Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

FTC dient klacht tegen D-Link in om onveilige ip-camera's en routers

Door , 59 reacties

De Amerikaanse waakhond FTC heeft een klacht tegen de Taiwanese fabrikant D-Link ingediend. Volgens de klacht heeft het bedrijf er niet voor gezorgd dat zijn routers en ip-camera's voldoende zijn beveiligd. D-Link kan zich niet vinden in de klacht.

De FTC meldt in zijn klacht dat D-Link door de gebrekkige beveiliging zijn apparaten blootstelt aan hackers en de privacy van consumenten in gevaar brengt. Volgens de waakhond zijn routers en ip-camera's in toenemende mate doelwit van hackers. Bovendien moeten bedrijven ervoor zorgen dat als ze claimen dat hun producten veilig zijn, dit ook daadwerkelijk het geval is.

Hoewel D-Link dat soort claims heeft gemaakt, zijn er volgens de FTC verschillende tekortkomingen in de beveiliging van zijn producten. Zo zijn sommige modellen voorzien van voorgeprogrammeerde wachtwoorden en gebruikersnamen, bijvoorbeeld twee keer het woord 'guest', en was het mogelijk voor hackers om routers over te nemen via command injection.

Daarnaast noemt de FTC dat de privésleutel voor het ondertekenen van D-Link-software zes maanden lang publiekelijk beschikbaar was en dat de mobiele app van de fabrikant de login-gegevens van gebruikers onbeveiligd op mobiele apparaten opsloeg. Daardoor zou D-Link zich schuldig hebben gemaakt aan oneerlijke handelspraktijken en zou het de consument hebben misleid.

Het Taiwanese bedrijf laat in een reactie weten dat het zich niet kan vinden in de klacht van de FTC. De organisatie zou vage en niet onderbouwde klachten hebben geuit over zijn routers en ip-camera's. Het bedrijf wil zich dan ook 'krachtig verdedigen' tegen de aantijgingen en zegt dat de klacht niets vermeldt over consumenten die daadwerkelijk schade hebben geleden door zijn producten.

De FTC diende eerder een soortgelijke klacht tegen Asus in, omdat het consumenten in gevaar zou brengen met onveilige routers. De twee partijen hebben uiteindelijk een schikking getroffen, waarbij Asus werd opgelegd dat het een deugdelijk beveiligingsprogramma invoert en consumenten informeert over beveiligingsupdates.

Dat niet of slecht beveiligde routers en ip-camera's een probleem kunnen vormen, toonde het Mirai-botnet aan, dat vorig jaar de kop opstak. Dat bestaat voor een groot deel uit gehackte iot-apparaten en is in staat om grote ddos-aanvallen uit te voeren.

 

Reacties (59)

Wijzig sortering
Goede zaak. Toch vind ik het gek dat de FTC de rechter moet inschakelen en niet zelf de producten van D-Link kan verbieden.

Er moet een richtlijn komen dat het verboden wordt om apparatuur met default passwords te verkopen. Een klant moet het wachtwoord veranderen en anders gaat het ding niet het internet meer op.

[Reactie gewijzigd door ArtGod op 6 januari 2017 14:56]

Dat is een keuze in het Amerikaanse rechtssysteem. Toezichthouders moeten hun besluiten zo laten toetsen door een onafhankelijke derde (de rechter). Bij ons kan een toezichthouder (zoals de Autoriteit Consument en Markt) zélf zo'n besluit opleggen. De fabrikant zou dan eerst bezwaar moeten maken bij de ACM zelf, en in tweede instantie naar de bestuursrechter gaan (in beroep).

Voor beiden valt wat te zeggen. Het Amerikaanse systeem vertraagt want bij evidente zaken zou je geen rechter nodig hebben. Het Nederlandse systeem is riskant want een klein bedrijf kan misschien die bezwaar/beroepsprocedure niet dragen.
Het lijkt me toch dat je jezelf hiervoor juist verzekerd?
Het lijkt me dat, vanuitgaande dat je je bedrijfsvoering enigszins op orde hebt, de rechtsbijstand hier geen enkel probleem van zou maken.
Ik denk dat zo'n verzekering voor een (relatief klein) bedrijf erg duur is. Dat zijn heel andere bedragen dan de paar euro die jij en ik aan een rechtsbijstandsverzekering kwijt zijn. Net zoals ZZP'ers in Nederland vaak geen arbeidsongeschiktheidsverzekering hebben omdat dat teveel geld kost (hell, sparen voor pensioen schijnt al aardig duur te zijn en wordt vaak op de lange baan geschoven).

Maar goed, goede zaak dat er wat gedaan wordt aan bedrijven die de beveiliging zo laks doorvoeren. En echt moeilijk kan het niet zijn toch? :X Tijdens de eerste setup verplicht een nieuwe gebruikersnaam en wachtwoord kiezen, dat zou al een heel mooi begin zijn.

[Reactie gewijzigd door Grrrrrene op 6 januari 2017 23:50]

Ik al ZZPer heb voor 400 euro per half jaar aansprakelijkheid en rechtsbijstand, dus dat is alsnog redelijke peanuts op wat ik nu gemiddeld aan jaar omzet draai.

Ik vind het zeker een goede zaak! Alleen maar blij mee!
Via een rechtsbijstandsverzekering zal je geen topadvocaat kunnen krijgen. Verder is het bij zulke verzekeringen hetzelfde als bij andere verzekeringen: ze proberen van alles om er onderuit te kunnen komen.
Het is juist goed dat de ftc niet zelf direct een verbod op kan leggen. Er moet altijd sprake zijn van hoor en wederhoor. Jij wil toch ook niet dat tweakers.net spontaan door brein geblokkeerd kan worden zonder dat er gekeken is of de claims werkelijk kloppen? (note, dit zal niet beuren wees maar niet bang gewoon een beetje vreemd voorbeeld)

Wat ik zelf stom vind is dat je dit nu hoort over Asus en D-link maar je hoort niks over Cisco en andere Amerikaanse merken. Cisco is notabene de partij die samenwerkte met de NSA om back-doors in te bouwen. Dan maak je een product bewust kwetsbaar. Dat is veel erger dan de "nalatigheid" in dit geval
Een toezichthouder moet toch gewoon kunnen verbieden als producten onveilig zijn? Je kan daarna natuurlijk nog altijd naar de rechter stappen. Ook moet een toezichthouder eisen kunnen opstellen waar fabrikanten aan moeten voldoen. Doen ze dat niet dan wordt hun product verboden.

Cisco heeft al enorme schade opgelopen. In China verkoopt het merk vrijwel niets meer en in Europa ook steeds minder. NetGear (een divisie van Cisco) wordt overigens wel aangepakt door de FTC.
Get your facts straight. Netgear is geen onderdeel van Cisco.

Wat de verkoop in China betreft is het vziw geen vetpot, maar hetzelfde kun je zeggen over chinees spul in de usa.

Vreemd trouwens gezien quasi alle productie van Cisco bij Foxconn zit...
Correct. Ik verwarde ze met Linksys.
Linksys is ook al enkele jaren geen Cisco meer...
Hmmm. die heb ik inderdaad gemist.
Dat is pure misinformatie.
De toestellen werden onderschept waarna de NSA apparatuur inbouwde. Dat kun je niet "meewerken" noemen.

Cisco heeft intern trouwens strenge security standaarden en volgt zulke issues nauwgezet op.
Nee dat onderscheppen deed met met Huawei spullen uit china bijv.
Bij Cisco ( en Juniper) werkte het wat anders. Men misbruikte een zero day.
https://www.engadget.com/...chnique-for-cisco-spying/
Het punt blijft. Dat is niet "meewerken". Dat is pure laster en zonder bewijs hoort het hier op deze website niet thuis.
Laster is toch wat anders.
Dit soort quotes wekt een andere indruk
To be accurate for the benefit of Cisco's security customers, I think Cisco should address the "issue" that perhaps its top security product executive, Christopher Young, did indeed work with the NSA and accepted a $10 million fee on behalf of his employer, RSA, in doing so.
Er zijn aanwijzingen dat de genoemde vunerabilities feitleijk backdoors waren.
https://techcrunch.com/20...ed-in-nsa-hack-are-legit/
Kortom, geen laster maar niet keihard bewezen zaken.
Toch wat anders.
Daarnaast zou Cisco zelfs medewerking aan NSA niet eens mogen bekennen zonder daardoor meteen strafbaar te zijn.
Doorsnee gebruiker is allang blij als het werkt. Laat staan dat ze handleiding uitpluizen.

Geen wachtwoord en verplichten wachtwoord in te voeren bij een webinterface is een optie.
Goede zaak. Toch vind ik het gek dat de FTC de rechter moet inschakelen en niet zelf de producten van D-Link kan verbieden.
De FTC heeft niks verboden, ze hebben alleen een klacht ingediend bij D-Link. Zo'n klacht is een waarschuwing dat de FTC bereid is om naar de rechter te gaan omdat ze denken dat de wet wordt gebroken. D-Link kan nu ofwel met de FTC in gesprek gaan ofwel een rechtszaak afwachten. Een rechtszaak is duur en de uitkomst onzeker. Als D-Link van goede wil is dan is een gesprek met de FTC waarschijnlijk de betere keuze.
Het FTC heeft wel degelijk een klacht ingediend bij een rechtbank.

Hier de klacht zelf:
https://www.ftc.gov/syste...omplaint_and_exhibits.pdf

UNITED STATES DISTRICT COURT
NORTHERN DISTRICT OF CALIFORNIA
SAN FRANCISCO DIVISION

Persbericht van het FTC en het antwoord van D-link kan je vinden in het artikel.

In Amerika hebben waakhonden de functie van een openbare aanklager, ze dienen namens het volk een klacht in bij een rechtbank en die moet dan toetsen of de klacht rechtmatig is.

Verder vind ik de reactie van D-Link wel erg slapjes, maar goed ik kan het wel begrijpen. Nu het hot topic is moeten ze wel hard terug bijten maar dit soort procedures duren meestal maanden zelfs jaren. Als ze over een jaar een schikking treffen kan niemand het iets meer interesseren. Nu moeten ze doen alsof hun neus bloedt, want een internetbedrijf die zijn beveiliging niet in orde heeft is ten dode opgeschreven. De realiteit is dat er inderdaad een kern van waarheid in zit, de FTC citeert zelfs de security advisories van D-Link zelf.

Alle bedrijven hebben een eigen thema/identiteit, hun manier van doen. D-Link heeft er inderdaad voor gekozen om gebruiksgemak boven beveiliging te laten gaan. Of de klacht van de FTC wel helemaal eerlijk is weet ik niet. Ze gaan zo ver terug als 2012 en zelfs 2008, De technologie was toen nog niet zo volwassen als dat het nu is (denk aan gespecialiseerde SoC's en chipsets die vele malen krachtiger zijn) en met de wetenschap van heden terug kijken naar het verleden is natuurlijk niet eerlijk, maar goed D-link had natuurlijk ook niet moeten smijten met allerlei rare marketing termen. Een over groot deel van de klacht gaat juist om de marketing praktijken van D-Link en een oneerlijk voordeel wat D-Link hierdoor had.

https://www.law.cornell.edu/uscode/text/15/53

https://www.law.cornell.edu/uscode/text/15/45

Je product als veilig aanprijzen en nalatig zijn in de beveiliging en nazorg is iets wat niet kan en mag.

[Reactie gewijzigd door SizzLorr op 7 januari 2017 04:19]

Liever niet. Gewoon straffen gaan uitdelen aan mensen die apparatuur kopen zonder er enig verstand van te hebben, vervolgens de gebruiksaanwijzing niet lezen en het wagenwijd open laten staan. Laat de consument zelf maar eens bewust worden van veiligheidsrisico's, in plaats van ze nog verder te pamperen door het bij de fabrikant neer te leggen om die onwetendheid te patchen. Mensen zijn lui en achteloos geworden, ga dat alsjeblieft niet verder stimuleren met wetgeving waardoor ze nog minder hoeven na te denken en te leren; daar wordt het internet namelijk juist nog veel onveiliger van omdat mensen dan nog meer t idee krijgen dat ze zelf geen hol hoeven te doen aan beveiliging en de fabrikant/overheid het moet regelen.

[Reactie gewijzigd door WhatsappHack op 6 januari 2017 17:38]

voor mij mogen ze d-link verbannen, ooit een NAS gekocht van hun en hoopuit 2 updates voor gehad en dat ding werkte nog niet naar behoren
Zo zijn sommige modellen voorzien van voorgeprogrammeerde wachtwoorden en gebruikersnamen, bijvoorbeeld twee keer het woord 'gast', en was het mogelijk voor hackers om routers over te nemen via command injection.
'Gast' is dus 'guest'. Er zit niet opeens een Nederlandse backdoor in. ;)

Elke noemenswaardige beveiligingsstandaard schrijft voor dat standaard gebruikersnamen en wachtwoorden uit den boze zijn. Qua dat heeft het FTC gelijk als dit klopt.
Daarnaast noemt de FTC dat de privésleutel voor het ondertekenen van D-Link-software zes maanden lang publiekelijk beschikbaar was en dat de mobiele app van de fabrikant de login-gegevens van gebruikers onbeveiligd op mobiele apparaten opsloeg. Daardoor zou D-Link zich schuldig hebben gemaakt aan oneerlijke handelspraktijken en zou het de consument hebben misleid.
Het is niet alleen daardoor. Het is door te beloven dat het veilig is, terwijl dit soort zaken aantoont dat het allerminst veilig is.

[Reactie gewijzigd door The Zep Man op 6 januari 2017 14:57]

Als default passwords een probleem is mogen ze wat meer partijen aanschrijven:

http://www.defaultpassword.com/
Bovendien moeten bedrijven ervoor zorgen dat als ze claimen dat hun producten veilig zijn, dit ook daadwerkelijk het geval is.
Begin bij Cisco, Microsoft zou ik zeggen.
“hard-coded” login credentials integrated into D-Link camera software -- such as the username “guest” and the password “guest” -- that could allow unauthorized access to the cameras’ live feed;
a software flaw known as “command injection” that could enable remote attackers to take control of consumers’ routers by sending them unauthorized commands over the Internet;
Als wachtwoord niet te wijzigen valt (zoals hier staat) dan is dat natuurlijk wel kwalijk.
Als gebruiker wachtwoorden niet aanpast is dat eigenschuld.

Remote exploits zijn een generiek probleem. Alleen indien de combinatie met hardcoded guest account zou bestaan is dat natuurlijk nalatig.

[Reactie gewijzigd door totaalgeenhard op 6 januari 2017 15:00]

Cisco default password?
Ze hebben een strenge richtlijn dat er enkel een default paswoord mag zijn als het toestel uit de doos komt en dat dit paswoord de initiële installatie procedure niet mag overleven.

Stop met misinformatie te verspreiden.
Genoeg devices met default passwords:

https://www.lifewire.com/...ult-password-list-2619154

Men hoef niet altijd in te loggen (CLI / webinterface) om functionaliteit te gebruiken en daarbij geforceerd wachtwoord aan te passen.
Dat zijn Linksys devices.
Ten eerste is Linksys geen onderdeel meer van Cisco.
Ten tweede bestond het gros van die producten vóór de aankoop van Linksys door Cisco.
Ten derde duurt het even voor je een aangekocht bedrijf kunt in de goede richting sturen.

Ten vierde: wat de Cisco apparatuur van vandaag betreft, zie mijn antwoord hierboven met de interne richtlijn van Cisco. Ja, er zijn default passwords, maar die horen de initial install niet te overleven.

Ten vijfde: die interne richtlijn is onderdeel van een (enorme) set van richtlijnen waar elk product team verwacht wordt van jaar na jaar progress te kunnen voorleggen.

Ten zesde: Cisco heeft voldoende gesnapt dat ze het zich niet kunnen permitteren om grote security flaters te begaan. Het bedrijf is echter groot en hier en daar zul je wel nog afdelingen tegenkomen waar men de prioriteiten nog niet helemaal begrepen heeft, maar je kan er van op aan dat de security practices bij Cisco een stuk hoger liggen dan die van de gemiddelde fabrikant van hardware, waarmee ik tegelijk zeker NIET wil gezegd hebben dat ze perfect zijn en dat het doorheen het hele bedrijf gelijk is.
Beetje rommelige opmaak, maar meer dan genoeg Cisco spul dus.
Cisco Aironet 1100 AP1120B-E-K9 HTTP Cisco Cisco webadmin No
Cisco Aironet 1200 Multi Cisco Cisco No
Cisco Aironet 1350 HTTP admin tsunami webadmin No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSD MSDE Client 5.0 and 5.1 Telnet or Named Pipes bbsd-client NULL database No
Cisco BBSM 5.0 and 5.1 Telnet or Named Pipes bbsd-client changeme2 database No
Cisco BBSM Administrator 5.0 and 5.1 Multi Administrator changeme Admin No
Cisco BBSM MSDE Administrator 5.0 and 5.1 IP and Named Pipes sa (none) Admin No
CISCO Cache Engine Console admin diamond Admin No
Cisco Catalyst 4000/5000/6000 All SNMP (none) public/private/secret RO/RW/RW+change SNMP config
Cisco Cisco Works Multi admin admin No
Cisco CiscoWorks 2000 guest (none) User No
Cisco CiscoWorks 2000 admin cisco Admin No
Cisco CNR All CNR GUI admin changeme Admin No
Cisco ConfigMaker cmaker cmaker Admin No
cisco cva 122 Telnet admin admin Admin No
Cisco IOS 12.1(3) SNMP n/a cable-docsis SNMP read-write No
Cisco IOS Multi cisco cisco No
Cisco IOS Multi n/a c Admin Yes
Cisco IOS Multi n/a cisco No
Cisco IOS Multi n/a Cisco router No
Cisco IOS 11.x-12.x SNMP n/a ILMI limited READ/WRITE No
Cisco IOS Multi n/a cc No
Cisco IOS Multi enable cisco No
Cisco Netranger/secure IDS Multi netrangr attack No
Cisco Netranger/secure IDS 3.0(5)S17 Multi root attack Admin No
cisco router Multi praisenetwork perfectpraise No
Cisco-Arrowpoint Arrowpoint admin system
Begin bij Cisco, Microsoft zou ik zeggen
In welke MS product kom jij dan default passwords tegen (en dan doel ik niet op trial VHD bestanden)? In iedere Windows variant die momenteel ondersteund wordt dien jij ZELF een admin password te kiezen bij de eerste login (en serieuze bedrijven hebben dat in hun deployment al zitten, bij het uitrollen van een image wordt het password naar keuze erop gezet)
Als je de rest quote dan zie je context erbij en weet je waarop mijn opmerking slaat.
Ik weet niet wie dit naar beneden gemodereerd hebben. Maar laat duidelijk zijn dat zowel Cisco als Microsoft inderdaad -meermaals- op de lijst staan die gebruiker [totaalgeenhard] zeer duidelijk als bronvermelding heeft aangegeven in de reactie die hier wordt aangevallen. Aangevallen, want van gepaste argumentatie is geen sprake.

Sommige meningen worden hier stellig gebracht, maar een stelling alleen is geen argument..

Mening: Zolang er niet ook op inhoud is gediscussieerd vindt ik dit soort sentimenteel gemotiveerd beoordelen ongepast en onbetamelijk. Als je iets niet beargumenteerd wenst te melden beoordeel dan de reacties, en zeker de argumenten, van anderen óók niet.. Ik bedoel, ik snap dit gedrag wel maar als je toch ergens moeite in stopt, doe het dan goed. Zoals je hier ziet proberen anderen dat nota bene ook.. (Ik heb geen idee wie genoemde gebruiker is, maar die krijgt van mij boost ter compensatie.. Als de inhoud de beoordelaars niet loslaat mogen zij het wat mij betreft met onderbouwing nogmaals proberen. @Totaalgeenhard: Laat de enkeling hier en daar u het plezier van commentariëren op vlak van Politiek & Recht zeker niet vergallen, en dank dat u een eventueel spontane reactie in deze discussie aan anderen laat.

Verder allen een goed weekend gewenst.)
Maar laat duidelijk zijn dat zowel Cisco als Microsoft inderdaad -meermaals- op de lijst staan die gebruiker ~[totaalgeenhard] zeer duidelijk als bronvermelding heeft aangegeven in de reactie die hier wordt aangevallen.
Killah_Priest had het alleen over MS, dus Cisco erbij halen is irrelevant. Ik heb de lijst even bekeken en hier is het resultaat voor Microsoft:

"Great Plains":
Er staat weliswaar "Revision: All", maar dat zou ik met een korreltje zout nemen: tegenwoordig heet dat ding namelijk "Microsoft Dynamics GP"; voor zover ik zo snel kan achterhalen is het omgedoopt in 2005. Ik heb hier geen installatie om het te testen (had van het hele ding nog nooit gehoord), maar ik neem aan dat dit probleem al lang geleden is opgelost.

SQL Server:
Alleen van toepassing op versie 7, uit 1998...

Windows NT:
Oef, als we het dan toch over oude koeien hebben: 1996!

Ik weet dat MS bashen een leuk tijdverdrijf is, maar als je tien ŕ twintig jaar achter de feiten aanloopt, dan ben je het, naar mijn niet-zo-bescheiden mening, toch wel behoorlijk aan het overdrijven. Ik sluit me aan bij de downmodders die (zo lijkt het) vinden dat totaalgeenhard een beter voorbeeld had kunnen vinden.
Als je de rest quote dan zie je context erbij en weet je waarop mijn opmerking slaat.

Het zal wel aan mij liggen, maar in dat stukje zie ik geen verwijzing dat Microsoft default passwoorden heeft, laat staan ongedocumenteerde.

Dus wederom: In welke MS product kom jij dan default passwords tegen?
Vroeger had je op school een cijfer voor begrijpend lezen.

Klopt, maar voor de domme mensen die die vaardigheid niet goed beheersen, kun je het mij wellicht alsnog uitleggen?

In welke MS product kom jij dan default passwords tegen? Volgens mij - zoals robvanwijk ook aangeeft - heb je gewoon geen voorbeelden, en is begrijpend lezen niet de oorzaak, maar heb je gewoon ten onrechte Microsoft op de beklaagdenbank gezet.

Of verwees dit niet naar default passworden, maar een algemene sneer naar Microsoft betreft claimen van veiligheid. Dat is dan meer een kwestie van verwarrend schrijven, want de suggestie bestaat dat die twee onderdelen gekoppeld zijn. Bovendien is het ook dan onjuist want qua veiligheid is er weinig mis met Microsoft producten. In de industrie en academische wereld staan ze bekend om hun uitstekende vaardigheden op dit gebied qua ontwerp waarbij veiligheid vanaf de design fase meegenomen wordt, testen en vooral ook uitbrengen van patches.

Microsoft is wat dat betreft een schoolvoorbeeld van hoe security goed geimplementeerd kan worden op een gebruiksvriendelijke wijze. Nu geef ik toe dat IoT en de traditionele Microsoft producten wellicht niet altijd vergelijkbaar zijn, maar "beginnen bij Microsoft" is dus niet nodig in deze context.

Lijkt er dus op dat je vooral een sneer maakte die je niet hard kan maken.
Dit is niet persoonlijk aangezien meerderen het kennelijk niet doorhebben.

Ik had het in ieder geval niet door. Wellicht dus ook een tip aan de schirjver dat zijn wijze van quoten beter kan O-)

Hoe dan ook, nu duidelijk is dat je niet beweert dat Microsoft default passworden gebruikt, maar 'enkel' suggereerd dat Microsoft claimt dat zijn producten veilig zijn, terwijl ze dat - volgens jou - niet zijn. Kun je die claim hardmaken?

Zoals ik net aangaf, is het tegendeel volgens mij waar. Qua design, testen en update beleid is Microsoft eerder een lichtend voorbeeld in een soms duistere software security wereld.
https://www.microsoft.com/en-us/security/default.aspx

http://www.securityfocus.com/bid

zoek en gij zult vinden.

Het is veel makkelijker en grootschaliger om Windows platform te gebruiken als zombie netwerk. Dan IoT.

Bij IP cam zitten soms tussen meerdere bestellingen per jaar al verschillen in firmware. Soms totaal andere software.

Om een worm te schrijven voor IoT dat uiteindelijk meer slaafjes heeft dan dat er Windows computer zijn is vrijwel onmogelijk.

Bovendien waarom LoT cracken als je gewoon platform als xmeye en eye4 hebt waar je al acces hebt tot veel IP camera's.
Als default passwords een probleem is
Default passwords zijn een probleem voor consumentenapparaten. Een organisatie die een Cisco koopt kan ook verantwoording afleggen over hoe die Cisco geconfigureerd wordt (tenzij die Cisco een ongedocumenteerde achterdeur heeft natuurlijk, maar dat is een andere zaak).
Mja... Klopt wel deels, maar voor sommige grote bedrijven, financiële sector en overheden moet je wat meer overtuigingskracht hebben dan een goeie manual (zeker als de producten de absolute kern van de IT infra horen te zijn).
Vandaar dat de genoemde bedrijven (Microsoft en Cisco) net uitblinken in hun beveliginsbeleid en er behoorlijk transparant over zijn!
Ik heb vroeger een paar DLink DCS 2100 ip camera's voor iemand geconfigureerd die ik middels een IP adres filter en nieuw user account dacht beveilgd te hebben, maar niets bleek minder waar.
Met een simpel android app kon ik probleemloos bij de rtsp stream komen.
Het is daarom verstandig om dergelijke camera's altijd achter een (client) VPN te zetten als
je er vanaf public internet bij wil.

Maar ik geloof dat bijna alle ip camera fabriekanten er een zootje van maken, aangezien er
zelden firmware updates uitkomen en de support al vrij snel stopt.
Weet iemand hier hoe slecht/goed het gesteld is met de nieuwe 2MP HOSAFE ip camera's?

[Reactie gewijzigd door Storm-Fox op 6 januari 2017 15:32]

Wat betreft softwareupdates is D-Link juist een van de betere: voor mijn D-Link camera die ik al zo'n 5 jaar gebruik, is 8 weken geleden nog nieuwe firmware verschenen. Deze lost de bug op dat je via poort 5978 het adminwachtwoord kunt resetten naar de defaultwaarde. Een bug die al in juli 2016 publiek werd, dat dan weer wel.
Vorig jaar heb ik op dezelfde camera nog een firmwareupdate gedaan, die de bug oplost dat je via poort 80 een lijstje van de in de camera geconfigureerde wachtwoorden kunt opvragen (admin, WiFi, SMTP, FTP, etcetera).
Op basis van wat ik gezien heb, denk ik ook dat de meeste IP camera's onveilig zijn; niet alleen die „voor thuis” maar ook de duurdere.
Een bug die al in juli 2016 publiek werd, dat dan weer wel.
En hoe lang kon ie al misbruikt worden? De bugs die je noemt klinken vrij ernstig. Zegt misschien wel iets over hun ontwikkelproces. Wat jij als een kracht ziet dat ze het oplossen, zie ik een zwakte dat het er in zit.
Dit is inderdaad een veel voorkomend probleem. Wel de admin interface afschermen, maar vervolgens de streams gewoon open laten. Complete waanzin, maar de kwaliteit van de gemiddelde IP cam firmware is sowieso om te huilen. Men gebruikt volgens mij al 10 jaar lang dezelfde 'cgi' scripts, die over het algemeen geen enkele vorm van input beveiliging kennen. Dus automatisch een geweldige manier vormen voor remote command execution.

Toevallig gebruik ik sinds een aantal maanden een D-Link Babycam. Ik had nog de stille hoop dat hier beter over was nagedacht. Maar helaas... Zo was de cam oorspronkelijk voorzien van een admin interface, zodat je bepaalde zaken kon instellen (bijvoorbeeld poortnummers). Redelijk standaard voor zo'n device. Echter, toen bekend werd dat er grote gaten in die interface zaten hebben ze de complete interface via een firmware update verwijderd. Op zich valt daar nog mee te leven (het was geen gedocumenteerde feature). Maar iemand daar had het geniale idee op de webcam automatisch via UPNP poortje 80 over te laten nemen op je router. Waarom!? Ik kwam er bij toeval na een paar weken achter dat mijn normale site opeens vervangen was door de webinterface van de cam. En via diezelfde route was ook de RTSP stream te openen. Weliswaar nog met het (simpele) wachtwoord, maar laat er een simpele brute force attaack op los en je zit er in. Aangezien mijn router alleen aan/uit voor UPNP kent, moest de hele feature dus uit vanwege 1 cam...

Een ander leuk gedocht is ONVIF. Dat is zo'n protocol wat zogezegd alles met elkaar moet verbinden. Maar bijna geen enkele partij implementeert de volledige standaard. En als je dan al mazzel hebt dat het enigzins werkt, dan gaan simpele dingen fout. Zoals het wijzigen van het poortnummer in de instellingen, wat dan geen effect heeft op de URL's die via de ONVIF methode worden aangeboden. Waardoor de compelte functionaliteit nutteloos is geworden als je meerdere cams wilt ontsluiten op 1 IP adres.

[Reactie gewijzigd door eborn op 6 januari 2017 17:00]

@eborn:het is goed om te lezen dat ik niet de enige tweaker ben met deze frustraties.
Misery loves company. :)

Helaas heeft 99.9% van de consumenten weinig verstand van firewalls, rstp streams, upnp, etc. Zij gaan er van uit dat producten voldoende beveiligd zijn, terwijl de beveiliging meestal
gatenkaas is. En als je echt pech hebt, dan wordt jouw onveilige ip-camera geindexeerd door insecam en ben je onbedoeld 24/7 je prive beelden live aan het streamen op de
insecam website.

Wat mij betreft mogen deze fabrikanten vaker aan de publieke schandpaal.
Dit zal hen dan meer motiveren om te investeren in beter up-to-date software
Een officiele security keurmerk zou anders ook een goed idee zijn
Eigenlijk zouden die bedrijven zich gewoon op hardware moeten richten en de software in een gezamenlijk (al dan niet open source) project moeten ontwikkelen. Ik snap de problemen die daarbij komen kijken, vooral m.b.t. de verschillende hardware componenten. Maar volgens mij draaien ze uiteindelijk allemaal ongeveer dezelfde kernel met dezelfde basisset software. Richt je dan op drivers voor die hardware en laat de rest over aan mensen die er wel verstand (en tijd) in willen steken.
Ik was destijds degene die toevallig op die sleutel stuitte. Leuk om te zien dat dat nu ook door de FTC navolging krijgt :)
Het toont aan dat je zulke problemen altijd moet mogen en kunnen onderzoeken (er zijn fabrikanten die dit illegaal of onmogelijk proberen te maken), en het toont aan dat het echt helpt om dat ook te doen ook.

Kortom. Goed werk, bartvbl. Blijven doen.

Ik hoop alvast op een fikse straf voor D-Link. Ze zullen een goed voorbeeld zijn voor de rest.
Tijd dat we dat in Nederland ook gaan doen. Veiligheid is over het algemeen niet te beoordelen voor consumenten, niet alleen IT-beveiliging maar ook op andere gebieden. We vertrouwen op de overheid dat apparaten die in de winkels liggen elektrisch veilig zijn en dat kinderspeelgoed geen giftige stoffen bevat, zelf kun je dat eigenlijk niet beoordelen en de meeste mensen zijn daar ook niet mee bezig.

Vreemd eigenlijk dat de VS hierin voorop lopen, de bescherming voor consumenten is daar een stuk minder dan hier in Europa.
Vreemd eigenlijk dat de VS hierin voorop lopen, de bescherming voor consumenten is daar een stuk minder dan hier in Europa.
Op sommige punten wel, op veel punten ook niet.
In Amerika zijn er minder regels en minder wetgeving vooraf. Het systeem gaat pas in werking wanneer dingen achteraf niet goed bevonden zijn door middel van een of twee zware rechtzaken die de industrie corrigeren.

Het is dus meer een corrigerend systeem dan een wetgevend systeem.
Zodra apparatuur aangesloten wordt moet worden verplicht het wachtwoord te wijzigen voordat het verder werkt.

Te veel spul werkt plug&play, mensen hebben geen idee van de gevaren.
Apart dat ik bij dit artikel reclame krijg voor een IP camera & router. Toeval of slimme techniek?
Reclame's komen niet per toeval op je scherm. Daar zit altijd een logica achter. Ook hier, en hier zal het inderdaad zijn dat ' hey db112nl leest een artikel over routers. Wie biedt het meest voor een router ad?'

Bij mij wint Coolblue
Sterker nog bij elk artikel krijg ik reclame die past bij het artikel zie ik nu. Nja viel me gewoon op, beetje offtopic. srry

[Reactie gewijzigd door db112nl op 6 januari 2017 15:32]

Klaag ze maar ook gelijk aan voor de Boxee Box
Ik heb de bewuste camera's. Natuurlijk ga ik er vanuit dat ik het veilig heb met andere inlogs etc. Maar het zekere voor het onzekere met een simpele klik-aan-klik-uit-set kunnen we ze simpel stroomloos maken als we thuis zijn. Dat er eventueel hackers/scriptkiddys meekijken als we niet thuis zijn nemen we dan maar voor lief.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*