Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 147 reacties

Beveiligingsexpert Bruce Schneier zegt dat het verkopers en kopers van internet-of-things-apparaten, zoals webcams en digitale videorecorders, niet kan schelen dat deze lekken bevatten. Daarom zou de overheid minimumeisen moeten invoeren.

Bruce SchneierIn zijn betoog tijdens een hoorzitting van het Amerikaanse Congres refereert Schneier aan de grote ddos-aanval die eind oktober plaatsvond op dns-provider Dyn. Daarbij werden verschillende iot-apparaten als onderdeel van het Mirai-botnet ingezet. Volgens Schneier blijven deze kwetsbare apparaten op het internet aangesloten en zullen deze niet vanzelf verdwijnen. Bovendien is de levensduur ervan vaak vrij lang.

Hij vermoedt dat de markt zelf niet voor een oplossing zal zorgen, omdat de verkopers van de apparaten al lang weer nieuwe modellen verkopen en de kopers alleen een werkend product tegen een lage prijs willen. Daarom zou de overheid minimumbeveiligingseisen aan de fabrikanten van internet-of-things-apparaten moeten stellen, ook al maakt het de consument niet uit.

Een mogelijkheid om dit te bereiken, is het invoeren van aansprakelijkheid, oppert Schneier. Hij onderkent dat het bijvoorbeeld moeilijk zal zijn om eisen te stellen aan fabrikanten in Aziatische landen en dat daar een internationale aanpak voor nodig is. Door minimumbeveiligingseisen aan producten die op de nationale markt verkocht worden, zouden deze fabrikanten alsnog gedwongen kunnen worden hun beveiliging te verbeteren.

Schneier voegt daaraan toe dat het onverstandig is om te wachten tot er een grote ramp plaatsvindt met iot-apparaten. Dat zou alleen maar zorgen voor slechte regulering, die is ingegeven door angst. In plaats daarvan zou het belangrijk zijn om van tevoren over een oplossing na te denken.

Moderatie-faq Wijzig weergave

Reacties (147)

De kopers geven er niet om omdat ze geen gevolgen hebben van het feit dat hun apparaat in een botnet zit.

Begin eens met mensen met zo'n apparaat geen internet toegang meer te geven maar alles te redirecten naar een info pagina waarin ze gewezen worden op dit feit en hoe ze weer toegang kunnen krijgen nadat ze dit opgelost hebben.

Wedden dat de mensen dan wel het belang van security gaan zien?
Toen ik bericht las dacht ik geweldig idee, maar als je er dan wat beter over na gaat denken is het bijna onmogelijk uit te voeren.

Je moet namelijk net weten welk apparaat of apparaten deel uit maken van een botnet.
Dan moet er nog een service zijn waardoor dit apparaat vervangen kan worden door iets wat niet vatbaar is en automatisch update.

Als dat bovenstaande al zou werken, hoe weet de internet leverancier of er geen botnet meer aanwezig is bij dat huishouden, ik gok dat een botnet niet continue actief is, waardoor het lastig zal zijn te trekken of die nog actief is.

Ik zie liever een oplossing voor de DDOS aanvallen, want ik verwacht niet dat iedereen in de wereld veilige apparatuur gaat gebruiken. Naast de leveranciers is het ook een geld kwestie, zoals je nu ook nog auto's uit de jaren 80 hebt rond rijden, niet omdat ze zo veilig zijn, maar omdat het goedkoop is :)
Het is een stompzinnig idee wat niet gaat werken. Je kan als buitenstaander niet zeker weten of een apparaat op een netwerk geÔnfecteerd is zonder DPI, wat verboden is.

Tevens wordt het een bureaucratische nachtmerrie voor mensen om te bewijzen dat ze de infectie hebben opgeheven. Zeker als men niet technisch onderlegd is. Dat betekent dat mensen voor misschien wel dagen of weken zonder internet zitten.
Of apparatuur maken die de zwakheden niet heeft. IE. Geen internet verbinding maar een intranet verbinding via bv. VPN naar je telefoon nodig heeft....

Dan is er geen issue, er is geen open internet verbinding nodig, een firewall moet alleen bepaalde tunnels doorlaten.
Wedden van niet, gert en hermien weten namelijk heg nog steg hoe zoiets moet, dus dan wordt het gewoon van ding is stuk retour webshop we kijken wel naar een ander.
Het nadeel is 99% van de mensen zeggen/denken dat ze niet caren als dit gebeurd.
Als je zo iets zal horen sta ik niet raar te kijken: "Wat maakt mij het uit dat een webcam een website van Bank Norwegian omver trekt? Is niet mijn probleem."

Dit zijn dezelfde mensen die zeggen ik heb niets te verbergen. Tot dat je beter kan vertellen was men op hun bankrekening hebben staan. Of dat ze horen dat de webcam in de slaapkamer van Henk JR. te bekijken zijn op het internet dan is het ineens schandalig.

Om dit probleem op te lossen moeten er gewoon brede eisen komen aan dit soort devices. Een webcam moet gewoon bepaalde dingen niet mogen. Waarom zou een webcam overal naar toe moeten kunnen surfen?
De link tussen onbenullen mbt veiligheid en mensen die zogenaamd niets geven om privacy is erg suggestief en nergens op gebaseerd. Privacy en veiligheid zijn twee verschillende dingen. Of heb je onderzoekje dat deze twee aan elkaar linkt?

Wat je daarnaast voorstelt is ook onzin: Een webcam kan heel goed overal bereikbaar zijn. Gebonden zijn aan een p2p opslagdienst van de fabrikant ergens in AziŽ is daarentegn juist een privacy risico. Alleen het beveiligingsniveau moet simpelweg opgekrikt worden. Uit zichzelf doen IoT devices niets verkeerd, alleen door slechte beveiliging en daardoor gemanipuleerde firmware gaat het dus fout.
Plus dat mensen zich helemaal niet bewust zijn van wat er aan het net hangt en misbruikt kan worden. Ik zie mezelf bijvoorbeeld als een redelijk techniek-bewuste consument, maar tot een paar minuten geleden dacht ik nog "ik heb geen IoT apparatuur, dus ik hoef hier zelf niet op te letten". Tot in het artikel de DVR genoemd wordt en die heb ik wel. En een stereo die op internet kan, ook al hangt die momenteel niet aan het net.

Nou hoop ik dat die DVR die ik van Ziggo heb gekregen redelijk veilig is, anders hebben ze zichzelf er mee en hij krijgt ook af en toe een automatisch update, maar toch.
Goed. Shops gaan deze merken dan niet meer verkopen, want teveel return, tenzij ze dit aanpakken.
De shops op zich mogen ook wat verantwoordelijkheid kweken, het moet in heel de keten correct gaan.
Wat gebeurt er als na 2-3 jaar de support stopt, gooi jij en video recorder, philips lampen dan de deur uit of blijf je het gebruiken ondanks dat er geen update meer komt?

Er is geen bedrijf die een life time support kan leveren op de software tenzij zij een abonnement hebben om de kosten er uit te halen.
Als producten niet meer veilig gebruikt kunnen worden via het internet dan zal je deze los moeten koppelen danwel maatregelen moeten treffen (firewall) zodat anderen geen last hebben van je antieke zooi.

Verantwoordelijkheid..
Of op voorhand hierover nadenken en gelijk iets aanschaffen dat minder afhankelijk is van Internet...

Dan maar niet die Nest/Toon etc. die afhankelijk zijn van externe servers.
Als de support stopt wil je zeker niet dat dat jouw nest zelf gaat zoeken naar de server en dan niet de echte maar een fake tegenkomt en zo actief deelnemer in een botnet.
Als er geen update hoeft te komen, omdat het van het begin correct gemaakt is, is er toch geen probleem. Dat is uiteraard niet compatibel met de zo-goedkoop-mogelijk mentaliteit. Als de prijs dan toch al omhoog moet om dit te verwezenlijken, kan wat betere/langere support ook wel denk ik.

In enterprise omgevingen zijn onderhoudscontracten voor hardware al normaal. Al is een vertaling naar de woonkamer niet evident. De prijs en administratie er rond zou gewoon belachelijk zijn.

Toch moeten we meer inzetten op duurzame producten, zou het milieu ook geen kwaad doen.
Misschien moeten bedrijven dan niet overal software in proberen te stoppen.

Als het aan het internet verbonden is, moet het veilig zijn voor de gehele levensduur. Het is nog niet zo'n gek idee om dit via wettelijke verplichting af te dwingen.
Hoe giet je dat in een wet? "Apparaat moet altijd veilig zijn en blijven"? En hoe wil je dat wereldwijd afdwingen? Als het ons uitkomt willen we niets met grenzen te maken hebben (denk aan de flauwe smoezen om content te downloaden als de rechten voor Nederland nog niet geregeld zijn), maar als het voor iets anders wel goed uit komt moeten dingen weer wel landelijk geregeld worden?
Ach inmiddels staat er in de wetsvoorstellen op weg naar de 1e kamer, dat terug hacken door de overheid mag. Dus dan hebben ze gelijk een mandaat om het te proberen en een Agentschap voor Internet Veiligheid in het leven te roepen die dit voor ze gaat regelen.

Kortom binnen de kortste keren een Overheids Botnet, want zwakheden hoeven dan ook niet meer gemeld te worden, en mogen best even door de overheid gebruikt worden.

[Reactie gewijzigd door tweaknico op 17 november 2016 13:54]

Ok het punt dat het terug komt is dan wel ok, maar de shops gaan er niet voor zorgen dat het brol beter wordt, dat moet de fabrikant doen. En ook de shops gaan echt geen voorlichting geven aan Gert en Hermien hoe het wel moet want daar is geen geld voor immers ze zetten het brol al aan de straat tegen 2 tot 5% marge
Als de winkels het niet meer verkopen.. dan heeft de fabrikant geen omzet meer.. en gaat hij dus proberen zijn product beter te maken zodat winkels dit weer willen verkopen....
Veel mensen zullen zo'n ding dan gewoon in een doos op zolder flikkeren om vervolgens weer een zo goedkoop mogelijke nieuwe te kopen. En dan kan je als winkel principieel alleen maar de betere spullen willen verkopen, maar als je concurrent wat minder principieel is verkoop je niet veel meer.
Dat is ook oke, als die dingen maar wegblijven van internet
Dat is toch precies wat je wil!

Zodra de apparaten retour komen wegens gebrekkige beveiliging zullen fabrikanten gedwongen worden deze te verbeteren of ze verkopen niet meer.
een info pagina waarin ze gewezen worden op dit feit en hoe ze weer toegang kunnen krijgen nadat ze dit opgelost hebben.
Retour sturen zou daarnaast ook niet erg zijn, als ze een nieuwe hebben en weer hetzelfde probleem zien dan moet er uiteindelijk toch actie worden ondernomen ;)
Dat werkt dan toch? Zo worden onveilige apparaten op een gegeven moment door webshops (en andere shops) niet meer geleverd, want 'te veel gezeur'. Apparaten die wel adequaat beveiligd zijn blijven gewoon te koop. Probleem opgelost.
Totdat die dingen een tientje duurder zijn. Dan komen er vanzelf weer nieuwe aanbieders die de rommel gaan verkopen.
dan is het toch ook opgelost?
Wedden van niet, gert en hermien weten namelijk heg nog steg hoe zoiets moet, dus dan wordt het gewoon van ding is stuk retour webshop we kijken wel naar een ander.
En dat is dan precies wat je wilt. Geld terug en laat de web shop het maar opnemen met de importeur die het bij de fabrikant aankaart.
Het is dan snel afgelopen met die onbeveiligde dingen.
Begin eens met mensen met zo'n apparaat geen internet toegang meer te geven maar alles te redirecten naar een info pagina waarin ze gewezen worden op dit feit en hoe ze weer toegang kunnen krijgen nadat ze dit opgelost hebben.
Daarmee straf je toch alleen de (vaak onwetende) koper en niet de makers die geen bal inzitten met beveiliging? De verkoop van gehackte IoT brol zou moeten verboden worden, anders gaan de makers van al deze IoT toestellen nooit nadenken over het belang van security.
Sinds wanneer is onwetendheid een excuus?

Ze hebben dan een lesje geleerd. Overigens zou ik zeggen dat een IoT apparaat met beveiligingslekken waarvoor geen updates beschikbaar zijn/komen een non conform product is. Terug naar de winkel ermee.

Van winkels mogen we best verwachten dat ze wat aandacht aan de kwaliteit van hun waar besteden. Als producten zo slecht zijn dat ze terug komen dan verkoop je ze maar niet.
Sinds wanneer is onwetendheid een excuus?

Ze hebben dan een lesje geleerd. Overigens zou ik zeggen dat een IoT apparaat met beveiligingslekken waarvoor geen updates beschikbaar zijn/komen een non conform product is. Terug naar de winkel ermee.

Van winkels mogen we best verwachten dat ze wat aandacht aan de kwaliteit van hun waar besteden. Als producten zo slecht zijn dat ze terug komen dan verkoop je ze maar niet.
Juist daarom dat de verkopers en producenten gestraft moeten worden. Ik als koper kan er toch niks aan doen als er beveiliginslekken in mijn IoT toestel zitten die niet door de producent gepatched worden? Het heeft toch geen enkele zin om de kopers in zo'n geval te straffen?
Die eerste redirect heeft een dubbel doel: aan het netwerk hangt een compromised apparaat dat zo de toegang tot internet wordt ontzegd en de gebruiker wordt geinformeerd waarom hij tijdelijk geen internet heeft en wat hij moet doen om het terug te krijgen.

Dat is geen straf, dat is gezond verstand!

Als je dan niets doet en aan je ISP aangeeft dat je het opgelost hebt, dan wordt je pas verantwoordelijk voor schade. Je weet dan immers van het probleem en hebt gekozen om niets te doen.
Er kan altijd als eerste waarschuwing een mailtje gebruikt worden. Dat deden providers in het verleden ook.
Is geen oplossing, omdat daarmee de aanval niet gestopt wordt. Daarnaast zijn er mensen die de provider mail nooit lezen (zoals ikzelf, ik gebruik mijn eigen mailserver ben ik onafhankelijk van aanbieders) dan krijg je weer discussie of ze het gezien hebben.

Met een redirect kan je bij herhaling nooit zeggen dat je het niet wist.
Heel de consumentenwetgeving is gebaseerd op de aanname dat consumenten dom en onwetend zijn. Consumenten worden hier immers tot in den treure beschermd.
Dat heeft betrekking op de aankoop door/verkoop aan consumenten.

Bij veroorzaken van schade is er echt geen verschil of je een domme consument bent of niet. Als je schade veroorzaakt dan ben je daarvoor verantwoordelijk.
Heel de consumentenwetgeving is gebaseerd op de aanname dat consumenten dom en onwetend zijn. Consumenten worden hier immers tot in den treure beschermd.
Niet perse ontwetend maar een informatieachterstand hebben. Je kan van consumenten niet verwachten dat ze van elk product wat zij kopen een studie maken.
Heel de consumentenwetgeving is gebaseerd op de aanname dat consumenten dom en onwetend zijn. Consumenten worden hier immers tot in den treure beschermd.
Dat klinkt nogal negatief. Een van de krachten van de EU vind ik de consumenten wetgeving. Ik ben blij dat 'ie er is en mag vwmb nog verder gaan.
De samenleving is er immers niet om wat individuen rijk te maken, maar om iedereen gelukkig te maken.
En in welke mate is de gewone gebruiker op de hoogte van zaken als uPNP? Niet alleen de fabrikanten van IoT apparatuur is verantwoordelijk, maar ook de fabrikanten van home-routers mogen op de vingers getikt worden. Er zijn genoeg goedkope routers in omloop waar uPNP default aan staat zonder dat de gebruiker daar op de hoogte van is.

Dan koopt een gebruiker een iOT apparaat, en zet het in zijn intern netwerk. Als dat apparaat ook nog eens "default" poorten openzet en forwarding instelt via uPNP, ontstaat er een gevoel van schijn-veiligheid voor de gebruiker. Hij denkt dat zijn apparaat alleen intern bereikbaar is, terwijl het in de praktijk open staat voor heel het internet.

En dat is niet de schuld van de gebruiker, want die hoeft niets te weten over zaken als uPNP. Als de gebruiker een apparaat op de 'LAN' kant zit van de router, is er geen enkele reden waarom apparaten anders moeten beslissen zonder bevestiging van de gebruiker.
Klopt, Maar een CPE (DSL Router, etc.) is ook gewoon een onderdeel van IoT...
Dus dat kan makkelijk mee op de hoop.
Wedden van niet. Je kunt niet van mensen verwachten dat ze overal kennis van hebben.

Wat er moet gebeuren is dat de industrie (welke tak dan ook), producten moet vervaardigen die gebruiksvriendelijk en veilig zijn; In mijn geval IT. We moeten mensen niet vragen om 2 traps authenticatie en niet te onthouden wachtwoorden, maar een ťcht veilig alternatief bieden dat niet in de weg zit. Wat dat alternatief is, weet ik (nog) niet, maar daar moet de focus liggen, omdat het structureel is en je niet continue mensen hoeft te onderwijzen.

Wat jij wilt is mensen straffen voor onwetendheid en ze begrijpen dan niet eens waarom.
Ik verwacht niet dat mensen overal kennis van hebben. Als er een extra groep in de meterkast moet komen of een gasleiding moet worden aangelegd huurt men daar iemand voor in. Je krijgt immers grote problemen als je het zelf doet. Brand en ontploffingsgevaar en verzekering die niet meer uitbetaald.

Bij computers is de mentaliteit compleet verrot omdat jouw onkunde geen enkel gevolg heeft als je daarmee schade veroorzaakt.

Ik verwacht niet dat iedereen kennis heeft, maar ik vind wel dat als ze ongehinderd door kennis schade veroorzaken ze daar de gevolgen voor moeten dragen. En dat betekent dat als ze een bericht krijgen dat hun apparaat in een botnet zit, dit apparaat of fatsoenlijk beveiligd wordt, of van het internet gehaald wordt.

Wanneer beide niet gedaan wordt, nadat je op de hoogte bent gesteld, dan opdraaien voor de schade die na die tijd met dat botnet wordt aangericht vanwege nalatigheid.

De tijdelijke internet redirect is een prima manier om deze mensen te informeren.
Bij computers is de mentaliteit compleet verrot omdat jouw onkunde geen enkel gevolg heeft als je daarmee schade veroorzaakt.
Precies mijn punt: Er moeten oplossing komen die dat voorkomen. De mentaliteit is niet verrot, want dat zou inhouden dat mensen bewust kwaad doen, maar de infrastructuur is ondeugdelijk.

Je oplossingen zijn interessant, maar nog altijd symptoom bestrijding en je legt nog steeds teveel verantwoordelijkheid bij de gebruikers. Ik pleit voor een structurele oplossing waarbij het niet uitmaakt wat de gebruiker doet (gesimplificeerd).
Wat er moet gebeuren is dat de industrie (welke tak dan ook), producten moet vervaardigen die gebruiksvriendelijk en veilig zijn; In mijn geval IT. We moeten mensen niet vragen om 2 traps authenticatie en niet te onthouden wachtwoorden, maar een ťcht veilig alternatief bieden dat niet in de weg zit. Wat dat alternatief is, weet ik (nog) niet, maar daar moet de focus liggen, omdat het structureel is en je niet continue mensen hoeft te onderwijzen.
De ellende is dat we ook een oplossing nodig hebben tot dat alternatief er is. We kunnen niet de hele wereld stil leggen dat er een oplossing is. Ondanks alle mooie woorden beginnen fabrikanten daar niet aan als het geen geld oplevert. Ze doen het dus niet voor hun klanten er om vragen (of ze door de wet worden gedwongen). Klanten vragen echter niet om iets waar ze geen besef van hebben. Als je het ze op de man af vraagt zullen ze wel zeggen dat veiligheid heel belangrijk is, maar veiligheid een criterium maken bij het kiezen van een nieuw apparaat doen ze niet (al is het maar omdat ze het niet kunnen beoordelen).
Voor de meeste gebruikers telt maar 1 ding: werkt het? Zo ja, dan nemen we alle andere ongemakken voor lief, de meeste pijn komt toch bij een ander terecht. Zo nee, dan is het een slecht apparaat dat vervangen moet worden, het liefst door de fabrikant.
Onveilige apparaten keihard blokkeren zou dus kunnen werken mits je de eigenaar kan bereiken en overtuigen dat de fabrikant het probleem moet oplossen. In praktijk ben ik bang dat fabrikanten dan een tunnel of backdoor inbouwen om langs de blokkade te werken in plaats van hun apparaat veilig te maken, daar moeten we nog even een stokje voor steken.
Een Alternatief zou kunnen zijn dat gebruikers makkelijk een VPN kunnen maken met hun DSL/Glas/xxxxxx router. Door bv. een onderhandeling thuis met de default GW van hun telefoon. + ww van de router, want ik wil niet dat derden zomaar op mijn netwerk komen.
Zodat hun toestel op die manier een verlengstuk van het thuisnetwerk wordt.
Dan zijn meteen heel veel problemen opgelost.

Er is geen Privacy probleem met derden die je data MOETEN hebben omdat anders je NEST/TOON/ANNA niet goed werkt.
Er is nooit een 4e partij (naast ISP/TelecomProvider/jezelf) nodig om toegang tot je eigen appratuur te krijgen.
Firewalls kunnen gewoon veilig en eenvoudig ingericht worden.
Niet kostenloos, maar de fabrikant draagt alle kosten voor retourzending, vernietiging en genoegdoening tov. van geleverde apparatuur.
Mogelijk met een storting in een waarborgfonds vooraf om problemen met faissement te voorkomen.... Bij gebrek aan fabrikant verhuisd de verplichting naar importeur en daarna naar leverancier.
Ik zou de nadruk leggen op de importeurs want als je Chinese bedrijven gaat aanklagen dan krijg je gewoon nul op rekest. Los van het feit dat het jaren duurt.

[Reactie gewijzigd door ArtGod op 17 november 2016 14:27]

Vandaar de keten..., je begint bij de veroorzaker, en gaat vandaar naar facilitators...
Maar ga je dan wachten totdat je je juridische mogelijkheden in China heb uitgeput? Want dat kan jaren duren. Dan is de fabrikant allang failliet en de distributeur zal ook al onder een andere naam verder zijn gegaan. Die ziet de bui al hangen en laat de B.V. gewoon ploffen of opheffen.

[Reactie gewijzigd door ArtGod op 17 november 2016 14:38]

Nee dat moet je in de regeling mee geven..., inclusief stortingen in een waarborg fonds, waar na enkele jaren evt. restitutie kan plaats vinden bij gebleken deugdelijkheid?...

Een soort van gespreide ontvangst van opbrengsten voor leveranciers, waarbij bv. de storting laag is als het track record goed is en hoog is als er geen (goed) track record te vinden is.
Klinkt leuk maar je kan niet verwachtten dat kleine importeurs tonnen gaan storten in een waarborg fonds. Ook kan je niet verwachtten dat alle importeurs geld moeten stortten want dat is dan gewoon enorm veel 'dood geld'.

Laat ze gewoon meteen alles terugnemen als er een probleem is, tenzij ze het binnen x dagen oplossen. Verbied de verkoop direct. Dat is eerlijker en zal ze dwingen om na te deken over de producten die ze verkopen. Op een zeker moment worden ze echt wel voorzichtiger en gaan ze eisen stellen bij fabrikanten over de veiligheid.
Ik ben al wel eens door de KPN in quarantine gezet omdat ik mijn router (is dat ook IoT?) verkeerd had geconfigureerd. (upnp was beschikbaar op wan, dat hoort niet netgear!)
De taak ligt dus bij de providers.
Zo gek is mijn idee dus niet, dit zou bij een DDoS met gehackte apparaten dus massaal moeten gebeuren.

Was het een groot probleem om op te lossen? Gaf KPN aan wat het probleem was?
Nee. Ze sturen je met het forum van tweakers en een lijstje virusscanners al je pc's langs. Pas na e-mail contact konden ze een reden geven. En daarna duurde het nogmaals 24 uur voordat de blokkade was opgeheven.
Drie dagen geen internet gehad. :'(
Dat moet dan wel beter inderdaad. Een redirect pagina met de exacte reden van afsluiting is wel het minste wat je dan moet doen.
Een virusscanner kan toch niet detecteren dat je uPnP open heb staan? Een niet technische gebruiker was er nooit uitgekomen denk ik.
Klopt. En zeker niet van buitenaf.
Een normale gebruiker had overigens ook geen Netgear router in DMZ gezet. Dus helemaal eerlijk is de vergelijking niet.
Dit soort voorbeelden laten wel zien dat je mensen niet moet gaan afsluiten als ze geÔnfecteerd zijn. Of alleen in uitzonderlijke gevallen, maar dat laatste is bijna niet te definiŽren.
Ja het voldoet aan IoT deelnemer beschrijving.
De taak ligt niet bij providers, dat is alleen maar een dweil om de lekkage op te ruimen.

Voorkomen van de lekkage is veel belangrijker.
En hoe wil je dat gaan doen zonder DPI?
Simpel je weet naar welk adres de aanval gaat. Je hoeft dus geen DPI te doen. Je kijkt alleen maar wie veel pakketjes naar dat IP adres stuurt. Iets wat je altijd al moet doen om ze te kunnen routen.
Okay, en ik stuur veel pakketjes naar dat adres omdat ik daar een legitieme reden voor heb. En dan?
Dan ben je geen onderdeel van de DDOS-aanval. Normaal verkeer en DDOS-aanval verkeer onderscheiden is hier wat moet gebeuren. Vervolgens levert dit een lijst met IP-adressen van 'aanvallers' op. Deze zullen moeten worden afgesloten.
En hoe wil je dat onderscheiden zonder DPI?
En? DPI is niet zondermeer verboden hoor. In het geval van een DDoS aanval zou ik zeggen dat DPI van packetjes gericht aan het slachtoffer gerechtvaardigd is uit oogpunt van de integriteit van het netwerk.

Wel DPI dus, maar gericht ipv alle pakketjes analyseren en alleen in gevallen waarin een aanval gemeld is.

[Reactie gewijzigd door Omega Supreme op 17 november 2016 11:19]

Je gaat misschien een heleboel false positives krijgen waar mensen de dupe van worden. Daarna komen ze in een bureaucratische mallemolen terecht dat ze moeten bewijzen dat ze niet meer geÔnfecteerd zijn, terwijl ze dat nooit waren. Dat gaat problemen en veel frustratie geven, dat kan ik je nu al voorspellen.

[Reactie gewijzigd door ArtGod op 17 november 2016 14:31]

Wie heeft het over bewijzen? De verbinding vrij schakelen zodra men aangeeft het probleem opgelost te hebben. Als jij zeker weet dat je aanvragen legitiem waren dan doe je dat meteen en kan je verder internetten.

Maar ben je toch onderdeel van een botnet en gebeurt het weer ligt de verantwoordelijkheid nu bij jou.

En ja dan krijg je waarschijnlijk een hele horde domme mensen die willen internetten en met geinfecteerde computers en apparaten toch verklaren het probleem opgelost te hebben. Daar heb ik dus geen medelijden mee, die domheid leidt tot schade bij anderen, wie niet horen wil moet maar voelen.

[Reactie gewijzigd door Omega Supreme op 17 november 2016 14:40]

Omdat de ontvanger hierbij de pakketjes krijgt (en dus geen DPI nodig heeft om de inhoud te bekijken) en deze zal de data ook moeten leveren als bewijs aan providers en/of politie.

Geen DPI nodig als de ontvanger van de DDOS-aanval de pakketjes bekijkt ipv de provider.
Een DDos kan al heel makkelijk met een query per 30 seconden per bron....
als er voldoende bronnen zijn dat gaat de rest vast plat.
Dus verkeer is niet voldoende. Daarnaast zullen bij een DDOS van WWW sites er altijd legitieme vragen tussen zitten ==> false positives...

Should first ask later is niet alter de beste oplossing.
Dan zullen die mensen niet geblokkeerd worden. Maar dan maak je dus een DDoS wel veel lastiger omdat je automatisch al meer machines in je botnet nodig hebt om dezelfde effecten te genereren.
Mirai had 500.000 systemen onder controle.
was goed voor >1Tbps aan verkeer. ~ 2 Mbps per deelnemer...
Dat is niet byzonder veel.
2Mbps up naar een website is voor de meeste websites juist heel veel.
een video download is al sneel een veelvoud hiervan.. Voor SD video is 15Mbps nodig.
die 1Tb aan verkeer was van het internet naar de aangevallen site, upload dus!

2Mbps sustained! uploaden is heel veel voor een website. Zeker een blog zoals Krebs on security genereert nooit zoveel upload.
Maar 2Mbps van een video apparaat is peanuts.... en relatief random.
Wil je het niet begrijpen?
  • 2Mbps van een video apparaat naar een zinnige bestemming is peanuts.
  • 2Mbps van eender welk apparaat, dus ook dat videoapparaat, naar een blog is buitensporig veel.
Als jouw videocamera 2Mbps naar krebs on security stuurt dan klopt dat niet. Daar hoef je niet eens voor gestudeert te hebben.

Als ik een pagina van Tweakersnet laadt, dan heb ik kortstondig (<1seconde) een upload van 24Kbps. Om aan 2Mbps upload te komen moet ik dus 83 keer per seconde de tweakers.net frontpage opvragen. Als ik een uur mee zou doen aan een DDoS op T.net met verkeer wat op zich geldige requests zijn zou ik dus 7.257.600 keer in een uur een pagina op moeten vragen. Denk jij echt dat dat niet opvalt?

Op zich zou je nog afbeeldingen kunnen uploaden naar Tweakers, maar dat gaat alleen voor accounts. Of gescript forum posts aanmaken, maar ook daarvoor heb je een account nodig.

Kortom DDoS verkeer is a-typisch en herkenbaar.

[Reactie gewijzigd door Omega Supreme op 17 november 2016 16:23]

De kopers geven er niet om omdat ze geen gevolgen hebben van het feit dat hun apparaat in een botnet zit.
Elk 'distributed' netwerk is technisch gezien een botnet. Het torrent netwerk kun je ook al beschouwen als een botnet en het hele Tor netwerk is gewoon niks anders dan een botnet om verkeer te anonimiseren.

Daarnaast is een DDoS voor de eindgebruiker gezien niet meer dan een DoS.
Als mijn computer een 'verkeerde' request doet naar een website is daar niet heel veel verkeerd mee, toch? Is een request van IE 6 of lager bijvoorbeeld ook 'ongewenst'.
Veel van de DDoS-ers worden uiteindelijk 'gepakt' op computervrede of iets 'aanverwant', want uiteindelijk is het internet 'open' voor iedereen. Je zag dat vroeger nog weleens gebeuren, het slashdot effect. Dat gewoon een grote groep gebruikers een website platlegden door hem heel vaak op te vragen.

Overigens is een 'DoS' helemaal niet iets dat alleen digitaal bestaat. Bijvoorbeeld het blokkeren van een bedrijf met tractors/vrachtwagens is vergelijkbaar. Zolang de regels van de openbare weg niet worden geschonden is er weinig tegen te doen en is het ergens ook gewoon een van de mogelijkheden om te demonstreren.
TOR en een torrent swarm zijn geen botnets. Bij beide start jij de software bewust op op jouw PC.

Een DDoS hoeft geen verzameling van DoS aanvallen te zijn. maar veel DoS aanvallen op hetzelfde doel is wel een DDoS ;-)

Hoe dan ook is DoS verkeer te onderscheiden van normaal verkeer. Voor de meest effectieve aanvallen is dat geen probleem. Theoretisch zou je met een groot botnetwerk een DDoS kunnen doen met legitieme requests en een slashdot effect kunnen simuleren. Maar dat werkt alleen voor een korte tijd. Op een gegeven moment is echt wel duidelijk of jouw verkeer normaal is of niet.
TOR en een torrent swarm zijn geen botnets. Bij beide start jij de software bewust op op jouw PC.
Dus ik kan geen botnet client starten op mijn pc, want zodra ik ervoor kies om dat te doen is het per definitie geen botnet? (Bijvoorbeeld als ik een botnet aan het bekijken/onderzoeken ben)
Een botnet is niet meer dan een client/server architectuur.

Net zo goed als dat een hacker niks meer/minder is dan een handige/slimme jongen/meid.
Hack je de firmware van je printer om er Doom op te spelen, of hack je de firmware van een printer om er een DoS bot van te maken... dan kun je het gaan hebben over Whitehat en andere voorvoegsels, maar uiteindelijk is het niet anders dan met welke andere 'superpower', je kunt hem inzetten voor goed en kwaad.
Ik ik heb het verkeerd verwoord. Je kan uiteraard zelf een botnet client op je pc neerzetten. Maar 'bot' betekent per definitie dat de controle van de pc overwordtgenomen door het netwerk. En dat is bij zowel TOR als torrents niet het geval. In die laatste gevallen behoud jij zelf de controle over wat er op jouw pc gebeurt.
Windows update is een botnet...,
wat jij als voorbeelden noemt TOR en Torrent verkeer is meer een zwerm van systemen die ONDERLING samenwerken.
Botnet is een Centraal bestuurd samenstel van systemen.

Toch wel een verschil.
Ja laten we de consument de schuld gaan geven in plaats van de bedrijven die ervoor moeten dat apparaten degelijke security bevat en update gehouden moet worden.
Daarbij als kijkt hoe sommige energiebedrijven de slimme thermostaat aan het promoten een aan het opdringen zijn bij de consument zou je denken dat diezelfde bedrijven ook wel iets beter hun best zouden om het apparaat degelijk te laten werken.
Ook bij al die andere iot apparaten is verder blijkbaar de security van ondergeschikt belang. Als je zo'n apparaat op de markt zet dan weet je dat een grote groep van de kopers niet begrijpt wat ze precies in huis halen. Die bedrijven wel, het is dus hun taak om et wat mee te doen of in ieder geval duidelijk te informeren.
De consument koopt goedkope rommel. Als ze weten dat die niet werkt zijn ze verantwoordelijk.

Als je weet dat de remmen van jouw auto het niet doen en je gaat de weg op en rijdt iemand aan, dan ben je ook verantwoordelijk. Niet jouw garage en ook niet de fabrikant.

Als er in een opgelegde 'slimme' thermostaat een fout zit, dan is de eigenaar daar verantwoordelijk voor. Dat ben niet jijzelf. Als je er zelf voor kiest en uitzoekt is het jouw probleem.

Overigens heb ik zelf een slimme energie mether. Die kan ik in mijn netwerk hangen, maar dat doe ik niet. Zit een mobiele verbinding in die periodiek naar huis belt voor de leverancier, ik heb geen zicht op wat dat ding doet, dus het blijft uit mijn netwerk.

[Reactie gewijzigd door Omega Supreme op 17 november 2016 11:24]

Het probleem is dat je de gemiddelde gebruiker opzadelt met problemen die zij misschien niet eens kunnen oplossen en als zij die zouden kunnen oplossen niet weten hoe.
Ik ben het er mee eens dat je dat laatste als de verantwoordelijkheid van de koper mag zien.
Het is echter niet exclusief voor goedkope rommel waarbij dergelijke problemen voorkomen. Nest heeft ook een lange tijd problemen gekend die maar niet werden opgelost door de fabrikant. Moet je gebruikers van een dergelijk apparaat dan ook maar afsluiten van het internet?
Als die Nest daarmee de veiligheid en werking voor anderen verstoord, ja dan moet die nest offline. Is toch logisch, hij veroorzzakt overlast/schade voor derden. Als de gebruiker de nest niet zelf verwijderd of afschermt van internet dan hele gebruiker afsluiten.

Als die gebruiker dan zegt dat zijn Nest nutteloos is, prima terug naar de winkel als niet conform product.
Heb ik ook voorgesteld, maar is lastig te detecteren. Je gaat mensen ook verantwoordelijk maken voor dingen waar zij geen weet of controle over hebben.
Dat heet opleiden, opvoeden ... kan op een makkelijke manier (studie) of lastige manier... gevolgen voelen.
Dat gebeurt bij sommige providers ook. Het probleem is daarna echter ze zo ver te krijgen dat ze het voldoende snappen om hun standaard wachtwoord aan te passen en DMZuit te schakelen zodat telnet niet meer bereikbaar is.

Dit is een veel grotere barriŤre dan het niet willen.
Het probleem is natuurlijk twee ledig. Aan de ene kant heb je de consument die bij een dergelijk apparaat zou moeten begrijpen dat iets onveilig is (denk aan standaard wachtwoorden etc.) en aan de andere kant heb je de fabrikant.

Je kunt niet simpelweg alle verantwoordelijkheid bij de consument neer leggen. Immers als jij een auto koopt (daar is ie weer) wordt er ook niet van jou verwacht dat je weet hoe je een distributieriem moet vervangen maar laat je dat doen door een gecertificeerd bedrijf / mannetje. Het enige dat van jou verwacht wordt is dat je zorgvuldig met je auto om gaat (lees: netjes om de x kilometer naar je garage gaat voor onderhoud) en dat je aangetoond hebt te kunnen autorijden.

Dat is met iot apparatuur natuurlijk niet anders. Jij als gebruiker hoeft niet te weten wat een botnet is of een ddos aanval. Je moet er op kunnen vertrouwen dat dat geregeld is voor je. Zo denk ik er over.
Je kunt niet simpelweg alle verantwoordelijkheid bij de consument neer leggen. Immers als jij een auto koopt (daar is ie weer) wordt er ook niet van jou verwacht dat je weet hoe je een distributieriem moet vervangen maar laat je dat doen door een gecertificeerd bedrijf / mannetje. Het enige dat van jou verwacht wordt is dat je zorgvuldig met je auto om gaat (lees: netjes om de x kilometer naar je garage gaat voor onderhoud) en dat je aangetoond hebt te kunnen autorijden.

Waarom dan als mensen verteld wordt dat hun IoT beveiligingscamera defect is en overlast veroorzaakt, dat men geen expert inschakelt en denkt "Ik heb er geen last van, niet mijn probleem".

Als jouw remlichten kapot zijn, mag je ook de weg niet op tot het probleem is opgelost. Dan kom je echt niet weg met "Meneer agent ik heb er geen verstand van, maar het is een Mercedes. Ik ga er vanuit dat die goed werken"
Ik ben bang van niet, want security is een altijd al een laatkomer geweest. Ik zie dit schrikbarend veel nu ik met echt meer in cyber security verdiep (master specialisatie aan de TU Delft), en heb dan ook al een research paper geschreven over hoe het met IoT compleet de verkeerde kant op gaat.

Uit een onlangs rapport van HP blijkt dat het erger is dan ooit gedacht en meer onderzoekers maken zich zorgen.
Zie hier of hier.

Op het moment is de IoT stack eigenlijk een exacte HTTP kopie, en de exponentiŽle groei van IoT devices zal voor verzadiging van het internet zorgen. Om deze wildgroei tegen te gaan moet je eigenlijk een dedicated IoT netwerk hebben wat naast het "gewone" internet ligt.

Ja, je kan wel denken dat het niet erg is dat iemand de staat van je plantendruppelaar kan zien, maar iemand die ziet dat deze al een week leeg is weet meteen dat meneer en mevrouw niet thuis zijn.
Denk dat ze er wel om zouden geven als ze zouden weten dat het aan de gang is, maar dat weten de meeste mensen simpelweg niet.
Dit is volgens mij niet alleen zo bij IoT apparaten.
Kopers/Verkopers denken ook zo over privacy in software applicaties en lekken in mobiele applicaties, etcetera. Dat gevoel heb ik altijd.
Als het maar werkt :)
Onder het motto: "Een probleem dat je niet begrijpt en waar je niets van merkt bestaat helemaal niet voor jou". Op deze manier komen de beveiligingslekken in dezelfde lijst als de honger in Afrika, de klimaatverandering en de financiele probnemen van staten in Zuid Europa. Dan weet je ook dat de consumenten niet de oplossing van die problemen gaan afdwingen, het zullen dus de overheden moeten zijn die het initiatief nemen.
Ja, laat de overheid maar weer inspringen... Kunnen we daarna ook weer mopperen dat de overheid het niet goed doet. Geen enkele verantwoordelijkheid voor het individu.

Of je brengt probleem en probleemveroorzaker bij elkaar en zorgt dat de veroorzaker in elk geval een melding krijgt van z'n provider dat ie deel uitmaakt van een botnet en dat dit betekent dat je beperkt internettoegang krijgt totdat het probleem is verholpen.

Daarna dus stekkertjes eruit trekken totdat het lampje weer op groen staat waarna je weer toegelaten wordt. Dan belanden veel van die camera's in de vuilnisbak en zullen mensen de verkeerde types niet meer aanschaffen.
Hoe ga je de apparatuur herkennen die aan een BOTnet meedoet?
1 DNS query per minuut of 1 HTTP query per minuut... zijn op zicht niet zo opvallend...
(Ben niet zo technisch maar) je dwingt dan de aanvaller de aanval bescheiden te houden. Flink spammen valt wel op.

En je zou je zo kunnen doen: Aanval geconstateerd door slachtoffer --> ip-ranges providers opdelen en providers melding sturen --> providers kunnen nu het verkeer herkennen en blokkeren en gebruikers een bericht sturen.

Providers hebben toch ook wel enige inzicht in hun netwerkverkeer zou je zeggen. Een plotselinge 'spike' naar een eerder minder gebruikt adres zou moeten opvallen.
Probleem is dat het internet een groot aantal providers bevat en geen een enkele provider zoiets in kaart kan brengen, het zijn allemaal sluizen die maar een beperkt zicht hebben op de stroom van data. Goede samenwerking tussen server hosters, ISP's en routers is dus noodzakelijk en dat is iets wat veel tijd geld en mankracht kost om te verwezelijken.. iets wat dus echt op internationaal niveau door vrijwel alle overheden afgedwongen zou moeten worden.
Volgens mij kan dat prima:

"XS4ALL en internetmisbruik
Als een computer besmet raakt met een virus of trojan, kan dat niet alleen voor de eigenaar vervelende gevolgen hebben, maar ook voor anderen. De kans is groot dat die computer het virus zelf weer verder verspreidt. Een gehackte computer kan misbruikt worden voor het versturen van spam zonder dat je het merkt. Klanten die (wel of niet bewust) schade of overlast veroorzaken, ontvangen van XS4ALL een waarschuwing via een e-mail en zij zien een melding op een webpagina. Voor hun eigen veiligheid en die van andere internetgebruikers kan hun internettoegang gedeeltelijk geblokkeerd worden, zodat ze in alle rust het probleem kunnen oplossen zonder dat de schade nog groter wordt. Als onze klanten met zo’n probleem te maken krijgen, is het Abuse Center van XS4ALL voor ze beschikbaar om samen het probleem op te lossen."

En om in een wereld van Trumps en Poetins 'alle overheden' iets te laten afdwingen is een aardige utopie.
Ja dat is leuk hoor die statement van XS4ALL maar wanneer jou PC aangesloten via XS4ALL deel is van een botnet welke een of andere server in ~willekeurig land~ aanvalt kan XS4ALL dat natuurlijk niet weten, zij zien alleen dat jij vanaf jou IP een 'hoge' hoeveelheid pakketten naar een (voor hun) willekeurig IP stuurt.. Tenzij XS4ALL bericht krijgt van de getroffen partij dat IP(s) in hun subnet een aanval op hun plegen weet XS4ALL dus van niks. Daar komt dan ook nog eens bij dat met behulp van proxy's, VPN en IP spoofing dit ernstig bemoeilijkt kan worden.

Het enige wat XS4ALL wel zou kunnen doen is aan jou bel trekken wanneer vanaf jou IP een 'hoge' hoeveelheid verkeer naar 1 IP word verstuurd... maar ja wat is hoog? IK zou het niet echt tof vinden als XS4ALL mijn internet afsluit omdat ik toevallig 2TB aan data naar een off-site backup server aan het sturen ben en XS4ALL dit veroordeelt als verdacht gedrag. Nou kunnen ze natuurlijk IN de pakketjes gaan kijken om te zien wŠt ik verstuur om zo een beter oordeel te kunnen vellen over de legitimiteit van het verkeer maar ja dŠt is dan weer ernstig privacy schendend en dat vind ik nůg meer onwenselijk.

XS4ALL zegt dit dus om interessant te doen en goed over te komen bij (potentiŽle) klanten. Zonder statistieken over hoe vaak zij deze 'policy' daadwerkelijk succesvol uitgevoegd hebben hecht ik er totaal geen waarde aan.
Mijn statement houd dus gewoon stand... tenzij jij wat bronvermeldingen kunt ophoesten natuurlijk ;)

[Reactie gewijzigd door Ayporos op 17 november 2016 21:12]

Doen providers dit dan niet al? Ik kreeg vele jaren geleden al een keer een waarschuwing van de provider van mijn toenmalige studentenhuis (denk Ziggo, maar weet het niet zeker) dat een computer op ons netwerk aan het spammen was en dat we dat moesten oplossen of we zouden afgesloten worden.

Het probleem is volgens mij dat ook providers bij moderne botnets niet zo makkelijk kunnen zien welke aansluitingen daaraan mee doen.
Spammen valt op...., zeer volumineus verkeer over een bepaalde IP poort.
En mogelijk klachten die herleid konden worden naar dit systeem.

Maar IoT gaat veel minder opvallen, .. DNS queries, HTTP queries naar random sites? Hoe ga je dat er uit halen, en als 1 miljoen apparaten 1 query / 10 minuten doen zijn dat wel 166.666 queries per minuut op een server. Maar dat is aan de vragen de kant niet te zien.
Helemaal mee eens. Wat jullie beschrijven is de essentie van het probleem.
In dit geval zijn er gelukkig ook andere instanties die awareness creŽren om bedrijven en consumenten te pushen naar betere veiligheid. Via dit artikel draagt Tweakers ook z'n steentje bij.
Dat is niet helemaal waar, in de jaren 60 kwamen er een heleboel nieuwe huishoudelijke apparaten op de markt die onveilig waren en toen is er de KEMA keur gekomen. Maar ja een lek in je webcam zet de badkamer niet onder stroom.
Voor veel verkopers is privacy zelfs hinderlijk omdat ze met privacy minder over hun klant te weten komen. Dus verkopers gaan hier zeker niet bij helpen.

Mogelijk een aansprakelijkheids systeem wel. Waarbij ieder in de keten voor een deel aansprakelijk is, tenzij aantoonbaar is dat ALLES vooraf gedaan is om een probleem op te lossen.

ie. De leverancier ten minste beveiligingsmethoden aanbied, de verkoper dit ook in z'n aanbiedingen meeneemt en de klant het ook daadwerkelijk toepast.
Het probleem hierin is ook dat stel het apparaat wordt onderdeel van een botnet de eigenaar er geen last van ondervind. Hi wordt niet verantwoordelijk gehouden dat zijn beveiliging niet op orde was. Als het geen consequenties heeft waarom zou hij het aanpassen. Verkoper idem ditto.

Kwa smartphones ook. De banken staan toe dat Google enz. tot maar een bepaald niveau/jaar updaten. Maar is er schade door een exploit die gepatched is in een nieuw besturingssysteem en niet in de oude dan heeft de bank schade en kan betalen, indirect betalen wij.

De afspraken hierin zouden veel helderder en beter moeten zijn.
Daarom vind ik het ook lastig om gebruikers af te sluiten van het internet als een apparaat geÔnfecteerd is. Je gaat mensen verantwoordelijk maken voor iets waar zij zelf geen controle over hebben (en geen kennis over hebben).

Los daarvan krijg je een malle molen van bureaucratie als je moet bewijzen dat je apparaat wel veilig is en je weer aangesloten wil worden. Daarnaast kan je van zonder internet connectie je apparaat vaak ook niet updaten.
Je hebt wel controle en je bent wel zelf verantwoordelijk als je zo'n apparaat op internet gooit.
Als je zelf dingen bereikbaar wil maken via het internet dien je dat ook te beveiligen. Veel gebruikers kiezen nu voor DMZ wat zoiets is als je deur open zetten om een brief te kunnen ontvangen.

Kennis is hierin wel een lastige en dit is waar fabrikanten (en installateurs van de apparatuur) de belangrijkste rol hebben. Fabrikanten interesseert het (nog) niet en installatie bedrijven snappen het zelf ook niet. Dat maakt opruimen een aardige uitdaging.
Zou het niet handig zijn als dit soort apparaten op een soort apart 'segment' van het gehele Internet zou draaien, en dat er dan op bepaalde punten goed gereguleerde 'bruggen' zitten tussen dat netwerk en de rest van Internet?
Als we zowel kopers als verkopers niet kunnen verleiden/vragen/dwingen om de juiste voorzorgsmaatregelen te nemen, dan moet je ze sandboxen...
Nee, dat zou niet handig zijn, dan introduceer je een single point of failure: die bruggen.
Als je zo redeneert dan heeft het Internet nu ook al single points of failures --> bijv DNS.
Die bruggen kun je best zo maken dat ze geen single point of failure zijn (x-dubbel uitgevoerd, met elkaar communicerende nodes).
En het is zelf de bedoeling dat bij mallicious gebruik van IoT apparaten de bruggen hetzij overbelast hetzij een filter moeten worden voor de rest van Internet.
Als die bruggen meten hoeveel en wat voor soort verkeer er normaliter vanuit de iOT devices (van een bepaald type/merk/doel) gegenereerd wordt, dan kunnen ze exceptioneel
verkeer ook tegenhouden..
Als die bruggen meten hoeveel en wat voor soort verkeer er normaliter vanuit de iOT devices (van een bepaald type/merk/doel) gegenereerd wordt, dan kunnen ze exceptioneel
verkeer ook tegenhouden..


Dat kan een ISP nu ook al meten. ISPs kunnen zien of vanaf jouw IP een DDoS wordt uitgevoerd en de boel blokkeren.

Nu is het voor zover mij bekend zo dat de ISP van het slachtoffer probeert de boel op te lossen. Veel effectiever bij zo'n botnet zou zijn een bericht aan alle ISPs dat er een aanval is op IP adres sus en zo of ze hun netwerk kunnen scannen en alle adressen die deelnemen aan de aanval bij de bron blokkeren.
Je bedoelt zoiets als: https://www.lora-alliance.org/

"LoRaWAN network architecture is typically laid out in a star-of-stars topology in which gateways is a transparent bridge relaying messages between end-devices and a central network server in the backend. Gateways are connected to the network server via standard IP connections while end-devices use single-hop wireless communication to one or many gateways. All end-point communication is generally bi-directional, but also supports operation such as multicast enabling software upgrade over the air or other mass distribution messages to reduce the on air communication time."

Maar zelfs dat is niet 100% veilig. Devices zullen nog steeds beveiligd moeten worden tegen hackers etc.
Het hele punt van een internet connected camera is natuurlijk juist dat je er vanaf heel internet bij wilt kunnen. Die bruggen die je noemt om dat op te lossen, worden daarmee kwetsbare bottlenecks en dat gaat niet werken. Mensen (en bedrijven) gaan dan oplossingen verzinnen om daar weer omheen te werken, dus dan heb je een heleboel regels opgesteld en geld uitgegeven voor iets wat uiteindelijk geen enkel effect heeft.

Nee, dit soort problemen moet je bij de bron aanpakken: die apparaten moeten gewoon goed beveiligd zijn en eventuele kwetsbaarheden moeten regelmatig proactief verholpen worden. Zowel kopers als verkopers moeten aansprakelijk gesteld kunnen worden in geval van laksheid. Oftewel: als de verkoper op de hoogte is van een kwetsbaarheid, moet deze daar binnen redelijke termijn een fix voor beschikbaar stellen (en verkoper mag hierbij best breed geinterpreteerd worden: zowel webshop, importeur en fabrikant - daarmee leg je automatisch ook druk op die aziatische fabrikanten die je niet rechtstreeks kunt aanpakken, als de importeur aansprakelijk kan zijn, worden die producten vanzelf niet meer afgenomen). Als een dergelijke fix beschikbaar is, moet de koper die binnen redelijke termijn hebben toegepast.
Zou het niet handig zijn als dit soort apparaten op een soort apart 'segment' van het gehele Internet zou draaien, en dat er dan op bepaalde punten goed gereguleerde 'bruggen' zitten tussen dat netwerk en de rest van Internet?
Zo heb ik het thuis ingericht. Ik heb een apart vlan waarin ik twee apparaten heb zitten die ik niet vertrouw maar ook niet wil/kan vervangen. Veel mensen hebben nu al een apart WIFI-netwerk voor gasten, zo iets kun je ook doen voor "gastapparaten".
Het probleem dat ik zie is dat die apparaten nog steeds met internet communiceren en/of zelfs bereikbaar zijn via internet. Bij veel apparaten (bv beveiliginscamera) is bereikbaar zijn via internet nu juist een belangrijke feature. Het helpt een heel klein beetje dat deze onveilige troep niet meer direct bij mijn PC en andere computers kan, maar eigenlijk maakte ik me daar toch al geen zorgen over, die zijn wel veilig.
Het zou nog beter zijn als ik voor al die apparaten een apart netwerkje opzet. Nu kan mijn onvertrouwde apparatuur niet bij mijn PC maar wel bij elkaar. Juist in die andere IoT-hardware verwacht ik stomme fouten die ik zelf niet kan oplossen.

Als free software aficionado vind ik dat IoT-apparatuur verplicht zou moeten worden geleverd met sources en een manier om de firmware/software te vervangen. Bij software is onderhoud plegen zonder (compileerbare en installeerbare) broncode eigenlijk niet te doen. Dat ontheft fabrikanten (of eigenlijk winkeliers) niet van hun verplichting om een degelijk product te leveren, maar het geeft in ieder geval een uitweg in vervelende situaties die anders onoplosbaar zijn. (Wel een dure uitweg, maar ok, noodoplossingen mogen duur zijn).
INderdaad, je CPE (Customer Premisis Equipment), of wel je router zou dat schedings punt moeten zijn.
Je IoT apparaten die met je telefoon moeten praten moeten met je telefoon proaten niet met de rest van het internet. ==> toegang via een VPN tunnel tussen je CPE en Telefoon(s) is dan het enige buiten de deur.
Dus geen 4e partij erbij betrekken (ie. de Eigenaar van de TOON/ANNA/NEST data etc., nee dat ben je niet zelf).
Ik heb zoiets ook al voorgesteld:
  • verbied (totdat deze gefixed is) de verkoop van producten waar een security lek in zit
  • dwing fabrikanten om security updates te geven voor de levensduur van het aparaat (nominaal 10 jaar)
  • maak fabrikanten en importeurs beperkt aansprakelijk voor schade wanneer het apparaat wordt overgenomen en gebruikt voor aanvallen
  • firmware moet digitaal ondertekend zijn zodat iemand deze niet zo makkelijk kan aanpassen
  • file system moet read-only zijn, behalve voor /etc /var etc.
  • Eis dat het apparaat 'default secure' is met geen default password
We moeten nu echt keihard optreden anders wordt het internet dadelijk onbruikbaar.

[Reactie gewijzigd door ArtGod op 17 november 2016 11:26]

Firmware verplicht ondertekenen is de nekslag voor open source firmwares. Laat bij routers de open source firmware nu vaak de meest functionele, de veiligste en best onderhouden oplossing zijn.
Ik ben meer een voorstander van open-source hardware welke dan weer open-source software draait.
Tja, het hoeft niet opensource hardware te zijn, maar het kan ook met generieke hardware. pfSense op een simpele PC biedt al meer dan menig consumenten router.

Je moet als leek alleen iemand hebben die het voor je installeert.
Het enige wat een gebruiker ziet is de Interface. Wanneer de interface doet wat de gebruiker wilt, hoor je hem niet klagen. veel nederlanders zijn zich bewust van de security en privacy problemen van producten, maar zijn toch niet bereid het verkregen gebruiksgemak weer op te geven. Aangezien de fabrikant zich hiervan bewust is zal zij haar product ook niet aanpassen.

Een interessant boek wat ingaat over de laksheid van de gebruiker is:
"Je hebt wel iets te verbergen " - Maurits Martijn en Dimitri Tokmetzis (september 2016)

edit: fixed typo

[Reactie gewijzigd door poerkiemen op 17 november 2016 12:23]

Ah de Correspondent.

Die neem ik niet serieus. Ze hebben zelf externe trackers op hun site, embedden vimeo, youtube en soundcloud...

De correspondent is zich hiervan bewust maar zijn niet bereid het verkregen gebruiksgemak of kostenbesparing op te geven.... Het zijn net consumenten.....

En dan wel met het vingertje naar andere sites wijzen....
dat raad ik je juist aan om dit boek te lezen. Ze proberen de bedreiging van onze privacy juist bloot te leggen. er wordt niet gewezen met een vingertje richting iemand.
Ik zag ze op de televisie vertellen over nu.nl en de externe trackers die daar geladen worden. (en nu.nl werd er niet echt positief neergezet).

Op hun eigen site doen ze het echter ook alleen dan niet voor advertenties maar voor filmpjes, lettertypes, muziek en statistieken. (ja maar anders kost het ons te veel geld bla bla bla) Alsof nu.nl zonder reclame kan.

Sinds ik dat zag hoef ik dat hele boek niet te lezen, ik ben me best bewust van de vele privacy schenders op het internet, (zoals dus ook de website van de correspondent)
Ja zo gooien ze gewoon een botnet to happen in de verkoop mee, dikke tik op hun vingers moeten ze krijgen.
Elke elektronisch product aan het internet bevat security bugs. Het is dan ook belangrijker dat bij producten de fabrikant verplicht word gesteld updates beschikbaar te maken en het liefst automatisch de gaten te dichten.

Natuurlijk kan je een keurmerk verzinnen of regels op stellen die iets zeggen over code-kwaliteit, maar ook door iedereen betrouwbaar geachte libraries blijken na 10 tallen jaren nog grote gaten te zitten.
Ik kan er met mijn verstand niet bij dat iemand een beveiligingscamera aan het internet hangt. Je bent dan volkomen afhankelijk van de server (en beveiliging) van een derde partij. Alles schijnt tegenwoordig middels een "app" geregeld te moeten worden. Wat is er mis met een universele afstandsbediening die niet via het internet werkt? Je bent met een "app" niet alleen afhankelijk van de leverancier, maar ook nog eens gebonden aan Android of Ios.
Dat kan ook anders, bv. met een VPN tussen je toestel en je router...
dan heeft de rest van de wereld er niets mee te maken.

[Reactie gewijzigd door tweaknico op 17 november 2016 14:26]

Ik denk dat het de meeste kopers wel kan schelen: (zie het gemekker iedere keer als het woord privacy valt) , alleen voor een leek is het ondoenlijk om het e.e.a. te configureren (te lastig, terminologie etc.) zelfs de spullen die ik uit china haal zijn goed te beveiligen, (als je er een beetje induikt) . maar ik zou het b.v. mij schoonouders niet laten doen, (met de standaard handleiding krijgen ze het spul net aan het werk,, en dan zijn ze allang blij ... laat staan dat ze dan nog moeten gaan begrijpen hoe ze alles configureren moeten vanwege beveiliging ...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True