Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lekken in Foscam-ip-camera's laten aanvaller apparaat overnemen - update

Door , 137 reacties

Het Finse beveiligingsbedrijf F-Secure heeft achttien lekken ontdekt in ip-camera's die door de Chinese fabrikant Foscam worden gemaakt. De kwetsbaarheden stellen een aanvaller in staat het apparaat over te nemen.

Het bedrijf heeft twee camera's onderzocht: de Foscam C2 en de Opticam i5. Die laatste wordt door Foscam gemaakt en verkocht onder een andere naam. De camera's worden volgens F-Secure onder veertien verschillende namen verkocht, waaronder Ambientcam, Qcam en Chacon. De onderzoekers achten het mogelijk dat de gevonden kwetsbaarheden ook in andere modellen van de fabrikant voorkomen. De onderzochte firmwareversies zijn 1.11.1.8 en 1.5.2.11. Hoewel het bedrijf de lekken heeft gemeld, is er ook na maanden geen antwoord gekomen van de fabrikant.

De kwetsbaarheden variëren van onveilige standaardaccounts tot voorgeprogrammeerde standaardaccounts die niet door gebruikers te wijzigen zijn. Andere lekken maken het mogelijk om op afstand code te injecteren en code aan te passen om roottoegang te krijgen. Daarnaast is een verborgen Telnet-functie aanwezig, die het mogelijk maakt om via een gehackte camera het netwerk in kaart te brengen.

De kwetsbaarheden kunnen ertoe leiden dat een aanvaller het apparaat overneemt en toegang krijgt tot videofeeds. Bovendien is het mogelijk om bestanden naar de ingebouwde ftp-server te uploaden. Andere denkbare mogelijkheden zijn het inzetten van een gehackte camera voor ddos-aanvallen. Dat verschijnsel werd onder de aandacht gebracht door de ddos-aanvallen door het Mirai-botnet, dat onder meer bestaat uit onveilige ip-camera's en digitale videorecorders. Volgens de F-Secure onderzoeker die de lekken ontdekte, had hij 'nog nooit een apparaat ontdekt dat zo slecht ontworpen is'.

Update, 8-6: Een woordvoerder van de Nederlandse Foscam-importeur laat aan Tweakers weten dat Foscam geen bericht van F-Secure heeft ontvangen over de lekken. Het bedrijf onderzoekt de beweringen en zegt zo nodig met patches te komen. Foscam adviseert gebruikers van zijn camera's om sterke wachtwoorden te kiezen en niet van port forwarding gebruik te maken.

Door Sander van Voorst

Nieuwsredacteur

07-06-2017 • 12:49

137 Linkedin Google+

Reacties (137)

Wijzig sortering
Het gaat in totaal om 18 vulnerabilities:

1. Non-random default credentials for web user interface account
Hoewel ik vind dat fabrikanten wettelijk verplicht zouden moeten worden om random default credentials te gebruiken voor hun producten, vind ik gebruikers die de default credentials niet aanpassen heel erg dom. Niet goed, maar makkelijk te fixen.

2. FTP server account uses empty password
Als default gebruikt de FTP server dus een blank password. Niet goed, maar makkelijk te fixen.

3. FTP server account has a hard-coded password
Deze vind ik vreemd, omdat ik in de web interface gewoon een eigen wachtwoord kon kiezen. Ik heb het vermoeden dat het artikel zich vooral richt op de Opticam i5 en dat dit hier mogelijk wel het geval is. Bij een Foscam C2 met up to date software is deze vulnerability in ieder geval niet aanwezig.

4. Configuration back-up file is protected by hard-coded credentials
De configuratie backup bevat het admin wachtwoord en de backup wordt weliswaar versleuteld, maar met een hard-coded wachtwoord. Geen probleem dus als je zorgt dat de backups veilig zijn opgeslagen, bijvoorbeeld door je eigen versleuteling erbovenop te gooien.

5. Hidden hard-coded credentials for web user interface
Dit is blijkbaar het geval voor alle modellen. Er is dus maar één oplossing: internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

6. Hidden Telnet functionality
Telnet is op zichzelf niet zo'n probleem, dat het nergens is gedocumenteerd is dat wel. Oplossing: internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

7. Remote command injection in User Add
Voor deze exploit dient men te kunnen inloggen als admin en kunnen shell commando's uitgevoerd worden. Dus een aanvaller die als admin inloggegevens heeft kan dit gebruiken om aanpassingen dieper in het systeem door te voeren, maar tegen die tijd is het toch al te laat eigenlijk. Oplossing: zorg dat een aanvaller geen admin toegang kan krijgen.

8. Remote command injection in /mnt/mtd/boot.sh via ProductConfig.xml
Zelfde als in 7, alleen is de command injection persistent. Oplossing: zorg dat een aanvaller geen admin toegang kan krijgen.

9. Unauthenticated Remote Command Injection via Anonymous ONVIF SetDNS
Dit schijnt enkel mogelijk te zijn met sommige modellen en firmwares, maar het artikel noemt niet welke. Oplossing: schakel ONVIF uit.

10. Incorrect permission assignment for startup script: /mnt/mtd/boot.sh
boot.sh is world writeable en wordt uitgevoerd tijdens boot. Oplossing: internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

11. Incorrect permission assignment for directory: /mnt/mtd/app
Deze directory bevat de software die wordt gerund door de foscam. Oplossing: internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

12. Administrator Credential Disclosure via Anonymous ONVIF GetStreamUri
Dit schijnt enkel mogelijk te zijn met sommige modellen en firmwares, maar het artikel noemt niet welke. Een aanvaller kan de admin gebruikersnaam en wachtwoord achterhalen met ONVIF. Oplossing: schakel ONVIF uit.

13. Unauthenticated Reboot via Anonymous ONVIF SystemReboot
Dit schijnt enkel mogelijk te zijn met sommige modellen en firmwares, maar het artikel noemt niet welke. Een aanvaller kan zonder authenticatie een reboot uitvoeren. Oplossing: schakel ONVIF uit.

14. Firewall (CWE-284)
De Foscams blijken een eigen firewall te runnen die niet veel voorstelt. Tevens is het mogelijk om te brute-forcen vanaf een IP address dat wordt gefirewalled. Oplossing: firewall de foscam zelf.

15. Missing restriction of multiple login attempts
Er wordt geen rate limit toegepast waardoor het mogelijk is te brute-forcen met volle snelheid. Oplossing: gebruik sterke log-ins die moeilijk te bruteforcen zijn, internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

16. Denial of service of the RTSP video feed
Het is mogelijk om de video feed te 'bevriezen'. Dit schijnt enkel mogelijk te zijn met sommige modellen en firmwares, maar het artikel noemt niet welke. Oplossing: internet toegang uitschakelen en indien nodig plaatsen op een apart, afgeschermd netwerk.

17. Unauthenticated Persistent XSS via Anonymous ONVIF SetHostname
Oplossing: schakel ONVIF uit.

18. Buffer overflow in ONVIF SetDNS
Oplossing: schakel ONVIF uit.

Ik heb zelf een Foscam C2, waarbij ik ONVIF al had uitgeschakeld. Ik vertrouw liever niet op dergelijke services en zoals blijkt met goede reden. Zelf ben ik van plan om een raspberry pi te gebruiken om de Foscam te firewallen (zowel uitgaand als inkomend) en daar openVPN op te runnen, zodat ik remote access heb op een veilige manier.

Voor degenen die geen zin hebben alles door te lezen hier samenvattend de maatregelen die je kunt/moet nemen om je Foscam veilig te houden:
1. Firmware up to date houden.
2. Standaard gebruikersnamen en wachtwoorden wijzigen.
3. ONVIF uitschakelen.
4. Configuratie backups veilig opslaan, eventueel door middel van eigen versleuteling.
5. Zorgen dat de Foscam achter een firewall is geplaatst (bijvoorbeeld die van het modem van je internet provider of je eigen router) en dat daar geen poorten naar de Foscam worden geforward of anderszin poorten van de Foscam vanaf het internet te benaderen zijn.
6. Indien er personen zijn die toegang hebben tot het netwerk waarvan niet bekend is of deze betrouwbaar zijn (als klanten bijvoorbeeld toegang hebben via een hotspot of dergelijke) de Foscam op een apart netwerk plaatsen achter een aparte firewall.
7. (Optioneel) Uitgaand verkeer van de Foscam blokkeren door middel van een firewall.
Voor degenen die geen zin hebben alles door te lezen hier samenvattend de maatregelen die je kunt/moet nemen om je Foscam veilig te houden:
Hulde voor je uitgebreide post, maar één kanttekening: je bedoelt "veilig te houden tegen alle nu bekende blunders". Het zou me niks verbazen als in een gatenkaas als dit nog meer problemen zitten.

Enne, een apparaat dat uit de doos komt en meteen twee pagina's aan (niet-meegeleverde!) beveiligingsfixes nodig heeft? Mag ik ter vervanging van jouw waslijst aan stappen een simpel driestappenplan voorstellen:
1. Lever deze rotzooi in bij je plaatselijke recycling-dinges.
2. Koop vervangende camera's van een fatsoenlijk merk.
3. Mijd "Foscam" (en al hun andere namen) voortaan als de pest.
Indien je alle maatregelen toepast zou in principe zelfs onbekende exploits geblokkeerd moeten worden, tenzij de aanvaller fysieke toegang weet te verkrijgen.

Verder ben ik het met je eens dat een apparaat uit de doos zo veel vulnerabilities heeft beter niet meer verkocht kan worden. Voor de meeste gebruikers is het inderdaad beter Foscam te mijden (tenzij dit gefixed wordt).

Ten tijde van mijn aankoop was de Foscam echter aantrekkelijker geprijsd als de meeste concurrenten. In mijn geval is het vanuit financieel oogpunt niet mogelijk de Foscam te vervangen (er was een overval nodig om betrokken personen te overtuigen dat een camera toch nodig was, vervanging ga ik er niet doorheen krijgen) en aangezien ik de technische kennis heb om dit probleem op te vangen, ga ik toch voor deze optie.
De stappen die je hier uitlegt zijn ongeschikt voor de gemiddelde cameragebruiker (babykamer, carport, vissenkom) en vergen redelijk wat kennis.
Als je een eenvoudig te gebruiken product levert, ben je als fabrikant ook verantwoordelijk voor een degelijk veiligheids niveau. Zoals een cirkelzaag met allerlei zaken wordt uitgerust om een CE keurmerk te krijgen om hier geleverd te mogen worden, mag er inmiddels best van IT producten worden gevraagd dat ze zoveel mogelijk simpele lekken voorkomen.

Wat ik me trouwens afvraag: ik heb mijn camerawebinterface veranderd naar poort 5001 en deze door mijn router laten forwarden. Is er dan van buiten toegang tot telnet, ftp etc?
Ik kan je alleen maar gelijk geven dat fabrikanten hieraan meer zouden moeten doen. Laten we hopen dat de toekomst er beter uitziet en dat dit een van de laatste voorbeelden is van hoe het niet moet.

Indien je de webinterface heb geforward zou de rest dicht moeten zijn. Er schijnen echter verborgen accounts te bestaan (zie exploit 5). Als dje verborgen accounts een admin account bevatten is exploit 7 te gebruiken en dan is het foute boel.
Het is alleen jammer dat ONVIF niet uit te schakelen is (bij alle modellen?).. De enige optie die ik voor ONVIF zie bij de 9900P is het wijzigen van de poort, verder niks.. :o
Uit nieuwsgierigheid: welk model? Zelf meen ik dat het bij de C2 uitgeschakeld te hebben, maar dat zal ik controleren zodra ik weer thuis ben. Als alternatief kun je natuurlijk het uitgaande verkeer firewallen, waarmee je ONVIF in feite ook uitschakeld. Maar dan moet je wel een firewall hebben waarmee dat mogelijk is natuurlijk. DNS 'faken' is natuurlijk ook nog een optie.
Je wuift de vunerabilities nogal vrij gemakkelijk weg onder het motto 'makkelijk te fixen' of 'gooi je eigen versleuteling er bovenop', 'zet hem in een apart afgescherm netwerkje' etc.... Zie je het Jan met de Pet al doen, die gewoon vanaf afstand z'n aquarium in de gaten wilt houden?

Tevens zijn ONVIF en RTSP dezelfde toggle/setting bij mijn Foscam. Als ik ONVIF uitzet, gaat RTSP ook uit. Can't have one without the other :(

[Reactie gewijzigd door Freekers op 7 juni 2017 17:31]

Het motto 'makkelijk te fixen' gebruik ik voor het aanpassen van de standaardwachtwoorden en dat is ook echt makkelijk te fixen.

Het motto 'gooi je eigen versleuteling eroverheen' is een voorbeeld van hoe je de backup veilig kan houden, maar in feite is zelfs dat niet nodig. Tenzij je de backup online laat rondslingeren moet een aanvaller toch enige moeite doen om bij de backup te komen, bijvoorbeeld door de PC waarop deze is opgeslagen ook te kraken. En indien de backup offline is opgeslagen (bijvoorbeeld op een cd gebrand) is zelfs dat geen optie. Daarom vond ik persoonlijk deze vulnerability niet heel indrukwekkend.

Bij de andere vulnerabilities doe ik geen uitspraak over hoe problematisch de vulnerability is of hoe makkelijk deze is te fixen. Ik noem alleen hoe je het kunt oplossen. Ik begrijp echter dat er onbedoeld een bepaalde toon in mijn reactie is geslopen doordat bovenstaande gebeurd in de eerste vier punten. Maar zoals ik al zei: onbedoeld.

En nee, ik zie het Jan met de Pet echt niet doen. Die zie ik zelfs de standaardwachtwoorden 90% van de tijd niet veranderen. Dat merkte ik ook al op in mijn reactie richting robvanwijk.
Je webcam direct met internet verbinden is voor allemaal voldoende zoals bij f-secure ook staat aangegeven. Via een VPN zoals jij zegt is al afdoende, binnnen een bedrijfsomgeving is een apart VLAN aan te raden (en zowizo proffesioneel spul aanschaffen!)
Mooi overzicht. Zelf zet ik zulke apparaten thuis standaard op een apart VLAN zonder toegang tot het internet. Enige probleem is dat je dan ook lokaal een NTP-server moet draaien als je de tijd op de webcams goed wil hebben, maar dat is zo opgelost. :) Ik wil echt niet dat die apparaten ook maar op enige manier kunnen communiceren met een cloud of de buitenwereld in het algemeen.

[Reactie gewijzigd door gday op 8 juni 2017 00:05]

Maar wat heb je aan een webcam als je niet van op afstand naar de beelden kan kijken?

Als ik thuis ben, dan hoef ik maar door het raam te kijken en niet op mijn smartphone door de camera. :+
Oh, dat de camera's niet met internet kunnen communiceren wil niet zeggen dat ik niet op afstand kan kijken. ;)

Ik kan op afstand kijken door via VPN (L2TP/IPSec) in te loggen op mijn thuisnetwerk. Dan kom ik op een subnet waarbij ik toegang heb tot een Synology, die de camerastreams kan weergeven.
Ik heb Foscams, en ze zijn allemaal op MAC basis geblokkeerd voor routering. Zo zijn ze enkel te gebruiken binnen het lokake subnet, en zodanig kan Surveillance Station ze prima benaderen, maar het internet niet.

Heb je ook IP-cams? Weiger de internettoegang via MAC block, of via Parental Controls.
Ook al zijn er nog geen lekken bekend. Motivatie.
De IP camera van de Aldi, Maginon is waarschijnlijk ook een FOSCAM.
Onder deze naam kreeg ik hem ook even aan te praat op de Surveillance Station van Synology.
Maar toch werkte de setup niet behoorlijk.
Ik kan alleen maar aanraden iets duurders te nemen, van Axis bijvoorbeeld
Foscam werkt hier prima. Je scant de code onderop het apparaat en het werkt direct. Ik heb een R2 v1.
Dat soort 'handige' dingen heeft vaak als consequentie dat het apparaat wagenwijd open staat naar internet, just saying...
Ik zwaai ook altijd even naar de camera.
Jammer dat Axis camera's het viervoudige (of meer) kosten van de prijsklasse van een Foscam.
Tsja, kwaliteit kost nou eenmaal geld...
Je moet Foscams overigens niet als Foscam aan surveillance station toevoegen, maar als Generic onvif.
Als foscam probeert surveillance station settings te pushen, en dat werkt langzaam en instabiel.
Waarschijnlijk?

Nee het is zeker weten een Foscam.
Het is de Foscam FI8910W.

zie http://remco.bierings.eu/?p=100 om er Foscam firmware op te krijgen.
Heb hier een aantal Ebode camera's in gebruik met Firmware die gemaakt is door Foscam. Ik kan bevestigen dat de software ondermaats is en slecht beveiligd.

Enkele problemen:
- Je kunt alleen inloggen op de webinterface als er een plugin is geïnstalleerd. Deze plugin is helaas instabiel. Er is gelukkig wel ondersteuning voor ONVIF, maar niet alle functies worden goed ondersteund.
- De camera heeft ondersteuning voor DDNS, zodat je een xxx.myipcamera.org adres kunt krijgen. Echter loopt zo'n verbinding standaard over http en wordt bij iedere request het gebruikersnaam en wachtwoord meegestuurd. Ideaal voor een Man-in-the-middle attack
- Samen met de ingebouwde API leidt dit tot een enorm veiligheidsrisico. Als ik namelijk op een onbeveiligd wifi-netwerk naar mijn camera zou browsen en iemand luistert de verbinding af, dan kan die persoon met behulp van de API bijvoorbeeld ftp-instellingen en wifi SSID's en wachtwoorden opvragen. Hij hoeft alleen een url op te vragen die er zo uit ziet:
http://adres/cgi-bin/CGIProxy.fcgi?cmd=getWifiConfig&usr=admin&pwd=???
- De API bevat hardcoded typefouten. Een voorbeeld:
/cgi-bin/CGIProxy.fcgi?cmd=setContrast&constrast=50&usr=admin&pwd=

Ik kan de conclusie van jeroen3 dan ook volledig onderschrijven. Maak deze camera's niet direct bereikbaar vanaf het internet, zet absoluut geen UPnP aan en isoleer ze het liefst van de rest van je netwerk, zonder directe internettoegang.

Als je de camera's vanaf het internet wilt kunnen bereiken moet je gebruik maken van een fatsoenlijk beveilligd tussenstation. Ik maak zelf gebruik van een homeserver met Nginx en een letsencrypt certificaat. Nginx leest de stream van de camera's en streamt het beeld over een https-verbinding.
Een valse IP gateway / DNS instellen op het apparaat kan ook (als extra). Beter is het natuurlijk om dit in de router te doen. Ik ben nog aan het zoeken hoe ik de camera's alleen kan laten praten van en naar de NAS. Dus alle overige apparaten kunnen de camera niet bereiken, en de camera kan de lokale apparaten ook niet bereiken. Streams worden altijd bekeken via Surveillance Station. Heeft iemand hier een tip voor hoe ik dit het beste kan bereiken? Camera's ander subnet geven ?
Precies, eerste wat ik doe bij IP-camera's. Die dingen hoeven niet naar buiten en een interne NTP-server is ook zo opgezet.

Heb zelf ook wat Foscams en het verbaast me niets, vrij beroerde software en chinese bedrijven staan zelf nou niet bekend om de software op orde te hebben voor wat betreft stabiliteit en vooral veiligheid.
Niet naar buiten toe? Ik gebruik zowel een laptop als een smartphone app op de Foscam te bekijken en luisteren via het www.
Dat hoeft dus niet. Wel als je die functionaliteit en alle gevaren van dien erbij wilt nemen. Best practice: je hangt geen apparaten, behalve firewalls direct aan internet.

Je kunt beter via de beveiligingscamera software (bv. BlueIris, Synology/Qnap, Ubiquiti Unifi) de camera's benaderen. Is ook beter te beheren en opnames terug te vinden.

Tuurlijk, dat kost wat meer geld, maar dat is met alles wat je goed wilt doen.

[Reactie gewijzigd door rookie no. 1 op 7 juni 2017 15:00]

En als je nou helemaal geen NAS nodig hebt maar dat ding gewoon als babyfoon wilt gebruiken.... Het is een IP camera... de bedoeling is nu juist dat je zo'n ding wel via het internet kan bereiken...
En als je wel een NAS wilt gebruiken, dan wil dat die juist niet op de locatie staat die je beveiligd. De NAS in huis en camera in vakantie huisje, een opname maken van iemand die je NAS steelt en je camera is niet erg zinvol weet je.
Lijkt me een fijn gevoel als de wereld mee kan luisteren naar mijn kind.
Je kan dit enkel oplossen door een deftige router/firewall (bv. Mikrotik/Routerboard) en het aanmaken van VLAN's (en dus apart subnet) waarbij je filtering zet tussen de verschillende VLAN's.
Kijk, een waardevolle reactie. Mag ik zo vrij zijn om je te vragen hoe je dit precies gedaan hebt? Kan me indenken dat meer mensen hier misschien nieuwsgierig naar zijn.
In de TP Link Archer C7 zit Access Control.
Daarin zitten als host de WiFi +LAN verbinding van de camera's en een verouderde Synology met hun MAC address. Omdat de kans dat dit wijzigt het kleinst is.
Vervolgens heb ik een target "any" gemaakt, door TCP+UDP poort bereik 1-65535 te blokkeren.
En een schedule "always", door elke dag en 24h aan te vinken.
Van deze argumenten maak je een "rule" voor elke "host", en je zet access control op "Deny if Matched".

De gebruikersinterface is inderdaad niet erg eenvoudig. Hier kan TP-Link zeker aan werken. Maar het behoeft maar éénmalig configuratie.

[Reactie gewijzigd door jeroen3 op 7 juni 2017 14:17]

Bekijk jij je camera's dan via Surveillance Station remote? Ik vind de app van Synology op mijn telefoon minder fijn werken dan dat ik de Foscam app gebruik. Maar ik wil het zeker veiliger maken en ben het met je eens dat veiligheid belangrijker is dan gebruikers ervaring bij het beheren ervan.
Ik gebruik inderdaad Surveillance Station (DS Cam) via OpenVPN. Je hebt immers alleen iets aan camera's als je ze opneemt en makkelijk terug kan kijken.

Bij Surveillance station moet je echter niet de fout maken door ze als Foscam toe te voegen. Je moet ze toevoegen als "generic onvif" en alle verdere beeldverwerkingen in de nas laten plaatsvinden. Anders gaat de NAS settings naar de camera pushen, en dan duurt het lang voordat je live beeld hebt.

Het is mij een raadsel hoe een app van de kwaliteit "Foscam viewer" door de Apple keuring is gekomen. Die werkt bij jou wel?
Dat ligt helemaal aan het doel waarvoor je hem gebruikt. Ik gebruik bijvoorbeeld een IPCAM als backup van mijn babyfoon. Als ik met mijn babyfoon geen bereik heb dan stel ik een app in die een notificatie geeft als er hard geluid is (lees huilend kind). Vervolgens kijk ik dan wat er aan de hand is.
Ik neem dus niet mijn beelden op.

Ik ben het wel met je eens dat wanneer je de cam gebruikt voor surveillance dat je het dan inderdaad moet opnemen anders heb je er niks aan.

Vanavond toch maar eens kijken of ik de firmware kan upgraden en eventueel mijn VPN weer activeren.
Ik heb een Foscam R2 en de Foscam app bij Apple werkt gewoon prima hoor, ik zal nog eens proberen in de Synology het type aan te passen, thanks voor de tip.
@jeroen3
Al eens DD-WRT firmare geprobeerd? Het schijnt ook voor de C7 beschikbaar te zijn
Ik ga maar eens binnenkort mee aan de slag, op een Linksys E2000 werkte DD WRT veel lekkerder dan stock FW.

[Reactie gewijzigd door Martin900 op 7 juni 2017 14:51]

Nee, ik ben bang dat de wifi prestaties instorten. Zoals bij mijn eerdere routers.
Thanks voor de tips, ik ben nu even aan het experimenteren hiermee en de interface en verwoordingen mogen inderdaad wel wat beter maar gelukkig is de functionaliteit er wel. Je hoeft geeneens een Target en Schedule aan te maken maar alleen een host. Bij het aanmaken van een nieuwe rule kies je alleen de host en dan laat je Target en Schedule op de default values staan namelijk: "Any Target" & "Anytime". Dit lijkt nu goed te werken want mijn telefoon heeft nu totaal geen internet meer!

[Reactie gewijzigd door Erulezz op 7 juni 2017 15:24]

Ik heb Foscams, en ze zijn allemaal op MAC basis geblokkeerd voor routering.
Interessant ware het niet dat een MAC adres eenvoudig te spoofen is en je deze bijvoorbeeld erg makkelijk via sniffing kunt achterhalen. Beveiliging op basis van MAC adres alleen is niet secure. Hetzelfde geldt bijvoorbeeld bij WIFI netwerken waar deze tip ook vaak ten onrechte wordt gegeven. Het is voor een hacker niet meer dan een erg simpel te nemen hindernis.
Inderdaad MAC spoofing is al zo oud. Daar hoef je echt geen NSA voor te zijn om mee te kijken op de cam.
Naar mijn weten moet je dan wel pakketjes kunnen injecteren op het subnet.
Ik blokkeer van wel meer 'slimme apparaten' de toegang naar het internet. Denk aan bijv. een Philips Hue bridge, die wordt door m'n domoticasysteem (binnen m'n LAN) aangestuurd en het is nergens voor nodig dat die verbinding heeft met internet. In m'n router (pfSense) heb ik een alias gemaakt waar ik dat soort apparaten in heb staan en vervolgens een regel om internetverkeer te blokkeren.

Zie ook Internet of Shit voor meer trieste voorbeelden van IoT rotzooi.

Doe voor de gein eens een portscan op je eigen IP-adres om te kijken wat er allemaal open staat (terwijl dat niet de bedoeling zou moeten zijn): http://www.t1shopper.com/tools/port-scan/
Veelgebruikte poorten: 21,22,23,25,80,110,139,443,445,1195,1701,1723,3306,3389,6690,8080,8084

[Reactie gewijzigd door ThinkPad op 7 juni 2017 14:26]

Hoe heb je dat gedaan met je Philips Hue Bridge dat deze geen verbinding maakt met het internet.
Via zijn router gok ik, zo lastig is dat niet met een beetje router. Overigens deel ik niet geheel zijn mening want de Hue kan ook updates binnenhalen. Ik zie die van mij overigens ook vaan contact maken met Philips hetgeen ik ook onnodig vind.

Wat betreft Foscams: heb er twee die ik ook vanaf buitenaf (via andere poorten, dat wel) toegankelijk had gemaakt met een eigen login. Maar n.a.v. dit artikel eens meer nagedacht, en áls ik dan 's zonodig mijn beelden direct wil bekijken kan ik beter eerst een VPN opzetten naar huis en ze dan benaderen. Forwards nu verwijderd en de (mijn) wereld is weer iets veiliger :+
Ik kan dat inderdaad op mijn Asus router ook "Wireless MAC Filter" thx voor de tip ;)
ThinkPad geeft aan dat hij pfSense gebruikt. In pfSense kun je rules aanmaken waarmee dit mogelijk is (rules op IP-adres bijvoorbeeld). pfSense is niet zozeer een router, maar een softwarematige firewall (en een goede wat mij betreft :))
Ik heb achter elke ipcam een klik-aan-klik-uit stekker zitten zodat ik bij binnenkomst alle camera's direct stroomloos kan maken. Ondanks dat de fabrikant alles op orde lijkt te hebben, is dat mijn beste zekerheid dat er niemand mee kijkt als we thuis zijn.
Kan mij in het verleden nog een website herinneren die alle cam's met standaard pass/login tentoonstelde .

Edit: Volgens mij is dat deze http://www.insecam.org/ en hier alle cams in NL http://www.insecam.org/en/bycountry/NL/?page=1

Staan ook een aantal Foscam's tussen. Blijft toch wel schrikbarend 8)7

[Reactie gewijzigd door Waterkoker op 7 juni 2017 13:25]

Deze is ook vrij bekend, werkte 10 jaar geleden, maar vandaag de dag nog net zo goed.
inurl:"viewerframe?mode=motion" (in google slingeren)

Feit is dat IP cams gewoon super slecht beveiligd worden, en de doorsnee gebruiker maalt daar niet om/beseft niet dat echt iedereen toegang heeft.
[...] en de doorsnee gebruiker maalt daar niet om/beseft niet dat echt iedereen toegang heeft.
Ik denk dat het helaas dat laatste is. Ik ben ook van mening dat de fabrikant hiervoor verantwoordelijk is. Dan maar een nag-screen die de gebruiker vraagt wat ie wilt.

[Reactie gewijzigd door Evanescent op 7 juni 2017 14:49]

Zelf heb ik ook een Foscam ip camera, maar die heeft geen standaard inlognaam en pw.
Erg slordig om niet te reageren van Foscam. Ik zal eens kijken wat mijn fw versie is.
Je waant jezelf veilig omdat je de username en password hebt aangepast? Noem dat meer "schijnveiligheid". Doordat de beveiliging van deze camera's te wensen overlaad (waaronder bijvoorbeeld geen SSL ondersteuning) wordt wanneer je van buitenaf op je camera inlogt je username en password ongecodeerd over het internet geplempt. Zo is het alsnog redelijk eenvoudig je camera over te nemen.

De beste optie is m.i. je camera's aan een eigen subnet te hangen en alle toegang tot het internet blokkeren.

[Reactie gewijzigd door R.C. Web Dev. op 7 juni 2017 13:03]

De beste optie is m.i. je camera's aan een eigen subnet te hangen en alle toegang tot het internet blokkeren.
Vanuit security oogpunt wel, maar niet vanuit bruikbaarheid. Ik denk dat iedereen een eigen afweging moet maken van de risico's vs. toepasbaarheid.

Maar het klinkt allemaal wel erg slordig... Gelukkig kan je altijd terugvallen op de regels van ip cam security:
  • First rule of ip cam security: don't buy an ip cam.
  • Second rule: if you buy one, don't turn it on.
[...]

Vanuit security oogpunt wel, maar niet vanuit bruikbaarheid. Ik denk dat iedereen een eigen afweging moet maken van de risico's vs. toepasbaarheid.
Ben ik deels met je eens...
Voorbeeld: De deur van je auto doe je toch ook op slot ondanks dat dit minder praktisch is? Het slot doet geen afbreuk aan de toepasbaarheid van de auto.

Er zijn ook andere mogelijkheden om extern te camera's benaderen. Door bijvoorbeeld een VPN server op te nemen in het subnet van IPcamera's.
Ik denk dat de analogie met het auto slot niet helemaal opgaat. In sommige gevallen zal het primaire doel van de camera juist zijn om hem extern te kunnen benaderen. Dan zou het meer neerkomen op het adviseren uit veiligheidsoverwegingen de motor uit je auto te verwijderen.

Maar desalniettemin: Je tweede advies is heel mooi! De camera in een VPN opnemen, heeft ongeveer hetzelfde effect als de lokale afsluiting. Maar het blijft wel extern bereikbaar.
Vanuit security oogpunt wel, maar niet vanuit bruikbaarheid. Ik denk dat iedereen een eigen afweging moet maken van de risico's vs. toepasbaarheid.
Hea? die camera's heb je juist voor de security en dan ga je daar minder security overheen gooien zodat ieder jan lul precies weet wanneer je niet in de buurt bent? Handig.

Nee er zijn zat manieren om IP-cams veilig te gebruiken waardoor je geen lekken hebt buiten je subnet.

VPN servertje er voor en andere software gebruiken die de controle.
[...]

Vanuit security oogpunt wel, maar niet vanuit bruikbaarheid. Ik denk dat iedereen een eigen afweging moet maken van de risico's vs. toepasbaarheid.
Precies, op dezelfde manier als mensen zelf een afweging moeten maken of ze blijven rijden in een auto met lekke remleidingen...

Al die apparaten met lekke beveiliging op internet zijn natuurlijk hardstikke gevaarlijk, juist niet alleen voor de eigenaar ervan.
Gelukkig kan je altijd terugvallen op de regels van ip cam security (...)
Dat doen diezelfde mensen waarschijnlijk ook niet ;-)
Precies, op dezelfde manier als mensen zelf een afweging moeten maken of ze blijven rijden in een auto met lekke remleidingen...
Analogieën zijn hier lastig te maken. Het is niet mogelijk om in zijn algemeenheid te stellen dat iemand een onverantwoord risico neemt met de camera, zoals jouw analogie suggereert, Het hangt erg af van de toepassing: Je moet je afvragen: Hoe erg is het als de beelden openbaar worden?
Die beelden zijn je eigen probleem.
Dat de apparaten ook misbruikt kunnen worden voor spammen en ddos-aanvallen is wel een serieus probleem.
Blijkbaar staat in sommige gevallen een niet te wijzigen set van gebruikersnaam en wachtwoord ingeprogrammeerd in deze apparaten. Of jij je wachtwoord netjes gewijzigd hebt (goed gedaan overigens!) is dan helaas niet zo van belang...
Omdat jij die niet weet, wil niet zeggen dat die er niet is.

Het kunnen hardcoded u/p data zijn, die nu pas opduiken.
Het leek zo handig, een voorgeprogrammeerd helpdesk account, voor als de gebruiker al zijn gegevens vergeten is, kunnen we ze direct helpen .... zei een manager vast eens ...
Zelf heb ik ook een Foscam ip camera, maar die heeft geen standaard inlognaam en pw.
Als het hardcoded is dan zul je hier ook niets van merken (account is niet zichtbaar) maar zeker wel te misbruiken.
beste veiligheid is je cams afschermen van het internet; dus zeker geen portforwards instellen... gebruik vpn om aan te melden op je thuisnetwerk, en log via die verbinding dan aan op je cams, zo is al je verkeer tussen je thuisnetwerk en internet versleuteld..

en neen, ik bedoel dus niet dat je een commerciele vpn dienst moet gebruiken, maar je moet op je thuisnetwerk een vpn-service draaien waar je van buitenaf op moet aanmelden.. sommige routers bieden dit trouwens aan
Dat VPN zat al in de pijplijn. Dit is een mooie gelegenheid om dat ook daadwerkelijk te doen.
Voor de data en de computers op mijn huisnetwerk heeft het gelukkig weinig gevaar omdat de de IP camera via het WIFI gastennetwerk naar een NAS loopt (op het gasten netwerk). Op de NAS staan enkel de camera beelden.
Dat neemt niet weg dat het nog steeds vervelend is dat de IP camera momenteel waarschijnlijk te misbruiken is.

Heb je tips voor mij over het algemeen instellen van VPN op routers? Ik heb zelf in het verleden al gegoogled, maar omdat het mij niet duidelijk genoeg was ben ik er niet mee verder gegaan. Toen wilde ik het gebruiken om op vakantie via een openbare WIFI hotspot via de VPN op m'n router veilig te kunnen internetten.

Hmm, mijn Foscam kan ook bedraad. :) Antenne er af. Zilverpapiertje om de aansluiting en klaar. 8-) Het is één gaatje boren door het plafond.

[Reactie gewijzigd door PanaLover op 7 juni 2017 19:14]

hoe ga je dat bij een fritzbox dan doen?!

If the FRITZ!Box parental controls block Internet access for a device, then the device also cannot be accessed over a VPN connection.

Bron: https://en.avm.de/service...connection-e-g-FRITZ-VPN/
geem idee. ik heb geen fritsbox. :D
hoe ga je dat bij een fritzbox dan doen?!

If the FRITZ!Box parental controls block Internet access for a device, then the device also cannot be accessed over a VPN connection.

Bron: https://en.avm.de/service...connection-e-g-FRITZ-VPN/

[Reactie gewijzigd door Evdpol op 7 juni 2017 20:16]

Probleem in dit geval is (ook) dat het ftp wachtwoord blanc en hard coded is en dat telnet aanstaat (en niet uit te zetten is).
Dat krijg je als je dergelijke apparaten met het openbare internet verbindt.
Deur wijd open zetten en dan klagen.
Dit stond inderdaad niet in het artikel maar als ik de recommendations lees (End User Mitigations) staat er "To protect the device from being found on the internet and exploited by attackers, we recommend users only install the cameras within a dedicated network or VLAN." en moet je dus op het netwerk van de camera zitten om de exploits toe te passen.

Als er ook een exploit zou zijn om via de wifi van de camera binnen te komen was het exit geweest ... dan zitten ze zo op de rest van je devices te klooien.

Met al dit sort spul, of uberhaupt je thuis network, gebruik een vpn om eventueel naar huis te verbinden.... vanalles maar met internet verbinden is overduidelijk niet verstandig!

Thuisgebruikers moeten zich realiseren dat ze het beste kunnen (moeten) investeren in een goede router met active ondersteuning: geen updates meer = nieuwe kopen... je first line of defense is je internet verbinding en wifi. Zorg dat dat op orde is!

(uiteraard is een virus/malware scanner backups en gedrag ook heel belangrijk... maar routers worden vaak genegeerd in home security)
Het probleem is dat de meeste camera's zich zelf met internet verbinden. Jij hangt de camera aan je eigen netwerk. Via UPnP met de router (wat vaak default aan staat) maakt de camera 1 of meerdere poorten naar het internet.
Da's namelijk makkelijk als je buitenshuis ook naar je beeld wilt kijken. Maar zorgt ook voor grote problemen.
De meeste gebruikers weten niet eens dat ze van alles in kunnen stellen. Die kopen een camera (want baby cam, of toch een beetje bewaking) en verbinden het met hun netwerk. Mooie apps erbij om alles in de gaten te kunnen houden. Maar tegelijk staat alles open, dat weten de meeste mensen niet.

[Reactie gewijzigd door gjmi op 7 juni 2017 13:52]

Dat kun je uitzetten op de router, door het mac adres van de camera te blokkeren van internet toegang.
Helaas hebben routers dat als 'opt-in' en moet je dat als gebruiker zelf doen wat de meesten niet weten. Standaard zou het moeten zijn: elk nieuw apparaat geen internettoegang tenzij de gebruiker dat wil.
De startpagina van de router zou dan, als je er weer op inlogt, een bericht moeten krijgen iets van:
New device connected with your router. Di you want to allow connecting it wil internet ? This may cause security problems.
Of zoiets.
En daar ligt dus 1 de taak van de leveranciers (iot's en routers) en 2 een stuk awareness\education van de gebruikers...
had hij 'nog nooit een apparaat ontdekt dat zo slecht ontworpen is'.
Lekker objectief.

Dus onderzoeker loopt zo kort mee dat hij niet weet dat vroeger alles een gaten kaas was.

Misschien kijkt hij nooit op bugtraq.
Lekker objectief.

Dus onderzoeker loopt zo kort mee dat hij niet weet dat vroeger alles een gaten kaas was.

Misschien kijkt hij nooit op bugtraq.
Als ik kijk naar de lijst met gaten ben ik het er toch wel mee eens dat deze apparaten nóg erger zijn dan de meeste anderen. Ik heb al een hoop troep gezien, maar dit hoort echt wel bij de top. Alsof ze de "DO" en "DO NOT" lijstjes hebben omgedraaid. Iedere denkbare fout zit er in. Ook volgens de standaarden van de jaren 90 kan dit niet door de beugel.

Het is ook wel een beetje context gevoelig. Mijn oude Commodore 64 is ook niet veilig maar die doet ook niet alsof het wel veilig is. Iedereen wist dat veiligheid gewoon niet aan de orde was en er zat niet eens een netwerkaansluiting op. Deze webcam is gemaakt om aan internet te hangen in een tijd waarin veiligheid veel aandacht krijgt. Ze leveren zelfs een (nutteloze) firewall mee en wekken daarmee de indruk dat het een veilig* product is.


* Mijn persoonlijke ervaring is overigens omgekeerd. Producten die opscheppen over een ingebouwde firewall hebben die firewall meestal uit bittere noodzaak omdat het onderliggend product brak is. Een firewall is een secundaire beveiliging en zou nooit als primaire beveiliging moeten worden gebruikt; als je de firewall helemaal weg laat zou het nog steeds veilig moeten zijn.
Met kennis van nu is alles wat ouder is slechter.

Een iot device zoals IP camera horen niet rechtstreeks aan internet te hangen.

En standaard staan je poorten van je adsl/kabel modem niet open voor je IP camera. Dus alle remote vulnerabilities dien je met korrel zout te nemen aangezien gebruiker zelf inspanning moet verrichten om hem remote vulnerable te maken.....

Ik maak me veel meer zorgen over cloud IP cam oplossingen zoals xmeye en eye4 etc...

Meeste China IP cams komen nu standaard IP cam push account waarbij gebruiker niets in zijn firewall hoeft open te zetten.

Als ze daarin iets vinden waarmee je naar cam's iets kunt sturen heb je gelijk toegang tot miljoenen camera's.

Waarom je beperken tot 1 merk/type waarbij je hele ranges moet afscannen voordat je er eentje tegen komt terwijl je via cam-cloud miljoenen tegerlijkertijd hebt zonder dat eigenaren iets merken. (Geen log entry in firewalls...)
Ai. Heb een aantal Foscams bij mijn ouders hangen. Updaten is niet mogelijk? Of zijn er al updates?
Een reactie van Foscam mis ik namelijk in het artikel.
-edit-
Dank allen voor jullie respons, ik heb er denk ik overheen gelezen! Excuses :)

[Reactie gewijzigd door Kecin op 7 juni 2017 13:14]

De onderzochte firmwareversies zijn 1.11.1.8 en 1.5.2.11. Hoewel het bedrijf de lekken heeft gemeld, is er ook na maanden geen antwoord gekomen van de fabrikant.
Dat kan aardig kloppen. :)
Dat kan kloppen, dat staat er ook:
Hoewel het bedrijf de lekken heeft gemeld, is er ook na maanden geen antwoord gekomen van de fabrikant.
Ai. Heb een aantal Foscams bij mijn ouders hangen. Updaten is niet mogelijk? Of zijn er al updates?
Een reactie van Foscam mis ik namelijk in het artikel.
Hoewel het bedrijf de lekken heeft gemeld, is er ook na maanden geen antwoord gekomen van de fabrikant.

Niet alleen jij zo te lezen, maar een reactie is wel gewenst. Heb er ook 2 hangen. Overigens zijn ze wel te updaten.

[Reactie gewijzigd door Mavel 128 op 7 juni 2017 12:54]

Het volgende staat in het document
These vulnerabilities and recommendations have been disclosed to the vendor and the vendor has been given several months to respond. To date no fixes have been issued by the vendor.
Because there appear to be no fixes available, we have refrained from publishing exploit code for practical proof-of-concept attacks
Dat laatste was ook het probleem van de onderzoeker, Foscam reageert blijkbaar niet, staat in de tekst.
Was te verwachten want de software is ook echt hopelijk verouderd en erg slecht. Jammer want de hardware is over het algemeen gewoon goed. Paar maanden terug was er ook al een bericht hierover (en ook van andere merken) en sindsdien heb ik internet toegang geblokkeerd voor elke camera.

Standaard als je deze camera's aan het internet hangt maken ze ook verbinding met de meest vreemde IPs.
Standaard als je deze camera's aan het internet hangt maken ze ook verbinding met de meest vreemde IPs.
Het feit dat dit embedded platformen met volledige PC software betreft die niet vaak en niet automatisch van updates worden voorzien is des te meer reden om ze nooit direct op Internet aan te sluiten.
Mijn ervaring met Foscam is hetzelfde, de hardwrare is goed, de software is door een dronken stagiair in elkaar geprutst en support bestaat er bijna niet.

Heb wel eens gemeld dat een Foscam een heel netwerk verziekte omdat hij elke seconde, 24 uur per dag, zeven per week een nieuw DHCP request deed. Na lang zoeken kreeg ik van support een antwoord dat ik hem maar een vast IP moest geven. En dat was maar één van de problemen...
Totaal OffT: maar een DHCP request van elke second zou geen netwerk moeten verzieken. Tenzij je een rotte DHCP server hebt die dan welk elke keer een nieuwe IP weggeeft...
Bij mijn moeder hangt een foscam, dus misschien die config maar eens goed controleren. Heb zelf enkel Dahua camera's hangen en die motiveren je wel sterk om ze in te stellen, aangezien ze standaard niet veel doen.
Ze hebben een vast IP adres, zodat je je PC speciaal moet instellen om eraan te kunnen en één voor één de camera's in het netwerk moet brengen om ze te configureren.
Voor de zekerheid zijn ze bovendien niet extern toegankelijk, maar enkel via het eigen netwerk. De Synology zorgt met zijn Surveillance Station voor de externe toegang, ofwel gewoon even inloggen op de thuis-VPN.
Ik heb zelf een Foscam ip camera liggen nog, grappige is dan wel dat ik er met geen mogelijkheid bij kan komen zonder hun gare app, maar dat er blijkbaar wel andere dingen mee gedaan kunnen worden..
Troep..
Welke camera is dat precies? Bij veel camera's die ik bekeken heb zit er toegang bij tot hun (slechte) web interface. Heb je ook gescand met hun tool naar je camera?
Onzin, je kunt gewoon via de webinterface de camera's beheren/instellen. Die app heb je niet nodig.
De laatste app voor Android werkt redelijk goed van Foscam, en anders is er nog de OWLR Foscam app. Werkt ook goed. Ik heb overigens firmware 1.11.1.8_2.71.1.32 op de Foscam R2 v1

[Reactie gewijzigd door RAAF12 op 7 juni 2017 15:24]

Op Windows 10 kan geen enkele browser met standaardinstellingen nog met de plugin overweg. Op Windows 7 werkt Internet Explorer nog.

[Reactie gewijzigd door jeroen3 op 7 juni 2017 15:33]

Werkt hier prima in Chrome op Win 10 probeer eens: http://km7341.myfoscam.org:49555/ of
https://www.myfoscam.com/user/login

Wel eerst de foscam soft van de site downen en installen.

IE 64bit wordt niet ondersteund, Chrome 64 in ieder geval wel.

[Reactie gewijzigd door RAAF12 op 7 juni 2017 17:01]

Dat is een cloud service, je kunt daarmee de camera niet configureren. Alleen live kijken, en tegen betaling (en als je camera internet heeft) in de cloud opnemen.
Jawel er een tabblad Settings, daarmee is de cam geheel te configureren. Aan betaalde cloudservices doe ik niet.
Het settings knopje werkt niet. Je zult wel een nieuwere foscam cloud camera hebben dan.
Denk het ook dit krijg ik te zien in de browser, het complete beeld wat de cam ziet en deze setting in het andere tabblad ik heb de R2 v1

https://s14.postimg.org/4c9trwtn5/r2foscam.png
Vaak zetten camera's ook default een kanaal naar buiten open (via upnp naar de router) zodat je makkelijk van buiten naar je eigen camera kunt kijken. (Daar kwam ik achter toen ik keek wat voor poorten de router open had staan)

Als je echt zoiets wilt, verdiep je in de camera opties en schakel dit soort dingen uit. Gebruik een PC of NAS met software om de camera's op aan te sluiten (via je eigen netwerk) en laat de software eventueel streams naar buiten brengen. Dan hangen je camera's niet direct aan internet. En bepaal je zelf via de software wat naar buiten mag, met je eigen wachtwoord en je eigen poortnummer.

Helaas voor de gemiddelde consument te ingewikkeld. En daarom zouden fabrikanten ook hun verantwoording moeten nemen en beter over dit soort dingen moeten nadenken.
daarom moet je upnp ook niet aanzetten ;)
Het probleem is dat dat bij de meeste routers en camera's default aan staat. De meeste mensen weten niet eens wat UPnP is, laat staan dat ze het aan zetten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*