Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Submitter: Wolfos

Beveiligingsonderzoekers van het bedrijf Senrio hebben een lek in de firmware van de D-Link DCS 930L-wificamera gevonden, dat het op afstand uitvoeren van willekeurige code mogelijk maakt. Aan een patch wordt nog gewerkt.

d-link 930lDe kwetsbaarheid betreft een stack overflow die kan worden veroorzaakt door een enkel commando dat assembly code bevat. Daardoor kan een aanvaller kwaadaardige code op het apparaat uitvoeren en bijvoorbeeld het wachtwoord aanpassen om op afstand toegang tot de camera te krijgen. Een sterk wachtwoord is geen toereikende verdediging daartegen, zo stelt Senrio.

Het bedrijf gaat er aan de hand van de eigenschappen van het lek van uit dat het ook in andere D-Link-cameramodellen aanwezig is. Vijf andere modellen zouden in elk geval kwetsbaar zijn. Senrio maakt echter niet duidelijk om welke modellen het gaat. De onderzoekers voegen daaraan toe dat het lek hoogstwaarschijnlijk te maken heeft met gebrekkige implementatie van firmware in goedkope socs.

Tegenover Securityweek stelt Senrio dat het lek eenvoudig te misbruiken is via het lokale netwerk of via internet. Omdat het een populaire camera is, lopen volgens de onderzoekers veel gebruikers een risico. D-Link laat aan de site weten dat er een patch in de maak is. Zodra deze beschikbaar is, kunnen gebruikers van de D-Link-site hem downloaden.

Volgens Securityweek is het niet de eerste keer dat er kwetsbaarheden in deze camera zijn gevonden. Zo was het eerder mogelijk om bestanden naar het apparaat te uploaden en bleek het inzetbaar als backdoor.

Moderatie-faq Wijzig weergave

Reacties (36)

Waarvan vervolgens 80% tot 90% de firmware nooit zal updaten, omdat het proces daarvoor te moeilijk is.

Waarvoor wordt er niet gebruikt gemaakt van een automatische update functie, en wordt er een maximale termijn aangegeven waarvoor updates gelden? Bijvoorbeeld deze camera ontvangt (beveiligings)updates tot 2017-01? Kan dit niet met een wet worden afgedwongen? Dit is namelijk niet alleen een probleem bij camera's, maar geldt net zo goed voor alle andere hardware die aan het internet hangt (zoals telefoons, routers, etc.).

Begrijp heel goed dat fabrikanten niet producten tot de eeuwigheid kunnen ondersteunen (hardware is simpel 'op'), maar nergens lees ik duidelijk wat er mag worden verwacht, en is het vaak maar afwachten of producten uiteindelijk nog veilig zijn. Zie bijvoorbeeld telefoons die blijven hangen op een oude Android versie, same met deze camera's. Wees dan liever gewoon duidelijk: niet meer te gebruiken na/updates tot, verder gebruik op eigen risico.

Tevens zou het een pluspunt zijn als er meer gebruik zou worden gemaakt van opensource, zodat ook de communitie hardware kan blijven ondersteunen, maar nog belangrijker, kan onderzoeken op (ernstige beveiligings)fouten.

[Reactie gewijzigd door archie2012 op 9 juni 2016 20:08]

Ik zal het je nog erger vertellen. Ik heb een D-Link camera, ladder erbij, opgehangen, mooi weggewerkt uit het zicht, verbonden, helemaal top. Vervolgens wil je de firmware updaten, dat kan niet via een knop in de admin, je moet naar de website van D-Link. Daar vragen ze dan welke hardware revisie je hebt, welke op de sticker onderop je camera staat. Kortom, dan kun je de trap weer op, alles losmaken en losschroeven.... wat een gedoe. Dus laat dat updaten dan maar zitten....
zeker dat deze informatie nergens met een barcode info ofzo op de doos stond?

on topic
Dit is inderdaad echt wel jammer.. daarmee dat het handig zou zijn dat na X jaar ze gewoon zouden toelaten voor opensource software erop te maken en dit minstens de basis te ondersteunen.
Geen idee, maar ik ga niet van alles de doos bewaren. Dan is mijn huis snel te klein. Het is gewoon idioot dat dit niet in de admin staat, of nog netter, dat de admin niet gewoon zelf de juiste firmware download.
Ik maak van dat soort dingen altijd een foto, die ik dan opsla in mijn safe in cloud (soort keepass), of ik zet de dingen zelf erin. Je weet nooit wanneer het van pas kan komen...

Blijft erbij dat het updateproces erg slordig is inderdaad!
Precies. Dat is mijn punt. Dat jij dat als tweaker doet omdat je hier al ervaring mee hebt is mooi, maar uiteindelijk is het gewoon slecht ontworpen. En dat is vaak bij dit soort dingen, het valt prima te ondervangen door gewoon goede ontwerp vragen te stellen en goede quality control toe te passen. Maar dit soort producten is vaak gewoon zo snel mogelijk de markt in duwen en cashen. Op zich niks mis mee, maar je laat als fabrikant een hele hoop mogelijkheden open voor onecht of onverwacht gebruik. Wat jij doet met je foto's is daar een voorbeeld van, wat de hackers doen ook. In dit geval kan het dus grote gevolgen hebben voor de veiligheid en privacy. Normaal betaal ik liever meer voor een goed ontworpen product (zoals bijvoorbeeld de NAS-en van Synology), maar in de IP camera land steekt er niet echt een partij boven uit.

[Reactie gewijzigd door cmegens op 10 juni 2016 11:21]

Dat is me één keer overkomen....
Daarom maak ik tegenwoordig ik altijd een foto van het type-plaatje voordat ik een apparaat wegzet op een plek waar dat plaatje niet in het zicht zit.
Bespaart zo'n hoop gedoe...
Is ook en kwestie van marktwerking, als men meer geld wil uitgeven voor een betere ondersteuning of de prijs laten afhangen van de duur van de ondersteuning zoals jij voorsteld dan zou dat zomaar werken...

Ik denk echter dat het gros van de gebruikers niet geen biet mee te maken wil hebben, dat is te veel technisch en een groot deel weet niet eens dat het relevant is.

Wat dat betreft zouden dit soort zaken onderdeel moeten zijn van de basis school opleiding, "Hoe hack ik mijn ouders webcam en hoe zorg ik er voor dat die dan goed beveiligd wordt."

[Reactie gewijzigd door mjl op 9 juni 2016 12:29]

Totdat een filmpje waar ze 'bezig' zijn op het internet verschijnt. Dan zullen ze er waarschijnlijk wel om geven. En zijn ze een kapitaal aan rechtszaken kwijt om de filmpjes van het internet te krijgen (wat ze toch niet gaat lukken).
Proces hoeft niet moeilijk te zijn. Een simpele handleiding en een firmware update programma met GUI dan kan elke leek met een paar klikken het apparaat bijwerken.

Een wet hiervoor laten maken is niet te doen en ik denk ook best overdreven. Tegen de tijd dat die er is dan is de techniek weer zodanig aangepast dat de wet al weer verouderd is. Daarbij moet je zoveel zaken daarin opnemen...

Het is gewoon een kwestie van winst. Fabrikanten leveren een apparaat met software welke werkt.
Een deel van de producten zul je wat actiever moeten onderhouden qua firmware updates (router, telefoon,enz) terwijl camera en switches (unmanaged) nooit een update zullen krijgen. Het risico dat er 'iets' gevonden wordt is verwaarloosbaar.

Nu hebben ze wat gevonden en dan reageert Dlink goed door dit op te gaan lossen middels een patch. Als ik in de pricewatch kijk dan is die camera al bijna 5 jaar oud. Dan vind ik het ook niet vreemd dat ze nu ineens iets tegenkomen.

Maar laten we eerlijk wezen voor 30 euro mag je toch geen super beveilgde camera verwachten toch ?
Op dit soort apparaten draait meestal een hele Linux installatie en over updaten is maar beperkt nagedacht. Ik denk dat ze gewoon een hele image erop knallen en waarschijnlijk hebben ze ook geen backup bootloader dus als het halverwege mis gaat dan is die ook nog eens ge-bricked.
Men moet verplicht worden bij het staken van ondersteuning de broncode vrij te geven.
Dat moet je wel een goede definitie van "ondersteuning" gaan geven.
Waarom niet:
- Update functie kost geld, kostprijs omhoog.
- Fabrikant moet nadat geld is ontvangen blijven investeren in produkt.
- Verkopers denken meestal nog steeds in dozen schuiven. Niet in software updates.
- Onvolledige update functies (zonder https / certificaat controle) zijn juist ook een mogelijkheid de apparaten te hijacken.

Waarom wel
- Een gekaapt apparaat kan heeel veel schade opleveren. Stel je voor waar iemand meekijkt.
- Een gekaapt apparaat kan gebruikt worden als spam/DDOS bot. Helemaal onzichtbaar, totdat je internet wordt afgesloten.
- Beter voor reputatie van fabrikant.
Bij al mijn Dlink camera's kan ik gewoon inloggen op zijn ip en bij status staat elke detail, inclusief hardware revision..

Ik zou toch eens goed kijken!
Begrijp heel goed dat fabrikanten niet producten tot de eeuwigheid kunnen ondersteunen (hardware is simpel 'op') [...]
De fabrikant hoeft maar enkele exemplaren te bewaren (feitelijk maar 1) om tot in de eeuwigheid te kunnen blijven ondersteunen. Het heeft niks met de hardware te maken, het is een mentaliteit.

Commercie wilt verkoop. Het blijven ondersteunen van oude meuk leidt tot minder aanschaf van nieuwe hardware. Sec gezien is het gewoon laksheid van de fabrikant en heeft deze weinig boodschap aan zijn eigen klanten... :|
Denk toch wel dat de meeste mensen die zo een camera kopen toch ook wel een update uit kunnen voeren of iemand in de kenniskring heeft die dat kan.

En er is geen enkel product 100 procent dicht tegen hackers etc, D-link zal ook zeker niet de enigste fabrikant zijn die er last van heeft..
Nu alleen wel snel die nieuwe update erop zetten nu het vers in het geheugenstaat.
Ik denk dat je dat heel verkeerd inschat. Enig idee hoeveel van die dingen via het internet benaderbaar zijn omdat mensen niet eens weten dat ze er een paswoord op moeten zetten?

Dat iemand in de omgeving het zou kunnen maakt weinig uit, ze weten waarschijnlijk namelijk niet eens dat ze moeten vragen om dat te doen.
Ik zou er goed naast kunnen zitten maar lijkt me zelf wel vreemd als iemand een camera koopt en die zelf niet kan aansluiten of beveiligen.
Volgens mij staat er gewoon in de handleiding hoe je er een password op moet zetten.

Misschien moet een goede fabrikant dan maar eens een stukje software maken waarbij mensen makkelijk via een keuze menu alles netjes kunnen instellen.
Dit is precies hoe het met wifi routers ook fout is gegaan.

In de handleiding staat netjes met grote rode letters: Zet een wachtwoord op je router, dit doe je zo en zo. Vervolgens was het zo dat ongeveer 1 op de 5 wifi netwerken een wachtwoord had. Daarna gingen fabrikanten een default wachtwoord leveren, dus had je handige lijsten op internet met alle standaard SSID namen met daarbij alle account informatie (netwerk en admin toegang). Uiteindelijk werden default wachtwoorden 'random' gemaakt en op een sticker meegeleverd (met zo nu en dan nog de fout dat het wachtwoord af te leiden was uit het SSID).

Inmiddels hebben veel wifi fabrikanten dit netjes geregeld en nu zijn de connected devices aan de beurt met precies dezelfde fouten. (denk aan camera's die standaard aan internet hangen en scanners/printers die met default wachtwoorden te besturen zijn en nog 100 andere voorbeelden).

De moraal van dit verhaal: mensen lezen de handleiding niet en doen super weinig om updates te krijgen. Als alles aan internet hangt zal het automatisch moeten gaan updaten. (eventueel met een optie op het uit te zetten voor de mensen die wel weten wat ze doen).
Helaas, StefanTS heeft gelijk. Niet alleen met deze camera, maar met veel IP-based camera´s. Je kunt zelfs google gebruiken om camera´s zonder password te vinden. Ik ga uiteraard geen zoekstring geven. Dat zijn niet alleen camera´s van personen, maar ook camera´s in bedrijven, beveiligingscamera´s. Die laatste kun je soms zelfs bedienen.

Kennenlijk beseft niet iedereen dat hun camera ook voor anderen toegangeklijk is.
In je handleiding van ziggo staat ook hoe je de password van je router veranderd in iets anders als ziggo/draadloos.
Ong 1 op de 100 mensen doet dit, maar ze kunnen het wel allemaal installeren en aansluiten.
Door het registeren van een product bij de leverancier kan er voor zorgen dat het nieuws over de update snel bij de gebruiker terrecht komt. helaas is het vaak de gebruiker die hier vrij weinig mee doet.

Het makkelijker updaten doormiddel van bv een update knop zou hierbij kunnen helpen.
Maar toch Ik vind het goed van D-link dat ze naar 5 jaar nog zo betrokken zijn bij een "budget" Wifi camera
Goh...
http://insecam.com

Een wachtzaal:
http://insecam.com/en/view/240163/

een huiskamer:
http://insecam.com/en/view/243851/

8-)

[Reactie gewijzigd door cadsite op 9 juni 2016 13:13]

D-Link zou ook de exploit kunnen gebruiken om de update te pushen. Ik neem aan dat deze camera een soort call-home functie heeft, zodat D-Link de benodigde IP adressen heeft.

[Reactie gewijzigd door NielsNL op 9 juni 2016 12:30]

Het is maar de vraag of dit kan en bovendien is het moreel verwerpelijk en mogelijk zelfs strafbaar om een exploit te gebruiken om ongevraagd wijzigingen aan te brengen aan het device. Waarom zou een camera een call-home functie moeten hebben? Een dergelijke functie zou reden genoeg zijn voor veel mensen om dit product links te laten liggen vermoed ik.
Cisco doet dat ook ongewild met de EA4500 routers, firmware pushen. En zoiets is voor mij ook reden het product te laten liggen.
De Call-home functie wordt bijvoorbeeld gebruikt om je device te kunnen bereiken op 1234abcd.my-camera.org o.i.d. mits je uPnP aan hebt staan.
Nice, out of the box denken!
Als je dit soort apparaten die je privacy totaal kunnen ontnemen niet 100% vrij van kwetsbaarheden kan maken dan moet je het niet op de markt brengen!

Aan de andere kant, consumenten kopen ook gewoon de goedkoopste rommel die ze kunnen krijgen en dan krijg je dit soort situaties.

Een andere fabrikant die z'n zaakjes wel op orde heeft maar iets meer kost zal waarschijnlijk ook niet meer verkopen,want je komt alleen in het nieuws als het niet goed gaat, niet als het wel goed gaat, dan hoor je er niemand over.

Dus ik denk dat dit soort zaken nog wel zullen blijven voortduren, in ieder geval totdat er een technologische oplossing komt die hacken onmogelijk maakt, zoals versleutelde executable code.

[Reactie gewijzigd door ArtGod op 9 juni 2016 13:05]

Helemaal gelijk jongens .
Ik had verwacht dat we ons ego aan de kant hadden gezet en een ieder een handleiding leest 😉
Ondertussen is er trouwens een frimware 1.02 online: (is van vandaag, dus ik ga ervanuit dat het de betreffende problemen oplost.)
Sorry, niet goed gekeken, is van 9 mei.

Inderdaad zou zoiets wel default op automatisch upgraden moeten staan wat mij betreft. Er is zelfs iets voor te zeggen om een optie te hebben in de instellingen waarmee je toestemming geeft aan de fabriekant om zodra er een ernstige kwetsbaarheid is het apparaat uit te zetten, nog voordat de fix bestaat. Dan zet ik zelf m'n camera wel weer aan zodra ik hem bij kan werken.

[Reactie gewijzigd door MaffeMaarten op 9 juni 2016 12:21]

Auto update is ook een risico, een gefaalde upgrade brickt het toestel wat weer meer garantie kosten met zich mee brengt.
Zie hier een van de grote gevaren van domotica en aanverwante zaken zoals camera's wanneer dit via het internet toegankelijk is. De impact is in dit geval direct bijzonder hoog. Je kunt met een exploit controle over het apparaat verkrijgen om bijvoorbeeld video en geluid te onderscheppen maar ook om minder zichtbaar aanwezig te blijven in het netwerk.

Ik zie om mij heen heel veel mensen die hun huis helemaal vol hangen met domotica zoals camera's sensoren en controllers. Maar erg weinig realiseren zich wat de impact dan is van een hack waarbij bijvoorbeeld toegang tot de systemen wordt verkregen.
Ik ken veel bedrijven waar ze gewoon de standaard login en wachtwoorden laten staan. Denk niet dat ze dan de firmware gaan updaten toch.
Met IoT wordt dit straks nog veel erger, dan heeft werkelijk alles een firmware die op een gegeven moment remote exploitable is, als dat niet bijgehouden wordt is het een kwestie van tijd dat iets gegarandeerd onveilig wordt. Makkelijk uitrolbare firmware updates met een signature check dat het van de fabrikant afkomstig is het minimale dat nodig is om het nog een beetje veilig te houden.

[Reactie gewijzigd door Sfynx op 9 juni 2016 15:08]

Tenminste hebben ze dit keer niet hun private key er in laten staan...
Kan er ook onwillekeurige code worden uitgevoerd?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True