Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten'

Twee beveiligingsbedrijven waarschuwen voor een snelgroeiend botnet dat bestaat uit kwetsbare internet-of-things-apparaten, bijvoorbeeld ip-camera's. Volgens een van de bedrijven gebruikt de betreffende malware delen van de Mirai-broncode.

Het Chinese Qihoo 360 schrijft dat de malware echter niet zoals Mirai zwakke wachtwoorden misbruikt om apparaten te infecteren, maar alleen gebruikmaakt van verschillende kwetsbaarheden. Zo richt het zich op iot-apparaten van onder meer D-Link, Netgear en Linksys. Beveiligingsbedrijf Check Point noemt deze merken ook, maar benoemt verder bijvoorbeeld Synology, MikroTik en TP-Link. Het bedrijf schrijft alleen dat het botnet snel groeit, terwijl het andere bedrijf preciezere cijfers claimt te hebben.

Zo zijn er dagelijks meer dan 10.000 bots online die beheerd worden door één c2-server, terwijl er verschillende van dat soort servers zijn. Verder zouden er twee miljoen kwetsbare apparaten bij die server in de queue staan om geïnfecteerd te worden. Of dat ook bij alle apparaten lukt, meldt het bedrijf niet. Het botnet zou zich nog in een vroeg stadium bevinden en de maker zou maatregelen nemen om niet te agressief het internet te scannen om detectie te vermijden.

Ook past hij de code van de malware actief aan en voegt hij exploits voor nieuwe kwetsbaarheden toe. Momenteel zou de malware negen kwetsbaarheden gebruiken om zich verder te verspreiden. Qihoo 360 heeft het botnet de naam IoT_reaper gegeven. Het zou tot nu toe nog geen ddos-aanvallen hebben uitgevoerd, maar dat behoort wel tot de mogelijkheden. Het Mirai-botnet, dat eveneens uit kwetsbare iot-apparaten bestaat, voerde ongeveer een jaar geleden een grote ddos-aanval uit op dns-provider Dyn.

Door

Nieuwsredacteur

100 Linkedin Google+

Reacties (100)

Wijzig sortering
Als je echt gaat nadenken wat er allemaal in het IOT gaat 'hangen' is het best wel beangstigend wat er kan gebeuren als apparaten gehacked worden.

Je koelkast uitzetten, de oven op volle kracht zetten als je er niet bent en je kinderen liggen boven te slapen, je auto weg laten rijden als je er niet in zit of de verwarming in de auto een uur op max terwijl je er niet in zit, porno op je tv terwijl je kinderen naar de Teletubbies zitten te kijken, de beveiliging van je huis uitzetten en verzin maar verder....

Allemaal an sich geen ramp maar het kan wel de hele maatschappij ontwrichten als dit op grote schaal in 1 keer gebeurt.

Niet voor niets wordt er veel geinvesteerd in onderzoek om IOT optimaal te beveiligen.
Denk ook dat er hier een rol voor de overheid ligt om dit te reguleren.

[Reactie gewijzigd door MartinCock op 20 oktober 2017 19:01]

Wat er in je huis gebeurt is uiteraard belangrijk voor je, maar dat is niet het echte gevaar. Duizenden koelkasten die uitgezet worden is vervelend, echter miljoenen IoT apparaten die een DOS aanval uitvoeren op overheidsdiensten en de financiŰle sector kunnen veel meer schade aanrichten. Ook zou je kunnen denken aan koffieautomaten met internetaansluiting die gebruikt worden als uitvalsbasis om gevoelige systemen binnen een bedrijfsomgeving binnen te dringen.

M.a.w. het gaat niet om je eigenbelang, maar om het maatschappelijk belang.
[...] Duizenden koelkasten die uitgezet worden is vervelend, [...]
M.a.w. het gaat niet om je eigenbelang, maar om het maatschappelijk belang.
Vergeet niet dat wanneer je op echt grote schaal een aantal koelkasten tegelijk aan en uit kunt zetten, dat je een cascade-effect kunt creŰren waarmee je een groot deel van Europa plat kunt leggen.
En bij wat grotere verbruikers, zoals een elektrische oven, of zonnepaneel-omvormers, is het op een veel kleinere schaal al problematisch. Zeg maar een DDoS op je elektriciteitsgrid.

Zoveel heb je echt niet nodig om allerlei veiligheidssystemen te laten ingrijpen en de boel platgooien.
Mogelijk kan het zelfs op kleinere schaal, maar wel geco÷rdineerd, platgelegd worden. Bijvoorbeeld door heel lokaal wijken een paar keer aan en uit te zetten, maar dan is er meer kennis nodig van de infrastructuur + scada systemen.

En daarnaast is het nogal 'vervelend' als huizen affikken, of ventilatiesystemen uitgeschakeld worden en de ketel zodanig aansturen dat 'ie onvolledige verbranding gaat doen. (geen idee hoe je dat zou doen, maar ook ketels hangen tegenwoordig online) Dat soort "onverklaarbare doden" hoef je maar in een paar huishoudens te hebben en dan breekt de massa-hysterie uit.

Wat mij betreft mag er best wel wat meer aandacht besteed worden aan veiligheid, want met een heel klein beetje fantasie kun je heel veel scenario's verzinnen die heel erg verstrekkende gevolgen kunnen hebben.
Bryan Lunduke heeft er al over nagedacht... Zet je ook aan het denken...
https://www.youtube.com/watch?v=304Lcn0nU3c
Yup, de S in IOT staat voor security 8)7
I'll bite: maar er staat helemaal geen S in IOT
;o)
Spijtig dat je zulke slechte score krijgt, want je hebt gelijk over die S in IOT.
Vergeet ook niet het ID ervoor. Iot lijkt leuk naar te veel cowboys willen er even snel geld aan verdienen en dumpen massaal rommel op de markt.
Denk ook dat er hier een rol voor de overheid ligt om dit te reguleren.
Hier ben ik lang voorstander van geweest. Maar dit is ook geen oplossing. Je hebt dit probleem namelijk ook met inlichtingendiensten. Laat staan dat ze dit kunnen beheren.
Natuurlijk gaan de inlichtingendiensten ook gebruik maken van lekken in de beveiliging.
Mits zwaar gecontroleerd vind ik dat prima er van uitgaande dat ze dit doen om ons onschuldige hardwerkende burgers te beschermen tegen tuig en terroristen.

Een wereld zonder misbruik van mogelijkheden bestaat niet en dat moet je ook niet willen omdat het toch niet lukt. Maximaal reguleren en vrijheid geven aan de inlichtingendiensten waar nodig/gewenst.

Ik ben veel en veel meer bevreesd voor hackers die allesbehalve goede bedoelingen hebben.
Je moet er toch niet aan denken dat ze de controle over je auto overnemen terwijl je rijdt.

Er ligt een enorme uitdaging voor de Tech bedrijven en de overheid.
er van uitgaande dat ze dit doen om ons onschuldige hardwerkende burgers te beschermen tegen tuig en terroristen
Hoe zou toegang van een AIVD tot jouw koelkast, tv of autoverwarming jou kunnen beschermen tegen 'tuig of terroristen'? Het is waarschijnlijker dat ze er zelf kattenkwaad mee gaan uithalen.
De geheime diensten zijn geen kwajongens. We zouden eens moeten weten wat ze aan ellende hebben voorkomen door gericht te hacken of info te verzamelen. Alles heeft een keerzijde maar ik geef graag een stuk privacy op als dat de veiligheid fors bevordert. Probleem is altijd waar je de grens legt.

Natuurlijk moeten onze eigen geheime dienst worden gecontroleerd maar we hebben weinig invloed op wat de NSA en vergelijkbare diensten in alle landen van de wereld doen.

Ben niet zo bang voor onze eigen geheime dienst die lang niet zo veel macht heeft als bv de NSA en aanverwante diensten in ....tig andere landen als die van bv. Rusland, China, Iran en Noord-Korea.

[Reactie gewijzigd door MartinCock op 20 oktober 2017 21:39]

Ben niet zo bang voor onze eigen geheime dienst die lang niet zo veel macht heeft als bv de NSA en aanverwante diensten in ....tig andere landen
Ja, maar je hebt geen controle over wie er in je koelkast inbreekt; dat kan de aivd zijn, maar net zo goed eentje uit de "as van het kwaad". En hetzelfde geldt voor je privacy die je zo gretig opgeeft. Je weet niet wie het gaat misbruiken
Ach en je denkt AIVD geen geen gegevens aan de NSA door speelt. Zal me niks verbazen als er gewoon een directe connectie tussen staat. Nederland is een schoothondje op dat gebied, want we staan Amerika in het krijt zins de WO2.
Dat is wel heeeeeeeeel erg kort door de bocht.

De AIVD en NSA/CIA zullen ongetwijfeld gegevens uitwisselen. Natuurlijk en dat moet ook.
De NSA heeft veel en veel meer macht en autoriteit in de VS dan de AIVD in NL.

Deze twee zijn niet te vergelijken.
Er is weinig gerichts aan iedereens privacy maar afnemen of grotendeels afnemen.
Juist: "We zouden eens moeten weten wat ze aan ellende hebben voorkomen door gericht te hacken of info te verzamelen." Dat zou ik nu eindelijk wel een willen weten. Ergens heb ik een vaag vermoeden dat een sleepnet en/of de mogelijkheid om in andermans privÚ domein in te breken niets oplevert.

Tot nu toe heeft de overheid hierover geen enkel concreet voorbeeld of zelfs maar een statistiek laten zien. Het hele verhaal is een farce en bedoeld om meer controle over de burgers te krijgen!

OT IoT kwetsbaarheid zie ik als een serieus probleem. Vraag: vallen routers en en andere netwerkapparaten tegenwoordig ook al onder IoT (b.v. D-Link)?
Geef me je e-maillogin en je echte naam en BSN dan maar even... Ik beloof dat ik het niet zal verkopen. Vertrouw je me nu?

Blijft me verbazen hoeveel mensen dit nog zeggen. En al helemaal hier op T.net 8)7
Huh? Lees eerste mijn tekst. Ik had het toch over de AIVD?
Waar slaat het op om jezelf met de AIVD te vergelijken?
Als je toch niks te verbergen hebt... Maakt het dan uit of de AIVD je gegevens drie jaar bewaart en die ongezien mag delen met elke buitenlandse dienst, die het vervolgens onbeperkt kunnen bewaren en delen, of ze gewoon aan mij (of eender wie dan ook) geeft?
Niets met de sleepwet te maken maar met richtlijnen hoe je met opgeslagen informatie moet omgaan. Dat is aan te passen en goed controleerbaar.
In eigen land wel (hoewel dat toezicht volgens velen waarschijnlijk niet afdoende zal zijn). Die ongeanalyseerde data die gedeeld mag worden met andere buitenlandse diensten, is niet controleerbaar. En dat is precies wat die sleepwet wel toestaat.
Maar als je toch niets te verbergen hebt, maakt dat niet zoveel uit, natuurlijk.
Ik lig er inderdaad niet wakker van. Ieder z'n ding.
Dat lagen de joden ook niet van een ledenregister, totdat Hitler het land kwam binnen wandelen.

Zo ontzettend stom en na´ef om te denken dat je niks te verbergen hebt, dat heb je altijd, zo niet nu, dan mogelijk later.

Ze hebben gewoon helemaal niet dat soort informatie van je te verzamelen, ongeacht wie het is. Instanties zoals de AIVD zijn ook niet onfeilbaar, ze kunnen nog zulke goede bedoelingen hebben maar als ze op zo veel informatie zitten dan is het maar wachten tot ze zelf een keer gehacked worden en het op straat ligt, of een Snowden verhaal waar een medewerker zelf naar buiten loopt met alle informatie. En dit is er vanuitgaand dat je dit soort instanties blind kan vertrouwen.
Pure hysterie, zoooo kenmerken voor de huidige generatie die steeds meer moeite heeft fictie en werkelijkheid te scheiden.

Laat ze meer lekker slepen. Geen enkel probleem mee.

De Joden als voorbeeld nemen is niet alleen enorm respectloos maar ook ongeloofllijk dom en onnozel. Een van de meest krankzinnige situaties in het bestaan van de mensheid als maat nemen om je stelling kracht bij te zetten.
Fictie en werkelijkheid te scheiden? Wat is er dan fictie aan volgens jou? Heel erg gevaarlijk zo te denken.
De Joden als voorbeeld nemen is niet alleen enorm respectloos maar ook ongeloofllijk dom en onnozel. Een van de meest krankzinnige situaties in het bestaan van de mensheid als maat nemen om je stelling kracht bij te zetten.
Ligt dat eens toe, hoe is dat respectloos of dom? Of probeer je niet simpelweg een sterk voorbeeld weg te wuiven met "ooh daar kan je niet over praten, joh"

Meest krankzinnige situatie uit het nabijgelegen verleden, wellicht, maar was zeker niks nieuws. Rassenhaat, massa uitroeingen noem maar op, zijn van alle tijden en je bent na´ef als je denkt dat we die tijd voorbij zijn.
Ha ha, weer iemand die niets te verbergen heeft. Heb je je PIN code al aan de Belastingdienst doorgegeven?

Info van de Nederlandse basisadministraties wordt al heel lang verkocht aan b.v verzekeringsmaatschappijen (op basis van een abonnement).
Je bent nu wel veilig misschien, maar wat als er een ander soort bewind aan de macht komt ? die wel vindt dat jij dingen fout doet ? En die dan mensen op gaat pakken zie zich niet aan hun regels houden ?
Waarvan jij er ineens een bent ?
Ik zou niet zo onvoorzichtig zijn. En zeker niet vertrouwen op toekomstige regeringen. Stel dat Wilders aan de macht zou komen. Die laat zich nu al niet uit over hoe hij al die door hem benoemde problemen aan gaat pakken., Sterker nog: hij zegt zelfs dat het hem niet uitmaakt.... ( ... ) Nou, je zult maar een Marokkaan in je vriendenkring hebben en daar ga je al. Of je hebt online ooit eens iets gezegd wat ze niet aanstaat.....
Nee, ik heb daar helemaal geen vertrouwen in . En dat zou jij ook niet moeten hebben.
Steeds meer stomme autofabrikanten sluiten autos aan op internet... Proef of concept hoe je een auto overneemt is er al jaren. link
inlichtingendiensten
Mits zwaar gecontroleerd
kies 1 van de 2 :P
Ze zijn er om ons te beschermen, inderdaad. Weet je wat er in het verleden al redelijk vaak gebeurd is wanneer bepaalde mensen teveel macht kregen in de naam van de bescherming van het volk? En dan bedoel ik echt niet alleen die vent met de snor. Het gebeurt zeer regelmatig.

[Reactie gewijzigd door Origin64 op 23 oktober 2017 00:36]

Natuurlijk gaan de inlichtingendiensten ook gebruik maken van lekken in de beveiliging.
Mits zwaar gecontroleerd vind ik dat prima er van uitgaande dat ze dit doen om ons onschuldige hardwerkende burgers te beschermen tegen tuig en terroristen.
Het lijkt er op dat je het niet snapt.

Controle op een inlichtingen dienst bestaat niet. Zij hebben immers de info om de controleur te chanteren.
kijk naar in de VS, daar hebben ze eens zigbee gehackt en alle lichten tegelijkertijd aangezet met gevolg dat centrale's plat gingen bij te veel vraag ...
Ik ben meer verontrust over het DDOS potentieel van dit soort apparaten. Het volume aan onveilige IOT systemen is zodanig dat dit het eerste klasse apparaat is dat het internet in zijn geheel op de knieen kan krijgen (en actie van providers mbt het afsluiten van klanten met geinfecteerde systemen kan gaan vereisen).
Een beetje e-vandalisme door de verwarming op 40 graden te zetten of de koelkast uit te schakelen valt daarbij in het niet. Ga maar na - een successvolle aanval op een van de kritische systemen van het internet, zoals de root DNS servers, of een van de internetknooppunten... kan een groot deel van het huidige dagelijks leven ontwrichten.

Ik zou bijna greyhat hackertje willen gaan spelen en een virusje schrijven dat van al die exploits gebruik maakt maar simpelweg het kwetsbare apparaat zijn IP stack om zeep helpt. Maar tja, ben ik toch niet snugger genoeg voor...
Serieus? Dit vind jij beangstigend? Dit is niet waar die hackers op doelen op een paar huishoudelijke apparaten. Wat jij aangeeft is meer iets voor beginnende kinder hackertjes.
IOT netwerk? Waar praat je over? Oftewel je hebt een IOT netwerk of anders heb je een... Netwerk ???
Dus een kerncentrale kan geen koelkast hebben staan met internet functie? Slim antwoord van je.
Kijk nu kom je dichter bij het doel van de hackers.
En ja ik denk dat. Want als een regering een kerncentrale die bijna naar de maantjes is en zover zelfs dat we zelfs jodium tabletten krijgen toegestuurd hier in Brabant laat door draaien dan geloof ik best dat daar ook een koelkast met een netwerk kabeltje in een socket in de muur is gestoken.
Mijn persoonlijk idee is dat dit soort apparaten GEEN ip adres mogen hebben. Mijn huis is in hoge mate geautomatiseerd, vol met sensors etc, maar alles werkt zoveel mogelijk op Zwave, Bluetooth etc en kan niet door dit soort botnets gebruikt worden. TCPIP is niet het juiste protocol voor IOT.
Nuja, Bluetooth is niet noodzakelijk zo'n geweldig idee. Er moet maar ÚÚn toestel in je netwerk zijn om alle andere in-range Bluetooth toestellen te infecteren. Vermoedelijk heb je niet al je apparatuur gepatched sinds die fout gevonden is?
Eens, tcipip is zwaar verouderd. Het beschikt nota bene niet eens over de basis beveiligingen als authentication en encryption.

TCP/IP is ooit gemaakt voor robuustheid en niet voor veiligheid. Dat speelde in de beginjaren niet zo.
Dat is een onzinnige opmerking naar mijn mening.

In zo'n elementair protocol wil je niet beveiliging ingebed hebben, sinds beveiliging continu bijgewerkt moet worden, en TCP/IP gewoon altijd moet werken. Je wil niet dat de encryptie verouderd is, dus het hele internet vernieuwd moet worden, en incompatibel is met oude apparaten.

Er zijn legio manieren om beveiligde verbindingen over TCP/IP op te zetten, zoals SSL, TLS en vele anderen. Als je verzaakt dat te doen, is dat eigen schuld. Ook voor authenticatie zijn legio veilige opties.
Dat zijn additionele tools en feitelijk lapmiddelen die er later allemaal aan zijn toegevoegd.
De nieuwe protocollen moeten dat allemaal standaard in hun core herbergen.

Tcp/ip is niet voor IOT geschikt. Veel te zwaar. Tizen is er heel erg geschikt voor. Tizen is juist vooral gemaakt voor IOT en heel kleine devices.
Tizen is een Linux distributie. Dat wil zeggen dat het oa. een Linux kernel draait. Vergelijk het met Ubuntu maar dan meer gericht op mobile en embedded (meer want ook Ubuntu wordt in die context gebruikt). Een Linux distributie wil zeggen package management, een set typische libraries, een set tyische software (de GNU collectie, een windowing systeem zoals X11 of Wayland, een desktop, en zo verder).

De Linux kernel implementeert oa. TCP/IP. D.w.z. dat Tizen ook TCP/IP implementeert en voorziet. Wanneer je m.a.w. een netwerkkaart configureert met ifconfig op Tizen, dan configureer je TCP/IP.

SSL is typisch een laag bovenop TCP/IP om encryptie te voorzien. TLS is typisch een modus binnen een protocol om te encrypteren. Je hebt bv. op poort 993 de SSL mogelijkheid van IMAP, maar op de standaard poort 143 de STARTTLS capability. Het is beter om TLS te gebruiken dan (verouderde, wrapped) SSL. Over zowel TLS als SSL kan je verschillende encryptie algorithmes gebruiken die genegotioneerd worden tussen server en client tijdens de handshake.

Je hebt ook UDP. Bij UDP krijg je geen zogenaamde acknowledgements. D.w.z. dat wanneer je iets uitstuurt je niet weet of de andere kant het ontvangen heeft. Dat is bij TCP wel het geval. Je hebt bij TCP m.a.w. een stateful connectie. Voor veel protocols kan je niet anders dan acknowledgements nodig te hebben en een stateful connectie te voorzien. Dat heeft UDP niet. Het maakt UDP lichter maar in veel gevallen ongeschik (je weet immers niet wat de andere kant heeft aangekregen). Als de andere kant terug gaan communiceren over UDP om te vertellen wat het al heeft aangekregen, dan kan je net zo goed gewoon TCP gebruiken.

ps. Ik ben software ontwikkelaar die op oa. Tizen en haar voorgangers software heeft geschreven. Zoals bv. een E-mail client die op een reeks Nokia toestellen draait (Nokia's MeeGo kan beschouwd worden als een voorganger van distributies zoals Mer en Tizen) dat IMAP met STARTLS en imaps (993, wrapped SSL) ondersteunt.
Tizen is een besturingssysteem wat, in elke configuratie waarin ik het gezien heb, gebruik maakt van TCP/IP. Overigens draait Tizen een volledige Linux kernel, dus is in veel gevallen te zwaar voor simpele IoT toepassingen (lampen en dergelijke). Het is wel enigzins geschikt voor zware IoT toepassingen (dingen met schermen m.n.).

TCP/IP is inderdaad niet het lichtste protocol (in mijn reactie hieronder heb ik reeds gezegd dat het wat zwaar is) maar uitermate geschikt voor dingen als beveiligingscamera's, waarvoor er overigens weinig alternatief is (UDP is ook een optie).

Dat dingen als SSL lapmiddelen zijn, is zoals gezegd, onzin. Werking van het internet en beveiliging van internetverkeer zijn twee verschillende dingen die je niet in 1 protocol wil regelen. Het is goed dat beveiliging apart geregeld is, zodat het meer afgesteld kan worden op de eisen, en sneller ge-update kan worden.

Klinkt alsof je de klok wel hebt horen luiden, maar niet weet waar de klepel hangt.
Lees je wat bij over het OSI model :)
Tcp en ip zijn verschillende zaken, zeker als je het over security hebt. Lees ook wat over IPSec en TLS, die net tot doel hebben een veiliger transport layer protocol te bieden als de situatie daartoe noopt.
Security op deze lagen is belangrijk, maar niet "vergeten". Het gaat je op applicatielagen ook niet beschermen. Daartoe is het niet bestemd.

[Reactie gewijzigd door the_stickie op 21 oktober 2017 13:55]

Vooralsnog zijn vooral apparaten die rechtstreeks aan het internet verbonden zijn slachtoffer. Maar al die meer "lokale" protocollen zijn niet persÚ veiliger: er worden evengoed kwetsbaarheden gevonden in die protocollen en de verbonden apparaten. Voor gerichte aanvallen is dat nu al een reŰel probleem, maar het is wachten op een bredere acceptatie voordat malware zich evengoed via die media van apparaat naar apparaat (bijv telefoon tot telefoon of huis tot huis) verspreidt.

IoT staat overigens voor internet of things... IP is het protocol van het internet. Zonder IP geen IoT ;)
Het is in dit geval juist steeds meer de apparatuur die niet direct aan internet hangt die het slachtoffer begint te worden. De apparatuur die direct aan internet hangt is tegenwoordig steeds beter beveiligd. Juist een ipcam, koelkast of ander apparaat zijn relatief makkelijke doelwitten omdat die vaak slecht beveiligd zijn. Standaard wachtwoorden bevatten. Speciale accounts bevatten voor ontwikkelaars die niet uitgezet kunnen worden maar allemaal hetzelfde wachtwoord accepteren. Bovendien word deze apparatuur vaak niet voorzien van de laatste firmware zolang er geen problemen zijn met de werking.
Deze apparaten bevatten steeds vaker best krachtige CPU's waar prima veel dataverkeer mee te genereren is.
Ze weten op slinkse wijze lokaal in het netwerk iets uitgevoerd te krijgen wat niet de aandacht trekt omdat alles ogenschijnlijk gewoon prima blijft functioneren. Maar ondertussen is je lokale netwerk al gescand op kwetsbare apparatuur en word die kwetsbare apparatuur besmet. Op het moment dat er 1 apparaat in je netwerk besmet is hebben ze alle tijd om de rest ook te besmetten.
Als je 1 wifi router weet te besmetten kun je dat ding rustig alle wachtwoorden laten proberen op de andere wifi netwerken die in range zijn. Geen consument die dat opmerkt. Misschien dat zelfs de kwetsbaarheid in WPA2 al misbruikt word om op netwerken in te breken. Bijna alle wifi netwerken zijn dan kwetsbaar.
Eens. Het is wel zo, zoals je zelf aangeeft, dat dit momenteel nog afhankelijk is van kwetsbare IP endpoints. Ik probeerde net aan te halen dat dit in de (zeer) nabije toekomst niet meer zo hoeft te zijn. Security van PAN en SRN apparaten is dus ook nu al zeer belangrijk.
het maakt totaal niet uit hoe goed je iets beveiligd hoe lang gaat een koelkast mee? hoe lang ga je support krijgen ? 4 jaar misschien? en daar na is je zeer goed beveiligde systeem net zo lek als elke andere.....
er is maar 1 manier om de wereld te reden death to the IoT. it's us or them ..
IP staat zelfs voor Internet Protocol, zoals IoT staat voor Internet of Things.

Het standpunt dat enkelen hier innemen als zou bv. Bluetooth of een ander protocol 'veiliger' zijn, komt overeen met een uitspraak als "In het Frans vloeken is veiliger dan in het Engels vloeken", in een wereld waar vloeken dodelijk kan zijn.

M.a.w. of een stuk software dat op Bluetooth luistert slecht geschreven is, of het is een stuk software dat op een TCP (of UDP) socket luistert en slecht geschreven is; daarbij maakt niet of of dan wel Frans (Bluetooth) dan wel Engels (TCP) dan wel morse code (UDP) gebruikt wordt. De slechte software zal op in te breken zijn. Eens ingebroken kan de apparatuur (vaak) omgevormd worden tot een nieuwe aanvalsvector. Aangezien de apparatuur dan de hardware aanwezig heeft om in het Frans (Bluetooth) of het Engels (netwerk kaart, Wifi, TCP of UDP) of morse te praten, kan die nieuwe aanvalsvector andere toestellen in de buurt gaan aanvallen.

Het protocol is m.a.w. niet waarop de beveiliging moet gebeuren. Wel op de end-point. M.a.w. moet de software goed geschreven worden. De eind-punten moeten veilig zijn. Als die veilig zijn kan je op de transportlagen een beetje gaan verbeteren. Maar onveilige eindpunten zijn altijd inherent onveilig. Die zijn ook niet veilig te maken. Er zijn gewoon te veel manieren.
TCP/IP is een prima protocol voor IoT, buiten dat het wat zwaar is.

Je moet dit soort spul alleen achter de firewall houden, en een half oog houden op dat fabrikanten geen backdoors erin stoppen (indien mogelijk). Zo lang ze achter een firewall zitten is er niks aan de hand.

Alles via Bluetooth/ZWave doen is veilig tot aan je bridge/controller, die natuurlijk wel met het internet verbonden is. En daarnaast is ZWave ZEKER niet veilig (zie o.a. EZWave), bij bluetooth is de veiligheid van de implementatie afhankelijk, je moet alleen wel in de buurt zijn om het te hacken.

In praktijk moet gewoon vrijwel alles wat verbonden is met het internet achter een firewall op een lokaal netwerk zitten, behalve als er echt goed over security nagedacht is. Als je een willekeurige camera o.i.d. direct aan het internet verbind, is dat wachten op problemen.
Ik vind Bluetooth niet echt veiliger. Vooral omdat Bluetooth voornamelijk ingezet wordt in toestellen die nooit meer een upgrade zullen krijgen en omdat Bluetooth vrijwel altijd zonder enige serieuze vorm van beveiliging ge´mplementeerd wordt door die fabrikanten. D.w.z. dat ik vanop afstand kan inbreken in veruit de meeste Bluetooth toestellen.

Van waar die fabel komt waardoor bepaalde mensen hier denken dat Bluetooth veilig is, is me eigenlijk een raadsel. Haar implementaties, die momenteel in biljoenen toestellen draaien, zijn niet veilig en hebben serieuze security problemen die bijna in geen enkel hedendaags toestel gepatched zijn en nooit zullen worden (omdat het gewoonweg niet mogelijk is).

De reden waarom er meer aanvallen over TCP/IP gebeuren, is omdat er veel meer TCP/IP toestellen vanop afstand bereikbaar zijn. Dus het is gemakkelijker voor bots en luie hackers om ze te targetten.

[Reactie gewijzigd door freaxje op 21 oktober 2017 09:46]

Als ik naar de merken kijk, dan betreft dit toch vooral netwerkapparatuur. Dat gaat niet lukken met zwave en dergelijken...
Waarschijnlijk heb jij ook een centrale hub die e.e.a monitort danwel aanstuurt en de koppeling maakt met bijvoorbeeld pc of smartphone? Via die hub is dan weer van alles mogelijk.

Het kan ook zonder, maar dat beperkt de mogelijkheden nogal.
Ja, maar dat is omdat je een tweaker bent :) Mijn ouders kopen bijv gewoon iets en snappen nog net hoe ze het op de router moeten bridgen. En dan een app installen op de telefoon. Maar als het werkt het: werkt het. Van de meerderheid die deze product koopt, gaat niemand verder dan dat. Geen config, geen aparte router voor IoT devices, geen extra stappen doornemen zoals bv beveiliging, firmware updates, firewall configureren, ipwhitelisten, etc.
TCP/IP mag best, maar niet bereikbaar vanaf het internet. Alleen bereikbaar vanaf een lokaal IP adres. En misschien dat soort apparatuur zelfs in een eigen subnet plaatsen.
Internet of things mag geen internetverbinding hebben? Goede naamgeving dan wel.
Veel van de (toekomstige) mogelijkheden is juist handig om op afstand te kunnen kijken/bedienen.
In de winkel kijken wat je nog thuis in koelkast hebt, alvast verwarming aanzetten als je naar huis gaat. Omdat je wat laten thuis bent je recorder programma laten opnemen.

Maar ben wel deels met je eens en kijk het hele IOT met argusogen toe.
Aan de ene kant kunnen wij ons best redden zonder en is de vraag hoe nuttig alles is, aan de andere kant denk ik dat mensen het willen en het dus gaat komen (in veel grotere hoeveelheid, met dat in ongeveer ieder huis koelkast met IOT staat).

Probleem is echter dat goed te beveiligen is (anders zou elke server op internet ook gevaar zijn) maar dit is duur. En de gemiddelde mens is niet bereid die prijs bij een product te betalen en heeft helaas ook niet verstand om alles goed te beveiligen.

2 opties in mijn ogen zijn:
Het apparaat heeft alleen verbinding met server van fabrikant en als klant kun je via die server je apparaten bedienen. (hiervoor hoef je alleen andere verkeer te blokkeren en de server goed te beveiligen).
Iedereen heeft thuis controle-unit (servertje) thuis en alleen via die unit kan je verbinding maken met de apparaten. Hierdoor hoeft alleen de controle-unit dichtgetimmerd te worden.

Natuurlijk zijn beide niet ideaal (er moet extra apparaat toegevoegd worden of alles moet via fabrikant gaan), maar lijken mij 2 opties die beveiliging stuk beter maken en nog betaalbaar zijn. In plaats van elk apparaat 5 jaar (of langer) beveiligingsupdates geven, wat ervoor zorgt dat de apparaten te duur worden (tenminste we willen alles zo goedkoop mogelijk)
Laten we hopen dat dit een ge´rriteerde IT-specialist is die hiermee wil aantonen hoe kwetsbaar wij (de samenleving) zijn.
Deze presentatie van afgelopen week tijdens Hack.Lu (hackercon in luxemburg) geeft je een idee wat er gedaan wordt met die botnets.

ps. Je moet even door de slechte intro van die Rus door. Maar na een tijd krijg je een goed zicht op wat er gaande is.
Thanks man, heel interessant.
Niet alleen dit subject, maar ook het event, eindelijk wat meer breed ge´nteresseerden te vinden van een net iets ander niveau. ;) _/-\o_
Andere hackercons die je interessant zal vinden zijn CCC, SHA2017 (wereldbekend vierjaarlijks event in Nederland dat iedere keer een andere naam krijgt) en dan natuurlijk Amerikaanse zoals Defcon, enzo.

CCC's conference vind ik eigenlijk ieder jaar het meest interessant. Als je meer software ontwikkeling interessant vind dan hebben we in de lage landen FOSDEM en haar kleinere Nederlandse broertje T-DOSE.

Ikzelf zal niet snel naar een hackercon gaan omdat het niet echt over software ontwikkeling gaat. Maar een keer FOSDEM missen, zelfs sinds het nog OSDEM noemde, moet in mijn leven nog gebeuren.
Ik zit in storage, security en beheer; sysadmin, netadmin en dbadmin, moet wel veel scripten zowel op MS al UX, maar ga je genoemde bronnen wel ff checken. Misschien kan ik nog wat leren / opsteken. ;) Cheers mate.
Ik denk net dat jullie die in storage, security, beheer, sysadmin, netadmin en dbadmin zitten naar die hackercons moeten kijken. Daarin leggen gepassioneerde nerds uit hoe ze in je netwerk zouden inbreken.

Meestal zijn die mensen zelf in dienst als pentester of zo. Ze mogen dan wel gepassioneerd zijn en waarschijnlijk velen van hen een beetje gek: ze laten je haarfijn zien waarop je moet letten. Veruit meeste zijn helemaal niet van plan kwade bedoelingen te hebben. In tegendeel. Ze hebben er plezier in de wereld te laten zien hoe ze ÚÚn en ander omzeilen. Ze laten dat daar op die hackercons zien. Dus daar valt enorm veel te leren over hoe je je zaken moet beveiligen. Veel meer dan op een conference waar de anti-virus bedrijven hun dozen aan je proberen te verkopen. Die dozen zitten immers bomvol (opzettelijke) fouten en de mensen op die hackercons geven gewoonweg presentaties over de fouten die zij in die security-product-dozen hebben gevonden. Komt zo een doos of producent van dozen wat vaak aan bod op zo'n hackercon: misschien koop je dan volgende keer beter een doos van een andere producent? Want felle kleurtjes op de dozen van security-producten wil niet zeggen dat wat er in de doos zit ook een goed product is. Meestal in tegendeel.

Vergeet ook niet een leven lang te blijven leren.

Ik heb als software ontwikkelaar interesse in die hackercons, omdat af en toe zij dingen vinden die eigen zijn aan slecht software ontwerp. Meestal, en vooral de laatste jaren, hebben ze het over zo goed als zeker opzettelijke fouten en backdoors.
Fijne timing voor de politiek. In het nieuwe regeringsakkoord staat..
- Een stukje over het verbieden van slechte IOT apparaten, net zoals nu in Duitsland gebeurt. Mogelijk zou een keuringsinstituut die rol op kunnen pakken.
- Een stuk over het ontwikkelen van 'veilige IOT standaarden'.
- Een stukje over het verhogen van de aansprakelijkheid van de makers van deze apparaten.
bron bron
Fijn, dan worden "zwakke" IOT apparaten verboden... in Nederland.
Hoe gaat ons dat beschermen tegen de miljoenen (miljarden?) apparaten die buiten Nederland, zelfs Europa, verkocht worden?

Ik snap dat de regering hier aandacht aan moet besteden, maar dit soort kreten toont het gebrek aan kennis op dat niveau toch wel heel erg aan... Of het populisme: "kijk eens buuf, de regering doet wat aan onveilige apparaten!" 8)7
Kennis? Dit heeft daar niks mee te maken: je kunt nu eenmaal geen wetten en maatregelen nemen voor wat er buiten de Nederlandse grens gebeurt. Milieumaatregelen hier beschermen ook niet tegen vervuilde lucht uit het Ruhrgebied die hierheen waait.

Qua standaarden kunnen er echter wel degelijk internationale afspraken worden gemaakt. Het kan alleen wel even duren voordat zoiets effect krijgt.
Precies, en daar moet de, focus dan ook op liggen: het maken van die afspraken!

Het is leuk om hier apparaten te verbieden die onveilig zijn, maar als daar internationaal niks mee gedaan wordt, zal het ons niet helpen als er een botnet uit AustraliŰ de AMS-IX plat legt.
Maar dan is het natuurlijk wel handig om aan te kunnen tonen dat jij als land er mee eens bent en met het 'probleem' bezig bent geweest. Ik verwacht dus dat na deze wet dus internationale afspraken over komen. Hoe snel dat gebeurt is altijd weer de vraag met deze politiek,..😏
Makers aansprakelijk stellen voor het niet patchen etc. Vind ik wil een goede. Nu is een telefoon na een paar jaar niet met veilig. Een koelkast echter miey toch zeker 10 jaar mee kunnen.
geen patches uitbrengen is heel wat anders dan gebruikers die de updates niet doorvoeren, bij alle android telefoons hier in huis krijg ik om de 5 minuten iemand aan mijn deur nadat google een update uitbrengt (ja toevallig draaien we allemaal redelijk kale android telefoons, want sneller en goedkoper) waarbij ze dus bijna allemaal tegelijk de push meldingen krijgen voor updates.
Ik denk dat gewone consumenten in deze wat beter beschermd zouden moeten worden. Ik vind dat opslaan en verwerken + delen van bepaalde informatie van gebruikers helemaal verboden zou moeten worden.

Met name informatie die helemaal niet meer helpt om het apparaat beter te laten werken. Daarnaast zou die data niet zomaar aan een bedrijf meoten toekomen. Maargoed. Ik vind ook dat de EU hierin google en facebook eens aan zou moeten pakken.
Bestaat er ergens een lijst van apparaten waarvan bekend is dat ze kwetsbaar zijn? Ik heb geen idee welk van mijn apparaten hier vatbaar voor zijn (of zelfs al besmet). Maakt het makkelijker ook maatregelen te treffen.
Zo goed als alle huidige iot devices hebben wel een of ander probleem.
Firewallen - tunnelen - vpn'en, beveiligen, 2FA - de oplossingen zijn er - en 't is allemaal niet moeilijk - maar dan moet er nagedacht en gepland worden, en wij pseudo-multitaskers denken dat we 't allemaal zonder kunnen. Niks van aan natuurlijk.
We hangen alles onbeschermd in 't internet - en dan stellen we vast dan onze speeltjes gehacked worden - tja, wat had u gewenst?
Niet zo gek toch? Of moeten we allemaal maar examen internetbeveiliging doen voordat we zo'n ding mogen aanschaffen?
1/2 van de mensen (en gok dat zelfs nog meer is) heeft nog nooit in de instellingen van router gekeken. En de producten worden wel op markt gezet voor jan en alleman.
Zolang in handleiding niet meer staat dan dat voor verbinding van buitenaf je een poort moet forwarden (of nog leuker, apparaten waarmee je via server van fabrikant naar je apparaat word geleid) kun je niet verwachten van de consument dat die veel meer beveiliging toepast.
Misschien tijd voor de industrie om eens te kijken naar veiligere oplossingen zoals IOTA :)
Ziet er heel mooi uit maar is nog in beta helaas..
ja offcource, het staat ook nog echt in de kinderschoenen.

Maar als er oprechte interesse, en een flinke kapitaalinjectie vanuit een bedrijf als Samsung.
zou dit zomaar binnen een paar jaar DE oplossing kunnen zijn.

En nee ik heb geen aandelen hierin :+
Samsung is hier ook heel actief mee. Ze hebben een forse investering gedaan in het Amerikaanse bedrijf Bayshore Networks.

Bayshore Networks is a Bethesda, MD based company that bills themselves as “the cybersecurity leader for the Industrial Internet of Things.” Much like the consumer market, which was hit with a major DDoS attack last year – security has become a prime concern for the companies seeking to implement IoT technologies in industrial environments. Bayshore is said to posses technology that both empowers and, more importantly, protects industrial IoT solutions.

Bayshore says their technology provides enterprises “with unprecedented control and visibility into their Operational Technology infrastructure while safely and securely protecting industrial applications, networks, machines, and workers.”

https://www.strata-gee.co...ment-another-iot-company/

Het is en bljift de vraag hoe veilig die nieuwste technieken zijn wetende dat hackers altijd weer een manier hebben gevonden om toch weer de beveiliging te omzeilen.
Twee dagen geleden.
https://news.samsung.com/...oftware-turn-key-solution

[Reactie gewijzigd door MartinCock op 20 oktober 2017 19:58]

lol, geen aandelen maar wel de tokens zeker? ;) https://www.binance.com/trade.html?symbol=IOTABTC

[Reactie gewijzigd door DeMoN op 20 oktober 2017 19:28]

En nee ik heb geen aandelen hierin
Misschien moet je dat toch doen; als 't aanslaat wordt je rijk ;o)
Zolang de code die ingeklopt is voor een IOT device gewoon crap is schiet dit niet op.
je kan ook gewoon een koelkast of speaker die niet praten of je afluisteren kopen in de winkel hoor...
waarom zou je in godsnaam alles maar willen aansluiten op het internet..
Wil je je stofzuiger horen zeggen dat de zak vol is ofzo..
Wil je je stofzuiger horen zeggen dat de zak vol is ofzo..
Ja, precies dat, maar dan voor mijn diepvrieskist in de schuur, wanneer de temperatuur te hoog dreigt te worden.
Evenzo voor was- en droogmachines. Die geven kleine piepjes, die niet verder gaan dan de ruimte waar ze in staan. Zou reuze handig zijn, wanneer deze signalen zouden worden doorgegeven naar mijn GSM.
Toch heb ik laatst voor de zekerheid maar gekozen voor apparaten zonder IoT. ;)
Dat vind ik dus grote onzin. Ten eerste weet je prima dat er een was in je wasmachine zit, en die ene keer in de 10 jaar dat je vriezer te warm wordt is ook nog wel te overzien. (mooi moment om hem weer eens leeg te eten en schoon te maken)
En wat doe je als je vriendin dat wasje erin doet en jij op je werk zit, wie krijgt dan de melding? Of moet dat op beide telefoons? We worden veel te afhankelijk van technologie op die manier. En je zult zien, die melding gaat de eerste 3-4 jaar goed daarna komt er geen update meer van de app op je telefoon en zet je het gewoon weer uit. Of ga je dan een nieuwe wasmachine kopen?
Mensen zouden zich kunnen verdiepen in hoe je met het gebruik van smarttv, NAS, iot en ipcamera's veilig om kunt gaan. Koppel je spullen niet klakkeloos aan een cloudaccount. En zet de poorten van je router niet standaard open zodat het eenvoudig te benaderen is voor de slechteriken.
En die router is wel veilig? Oh wacht.....
Ik heb in ieder geval dubbel NAT actief omdat ik die router gewoon niet vertrouw. Het is een consumenten dingetje. Ook de WiFi van die router staat uit. Alles achter mijn server die ook NAT doet is LAN. inclusief AP's voor wifi. Ik heb Unifi AP-AC accesspoints, maar de cloud functie staat hiervan uit. De controller draait in een aparte container op mijn (proxmox) server.
Klinkt misschien als overkill, maar ik ben gesteld op mijn privacy.
Mooie uitleg om je eigen huisnetwerk goed te beveiligen. Ik hou er wel van om niet veel stroom te gebruiken.
Die server draait toch wel. Die heeft meer services dan alleen Gateway draaien. Daar komt nog bij dat het een (relatief) zuinige processor is: Intel Xeon D1521 met een TDP van 45W. En wel 4 Cores/8Threads dus redelijk ideaal als proxmox server. Naast NethServer met de nodige services, draaien er ook nog 2 containers: 1 met Calibre e-book bibliotheek en 1 met Unifi controller voor mijn AP's
Beangstigende gedachte dat ze mijn nas misschien in de gaten houden en er bij eerste 0day in zitten...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*