabrikanten de beheerinterfaces veiliger maken, voor het geval die wel vanaf internet benaderbaar zijn. Als laatste adviseert het CISA om standaard veilige instellingen te gebruiken, die gebruikers handmatig moeten aanpassen. In degelijke gevallen moet een duidelijke waarschuwing verschijnen om gebruikers te ontmoedigen tenzij ze aanvullende maatregelen nemen.
De beheer interfaces standaard niet op het internet beschikbaar maken is volgens mij regel 1 van gezond verstand gebruiken.
Automatsche updates kunnrn vanuit de provider gedaan worden dus daar moet CISA aankloppen en daar dwingend optreden. Overigens kan de klant kiezen om dit uit te zetten i.v.m. angst dat CISA of een andere overheidsinstantie daar misbruik van maakt. De overheid is onbetrouwbaar en is vaak gevaarlijker dan crimminelen.
De beheer interface mag nooit standaard openstaan naar buiten en zal alleen via een VPN weer via de binnenzijde (lokaal) benaderd kunnen worden.
O ja, wachtwoord moet net als hier geprint op de router staan en uniek zijn.
Nu kopen, over 6 tot 18 maanden al end-of-life.... en dan kun je die asbakken die al makkelijk tot 50.000 euro aan licentie gekost hebben nog effe verlengen met een paar maanden...
En als je ze dan open schroeft, blijkt er een aftandse intel te zitten die in mijn chromebook zat van 8 jaar geleden...
Gaat weer zo'n EU-bandenlabel worden denk ik... Alle amerikaanse en europa bandenfabrikanten wilden af van de china bandjes, dus moesten er labels komen waaruit bleek dat de VS en EU banden superieur waren.. bleek dat de china bandjes van 30 euro vaak betere score haalde dan de 250 euro VS/EU bandjes... daar hadden ze dus niet op gerekend...
Tegenwoordig hebben ze dat gefixed door china bandjes standaard 1 categorie lager in te schalen... maar dan nog... laatst gezocht op winter, ehm, SNEEUW banden voor mijn 4x4... was maar 1 EU/VS merk dat een score A haalde op nat grip, dat wat we hier in Nederland het meest hebben, want zodra er 1 vlokje sneeuw valt, ligt er al meer zout op de wegen dan in de dode zee ligt. Dan is het millieu en grondwater ineens niet meer belangrijk. Of de lak van je auto voor wat dat betreft.
Dus gaan we zo'n regel krijgen, zullen we natuurlijk zien dat clubjes als Cisco elke keer ondermaats scoren, maar dat is dan niet erg, of krijgen ZIJ compensatie of dispensatie.. of beide... Tis wel america first, tenzij, dan zie regel 1..
Democratie, want anders krijg je oorlog, tenzij je democratie iets anders wilt dan zij, dan krijg je 'vrijheidsstrijders' (ipv rebellen) en 'lente' ipv coup... en als je niet mee doet, dan krijg je 'freedom fries' en 'liberty cabbage'...
De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
Nu kopen, over 6 tot 18 maanden al end-of-life.... en dan kun je die asbakken die al makkelijk tot 50.000 euro aan licentie gekost hebben nog effe verlengen met een paar maanden...
En als je ze dan open schroeft, blijkt er een aftandse intel te zitten die in mijn chromebook zat van 8 jaar geleden...
Gaat weer zo'n EU-bandenlabel worden denk ik... Alle amerikaanse en europa bandenfabrikanten wilden af van de china bandjes, dus moesten er labels komen waaruit bleek dat de VS en EU banden superieur waren.. bleek dat de china bandjes van 30 euro vaak betere score haalde dan de 250 euro VS/EU bandjes... daar hadden ze dus niet op gerekend...
Tegenwoordig hebben ze dat gefixed door china bandjes standaard 1 categorie lager in te schalen... maar dan nog... laatst gezocht op winter, ehm, SNEEUW banden voor mijn 4x4... was maar 1 EU/VS merk dat een score A haalde op nat grip, dat wat we hier in Nederland het meest hebben, want zodra er 1 vlokje sneeuw valt, ligt er al meer zout op de wegen dan in de dode zee ligt. Dan is het millieu en grondwater ineens niet meer belangrijk. Of de lak van je auto voor wat dat betreft.
Dus gaan we zo'n regel krijgen, zullen we natuurlijk zien dat clubjes als Cisco elke keer ondermaats scoren, maar dat is dan niet erg, of krijgen ZIJ compensatie of dispensatie.. of beide... Tis wel america first, tenzij, dan zie regel 1..
Democratie, want anders krijg je oorlog, tenzij je democratie iets anders wilt dan zij, dan krijg je 'vrijheidsstrijders' (ipv rebellen) en 'lente' ipv coup... en als je niet mee doet, dan krijg je 'freedom fries' en 'liberty cabbage'...
Tis me wat allemaal...
De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
Die zitten toch standaard in jouw router en proberen de CCCP juist buiten de achterdeur te houden.
Cisco enterprise staat vanaf de WAN-zijde nooit open voor management, staat ook standaard zo weinig mogelijk aan (geen web-server bv.) om minder kans op hacks te krijgen.
Het gaat wél om die goedkope consumenten router-tjes van mensen die denken dat ze het beter weten/kunnen dan hun internet providers.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
