Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tachtig Sony ip-camera-modellen bevatten debugging backdoor

Door , 66 reacties

Het Oostenrijkse beveiligingsbedrijf SEC Consult heeft een backdoor in de vorm van voorgeprogrammeerde accounts gevonden in tachtig ip-cameramodellen van Sony. Het Japanse bedrijf heeft inmiddels een patch uitgebracht, die handmatig toegepast moet worden.

sony ipela ip cameraVolgens het beveiligingsbedrijf is de backdoor aanwezig in de Ipela Engine-camera's van Sony, die gebruikt worden door bedrijven en overheden. De backdoor maakte het voor een aanvaller mogelijk om willekeurige code op de systemen uit te voeren en daarmee verder het netwerk waar de camera op is aangesloten binnen te dringen. Daarnaast zorgt het lek ervoor dat hij de camera kan uitschakelen, gemanipuleerde video's en afbeeldingen kan sturen en de camera's aan een botnet zoals Mirai kan toevoegen, aldus het bedrijf in zijn advisory.

De backdoor bestaat uit twee accounts, met gebruikers 'debug' en 'primana'. Door een http-verzoek naar een camera te sturen en het primana-account voor authenticatie te gebruiken, is het bijvoorbeeld mogelijk om telnet op het apparaat op te starten. Daarna zou een aanvaller met gekraakte root-inloggegevens, die op het apparaat aanwezig zijn, beheerderstoegang kunnen verkrijgen. De onderzoekers schrijven dat het naast telnet mogelijk is om in te loggen via ssh. In hun bericht melden zij dat Sony de accounts met opzet heeft aangemaakt voor debugging-doeleinden en dat deze niet afkomstig zijn van een derde partij.

Onderzoeksjournalist Brian Krebs bevestigt wat de onderzoekers zelf ook al schrijven. Volgens hem zijn de camera's een uitstekend doelwit voor een botnet als Mirai, dat voor een groot deel bestaat uit iot-apparaten, zoals ip-camera's en digitale videorecorders. Dat deze mogelijkheid aanwezig is, blijkt uit de bevindingen van de onderzoekers dat de backdoor minstens vier jaar in de camera's aanwezig was. Een internetscan van Krebs wijst erop dat er ongeveer 4250 kwetsbare Sony-camera's te vinden zijn. Volgens de onderzoekers van SEC Consult is dit mogelijk alleen 'het topje van de ijsberg', omdat zij tot nu toe alleen over een enkele zoekopdracht beschikken.

Volgens de tijdlijn van SEC Consult heeft Sony eind november een patch voor de kwetsbaarheid uitgebracht. Deze moeten gebruikers handmatig installeren aan de hand van de SNC Toolbox, die op de site van Sony is te vinden.

Kwetsbare camera's, volgens Sony

Vorig nieuwsartikel Volgend nieuwsartikel

Sander van Voorst

Nieuwsredacteur

7 december 2016 10:15

66 reacties

Linkedin Google+

Lees meer

'Lek in gSOAP-softwarebibliotheek maakt veel iot-apparaten kwetsbaar' 19 juli 2017
Lekken in Foscam-ip-camera's laten aanvaller apparaat overnemen - update 7 juni 2017
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar 7 april 2017
'Patch blijft uit voor lekken die Nest-camera's kunnen laten crashen' 21 maart 2017
Gepatchte Samsung-ip-camera bevat nog steeds lek dat overname mogelijk maakt 18 januari 2017
Update voor Raspberry Pi-os Raspbian schakelt ssh standaard uit 1 december 2016
Schneier: kopers en verkopers geven niets om kwetsbaarheden in iot-apparaten 17 november 2016
Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden 31 oktober 2016
Dyn schat omvang recente ddos-aanval op honderdduizend apparaten 27 oktober 2016
'Leden van hackerforum voerden ddos-aanval op Dyn uit' - update 26 oktober 2016
Chinese fabrikant roept apparaten terug die bij Dyn-ddos gebruikt werden 24 oktober 2016
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet 22 oktober 2016
Broncode van malware achter iot-botnet Mirai verschijnt online 3 oktober 2016
Onderzoekers vinden lek dat overnemen D-Link-wificamera mogelijk maakt 9 juni 2016
Meer producten en artikelen (11)
Beheer en beveiliging Security

Reacties (66)

-Moderatie-faq
-166065+136+24+30Ongemodereerd21
Wijzig sortering
+1 svennd
7 december 2016 10:21
Zitten de meeste IP camera's niet achter een switch router/firewall en zijn dus enkel van binnen het netwerk te bereiken ? Zeker bij de overheden verwacht je dat toch ?

[Reactie gewijzigd door svennd op 7 december 2016 10:41]

+2 gjmi
@svennd7 december 2016 10:36
De meeste camera's openen standaard een poort naar buiten via uPNP. Ik heb dit op mijn camera uitgezet. Ik was me er niet van bewust totdat ik een keer naar de router intellingen keek.
Op deze manier kun je namelijk makkelijk een systeem opzetten dat je via een app het beeld van je camera kunt zien. Leuk en gemakkelijk voor de gewone consument, maar ook gevaarlijk, omdat het wachtwoord en gebruikersnaam ook overal hetzelfde zijn. Er is dus ergens ook een website die hiet gebruik van maakt en beelden van willekeurige camera's laat zien van misschien wel bij jou thuis.

Edit: een website met toegang tot camera's
http://www.insecam.org

[Reactie gewijzigd door gjmi op 7 december 2016 10:42]

+1 ce_dev
@gjmi7 december 2016 13:31
Oei, dat is niet al te best.
+1 locke960
@gjmi7 december 2016 21:53
beter zet je uPNP op je router uit...
+1 Rataplan_
@svennd7 december 2016 10:24
Je bedoelt een router. Een switch 'creeert' geen nieuwe netwerken (VLANs daargelaten) en dus geen binnen en buitenkant.

Maar je zou inderdaad verwachten dat camera's alleen intern te bereiken zijn. Voor de thuisgebruikers of wanneer je er bv maar 1 of 2 hebt in je bedrijf kan ik me voorstellen dat je iets openzet zodat je van buitenaf erbij kunt, maar als je er tientallen hebt is dat sowieso al niet te doen. Vreemd verhaal inderdaad.
+1 bbob1970

@Rataplan_7 december 2016 10:35
Vele camera's worden van een afstand bekeken.
Dat kun nje natuurlijk oplossen door ze op die locatie toch in een netwerk te zetten dan van afstand alleen via vpn te bereiken is. Helaas gebeurt dat laaste meestal niet en dus krijg je dit soort problemen.
+2 Rataplan_
@bbob19707 december 2016 10:59
Je mag toch hopen dat bedrijven daar inderdaad VPN achtige oplossingen voor hebben. De thuis-camera's hebben in de regel tegenwoordig wel een vorm van cloud-connect waarmee je met een appje op je telefoon naar de cloud connect waar je camera ook heen connect, zodat je geen poorten hoeft te natten. Maar dat zou in mijn bedrijf never nooit niet gebruikt worden. Ik mag hopen voor overheden en dergelijke ook niet al is het maar omdat al je beelden in de cloud terecht komen...

Ik draag echt geen alu hoedje maar zoiets gebruik je zakelijk niet. Kijk zeker eens naar http://www.npo.nl/zembla/30-11-2016/VARA_101380438 en kijkt en huivert hoe het gesteld is met de schijnveiligheid in de organisaties wereldwijd. De zwakste schakel blijft altijd de mens en de nonchalantheid daarvan.
+1 ce_dev
@Rataplan_7 december 2016 13:33
Die aflevering heb ik gezien op TV, het was inderdaad best interessant en een aanrader.
+1 AnonymousWP

@svennd7 december 2016 10:22
Niet als je UPnP, en een poort scanner gebruikt. Dan kan je zo zien welke poorten er open staan, ongeacht of er een firewall achter zit.

[Reactie gewijzigd door AnonymousWP op 7 december 2016 12:00]

+1 Erulezz
@AnonymousWP7 december 2016 11:15
Bedankt voor de UPnP tip :) Toch net even gecontroleerd en na een firmware upgrade die ik weken geleden heb doorgevoerd is UPnP weer aangezet en waren mijn camera's wekenlang via internet te benaderen.. :( Wel achter een sterk wachtwoord maar toch.. Volgende stap is al het internet verkeer voor die camera's te blokkeren in de router.

[Reactie gewijzigd door Erulezz op 7 december 2016 11:15]

+1 Jerie
@Erulezz7 december 2016 11:48
Je kunt als het goed is UPnP ook configureren. Een UPnP server moet te configureren zijn maar je zou misschien ook de UPnP client op de camera uit kunnen zetten. Dan zijn ze niet bereikbaar via internet, maar wel op de (W)LAN. Hoe dat moet, zie de manual.
+1 Erulezz
@Jerie7 december 2016 12:17
Ik kan inderdaad van alles aanpassen (FOSCAM camera's), ook UPnP kan gelukkig helemaal uitgezet worden :). Nu staat het weer allemaal goed maar toch vind ik het wel een fijn gevoel als internet toegang compleet is geblokkeerd omdat ik het van buiten af toch bekijk via VPN.
+1 Zaffo
@Erulezz7 december 2016 14:01
Ik heb 2 maanden geleden de internet toegang geblokkeerd voor 3 FOSCAM camera's (firewall drop op uitgaande pakketjes via WAN). Het viel me op dat de camera's een verbinding opzetten naar een externe server, iets waar totaal geen reden voor is.

Wachtwoord is niet standaard, services staan uit (muv NTP naar locale server). UPnP staat (standaard) uit op de router.

Het aantal gedropte pakketje loopt nog altijd op. Aan de ene kant geeft me het een fijn gevoel dat de internet toegang compleet geblokkeerd is, maar aan de andere kant voelt het niet goed om een apparaat in het netwerk te hebben hangen dat dit gedrag vertoond.
0 Erulezz
@Zaffo7 december 2016 15:24
Heb je ook P2P uitgezet (dit kan alleen in de nieuwste firmwares)? Ik heb net het een en ander gelezen en daar schrik ik toch wel van... Als je zoekt op foscam p2p security kom je genoeg tegen.

P2P wordt gebruikt voor de FOSCAM app. Dat had ik uitgezet maar net lees ik dat de camera's nog steeds die verbindingen opzetten. En je hebt gelijk: eigenlijk moet je dit soort apparaten niet meer in het netwerk hangen... Maar ja als Sony dit zelfs verprutst :/
0 Zaffo
@Erulezz8 december 2016 16:14
Bedankt! P2P staat inderdaad uit, maar als die instelling genegeerd wordt maakt dat geen enkel verschil. Voor de FOSCAM FI9903P is geen firmware update beschikbaar.

Ik ga nog even verder lezen. Inmiddels al bijna 3 miljoen packets gedropt en het loopt nog op. In ieder geval "goed" om te weten wat de oorzaak is.

Voor iedereen die hier nog langs komt:
https://krebsonsecurity.c...r-the-internet-of-things/
http://foscam.us/forum/fo...suspect-hosts-t17699.html
0 Erulezz
@Zaffo8 december 2016 16:48
Misschien is dit onderhand ook wel een nieuwsitem waard :P Die FOSCAM dingen worden volgens mij best vaak verkocht. Misschien kun je die links ook in dit topic plaatsen?

Het grote beveiligingscamera's topic - Deel 2
+1 Rataplan_
@AnonymousWP7 december 2016 10:29
Je mag toch hopen dat serieuze instellingen zoals overheden geen UPnP gebruiken. Ontzettend gevaarlijk protocol.
0 AnonymousWP

@Rataplan_7 december 2016 10:52
Dat zal inderdaad gevaarlijk zijn, voor (grote) bedrijven en/of instellingen. Voor thuisgebruikers maakt het niet veel uit, want hackers gaan meer tijd en moeite steken in de bedrijven. Thuisgebruikers zijn niet zo interessant.
+1 Jerie
@AnonymousWP7 december 2016 11:17
Voor thuisgebruikers maakt het niet veel uit, want hackers gaan meer tijd en moeite steken in de bedrijven. Thuisgebruikers zijn niet zo interessant.
Jij denkt dat Mirai enkel gebruik maakt van IoT bij bedrijven? No way. Alles dat aan het internet hangt wordt misbruikt voor DDoS. Ook die DSL verbinding naar een hutje op de hei.
+1 AnonymousWP

@Jerie7 december 2016 11:23
Nee, tuurlijk denk ik dat niet. Maar dat had te maken met UPnP in combinatie met standaardwachtwoorden.. dat kwam voornamelijk door de standaardwachtwoorden en niet hoofdzakelijk door UPnP. Dus als je UPnP aan hebt staan, maar je gebruikt geen standaardwachtwoorden voor je smarthome producten, ben je niet zo snel kwetsbaar.
0 Rataplan_
@AnonymousWP7 december 2016 14:34
UPnP is vergif in welke vorm dan ook. Het moet NOOIT mogelijk zijn zonder configuratie / toestaan dat een apparaat aan de binnenkant beschikbaar is aan de buitenkant. Het feit dat routers dit toestaan (al geloof ik dat het tegenwoordig gelukkig standaard uit staat op de meeste) is levensgevaarlijk. Elke applicatie (lees: trojan oid) kan middels een UPnP request een poort voor zichzelf natten. Vervolgens een simpel pakkettje naar het botnet, daar staat je source-ip in en presto. Weer iemand in je botnet erbij.

UPnP als protocol staat los van wachtwoorden, de applicatie die het openzet kan wel of niet van authenticatie voorzien zijn. UPnP is vergif.
0 Jerie
@Rataplan_7 december 2016 15:13
Mwah, het komt op ongeveer hetzelfde neer als native IPv6 routen zonder firewalling op de router. Het probleem zit hem in meerdere lagen in de standaardinstellingen; HTTPd standaard aan, UPnP standaard aan, standaard username en password.

Het is niet zo moeilijk een random username en password te genereren. Ook kun je prima UPnP standaard uitzetten waardoor de gebruiker willens en wetens de manual moet lezen om het aan te zetten. Instellingen die het mogelijk maken een toestel standaard vanaf het internet te gebruiken is onveilig, en fabrikanten die dat doen zouden via de wet aangepakt moeten worden. Het is te belachelijk voor woorden dat dit anno 2016 nog gebeurd. Lafhartig, gebrek aan verantwoordelijkheid nemen dat is wat het is. Allemaal "omdat dat gebruikersvriendelijker is" (onzin natuurlijk).
0 AnonymousWP

@Rataplan_7 december 2016 18:28
Dat weet ik, ik gaf alleen enkel aan waar het nóg minder veilig was :).
0 djwice
@AnonymousWP7 december 2016 20:30
Tenzij de software op die producten een zwakheid bevat.
0 AnonymousWP

@djwice8 december 2016 15:35
Klopt. Maar dát was juist het probleem waardoor al die apparaten bij het Mirai botnet zaten.

nieuws: Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet
0 sokolum01
@AnonymousWP7 december 2016 10:49
Upnp wordt in eerste instantie door de camera opgezet naar de buiten wereld, het is niet zo dat de webgui van een camera door UPnP zomaar via het internet is te benaderen. Nadat een camera een verbinding heeft opgezet, dan kan de camera met UPnP additionele poorten op een fierewall laten openzetten om verkeer van het internet naar de camera toe te staan.

Het foefje met de webinterface geeft in een gecontroleerde omgeving weinig gevaar. Alleen intern personeel is het echte gevaar.
+1 ASS-Ware
@svennd7 december 2016 11:17
Zitten de meeste IP camera's niet achter een switch router/firewall en zijn dus enkel van binnen het netwerk te bereiken ? Zeker bij de overheden verwacht je dat toch ?
Sommige apparaten maken vanzelf verbinding met een server op het internet om de beelden te versturen en de client-kant, op een smartfoon bijvoorbeeld, haalt de beelden weer van de server af.
Dit om er voor te zorgen dat ook niet IT-ers het aan de praat kunnen krijgen.
Babyfoons met camera hebben dit vaak ook.
0 Armin

@svennd7 december 2016 18:23
Zitten de meeste IP camera's niet achter een switch router/firewall en zijn dus enkel van binnen het netwerk te bereiken ? Zeker bij de overheden verwacht je dat toch ?

Voor veel grotere bedrijfsomgevingen wel, maar niet noodzakelijk. Immers bij het MKB kan het juist een feature zijn om als eigenaar/security verantwoordelijke vanaf even thuis te kijken bij een afgaand alarm om te kijken of het echt iets is, of een medewerker de deur per ongeluk open deed zonder het alarm af te zetten.
+1 bbob1970

7 december 2016 10:22
Ze brengen dus nu een patch uit voor een bewust ingebouwde backdoor.
Je hebt dus een product gekocht met een backdoor, bent daar niet over geïnformeerd en moet nu als bedrijf of consument dus zelf kosten maken om die backdoor met een update uit te zetten.

De volgende vraag is nu welke andere sony producten hebben er nog meer een backdoor.
Sony als hardware leverancier kun je dus dit wetende niet meer vertrouwen.
+1 Simyager
@bbob19707 december 2016 10:47
Met alle respect maar vertel mij één bedrijf die geen backdoors in zijn of haar producten inbouwt? Als je echt de backdoors tot een minimum wilt verlagen moet je het maar zelf bouwen met Raspberry Pi o.i.d. want de hardware op de markt is niet meer te vertrouwen vindt ik...
+2 Jerie
@Simyager7 december 2016 11:15
Met alle respect maar vertel mij één bedrijf die geen backdoors in zijn of haar producten inbouwt?
Wat? Noem jij maar bedrijven die stelselmatig backdoors in hun producten bouwen. Het is not done.
moet je het maar zelf bouwen met Raspberry Pi o.i.d.
Ik weet niet in hoeverre charities onder je eerdere uitspraak vallen? Een RPi moet je zelf bijhouden en patchen (gisteren bijv nog een local root exploit voor Linux uitgekomen). Dat heeft zo z'n voor- en nadelen.

Er werken incompetente mensen bij ieder bedrijf maar boven dat geldt: bedrijven horen geen backdoors in hun producten te bouwen. Van Sony mag je na het rootkit debakel beter verwachten. Inmiddels zijn ze tot het niveau gestegen dat ze het 'per ongeluk' doen (ze zien natuurlijk de bui al hangen).
+1 Simyager
@Jerie7 december 2016 11:30
Ik snap best wel dat het not done is om backdoors in te bouwen, maar je vergeet dat grote bedrijven toch wel gedwongen worden door overheden om toch wel die backdoors in te bouwen, anders mogen ze geen producten verkopen.

Zo ook met GSM's, die hebben ook backdoors om (real time?) afgetapt te kunnen worden door geheime diensten, anders mogen die niet worden verkocht in meeste(lees: alle) landen. Om nog maar eens te zwijgen over de GSM protocols die ze maar niet willen verbeteren t.o.v. privacy van de burgers...
0 Jerie
@Simyager7 december 2016 11:45
maar je vergeet dat grote bedrijven toch wel gedwongen worden door overheden om toch wel die backdoors in te bouwen, anders mogen ze geen producten verkopen.
Zo ook met GSM's, die hebben ook backdoors om (real time?) afgetapt te kunnen worden door geheime diensten, anders mogen die niet worden verkocht in meeste(lees: alle) landen.
Dat zijn conspiracy theories die je mag bewijzen met diverse links naar credible sources.
Om nog maar eens te zwijgen over de GSM protocols die ze maar niet willen verbeteren t.o.v. privacy van de burgers...
Ik denk dat dat juist wel gebeurd. Vziw maakt 4G niet gebruik van bijv SS7, maar 4G-met-backwards-compatible (2G) weer wel.

Jij gaat uit van malice, ik ga uit van stupidity.
0 Lennart
@Simyager7 december 2016 12:04
Als ze een backdoor moeten inbouwen, waarom zouden ze dat met naam:primana wachtwoord:primana doen? Doe dan iets wat niet op de standaard manier zo makkelijk te detecteren valt.
+1 Aikon
@bbob19707 december 2016 10:27
Een bewust ingebouwde backdoor ok, maar wel ter goeder trouw (althans wat je uit het artikel kan opmaken). Daarnaast gewoon erg dom. Maar het feit dat ze dan de moeite nemen die alsnog te dichten kan juist vertrouwen scheppen.
+1 bbob1970

@Aikon7 december 2016 10:33
Is een backdoor wel ter goeder trouw.
Van een bedrijf als sony mag je toch verwachten dat ze weten dat een backdoor een backdoor is en dat die altijd misbruikt kan worden. Ik weet dan ook niet of je echt over ter goeder trouw kan spreken als je een backdoor inbouwt.
+2 CAPSLOCK2000

@bbob19707 december 2016 12:30
Is een backdoor wel ter goeder trouw.
Van een bedrijf als sony mag je toch verwachten dat ze weten dat een backdoor een backdoor is en dat die altijd misbruikt kan worden. Ik weet dan ook niet of je echt over ter goeder trouw kan spreken als je een backdoor inbouwt.
De term die je zoekt is "nalatig".
Zolang ze niet nadrukkelijk het doel hadden om misbruik te maken van die backdoor kun niet zeggen dat ze niet ter goeder trouw waren. Net zoals een dronkenlap die een ongeluk veroorzaakt niet het doel had om mensen te kwetsen.

Dat een bedrijf van het formaat van Sony dit soort fouten maakt wijst op een enorm gebrek aan toezicht en controle. Voorgaande zin is een beetje misleidend want het suggereert dat Sony het slechter doet dan de rest, in mijn ervaring is het overal in de IT een puinhoop.
IT is moeilijk en IT-beveiliging al helemaal. Het is vaak meer kunst dan wetenschap. In de IT is het haast niet mogelijk om van te voren uit te rekenen of iets veilig is met behulp van simulaties zoals dat in veel ander vakgebieden gebeurt.
Van de andere kant zijn er een hoop dingen die je wel kan doen (zoals controleren welke accounts er op een systeem aanwezig zijn en waar ze voor dienen) die ook nagelaten lijken te zijn. Als je het niet eens probeert dan gaat het zeker niet goed.

Dat alles is geen excuus, bedrijven (of winkels) blijven verantwoordelijk voor de spullen die ze verkopen. Als iets niet veilig en betaalbaar kan dan moet je het maar gewoon niet doen. De HEMA verkoopt geen maanraketten ook al zouden er best klanten voor zijn. Zo'n project kun je gewoon niet betalen van een consumentenbudget.

In de IT wordt nooit iemand afgerekend op een onveilig product. Vaak is het niet eens mogelijk om te klagen, de fabrikanten en winkeliers wijzen alle verantwoordelijkheid af en/of verschuilen zich achter schimmige voorwaarden. Daarbij kun je van te voren haast niet beoordelen of iets veilig is. Een goede audit kost al snel meer dan het product waard is, zeker aan de onderkant van de markt.

Meestal is het kopen van een IT-product dus een grote gok, als klant kun je niet voorspellen wat het gaat worden. Als je niet kan oordelen op grond van kwaliteit dan moet je wel oordelen op grond van prijs. De IT is daardoor een grote Action aanbiedingenbak. Kwaliteit doet er niet toe, alles is wegwerp. Als het niet goed is dan koop je morgen een nieuwe. Als A-merken (zoals Sony) geen kwaliteit leveren gaat niemand nog de meerprijs betalen.

Onveiligheid moet geld gaan kosten. Stel dat dit incident nu een boete van 1 miljard dollar zou opleveren dan weet ik zeker dat Sony morgen 2 miljard dollar uitgeeft om het proces te verbeteren zodat ze niet nog een keer zo'n boete hoeven te betalen.


Ik denk dat de industrie moet investeren in betrouwbare basiscomponten. Te vaak wordt het wiel opnieuw uitgevonden en te vaak worden hele systeem van scratch gebouwd of samengesteld uit onbetrouwbare componten. De IT is zo groot en complex dat je onmogelijk alles wat je gebruikt kan testen. Je moet kunnen vertrouwen op betrouwbare componenten zodat je alleen de nieuwe ontwikkelingen hoeft te testen. Het schiet niet op als je voor iedere verbinding een nieuwe schroef ontwerpt die apart getest moet worden.
We stapelen onbetrouwbare componten op onbetrouwbare componenten en niemand bekommert zich om de kwaliteit. Natuurlijk gaat dat fout.
+1 Aikon
@bbob19707 december 2016 10:36
Een backdoor kan absoluut ter goede trouw gebruikt worden. Waarom niet? Bijvoorbeeld om een systeem te resetten in noodgevallen (bijv: beide autosleutels liggen in afgesloten auto, fabrikant kan hem toch openen). Uiteraard moet je implementatie op orde zijn, maar dat staat eigenlijk los van 'ter goede trouw' handelen. Blijft een vaag begrip en is ook afhankelijk van je kennis.

Maar als een backdoor in het nieuws komt is dat 99% v/d gevallen negatief.

[Reactie gewijzigd door Aikon op 7 december 2016 10:37]

0 Jerie
@Aikon7 december 2016 11:06
Een backdoor kan absoluut ter goede trouw gebruikt worden. Waarom niet?
Omdat
1) Het een backdoor is.
2) De gebruiker niet op de hoogte is hier van (aldus definitie van #1).
Uiteraard moet je implementatie op orde zijn
Dat is bij een backdoor per definitie niet het geval omdat de authenticatie niet op orde is.

Als de authenticatie wel op orde is spreek je van een support account oid. Dat zou wel duidelijk gedocumenteerd moeten zijn immers obscurity is no security.
0 Armin

@bbob19707 december 2016 18:29
Van een bedrijf als sony mag je toch verwachten dat ze weten dat een backdoor een backdoor is en dat die altijd misbruikt kan worden

Datzelfde Sony dat onlangs nog zo vernederend gehacked was en bleek de meest elementaire 101 security richtlijnen niet geimplementeerd te hebben op haar intranet? O-)

Oke, flauw, maar meer serieus, Sony is geen bedrijf in de security business, dus ik had en heb totaal geen enkele verwachting bij Sony op gebied van security. Uberhaupt in deze industrie van IoT is security iets wat pas een jaar of maximaal 2 in het nieuws is. Features en prijs zijn wat die business stuurt. Immers geen klant die om security vroeg en nu nog steeds helaas niet vraagt. Ja, zelfs in de business van security camera's, al erken ik de ironie daarvan.

Ideeen zoals 'security by obscurity' zoals deze verborgen wachtwoorden zijn/waren heel normale opvattingen buiten de security wereld. En als je als engineer vooral afgerekend wordt op snelheid van support en debuggen, kun je het ook niet helemaal kwalijk nemen dat bovenaan je prioriteitenlijstje te zetten.

Daarnaast is de cultuur betreft beveiliging in Azie ook nog een accent anders/lager dan in de westerse wereld.
0 bbob1970

@Armin7 december 2016 19:51
Dit soort kennis kun je als sony gewoon kopen bij externe partijen. Doe je dat niet ben je gewoon dom bezig.
0 aryan1171
@bbob19707 december 2016 10:39
Ik ben het hier mee eens. Sony is voor mij nu echt afgeschreven als merk. Het enige wat ik nu nog van ze heb is een t.v. en een telefoon. Die gaan dus binnenkort ook de deur uit. Ze hebben de afgelopen jaren wel vaker rare keuzes gemaakt maar dit is wel kritiek hoor; je speelt gewoon indirect met mensenlevens hier.
0 Xfade
@aryan11717 december 2016 11:26
Op die manier houdt je niet veel merken meer over in je huis. Moet je alles wel zelf gaan bouwen. Leuk he zo'n smart world.
+1 Evilcoocie
7 december 2016 10:23
Erg kwalijk dat er zoveel "debugging" schandalen aan het licht komen bij grote bedrijven zoals Sony. Dit weerhoudt mij er ook van om enigzins een poging te maken naar al het "smart" "IOT" gebeuren, als er geen enige doorzichtigheid is wat de apparaten kunnen doen behalve de functie waar je hem voor koopt. Komt er bij mij niet zo'n ding in |:(
+1 yayo
7 december 2016 10:34
Overal zit een backdoor in tegenwoord (of altijd al geweest). Ik kijk er niet meer van op.
+1 ArtGod
7 december 2016 10:55
Ik vind dat de EU alle IP camera's met hardcoded accounts moet verbieden.

Tevens wil ik wel eens weten waarom dit er in is gezet. Is dit bewust gedaan door Sony? Of heeft een ontwikkelaar dit op eigen houtje gedaan?

Verschrikkelijk dat zelfs een gerenommeerd merk als Sony niet meer te vertrouwen is. Zit zoiets ook in de PS4?

[Reactie gewijzigd door ArtGod op 7 december 2016 10:56]

0 hahaha
@ArtGod7 december 2016 14:03
Even in de geschiedenis duiken van Sony BMG Music. In 2005 leverden ze muziek CDs met rootkits om piraterij tegen te gaan. Jawel, rootkits. En toen dat uit kwam werd er eerst ontkent, en toen dat niet meer lukte kwam er een patch. En in die patch zat weer andere malware te installeren. Bron: https://en.wikipedia.org/...rotection_rootkit_scandal

Sony? Nee dank je wel.
+1 Quilt
7 december 2016 11:06
Spionagefictie wordt steeds meer realiteit. Camera's kunnen op afstand gehackt worden om foute beelden door te sturen. Zo kunnen mensen geframed worden...
+1 ASS-Ware
7 december 2016 11:15
En dan kijken mensen raar op als ik zeg dat ik geen babyfoon wil met camera die je gebruikt over het internet.
0 marcelvb
@ASS-Ware7 december 2016 22:23
Of een pop met stemherkenning.
0 kimborntobewild
7 december 2016 10:48
User primana, Passwort: primana
|:(
Verder had Sony zes weken nodig voor een patch (al zullen ze het zelf niet als patch zien maar doen ze 't alleen omdat ze er op geattendeerd zijn; ze hebben immers zelf met opzet dat onbeveiligde account erop gezet). Da's natuurlijk veel te lang.

[Reactie gewijzigd door kimborntobewild op 7 december 2016 10:48]

0 popielawski
7 december 2016 11:01
Ik vind een backdoor gebruiken als 'common practice' bij de overheid wel erg tricky. Lock of geen lock, je kunt manipulatie van potentieel bewijsmateriaal of live-feed-manipulatie niet uitleggen later...
0 telenut
7 december 2016 12:14
Enkele Dlink modellen hadden dit ook. Iedereen binnen het bedrijf kon zo makkelijk alle webcams bekijken... En firmware upgraden, daar doen weinig firma's aan mee toch.
1 2

Op dit item kan niet meer gereageerd worden.

Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*