Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WikiLeaks publiceert CIA-methodes om routers binnen te dringen

Door , 133 reacties

WikiLeaks heeft een nieuwe publicatie in zijn Vault 7-reeks online gezet. Deze draait om het Cherry Blossom-project van de CIA, dat zich richt op het uitbuiten van kwetsbaarheden in routers en toegangspunten, om bijvoorbeeld man-in-the-middleaanvallen uit te kunnen voeren.

De CIA omschrijft Cherry Blossom in een van de documenten die WikiLeaks publiceert, als een manier om internetactiviteit te monitoren en software-exploits uit te voeren bij doelwitten. "CB is vooral gericht op het binnendringen van draadloze netwerkapparaten, zoals routers en accesspoints om deze doelen te bereiken."

De documenten beschrijven hoe netwerkapparaten van aangepaste firmware voorzien kunnen worden, al dan niet draadloos op afstand, om er zogenoemde FlyTraps van te maken. Deze FlyTraps leggen een verbinding met CherryTree, een command&control-server. Daarbij wordt informatie over de status van het netwerkapparaat overgebracht, die CherryTree in een database verzamelt. De server kan ook opdrachten versturen naar het netwerkapparaat en via browser-interface CherryWeb kan een CIA-medewerker het beheer uitvoeren.

Bij man-in-the-middleaanvallen kan de CIA via een FlyTrap netwerkverkeer scannen op mailadressen, chatnamen, mac-adressen en voipnummers. Ook kan al het netwerkverkeer afgevangen worden en kunnen gebruikers van het netwerk met browsers doorgesluisd worden naar exploits. Daarnaast kan een FlyTrap vpn-tunnels opzetten naar vpn-servers voor directe toegang tot clientapparaten op het netwerk.

Onderdeel van de publicatie is een overzicht van routers en toegangspunten met daarbij vermeld of er een mogelijkheid is om draadloos de firmware bij te werken en of een exploit het beheerderswachtwoord kan achterhalen. Onder andere bij de DLink DIR-130 met firmware v1.12 en de Linksys WRT300N met versie 2.00.08 is dat het geval, constateerde HackerFantastic.

Reacties (133)

Wijzig sortering
Waarom blijft wikileaks gedoseerd informatie vrijgeven? Of is dit nieuwe info die op een of andere manier verkregen is en via wikileaks gepubliceerd wordt ?
Vault7 is geen Snowden leak, Vault7 is recenter. Het is al jaren Wikileaks' methode om gedoseerd informatie vrij te geven om aldus maximale media impact te veroorzaken. Moest men alles in één vrijgeven, dan zou het zelfs voor IT specialisten te veel zijn om in één keer te vatten.

Voorts is ondertussen denk ik het betere antwoord: omdat die diensten zoals de CIA en NSA nu éénmaal zoveel mottige dingen doen, dat het gewoonweg niet in één keer te onthullen is. Vrijwel alle paranoia die voorstelbaar is, blijkt waarheid te zijn gebleken.
Voor publicatie worden wel alle documenten onderzocht op bepaalde informatie en wordt de informatie ook gedeeld met de betreffende fabrikanten en ontwikkelaars.
https://wikileaks.org/ciav7p1/#FAQ
Wordt de documentatie gedeeld met fabrikanten en ontwikkelaars door wikileaks, of wordt ze met hen gedeeld door de (geheime) diensten? Wel; meestal blijkt het gedeeld te worden door wikileaks, en niet eerder door de (geheime) diensten.

Dit vind ik zorgwekkend. Dat wil zeggen dat de (geheime) diensten niet meer aan onze kant staan.
De documentatie wordt gedeeld met de fabrikanten door Wikileaks enkele weken voor hun publicatie alhoewel het meestal over oude apparaten en software gaat die niet meer worden ondersteund.

De geheime diensten delen bepaalde dingen soms met grote fabrikanten zoals Microsoft en Cisco alhoewel het blijkbaar enkel gedaan wordt als ze de problemen laten bestaan; een patch voor WannaCry bijvoorbeeld was al lang beschikbaar, de bestanden waren cryptografisch getekend door Microsoft reeds 6 maanden voordat het in Windows Update terecht kwam.

Microsoft noch de overheden staan aan jouw kant.
een patch voor WannaCry bijvoorbeeld was al lang beschikbaar, de bestanden waren cryptografisch getekend door Microsoft reeds 6 maanden voordat het in Windows Update terecht kwam.
Heel interessant (en shocking eerlijk gezegd) maar ik kan er nergens iets over vinden. Heb je een bron waar ik meer kan lezen?
Ik heb daar ook niet echt wat over kunnen vinden. Het enige wat ik kon vinden, is dat ze de patch voor Windows XP (die officieel niet meer ondersteund wordt) niet gratis wilden weggeven maar voor veel centjes aan bedrijven wilden verkopen. Pas toen het uit de hand liep, maakten ze de patch gratis.
Maar het moedwillig maanden achterhouden van de patch, lijkt mij een verzinsel.
Ik heb daar ook niet echt wat over kunnen vinden. Het enige wat ik kon vinden, is dat ze de patch voor Windows XP (die officieel niet meer ondersteund wordt) niet gratis wilden weggeven maar voor veel centjes aan bedrijven wilden verkopen. Pas toen het uit de hand liep, maakten ze de patch gratis.
Maar het moedwillig maanden achterhouden van de patch, lijkt mij een verzinsel.
Zie hieronder :)
However, our analysis of the metadata within these patches shows these files were built and digitally signed by Microsoft on February 11, 13 and 17, the same week it had prepared updates for its supported versions of Windows. In other words, Microsoft had fixes ready to go for its legacy systems in mid-February but only released them to the public last Friday after the world was engulfed in WannaCrypt.

Here's the dates in the patches:

Windows 8 RT (64-bit x86): Feb 13, 2017
Windows 8 RT (32-bit x86): Feb 13, 2017
Windows Server 2003 (64-bit x86): Feb 11, 2017
Windows Server 2003 (32-bit x86): Feb 11, 2017
Windows XP: Feb 11, 2017
Windows XP Embedded: Feb 17, 2017
Er zijn verschillende nieuws sites die hier verslag van hebben gedaan zoals the register, forbes en nog een hand vol, ook komt het nagenoeg in alle white papers naar voren over WannaCry Analyses en juist voor dat soort zaken is Wikileaks

Of het moedwillig is kan echter niemand bewijzen tot hiervan bewijs is. Vraagtekens roept het in ieder geval wel op en het geeft veel ruimte voor speculatie. Patches worden namelijk pas gesigned (niet built) als ze ready to deploy zijn.

[Reactie gewijzigd door ShadowBumble op 16 juni 2017 11:23]

Ah ok ik dacht dat het ging om alle patches al 6 maanden klaar hebben en niet vrijgeven om de volgende reden in zijn tekst: de geheime diensten delen bepaalde dingen soms met grote fabrikanten zoals Microsoft en Cisco alhoewel het blijkbaar enkel gedaan wordt als ze de problemen laten bestaan. Wat dus onzin is. Het gaat 'alleen' om het achterhouden voor officieel niet meer ondersteunde windows versies om geld te verdienen aan het wel ondersteunen van deze systemen. Slechte zaak overigens dat ze het niet gratis verstrekten. Maar vind ook dat ze deze oude systemen niet meer hoeven te ondersteunen.

[Reactie gewijzigd door RebelwaClue op 16 juni 2017 11:33]

Die oude systemen worden op oude CNc machines gedraaid
1 zeker voldoende drivers
2 goedkopere hardware
3 oude machines hebben niet genoeg resources voor w10
4 een houtbewerker is geen ICT'er
Oude machines kunnen vaak prima Windows 10S draaien. En ik snap dat ze nog gebruikt worden, maar support houdt een keer op, zeker op een OS uit 2001.
Thanks ShadowBumble. Door wat van die gequote tekst te copy pasten in Google kon ik uiteindelijk de bron achterhalen: https://www.theregister.c...ft_stockpiling_flaws_too/

Het lijkt er op dat het zo gegaan is: MS heeft de patch gebouwd (ook voor XP) en gereleased, maar alleen aan enterprise customers met een XP support contract. Toen de exploit zo grof misbruikt bleek te worden hebben ze daarna besloten hem toch maar gratis te verspreiden. Het is dus een 'oude' patch, die al in februari verspreid was, die ze opnieuw hebben uitgegeven.

Ergens vind ik het maar nasty dat ze handel drijven met fixes voor hun eigen fouten. Een pervers beloningssysteem wat mij betreft.

[Reactie gewijzigd door OddesE op 16 juni 2017 12:08]

Je vergeet dat Windows XP al bestaat vanaf oktober 2001 en dat Microsoft het vanaf 8 april 2014 niet meer ondersteunt.
Daarvoor hadden ze de ondersteuning al een aantal keren verlengd.

Ik ben geen MS-lover, maar op een gegeven moment houdt het op.
De geheime dienst van de VS staat maar 1 kant, dat is die van de VS. Overigens zijn geheime diensten van andere (super)machten niet anders.
De geheime dienst van de VS staat maar 1 kant, dat is die van de geheime dienst van de VS. Overigens zijn geheime diensten van andere (super)machten niet anders.
Zo ik heb het even voor je verbeterd. Uiteindelijk dienen ze in de eerste plaats zichzelf en pas in de tweede plaats de federale overheid. De burgers dienen ze in principe niet, dat is de taak van de fedrale overheid zelf welk onderscheid daar speelt waar de belangen van de burgers in tegenspraak zijn met die van de federale overheid.
Alsof ze ooit aan onze kanthebben gestaan. Het hele idee vangeheime diensten komt van de Jezuieten , die ook vrijwel al onze universiteiten en hogescholen hebben opgericht. En wat moest je tot in de jaren 70 zijn om daar lid van te kunnen worden.... ? Tot 13 generaties terug ? Precies...."Van Adel"....
Ze hebben nooit voor ons , en altijd stiekum samengewerkt. Doen ze nu nog...
Okay vault7 is een gedosseerde afgifte van documenten tussen 2013 en 2016 lees ik. Maar waar komen die docs vandaan, hoe komt wikileaks daaraan. Snowden is in 2013vertrokken. Beetje naief van mij maar waar komt dit vandaan?
Iemand anders die gelekt heeft en vragen had bij de policies van de CIA.

WikiLeaks zelf heeft vrij summiere informatie vrijgegeven, zie https://wikileaks.org/ciav7p1/

Wiki pagina: "The first batch of documents named "Year Zero" was published by WikiLeaks on 7 March 2017, consisting of 7,818 web pages with 943 attachments, purportedly from the Center for Cyber Intelligence, which already contains more pages than former NSA contractor and leaker, Edward Snowden's NSA release. WikiLeaks did not name the source, but said that the files had "circulated among former U.S. government hackers and contractors in an unauthorized manner, one of whom has provided WikiLeaks with portions of the archive." According to WikiLeaks, the source "wishes to initiate a public debate about the security, creation, use, proliferation and democratic control of cyberweapons" since these tools raise questions that "urgently need to be debated in public, including whether the C.I.A.'s hacking capabilities exceed its mandated powers and the problem of public oversight of the agency."

[Reactie gewijzigd door MicBenSte op 15 juni 2017 23:11]

Dank, verhelderend
Frappant is dat het in de massamedia nauwelijks aandacht krijgt. Hoe anders was dat met eerdere publicaties van wikileaks, zoals de Cables.

Het is natuurlijk ook lastig dat je de ene dag aan je lezers moet uitleggen dat de VS volk en vaderland beschermt tegen de vijand (lees rusland) en de andere dag dat ze via je modem of televisie allerlei prive informatie kunnen verzamelen.
Denk dat een deel van het probleem hem er in zit dat veel mensen, wat in mijn ogen een fout is, landen beschrijven als ware het personen. Er worden dan allerlei gedragingen en gevoelens toegeschreven aan landen, terwijl de VS natuurlijk helemaal niemand beschermd. Het zijn mensen die in allerlei samenwerkingsverbanden binnen een subset van de constructie 'de VS' aan bijvoorbeeld cyber security werken. Een deel van die mensen kan daar echter keuzes in hebben gemaakt die uiteindelijk het doel voorbij streven, of een middel hebben gecreëerd dat kwalijker is dan het doel. Dit is dan ook waar de discussie over zou moeten gaan, en dat is geen teken van zwakte of hypocrisie, maar juist een teken dat je samenleving divers en robuust is.

Helaas is deze basale observatie bij veel mensen onbekend, en worden dit soort discussies dan ook niet gevoerd en wordt er inderdaad veelal gesteld dat 'de VS' dit zegt maar dat 'de VS' dat doet, en dat dan hypocriet is. Uiteraard is het in een samenleving van 330 miljoen mensen niet heel moeilijk om 2 mensen te vinden die in tegenovergestelde richtingen bewegen.
Als er wordt gesproken over "de VS' (in de media), dan wordt daar natuurlijk altijd het nationaal verantwoordelijk en leidinggevend bestuur mee bedoeld, of dat nu om staats hacken of klimaat akkoorden gaat..
Het zelfde is het als er bijv. wordt geschreven "Intel wil AMD overnemen" dan wordt daar mee bedoelt dat het verantwoordelijk bestuur (al dan niet onder druk van aandeelhouders) AMD willen overnemen, en niet de schoonmakers in dienst van.

Dat begrijpen de meesten echt wel.

Daarnaast beschermt "de VS" (zie uitleg hierboven) wel degelijk iets, En dat zijn haar zogenaamde 'vital American interests' in de meest brede zin, dus zowel binnen als buiten de VS.
Zou ook kunnen zijn dat het de meeste mensen totaal niet boeit wat de geheime diensten en dat het daarom niet massaal in de media verschijnt.
Boeit mij trouwens ook niet.
Nee inderdaad. Velen maken zich bijv. veel drukker erom dat de roaming kosten verdwijnen binnen de EU dan dat al hun prive data wordt verzameld, geanalyseerd, eventueel gekoppeld aan andere data en eventueel wordt doorgegeven aan veiligheidsdiensten.


.

[Reactie gewijzigd door litebyte op 16 juni 2017 14:46]

Ik vraag me af hoe groot het in de media was uitgemeten als dit betrekking had op Rusland of China.
Maar goed dat de media hier niet onafhankelijk is (net zoals in Rusland of China) is ook geen geheim meer.
En u heeft mijn bericht niet goed gelezen: Hoe anders was dat met eerdere publicaties
Vault7 is geen Snowden leak, Vault7 is recenter. Het is al jaren Wikileaks' methode om gedoseerd informatie vrij te geven om aldus maximale media impact te veroorzaken. Moest men alles in één vrijgeven, dan zou het zelfs voor IT specialisten te veel zijn om in één keer te vatten.

Voorts is ondertussen denk ik het betere antwoord: omdat die diensten zoals de CIA en NSA nu éénmaal zoveel mottige dingen doen, dat het gewoonweg niet in één keer te onthullen is. Vrijwel alle paranoia die voorstelbaar is, blijkt waarheid te zijn gebleken.
Bovenste 2 blauw gekleurde types...
hadden/ hebben het bekende REAVER lek,,.
wat dus duidelijk geen lek was maar een BACKDOOR!
Omdat als je alles in 1 keer vrijgeeft 'de massa' het er meer 1 keer over gaat hebben. 1 dag in de krant en wat gesprekken in late night shows en dat was het dan onderwerp over en vergeten.

Door elke keer maar een deel van alle info vrij te geven blijft het verhaal terugkomen in het nieuws en is de lek dus effectiever.
Dat snap ik maar het wordt dan steeds meer een publicitijds spelletje ipv een welgemeende aanklacht. Helaas zit de wereld zo in elkaar.
Zoals altijd in IT een afweging tussen gemak en veiligheid. Apparaten die je voor het gemak als consument vanaf overal via het internet wil kunnen bereiken (gemak) zijn vroeg of laat te hacken.
Je Router, NAS, printer, IP cam, etc.
Daarbij moet je je de vraag stellen of je gemak (wel echt nodig?) boven veiligheid (en privacy) stelt.
Als je dit verhaal leest is het zaak je Router in elk geval niet bereikbaar te hebben vanaf het internet (WAN kant).
Als je dit verhaal leest is het zaak je Router in elk geval niet bereikbaar te hebben vanaf het internet (WAN kant).
Een router is altijd bereikbaar vanaf het internet. Dat is de functie van zo'n ding: het internet aan je lokale netwerk verbinden.

Waarschijnlijk bedoel je de admin pagina's of telnet, maar die staan standaard bij geen enkele router open voor toegang vanaf de WAN (alleen vanaf LAN). Maar dat wil nog niet zeggen dat er geen andere manieren zijn om binnen te dringen. Bv bugs in de code die de router vreemde dingen laten doen of crashen bij bepaald soort verkeer. Of de software om de tuin leiden via spoofed ip packets. Etc etc. Ik heb die documenten van wikileaks niet gelezen (ook geen tijd voor), maar ik ga er van uit dat de NSA wel betere trucs heeft dan het inloggen op de admin pagina's met de standaard admin/admin login. Anders hadden ze ze niet hoeven publiceren.
Hoe een router werkt hoef je op Tweakers niet uit te leggen denk ik ;)
Als ik en de tabel boven kijk is bijv. Tomato kwetsbaar voor pw hack. Dan heb je
de admin interface waarschijnlijk toch open staan.
Kwetsbaarheden zijn er helaas altijd, pas nog in de Netgear firmware.
Nu draai ik prive altijd met vrij recente dd-wrt. En dan nog achter het modem van de ISP.
Moeten ze eerst daar doorheen komen.
Je overschat de Tweaker. Ik denk dat het gros het verschil niet weet tussen een switch en een router.
Goed punt. Ik was even op het verkeerde been gezet door de naam van de site. Ik zal me aanpassen in het vervolg. Bedankt.
Hoe een router werkt hoef je op Tweakers niet uit te leggen denk ik
Blijkbaar wel als jij denkt dat een router veel zin heeft als je hem niet aan het internet hangt?
Waarschijnlijk bedoel je de admin pagina's of telnet,
Geef anders gewoon aan wat je bedoelt, want zoals je ziet moeten we er nu naar raden.
Wel jammer dat Wikileaks zo selectief alleen maar dingen publiceert over het Westen, voor zover ik weet nooit over China en natuurlijk al helemááál niet over Rusland.
Misschien gewoon veel minder leaks uit die landen? Die landen hebben dan ook (vooral China) een stuk meer controle over hun internet infrastructuur, de Chinese overheid blokkeert gewoon elke site die hen niet aan staat. En als je denkt dat de CIA/NSA niet vies zijn van intimidatie/vervolging hoe denk je dan dat het er aan toegaat in Rusland/China? In Rusland is al bevestigd dat ze u gewoon opsluiten voor facebook posts, in China verdwijnt ge gewoon permanent denk ik.
Je kan ook als theorie aanhangen: het westen is door zijn open structuur gevoelig voor het vrijkomen van dit soort informatie, en daarom wordt deze informatie door vijanden buitgemaakt en verspreid.
Teriwjl het in China of Rusland een stuk moeilijker is om de regering ten val te brengen met dit soort informatie, want die krijgt de burger toch niet te zien.
er zijn lekken uit china , en rusland maar die zijn vaakm in de eigen taal.
westerse landen VS zijn vaak engels! dus kan iedereen ze lezen!
Ik zei dit nog al eens geloof ik. Maar dit is of hoort bij de taken van een veiligheidsdienst. Echter. De fouten zouden wel moeten gedeeld worden met de fabrikanten. Zodat zij de software kunnen herstellen in een software update. Of gedeeld met de open source community (bv. indien het OpenWRT is). Zodat zij de bug kunnen herstellen. Veel open source projecten hebben hiervoor speciale voorzieningen in hun bug rapporteringssysteem. Je kan bugs en opmerkingen gecensureerd indienen, waardoor enkel bepaalde vertrouwde mensen van het project de bug in eerste instantie kunnen zien.

Wanneer iemand moet afgeluisterd worden dan kan men gerust, nadat speciale onderzoeksmethoden toegestaan werden DOOR EEN RECHTER (dus niet door uzelf, niet door een ambtenaar, niet door om het even wie behalve een rechter = hoe het hoort in een democratische samenleving, alle andere vormen horen er niet), in het huis de router of zijn software vervangen of aanpassen. Het is niet nodig om de onschuldige burgers ook te laten verder werken met onveilige systemen.

De afgelopen weken, met WannaCry en zo, toonden nu toch kristal duidelijk en ijzerhard aan dat overheidsbackdoors ten koste gaat van de veiligheid van de samenleving.

ps. Als software ontwikkelaar bij een fabrikant van routers gewerkt te hebben, in België (dus normaal weet je dan al welke), kan ik iedereen verzekeren dat ook router-producenten uit de lage landen security bugs in hun toestellen landen op het einde van hun sprints. Enkelen heb ik ook in het bugsysteem gerapporteerd. Oh, en wie ooit eens Qualcomm kernel drivers zoals die van Gobi heeft gezien, zal nooit meer durven gaan slapen als hij of zij weet dat zijn of haar eigen smartphone dat stukje mottige code ook waarschijnlijk draait (in de kernel). Het verbaast me dat ik er nog niets op thedailywtf.com van heb tegengekomen.

ps. Over het algemeen is de kwaliteit van code die op routers terecht komt, extreem laag.

[Reactie gewijzigd door freaxje op 15 juni 2017 21:55]

Wanneer iemand moet afgeluisterd worden dan kan men gerust, nadat speciale onderzoeksmethoden toegestaan werden DOOR EEN RECHTER
Ik zie het al voor me, de CIA gaat bij een Russische rechter een verzoek doen om af te mogen luisteren |:(

[Reactie gewijzigd door Zer0 op 15 juni 2017 22:02]

Die goedkope bugt routertjes waar het hier over gaat (LinkSys, D-Link, D-Link for god's sake) zullen in principe niet gebruikt worden door Russische targets die er toe doen voor de CIA.

Normaal gesproken hebben die voor cheap router hardware er iets als OpenWRT over gesmeten. Minimaal. Als ze niet gewoon zelf iets ontwikkeld hebben.
Die goedkope routertjes worden overal gebruikt. Niet 'in het kremlin' maar wel op de hotelkamer of thuis. Stel dat je op een router in een diplomatenhotel een lijst kan maken van alle MAC-adressen. En dat kan combineren met lijsten van routers van hun woningen. Misschien hoeven ze niet eens verbinding te maken; in de buurt komen kan genoeg zijn.

Overigens is dit wel het soort werk dat een geheime dienst hoort te doen. En dan denk ik dat inbreken op routers niet massaal zal gebeuren - dan is de kans te groot dat de exploit uitlet. Dit is dus geen sleepnetmethode.
Gewoon de router in bridge mode zetten en er een dichtgetimmerde linux-bak achter hangen. Een beetje distro wordt iedere week geupdate.
Of je koopt een Omnia Turris router (https://omnia.turris.cz/en/) voor ¤ 329,00.
Welja. Maar aangezien niet alle consumentenrouters dat hebben zet je er dus OpenWRT op, of zo. Of zet je er je eigen ding op plus een scriptje dat brctl gebruikt.

Als we nu echt naar state-level security gaan, dan zou ik naar de *BSDs toch wel beginnen kijken i.p.v. Linux. Wij Linux neurdjes maken immers te veel van die gekke foutjes.
Waarom zou een BSD beter zijn dan Linux? Linux zit veel meer ontwikkeling in en heeft een veel grotere community die eventuele issues die je tegenkomt allang al opgelost hebben (Google lost al je problemen op). Plus al het geld van commerciële bedrijven zoals Canonical en RedHat dat in de verdere ontwikkeling wordt gestoken. BSD's hebben gewoon de support niet die Linux wel heeft.

Wat wel een goede optie is, is iets als pfsense. Ook BSD-based, maar compleet ingericht om als router te functioneren. Die draaien we bij ons op kantoor op een stukje dedicated hardware. Voor thuis heb ik echter geen zin om een dedicated routerbox neer te zetten (stroom, onderhoud, het leven is al duur en druk genoeg). De Linux-bak doet nog veel meer dingen dan alleen routen ;)
Het is natuurlijk afhankelijk van welke distro je gebruikt, maar openBSD heeft een special focus op security. Als gevolg daarvan lopen ze ook jaren achter met versies van bepaalde packages. De meeste Linux distro's proberen sneller te lopen en releasen. Verschil in filosofie dus.
Leuk, maar openwrt loopt ook niet over van de updates
Waarom zou je dan nog een router tussen je internet verbinding zetten?
Omdat je anders aan een adsl- of docsis-modem moet zien te komen (pci? usb?) voor aan of in je computer. Ik heb het ook overwogen voor bij mij thuis maar kon geen geschikte hardware vinden. Was makkelijker en goedkoper om er gewoon zo'n kastje in bridge mode tussen te zetten die het telefoonsignaal naar ethernet omzet ;)
Anders kan je maar met 1 apparaat op internet.
Goedkope routertjes... het zijn wel A-merken. Het is consumentenspul, maar ik denk niet dat er veel mensen iets beters hebben (wel nieuwer, niet significant veiliger).

Wat moet je dan als gewone burger?

Trouwens, het professionele spul (cisco enzo) is net zo hard gekraakt door de geheime diensten.
Was Cisco zelf al niet backdoors voor de NSA aan het inbouwen? Of is dat FUD die door China/Rusland/etc verspreid wordt zodat je hun eigen spul met backdoor voor hun eigen overheid gaat kopen? Dat "professionele" spul is niet perse beter voor je veiligheid.
Het gevaarr van dit soort backdoors is:
dat je dus er niet meer vanuit kan gaan dat het target ZELF bepaalde handelingen heeft gedaan vanaf het modem!
Dat is dus heel intresant , want dan is ook het IP geen bewijs meer...
Geen enkele Fritzbox in het rijtje, dat scheeld alvast .. :-)
Er staan geen n routers tussen. De lijst is wat oud. Wellicht is de lijst al ge-update 😀
Hmm, hoe zou het met de veiligheid in mijj situatie zitten? Ik heb een oude DLINK router (DHCP uit, en hij hangt achter het ziggo modem/router) zelf dacht ik dat ik redelijk veilig zit omdat ie achter het ziggo modem/router zit. Wat denken jullie? Anders overweeg ik om een andere te kopen.
DLink is geen fijn merk. Doen nagenoeg geen firmware-updates tenzij ze slecht in de publiciteit komen. Je krijgt er het eerste half jaar misschien een paar, maar daarna nooit meer.
I don't know, heb dit ding al een jaar of 5. Is het bij bv TP link beter (en maken ze qua updatebeleid onderscheid in goedkope en dure routers?)

Zelf denk en dacht ik dat ik relatief safe zit omdat ie puur als AC functioneert áchter mijn cisco gevallehe van Ziggo
De hack vind voornamelijk plaats via UPnP. Iedereen die niet gehackt wil worden moet dit hoe sowieso uitzetten. Het is een onzinnige feature waar gewoon niet over na is gedacht qua beveiliging.
Ik kan me herinneren dat het hackers-gilde dergelijke grapjes uit haalde met KPN ADSL routers. De router van het bedrijf waar ik toen werkte was dus op die manier gehackt. Je kon er niet meer in, default ww was verandert. Ik merkte het op doordat ik zag dat er erg veel verkeer naar China ging, terwijl alleen ik en een collega op de zaak waren. Dus ik vroeg aan hem of ie Chinees aan het bestellen was... ;)

Maar goed, dit wordt nu verkocht als NSA/CIA hack, maar het is in feite niets nieuws. De hackers gebruiken dit soort grappen al langer. En Huawei wordt ervan beschuldigd dat ze dit standaard in hun routers hebben zitten (wat waarschijnlijk FUD is dat door Cisco wordt verspreid).
Moraal van het verhaal
De CIA bespied iedereen via toestellen waar mensen niet eens over nadenken en niets aan kunnen doen

Wat is het volgende spionage via printers
Wi-Fi,versterkers,autos,... ?
Wat is het volgende spionage via printers
Wi-Fi,versterkers,autos,... ?
Uitschakeling van kritische burgers via het blokkeren van de remmen van de auto
nieuws: Hackers kunnen op afstand remmen uitschakelen op Chrysler-auto's
Ik vindt zelf toch wel een beetje dat de fabrikanten van de producten moeten zorgen dat hun producten veilig zijn voor 'aanvallen' van buitenaf, ook van de overheden tegenwoordig. Verder snap ik ook wel gedeeltelijk dat de CIA zulke toepassingen heeft om bijv. bij verdachten informatie te kunnen verhalen. Maar vaak gebeurt dit niet allemaal tussen de daar voor aangegeven 'lijntjes'.
Vraag mij toch af in hoeverre je als fabrikant jezelf kan wapenen tegen dit soort taferelen. Producten helemaal waterproof maken lijkt mij een utopie.
Er zullen altijd nieuwe manieren gevonden worden om misbruik te maken. Je mag echter wel een bepaald niveau van veiligheid eisen. Kijk bijvoorbeeld naar banken: je kan alleen pinnen met een pinpas, maar daar is ook een pincode bij gekomen, betere workflow bij vermissing van je pas, camera's bij automaten, chip ipv magneetstrip, limiet op contactloos, vergoeding bij diefstal mits bepaalde voorwaarden.

Nu lijkt het net of je blij moet zijn met 1 a 2 firmware updates die na een jaar een keer uitgebracht worden en dan niet meer want 'End Of Life'. Een router kan veel langer mee dan 2 jaar. Dit betekent niet dat ze 5 jaar lang nieuwe features moeten leveren, maar wel dat er de mogelijkheid is lekken te dichten binnen afzienbare tijd.
Als je een router hebt die na een jaar 1 à 2 keer een update krijgt zou ik hem al lang weggedaan hebben.
Mijn Netgear ontvangt elke 1 à 2 maanden een update sinds de release. Mijn vorige Asus router werd na 3 jaar ook nog elke paar maanden geupdate.

Zó triest is het bij grote fabrikanten van routers nou ook weer niet gesteld hoor.
Mijn Netgear wndr3700 v1 is voor mij nog tot alles in staat. Helaas, qua security is het een zwart gat geworden. Die heeft al jaren en jaren geen update gezien hoor!
Waar kwaardaardige partijen natuurlijk prachtig misbruik van (kunnen) maken. Voor mij nog enigszins te overzien, maar voor de gemiddelde internetter? Die heeft automatische updates aanstaan en denken dat ze met hun 'dure' router gewoon veilig zijn.
Ik ken ook maar heel erg weinig routers die helemaal zonder tussenkomst van iemand volautomatisch de updates installeert. Meestal heb je toch dat er een automatisch update check proces is, maar niet per se automatische installatie. En hoeveel consumenten zullen dan vervolgens handmatig updaten? Denk erg weinig. Ik gebruik zelf DD-WRT, maar ook al een oudere variant.
Mijn oude Sitecoms deden het (instelbaar), al mijn Fritzboxen deden het (ook instelbaar) en mijn huidige Ubiquiti's zouden het zelfs in de vorm van een rolling-update automatisch moeten kunnen, al heb ik dat nooit getest omdat ik deze met de hand beheer.
M.a.w.: Ik denk dat het meevalt, als je het maar aan zet.
Bij Netgear is het hoogstens notificaties, bij tp-link vaak ook. Het ligt een beetje aan de merken. Sowieso als het actief ingesteld moet worden staat dat alsnog bij 99% uit.
Worden deze updates automatisch gedownload en geinstallerd? Ik kijk nooit in mn router tbh. En ben dus al jaren niet geupdate als ik dat handmatig zou moeten doen.
Worden deze updates automatisch gedownload en geinstallerd?
Hangt nogal van je apparaat af natuurlijk; daar is zo niks zinnigs op te zeggen behalve dat als 't niet gebeurt je het dus regelmatig even zelf zou moeten controleren / doen.

[Reactie gewijzigd door RobIII op 15 juni 2017 23:09]

Tjah. Ik heb hier eigenlijk nooit bij stil gestaan. Ik heb toch liever misschien een exploit in mn oude software maar dat alles wel werkt dan dat ik ga updaten met de kans dat ik mn instellingen weer kwijt wel. NAT TYPE CLOSED zeg maar ;)
Doorgaans kun je een backup maken van je instellingen; mocht een update deze om zeep helpen (wat zelden het geval is in mijn ervaring) kun je ze dus terugzetten.
wie zegt dat die updates van bij de fabrikanten komen of dat er bij die fabrikanten geen mannetjes werken :+
Ja, dat doe je zolang totdat een update ervoor zorgt dat de Wifi het slechter gaat doen...Dan ga je snel terug naar de versie die de beste Wifi geeft.
Overigens heb ik ook een Netgear (gehad) en die heeft in 3 jaar tijd misschien 3 jaar updates gehad. Is schijnbaar dus ook per device anders :X

Ik durf hem na dit artikel in ieder geval niet meer aan te sluiten :o

[Reactie gewijzigd door [Yellow] op 15 juni 2017 23:10]

Dat je geregeld een update krijgt zegt niks over dat ze dit soort "functies" er niet in maken of al erin hadden gemaakt.
De NSA wil best een sleepnet hebben over alle burgers hoor. Maar als een spionagemiddel vooral bedoeld is voor gericht spioneren maak ik me minder zorgen.
Sterker nog, dat is waar geheime diensten voor zijn: spioneren. Dat kan door een camera te plaatsen, maar ook door een telefoonlijn af te tappen, met een trojan, spearphishing of backdoor.
Mooi is het allemaal niet - maar de meeste mensen zijn toch wel blij dat er iets als politie bestaat.
Hoo Hoo, begrijp me niet verkeerd. Ik bedoel als we Amerikaanse router bedrijven zwart maken, laten we direct alle complottheorieën op tafel gooien ;). Maar om vooroordelen te voorkomen had ik mogelijk een betere omschrijving kunnen gebruiken. Volgende keer zou ik "een anti-aarde alien die paniek zaait" als voorbeeld gebruiken.

Maar dat terzijde. Poetin (en dus Rusland als land politiek land zijnde) is alles behalve pro EU. En elke beschuldiging over dat zij Amerika hacken, gooien ze even goed terug naar Amerika, maar ook de EU. Dus als we alle Amerikaanse bedrijven gaan wantrouwen, waarom dan ook niet alle mensen die dit beweren.

[Reactie gewijzigd door Bliksem B op 15 juni 2017 23:57]

M'n punt was meer dat de burger-Rus het ook al voor z'n kiezen krijgt.

Spionage gebeurt overal, spionnen worden ook bij bedrijven neergezet (of spionagemogelijkheden worden gewoon ingebakken in de compiler, waardoor alles dat je compileert een backdoor heeft - niet verzonnen, is al ooit gebeurd) en je kan er dus inderdaad niet klakkeloos vanuit gaan dat je hardware potdicht zit. Is het niet door backdoors, dan is het wel door bugs, want zelfs een simpel routertje is al zo complex dat je 'm niet foutloos kan maken.

We zullen als burgers wat meer op onszelf moeten vertrouwen, en onze overheden zouden iets minder bondgenootschap moeten zoeken in partijen die zich toch keer op keer niet betrouwbaar tonen.
Ben het hier eigenlijk gedeeltelijk mee eens. Als er nieuwe exploits gevonden worden, en die worden niet gemeld maar bijvoorbeeld doorverkocht, hoe kan je dan van de fabrikant verwachten dat dit soort lekken binnen no time gefikst zijn? Lijkt mij lastig. Je kan verder wel tot in den treure op zoek blijven gaan naar exploits voor al je devices, maar het geld om dit te kunnen doen moet ergens vandaan komen (= van de consument). Dat zou dus hogere verkoopprijzen betekenen ofwel andere business modellen, bijvoorbeeld een soort van lease. Niemand die daarop zit te wachten denk ik, niet zo lang wij in een consumptiemaatschappij leven waarbij geld/kosten van een product voor verreweg de meeste consumenten de doorslaggevende factor is.

Vergelijking met banken is in deze ook een beetje krom want zoals je zelf ook al eigenlijk aangeeft zijn de huidige bankpassen ook anders beveiligd dan de bankpassen van een x aantal jaar geleden. Hier heb je destijds gewoon nieuwe passen voor gekregen, maar heb je gezien de geringe kosten hier niet direct voor hoeven betalen.
Klopt. De analogie is niet perfect.

En vanwege het niet bekend maken van exploits kan je ook niet verwachten dat een fabrikant onbekende exploits patcht. Worden ze echter wel bekend, dan zou ik het liever zo willen zien dat het wel gepatcht wordt.
Eens, maar zolang mensen (dik) betaald worden om manieren (exploits) te verzinnen om alsnog binnen te komen is het een beetje dweilen met de kraan open.
het probleem wat je ziet is vooral dat veel bedrijven te traag zijn tov. hoe de wereld werkt. Het principe van 'end of life' is nogal langzaam onzinnig aan het worden en ik denk dat je ook met routers echter moet doorgaan naar een vorm van continu software. De router als een logicbordje wat je modulair houd (en dus kunt upgraden als er bv. een nieuwe wirelessstandaard komt), de software continu doorontwikkelen en continu upgraden :)

Op die manier zou een fabrikant ook voorkomen dat ze tot in den treure voor outdated modellen nog support moeten leveren.

(maar goed, het is een vrij utopische gedachte van me, daar ben ik me van bewust ;) De praktijk is dat men dozen wil schuiven en dat lukt erg goed als men dingen uitfaseerd, veel nieuwe shiny modellen laat komen enz.).
Kijk bijvoorbeeld naar banken: je kan alleen pinnen met een pinpas, maar daar is ook een pincode bij gekomen, betere workflow bij vermissing van je pas, camera's bij automaten, chip ipv magneetstrip, limiet op contactloos, vergoeding bij diefstal mits bepaalde voorwaarden.
Je weet dat je pas (soms) gewoon zonder pincode betaling doet zodra je (of een ander!) hem in de gleuf doet?
Dat gebeurt o.a. bij de Franse tolwegen.

De banken maken achter je rug om, over jouw pas afspraken met het buitenland (dat je daar kan betalen zonder pinnen) die je in NL niet met ze overeengekomen bent.

Je mag dus zeker een bepaald nivo van veiligheid eisen. Méér dan de banken je nu verschaffen, lijkt me.

[Reactie gewijzigd door Bruin Poeper op 15 juni 2017 23:33]

Ook de banken kunnen inderdaad nog verbeteren! Ik kom zelf nooit over franse tolwegen dus dit stukje was mij nog niet opgevallen
In Amsterdamse parkeermeters ook. Overigens iets dat met de aansprakelijkheid prima op te lossen is.
Wat betreft die Franse tolwegen: die controleerden vroeger niet eens of de creditcard nog geldig was. Met een verlopen kaart kon je gewoon afrekenen. En dat is niet meteen fraude, want je kan je oude en nieuwe kaart natuurlijk verwisseld hebben.
Die betalingen werden dan niet afgeboekt.
Niet alleen de tolwegen. In half Frankrijk kon ik vaak pinnen zonder code. Pincode lijkt dus vooral een optionele beveiligingslaag.
Enkel voor de magneetstrip toch, niet voor de chip?
Niet alleen de tolwegen. In half Frankrijk kon ik vaak pinnen zonder code. Pincode lijkt dus vooral een optionele beveiligingslaag.
Daar kwam ik ook achter nadat ik geconfronteerd was met pinloze afschrijvingen via mijn ING pas op de tolwegen.
Het schijnt heel normaal te zijn in zuidelijk Europa. Het zit ingebouwd in het Maestro systeem. Dat syteem is internationaal. Wat er mee gedaan kan/mag worden regelt het land waar je de pas gebruikt.
Wat ING je hier beloofd kan ze in het buitenland dus niet waar maken.

Betekent dat een gestolen/gevonden pas dan plaatselijk zonder PIN gebruikt kan worden.

[Reactie gewijzigd door Bruin Poeper op 16 juni 2017 12:52]

Bankpassen zijn sowieso een slecht voorbeeld van veiligheid. Niet alleen pincode ( max 10k opties ) , maar ook creditcards etc. Dit is trouwens geen toeval. De kosten van heel goed beveiligen ( vervangen van betaalmachines wereldwijd, aanpassen van internationaal verkeer etc ) kost behoorlijk wat. En eeuwig gezeik over standaarden etc.

Streep je fraude en oplichting wegen tegen kosten van dat, en verminderd gebruik / gemak dan is voor die bedrijven de som duidelijk. Daarom zit er bij creditcards ook altijd 'gratis verzekering'. Niet omdat ze filantropisch zijn, maar omdat het hele systeem de eerste class-action zaak niet zou overleven. De banken kunnen veiligheid helemaal niet garanderen.
Het wordt ook nog eens lastig als veiligheidsdiensten je verplichten om backdoors in software te maken, of ze zich met je (financiele) bedrijfsvoering en ontwikkelingen gaan bemoeien.

http://fortune.com/2016/04/15/cia-investment-portfolio/

Het zou mooi zijn als er vanuit de UN eens harder standpunten in worden genomen hoeverre de nu aan achterlijkheid grenzende prive mass data verzamlingswoede tot een halt kan worden geroepen door supermachten....maar ja dat zal wel een utopie blijven dat dit ooit gaat gebeuren.
Bestrijden van terrorisme heeft prioriteit. Helaas zijn dit soort maatregelen onvermijdelijk.
Alternatief is onze westerse democratie inruilen voor een totalitair regime.
Ik zou het ook anders gezien willen hebben maar het doel heiligt in beperkte mate de middelen.
Bestrijden van terrorisme gebruiken als blijvend excuus voor massa data verzameling en privacy schendingen is op z'n zachst gezegd misdadig. Elke andere (super)macht zal allang op de vingers zijn getikt, al dan niet in de vorm van (economsiche)sancties.


Het afluisteren door de VS van o.a. Merkel en diverse andere presidenten maar ook EU commissie leden (i.v.m. TTIP onderhandelingen) vallen natuurlijk ook onder terrorisme bestrijding.
Naar mijn mening zou je net zo hard moeten zoeken naar exploits dan je aan het ontwikkelen bent. Uiteindelijk maak je je product beter door het te beschermen tegen exploits.
In principe "proberen" ze daar ook voor te zorgen. Alleen als er een fout in de software wordt gemaakt waardoor iemand binnen kan dringen dan is dat niet altijd gelijk bekend. Als zo'n fout er echter eenmaal is, is het wachten totdat iemand met verkeerde bedoelingen er misbruik van maakt. Daarom is het bijvoorbeeld ook risicovol dat overheden deze voor zichzelf houden. Niet alleen overheden (of je ze nou vertrouwd of niet) hebben dan toegang, maar uiteindelijk ook ellende als spammers/botnets/crytpolockers etc...

Nu zijn er ook sterke aanwijzingen dat overheden fabrikanten via schimmige wetten "verplichten" om beveiligingslekken te maken zodat de overheid er in kan. Daarmee voorkom je overigens het bovenstaande niet. Ik ben wel van mening dat fabrikanten alles op alles moeten zetten (de mogelijkheden zijn helaas vaak wel beperkt) om dat tegen te werken/te stoppen aangezien dat gewoon ondemocratisch is.
> Daarom is het bijvoorbeeld ook risicovol dat overheden deze voor zichzelf houden.
Het is een illusie dat dit de oplossing is, niets is minder waar.
Wanneer overheden direct gevonden zwakheden (moeten) melden aan de softwareproductenten, dan is vrijwel elk motief om nog naar zwakheden te zoeken verdwenen. Overheden zijn namelijk geen testers. Wat er dan gaat gebeuren is dat er door overheden vrijwel niet meer naar zwakheden gezocht gaat worden, aangezien het gebruik hiervan door de beperkte tijdsduur tot de patch maar zeer kort kan worden gebruikt, tegenover jaren in het huidige systeem. Overheden kopen ook bij derde partijen kwetsbaarheden in, dat heeft dan ook geen zin meer. Wat er eigenlijk overblijft zijn de 0-day vulnerabilities (zojuist gepatchte kwetsbaarheden), die zijn gemakkelijker te vinden, en alleen gepatched in recent geupdate systemen. Zelf zoeken is dan dus veel minder effectief en de kosten/baten zullen dan negatief uitvallen.
Het zal in de praktijk eigenlijk alleen maar slechter uitpakken, aangezien in dit geval alleen de 'bad guys' naar kwetsbaarheden zullen zoeken en overheden met minder personeel en informatie over kwetsbaarheden hun eigen systemen slechter kunnen beveiligen.
Niet echt mee akkoord dat overheden niet meer op zoek moeten gaan naar zwakheden, een van hun taken is toch het beschermen van de burger en de bedrijven van het land.
Als ze die zwakheden vinden en ze niet aan de ontwikkellaars rapporteren, voldoen ze niet aan deze beschermingsplicht IMO.
Dat doen ze nu toch ook niet, waarom dan ineens wel?
Dat is een heel andere insteek en hoort dan niet meer de geheime diensten thuis. Eigenlijk gaan ze dan iets doen wat nu door een aantal commerciële bedrijven gedaan wordt. Weet niet of dat nu wel zo verstandig is. Sowieso zou dat in ieder geval in Europees of VN verband moeten, heeft totaal geen zin dat ieder land dit voor zichzelf gaat uitzoeken. Dat gebeurd nu alleen maar omdat ze het voor zichzelf kunnen houden.

[Reactie gewijzigd door friend op 16 juni 2017 20:57]

Volgens mij is dat niet eens nodig. Zoals ik al eerder opmerkte werkte ik aan een welbepaalde router die in België ontwikkeld wordt (meer info ga ik ook niet geven, omdat ik één en ander een beetje professioneel moet houden). De security fouten die ik tegen kwam vlogen als het ware rond de oren. Dat rapporteer je als ontwikkelaar allemaal, en wat je binnen de scope van een sprint kan en mag fixen, dat fix je uiteraard (en dan nog zijn de ego's van bepaalde mensen te groot om in te zien hoe serieus zulke bugs zijn, zeker als het in hun code was).

Maar ja.

Ik zou het ding toch zeker niet op serieuzere plekken gaan gebruiken. De afdeling die de zaak test was wel erg goed in het vinden van problemen en bugs. Maar hun focus lag helemaal niet op het vinden van security bugs. Als het allemaal al werkt volgens specificatie, dan is dat al heel wat.

Met dat in het achterhoofd zijn er voor geheime diensten voldoende mogelijkheden om de bugs te vinden. En inderdaad, de binaries die uiteindelijk op het toestel komen daarvan kan de source code voor compilatie natuurlijk gepatched worden met een opzettelijke backdoor.
Geef inderdaad alsjeblieft niet te veel concrete informatie..
Het gaat namelijk niet toevallig om de GloudGate WWAN M2M IP gateway?

https://www.linkedin.com/in/pvanhoof
Ik blijf professioneel dus ga ik niet in op of je juist zit of niet.

Ik zeg nota bene dat de afdeling die de zaak test erg goed is in het vinden van problemen. Dat is beter dan het gemiddelde bedrijf dat aan software ontwikkeling doet.

[Reactie gewijzigd door freaxje op 15 juni 2017 23:05]

Mysterieus hoor, nou nou....
Niets mysterieus aan. Wel voorzichtig tegenover m'n contracten. Ik mag contractueel geen geheimen prijsgeven. Maar langs de andere kant heb ik behoefte aan een aantal dingen mee te delen. Dus geen namen en geen bevestigingen. Louter abstracte mededelingen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*