Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Maker BrickerBot-malware claimt 10 miljoen iot-apparaten te hebben ge´nfecteerd

De maker van de BrickerBot-malware claimt dat zijn kwaadaardige software ongeveer 10 miljoen apparaten heeft ge´nfecteerd. Daarnaast zegt hij te stoppen met zijn 'opschoonactie'. De malware maakt kwetsbare internet-of-things-apparaten vrijwel onbruikbaar.

De persoon, die zichzelf aanduidt als The Doctor of The Janitor, maakte zijn beslissing om te stoppen bekend aan Bleeping Computer. De site heeft al eerder een interview met de BrickerBot-maker gepubliceerd, waarbij zijn identiteit zo goed mogelijk is onderzocht. Destijds claimde de persoon achter de malware dat hij twee miljoen apparaten had geïnfecteerd. Dat zou betekenen dat er acht miljoen apparaten in acht maanden zijn bijgekomen.

De malwaremaker noemt verschillende redenen voor zijn beslissing om te stoppen. Zo zouden zijn acties eraan bijdragen dat de 'iot-beveiligingsramp' als minder ernstig wordt gezien. Hij zegt verder dat hij actie ondernam om iedereen tijd te geven om maatregelen te nemen, maar in zijn ogen wordt er niet genoeg ondernomen om de beveiliging van iot-apparaten te verbeteren. Bovendien zouden overheden eenvoudiger achter zijn identiteit kunnen komen als hij doorgaat met zijn acties.

Naar eigen zeggen is de persoon achter BrickerBot sinds november van vorig jaar met zijn actie bezig. Zijn malware werd onder meer opgemerkt door beveiligingsbedrijven en daarmee ook door het Amerikaanse Cert. Zo publiceerde het beveiligingsbedrijf Radware in april een analyse van de malware, waaruit bleek dat deze geïnfecteerde systemen zo goed als onbruikbaar maakte door het bestandssysteem te beschadigen en het aantal kernel threads naar 1 te verlagen.

De maker van BrickerBot ziet zijn activiteit als een soort 'opschoonactie' om kwetsbare iot-apparaten van het internet te halen. Dat neemt niet weg dat zijn acties illegaal zijn en er ethische bezwaren bestaan. Er zijn ook andere, soortgelijke malwarevarianten te vinden. Bijvoorbeeld de Hajime-malware, die bedoeld is om de uitbreiding van het Mirai-botnet te remmen. Dat botnet bestaat uit kwetsbare iot-apparaten als ip-camera's en digitale videorecorders en is in staat om grote ddos-aanvallen uit te voeren.

Door

Nieuwsredacteur

60 Linkedin Google+

Reacties (60)

Wijzig sortering
Het probleem met al die IOT dingen is dat er genoeg spullen zijn die zomaar aan internet hangen en ook toegankelijk zijn van daaruit, dikwijls nog met standaard paswoorden en instellingen. De betere toestellen laten dit niet toe (Iets als een Nest bijvoorbeeld gaat geen poorten openzetten, maar spreekt enkel met de servers van de fabrikant, Dahua camera's moeten specifiek geconfigureerd worden of die doen helemaal niets, ...). Natuurlijk zijn dergelijke dingen alleen maar veilig als er bij de ontwikkeling al voldoende aandacht aan besteed is, en ook de gebruiker gaat niet altijd vrijuit.

Mijn IOT apparaten zijn niet rechtstreeks toegankelijk via het internet, maar communiceren enkel via de services van de fabrikant of loggen enkel data naar bijvoorbeeld thingspeak. Wanneer ik rechtstreeks aan mijn devices wil kunnen, doe ik dat wel even via een VPN. Het enige dat wel (via https) toegankelijk is, is mijn NAS, en die wordt altijd mooi bijgewerkt en is aardig veilig geconfigureerd.
Dan hoef je dus alleen de fabrikant te hacken en dan heb je de info van alle eindgebruikers. Nest zal dat nog wel goed regelen maar een willekeurige chinese device server echt niet.
Inderdaad, da's dan ook waar de gebruiker op (zou) moet(en) letten bij de aanschaf en configuratie van zijn toestellen. Het probleem is dat de meeste gebruikers dat niet kunnen of er geen aandacht aan besteden, en daarom is het belangrijk dat de toestellen standaard zo veilig mogelijk ingesteld zijn, wat jammer genoeg niet altijd het geval is.

Toestellen als de Nest en de Hue zijn gekoppeld met de service van de fabrikant, en van deze fabrikanten kunnen we redelijkerwijs aannemen dat ze hun beveiliging vrij goed op orde hebben. Ook al is dat niet het geval, dan zijn de gevolgen redelijk beperkt. In het slechtste geval, bedient iemand anders het licht of zet die de verwarming hoger of lager, wat me in principe een beetje geld kan kosten. Dit gaat echter niet tot schade leiden. De info die ze eruit kunnen halen bij een hack van de Nest server is dat persoon met email-adres x.y@z.com 1 nest thermostaat en 7 rookmelders heeft en hoe die heten. Adresgegevens staan er niet bij, dus ja... ook beperkt risico. Bij de Philips Hue idem, maar dan de namen van de lampen.

De camera staat gericht op publiek zichtbaar gebied en uit de beelden is niet af te leiden of er iemand thuis is of niet, dus zelfs al zou die stream vanop internet te bekijken zijn, er zou geen risico aan verbonden zijn. Deze stream is echter enkel beschikbaar via de NAS. De zelf camera's zijn niet toegankelijk vanop internet.
Andere IOT devices zijn vooral wat zelf gemaakte dingetjes met een NodeMcu die vooral als datalogger dienen en dus ook niet vanop internet toegankelijk zijn.
Ik heb er nog nooit echt (goed) op gezocht, maar een centrale, doorzoekbare plek waar alle iot apparaten op vermeld staan met daarbij (eventuele) kwetsbaarheden zou erg handig zijn en fabrikanten aansporen om een focus op de beveiliging te leggen.

Ik wil namelijk wel graag weten of een product (bekende) kwalen heeft voordat ik het in mijn huis op internet aansluit, maar kan hier niet altijd wat over vinden.
Het is niet alleen kwetsbare apparatuur, maar ook de laksheid van mensen om wachtwoorden te veranderen. Als je camera toegankelijk is vanaf het internet en je kan inloggen met admin/admin dan is het vragen om problemen. Ik denk dat veel mensen dit niet in de gaten hebben en er vanuit de winkel en fabrikant verplicht voorlichting moet worden gegeven aan de klant, alsmede geen standaard wachtwoorden e.d. meer op zo'n apparaat.
Goed, ga jij even Hans en Annie leren hoe je het wachtwoord veranderd van hun koelkast.. terwijl Annie na de eerste 10 seconden al loopt te janken dat het allemaal te veel wordt :P, en dan de overige ietwat 5 miljoen Hans en Anie's in Nederland (en daarna de rest van de wereld)

[Reactie gewijzigd door dakka op 12 december 2017 15:19]

Heel simpel, gewoon constant met een loper hun deur openen. En zeggen tja het is maar een standaard slotje ;-)
Dan geeft Hans (die werkt in de zware industrie) je gewoon een hoek en lig jij te creperen, maar daar leren ze verder niet zo veel van hoor ;)

[Reactie gewijzigd door dakka op 12 december 2017 15:21]

Moet hans eens proberen... draai z'n scharnieren eruit :+
Als iemand die met dit soort mensen werkt. Fantastisch punt
Goed, ga jij even Hans en Annie leren hoe je het wachtwoord veranderd van hun koelkast..
Je moet je even goed achter de oren krabben waarom aan Hans en Annie een koelkast is verkocht waar je een wachtwoord voor nodig hebt om het veiliger te maken voor aanvallen vanaf een netwerk.
Is in de basis al een zot voorstel.
Ze kochten deze omdat deze net iets duurder is dan de koelkast van de buren
Omdat het 17 jarige gassie bij de mediamarkt perse die koelkast aan hun wou verkopen omdat die net wat boven hun budget lag(commissie basis he) en je met die koelkast "super handig naar je smartphone je boodschappen lijstje kan sturen, keivet toch?"

Je kan hoog of laag springen, maar die koelkasten worden toch wel verkocht, fabrikanten moeten hun shit gewoon beter beveiligen, verwachten dat de consument dat doet is een utopie

[Reactie gewijzigd door dakka op 12 december 2017 21:54]

Het is niet alleen kwetsbare apparatuur, maar ook de laksheid van mensen om wachtwoorden te veranderen. Als je camera toegankelijk is vanaf het internet en je kan inloggen met admin/admin dan is het vragen om problemen. Ik denk dat veel mensen dit niet in de gaten hebben en er vanuit de winkel en fabrikant verplicht voorlichting moet worden gegeven aan de klant, alsmede geen standaard wachtwoorden e.d. meer op zo'n apparaat.
Ligt toch voor een deel aan de fabrikant, die kan ook per apparaat een uniek wachtwoord genereren (veel routers hebben dat volgens mij al tegenwoordig, zit een sticker onder het apparaat met het standaard admin wachtwoord dat per router verschilt).
Het deel eigen verantwoordelijkheid begrijp ik, maar ik zou graag een overzicht hebben van bekende problemen met apparaten. Ik heb nu bijvoorbeeld thuis een Nest thermostaat en Philips Hue systeem (van buiten benaderbaar) en ga ik er gemakshalve maar vanuit dat bedrijven als Google en Philips hun beveiliging wel op orde zullen hebben, maar zeker voor producten van kleinere fabrikanten zou een overzicht (om vooraf te kunnen checken) imho handig zijn.
Laatst een discussie gehad met een deur-tot-deur verkoopster. Ze kwam om te vragen of wij al slimme meters/thermostaten hebben. Nadat ik zei dat we dat niet hebben en ook niet willen vroeg ze de reden en die kreeg ze ook. Zolang de beveiliging laag staat en iedere hacker of dief kan zien wanneer wij thuis zijn, lijkt mij geen goed plan. Alsnog bleef ze doorzeuren dat het minder werk is en dat het goed beveiligd is en dat we er geld op besparen... Totdat ik zei dat ik in de IT werk en hacken als een hobby heb :P (Ook al ben ik geen echte hacker, maar meer iemand die het wel wil leren :P ). Zolang het niet verplicht wordt, zeg ik nee, zou het verplicht worden, dan zal er iemand een rechtszaak starten ;)

Ja het is handig dat je op je werk alvast de verwarming thuis iets harder kan zetten en dat de meterstanden automatisch worden doorgegeven. Maar heeft het nut als iedereen die gegevens kan inzien en er ook misbruik kan maken? Zo hoeven dieven/inbrekers hun deur niet uit om te kijken wie wel en wie niet thuis is, maar kunnen ze dit vanaf hun luie stoel doen.

En ja, ik weet dat de meeste IoT devices goedkoop moeten zijn, maar er zijn zat IoT devices die nog prijzig zijn en dezelfde flut beveiliging hebben als de goedkope devices.
Kom er eerst maar met een goede manier van security op de IoT devices, dan pas wil ik wel er over nadenken of ik het wel of niet ga doen.
Niet alleen hackers, maar stel dat je een keer je saldo op je betaalrekening niet hebt aangevuld en de energierekening kan er niet af dan kan de energiemaatschappij je met ÚÚn druk op de knop afsluiten, dit kan in de toekomst wellicht zelfs automatisch en dan mag je gaan bellen en 3 uur in de wacht gaan staan om te regelen dat het weer in orde komt.

Verder zijn er inderdaad ook privacybezwaren, zo zou je patronen kunnen maken aan de hand van het stroomvebruik wanneer je bijv doucht, de wasmachine aanzet en inderdaad wanneer je thuis bent.

Een ander probleem is dat de slimme meter ook stroom verbruikt en dat uit onderzoek is gebleken dat het je eigenlijk vrijwel niets oplevert qua stroombesparing.

Het is niet tegen te houden zeker niet bij nieuwbouwwoningen maar of het een goede ontwikkeling is, vaak worden dit soort dingen vaak ontworpen met de gedachte van hey dat is handig, zonder rekening te houden met allerlei aspecten als security en privacy. Vaak komt dat achteraf ineens naar boven als het al te laat is, oh ja dat hadden we misschien beter moeten beveiligen.

Ik zie de nieuwe ransomware al die je stroom afsluit en je moet een bitcoin over maken om hem weer te activeren. Net als die hacker die op afstand alle hoteldeuren op slot deed.
Een ander probleem is dat de slimme meter ook stroom verbruikt en dat uit onderzoek is gebleken dat het je eigenlijk vrijwel niets oplevert qua stroombesparing.
Dat vind ik interessant, heb je daar een bronnetje voor?
Een meter heeft ook niks met stroombesparing te maken, het moet meten. Niks meer en niks minder. Dat dat ding energie verbruikt lijkt me logisch, het display werkt nou eenmaal niet op lucht. Of je dit zelf gaat merken? Logischerwijs zou ik zeggen van niet. De kans is best aanwezig dat de spanning voor het meten al voor de meter worden afgetakt en dat de rest netjes door de meter gaat, dus de kosten zitten dan al in je vastrecht o.i.d. verweven.

Mensen die denken dat ze met een slimme meter kunnen besparen hebben op school niet heel goed opgelet. Besparen van energie doe je zelf door wat apparaten uit te zetten, niet of minder te gebruiken, nieuwere modellen aan te schaffen wanneer dat loont of een keer een stekker/adapter uit de wandcontactdoos halen.
Ik beweer ook niet dat je ermee kan besparen, maar ik vroeg mij af hoeveel zo'n metertje zou gebruiken.
O.a. in Engeland zijn daar aardig wat onderzoeken naar geweest. Zie bijv. hier: https://www.theregister.c..._expensive_fewer_savings/ (zie onderaan artikel voor meer gerelateerde info). Hij isoleert niet, zet geen apparaten uit of andere besparende zaken. Een slimme meter maakt zaken beter inzichtelijk, hij verandert niet direct wat aan je gebruik. Alleen als je een display in huis haalt, of als je je verbruik online laat/gaat analyseren kan hij dus invloed hebben doordat jij je gedrag verandert.
(Ik trouwens verwacht dat hij zijn stroom voor de meter pakt, maar weet dat niet zeker.)

[Reactie gewijzigd door Milmoor op 12 december 2017 11:01]

Ahh, we proberen dus apparaten een naam te geven alsof ze een andere functie hebben dan dat ze hebben. Gotcha!
Aldus Stedin:
De slimme meter verbruikt ongeveer evenveel elektriciteit als een traditionele energiemeter. U betaalt alleen voor het energieverbruik in uw huishouden. Wij betalen het verbruik van de meter.
En door wie wordt Stedin betaald? 8)7

Juist, door ons. :)
Je verbruikt stroom, die wek je niet zelf op, maar dat laat je een derde partij doen. Als niemand een meter heeft, dan moet je het via een model omslaan en een risico- of winst-opslag voor de verstrekken. Verbruik je veel, betaal je naar rato weinig. Dat vonden we niet zo eerlijk, dus hebben we besloten dat iedereen aansluiting van een meter wordt voorzien. Die meter verbruikt een beetje energie, en die energie wordt niet aan de personen doorberekend, maar net zoals andere netwerkverliezen aan de leverancier. Dat vindt die leverancier ook helemaal niet erg, want doordat ze de meting hebben is er geen discussie meer over het verbruik, en doordat ze de slimme meter hebben en die data, kunnen ze energieverbruik beter inschatten, en daardoor scherper inkopen hetgeen ze meer winst oplevert.

Daarnaast betaalt Stedin helemaal niet voor specifiek voor het verbruik van de meter. De eindgebruiker betaald geen kosten voor de elektriciteit die door de meter wordt verbruikt. In welke mate de netwerkverliezen worden toegerekend aan de energie leverancier en in welke mate aan de netwerkbeheerder weet ik niet, maar ik vermoed dat het aan de netwerkbeheerder toevalt en dat die hier in zijn tariefstelling rekening mee heeft gehouden.
Links- of rechtsom... alle kosten die gemaakt worden door Stedin of je energieleverancier worden doorberekend naar jou als consument.

Dat is toch niet zo moeilijk te begrijpen?

Dat is wat ik zei. Stedin doet net alsof hun de kosten van het energieverbruik van de oude of nieuwe meter betalen. Uiteindelijk berekenen ze die kosten (hoe klein ook) gewoon door in hun uurprijs.
Je vergeet dat het ook bespaart doordat er niemand langs hoeft te komen om de stand op te nemen
Uitschakelen op afstand mag niet. Dit verandert niet met de komst van de slimme meter. Sterker nog; de functie moet er iig voor de Nederlandse markt uitgehaald worden, en zal dus ook voor de slimme hacker niet beschikbaar zijn.

Van de site van Enexis:
De komst van de slimme meter verandert niets aan de regels die nu gelden voor het afsluiten van energie (bijvoorbeeld als de rekening niet worden betaald). Enexis zal u niet op afstand afsluiten.
Sterker nog; de functie moet er iig voor de Nederlandse markt uitgehaald worden
Interessant! Heb je een bron voor deze uitspraak?
Daarnaast, wat is de strekking van de woorden 'eruit halen' in dit verband?

[Reactie gewijzigd door koelpasta op 12 december 2017 15:54]

Mijn bron voor die uitspraak is mijn vorige werkgever, waar ik meters heb getest op deze functie. Maar om zeker te weten of dit de wet is heb ik even gezocht. Op de wiki staat dit (inclusief bronnen) beschreven onder de kop: Weigeroptie, schakelfunctie en cybercriminaliteit.

Het eruit halen zou gaan over het herschrijven van de firmware van de meter, zodat deze niet meer in staat is de schakeling uit te voeren. Of dit daadwerkelijk gelukt is is natuurlijk een tweede. Dit wordt door verschillende bedrijven getest.
> Uitschakelen op afstand mag niet.
Enne... daar houden de hackers zich aan? Ahum ;-)
Dream on!
De bedoeling is om deze schakeling niet mogelijk te maken. Dus de routines die de schakeling uitvoeren, uit de firmware te halen. Hierdoor is het onmogelijk om met die firmware de schakeling uit te voeren.
Dus tenzij de hacker de firmware weet te vervangen op afstand, is de meter niet softwarematig uit te schakelen.
Ik zie de nieuwe ransomware al die je stroom afsluit en je moet een bitcoin over maken om hem weer te activeren. Net als die hacker die op afstand alle hoteldeuren op slot deed.
Of erger nog, doordat je je slimme meters en thermostaat op je netwerk zijn aangesloten, zou je een ransomware kunnen schrijven, waarbij je via de meter of thermostaat binnen komt, de netwerk scant naar apparaten en daar een virus of ransomware op zet en voila. Dan nog alleen er voor zorgen dat je alle gegevens binnen hebt (documenten, foto's, video's, rekeningnummers, inloggegevens, etc.) en je hebt een nieuwe manier voor social engineering, oplichting en fraude. Als dat gebeurd, dan vraag ik mij wel af of de schade vergoed zou worden, of dat de vinger gewezen wordt naar de gebruiker...

Misschien een idee dat een Tweaker hiermee aan de slag gaat en gaat kijken welke IoT devices het meest kwetsbaar zijn? Dat zou dan een leuke en interessante aanvulling zijn en wie weet bekeren zich meer mensen tegen het gebruik van slimme meters en thermostaten ;)
Of erger nog, doordat je je slimme meters en thermostaat op je netwerk zijn aangesloten, zou je een ransomware kunnen schrijven, waarbij je via de meter of thermostaat binnen komt, de netwerk scant naar apparaten en daar een virus of ransomware op zet en voila.
Je bedoelt zoiets? nieuws: Onderzoekers tonen ransomware voor slimme thermostaat
ik heb (ongeveer) dezelfde discussie met een kerel van liander gehad die kwam ook even een afspraak inplannen om mij helemaal digitaal te laten zijn...

aantal argumenten opgegooid (waaronder)

die van
'het verbruikt zelf energie en deze roterende schijven een stuk minder tot niet'

'mijn vader heeft een oude meter met 2 standen (dag/nacht stroom) en als hij dat doorgeeft.. op het cijfer nauwkeurig!
krijgt NEM het NOG voor elkaar om dag/nacht om te draaien' kostte hem even 120 euro (oeps) dus bellen/werk van maken.. uitleggen... OJA verrek meneer nu zien wij het ook.. SORRY.. foutje...'

(mn vader heeft zonnepanelen dus heeft feitelijk 0 verbruik elk jaar, want een 2 persoonshuishouden verbruikt NOOIT 4000KWH)

toen nog even de beveiliging uitgelegd.. 'als ik de buren hun wifi PW kan kraken met een simpele app
dan lijkt het mij dat een gemiddeld crimineel met een beetje IT kennis en software dit ding ook wel kan uitlezen.. als de nuon het kan.. dan vast hun ook wel..'

(10 min later) dus meneer.. wat mag ik neerzetten als reden van weigering? u vertrouwd het systeem niet en uw oude meter draaid nog prima?
inderdaad.. fijne dag ;) (mik die kerel mn huis uit)
Ja het is handig dat je op je werk alvast de verwarming thuis iets harder kan zetten en dat de meterstanden automatisch worden doorgegeven.
Zoals een bekende Nederlandse filosoof ooit zei: ieder nadeel heb z'n voordeel.

Handig is betrekkelijk. Als je heerlijk op je luie reet in de auto in de file hebt gestaan, dan is je lichaam in ruststand. Heb je echter een stukje gefietst of gelopen (evt van/naar de bus/trein) dan ben je opgewarmd. Als je door de sneeuw hebt gelopen dan kom je thuis, en dan is het warm. Of die verwarming nu meteen op 20 staat of nog op 15 stond maakt dan geen donder uit. Tegen de tijd dat je lichaamstemperatuur door de inspanning weer omlaag is gegaan, staat de verwarming allang hoog. Zoals ik al zei, ga je met de auto dan ligt dat echt anders omdat je stil zit in een auto. En als je bushalte of treinstation 2 meter van je huis ligt dan maakt ook dat geen donder uit. Ik neem de fiets, loop, en neem de bus. Ik heb bewust geen auto. Voor mensen die regelmatig met de auto gaan ligt het anders. Dus wat dit punt betreft kan ik niet een voor/tegen voor slimme energiemeter geven. Persoonlijk vind ik zelfs het nadeel icm auto miniem. Verwaarloosbaar. Weegt ook niet op tegen het voordeel. Want het nadeel van de privacyimpact is er niet, tot het er wel is. En dan zijn de rapen gaar.
Maar hoezo kunnen zien als jij thuis bent? weetje hoevaak ik van huis ga en 1 lamp aanlaat of de verwarming op 1 laat staan, wat als jij 's zomers overdag alles uit hebt staan omdat je in de tuin ligt te zonnen met een random bluetooth speaker, betekent toch ook niet meteen dat je niet thuis bent? en zo zijn er al tal van voorbeelden, al snap ik je opzich wel hoor.
Langer laag verbruik (dagen) valt wel op.
In de zomer dagen laag verbruik? Die zal wel op vakantie zijn......
in de zomer verbruik je sowieso minder dan 's winters omdat A je kachel dan niet aanstaat. B het blijft langer licht waardoor je de lampen veel minder vaak aan hebt. dus die vlieger gaat ook niet op
Zeker maar een huis waar niemand is verbruikt echt nauwelijks iets.
A la standby gebruik koelkast. Als die al uberhaupt ingeplugd is.
Al die slimme apparaten is toch gelul in de marge. Oplossingen voor een probleem wat we eigenlijk niet eens hebben. Het verhoogt de levenskwaliteit amper en je krijgt er 10 nieuwe problemen voor terug.
Ik denk dat de maker van Brickerbot ook langzaamaan hoofdschudden zit toe te kijken naar de komende IOT ramp die er aan komt. Zolang de markt overspoeld blijft worden door iot apparaten die gemakkelijk werken maar (bijna) nooit updates krijgen is er een serieus gevaar voor de stabiliteit van het internet.

Er zijn dan wel platforms aan het komen die wat beter en stabieler zijn maar de realiteit is dat veel bedrijven die iot apparaten maken voor goedkope, of the shelve oplossingen gaan en het maken van updates en patchen van reeds verkochte apparaten als verlies zien. Tot bedrijf XYZ natuurlijk in het nieuws komt omdat hun apparaten worden gebruikt voor een DDOS aanval of te spioneren op gebruikers ervan.

Brickerbot bevind zich in mijn ogen overigens in grijs gebied.
Brickerbot bevind zich in mijn ogen overigens in grijs gebied.
Hoe goedbedoeld ook, Brickerbot zit in git- en gitzwart gebied. Het is gewoon letterlijk het doelbewust slopen van andermans eigendommen. Ja, de leveranciers van de kwetsbare IoT devices verdienen absoluut een vreselijke draai om de oren en het wordt hoog tijd dat overheden en certificeringsinstanties zich hiermee bezig gaan houden, maar dat maakt Brickerbot nog niet een klein beetje legaal.

Neemt overigens niet weg dat ik wel enige sympathie heb voor de maker.
Het is gewoon letterlijk het doelbewust slopen van andermans eigendommen.
Liever dat die apparaten gesloopt worden dan dat ze over 2 jaar ingezet worden om in teamverband de maatschapij te ontregelen.
Juridisch niet interessant. Als jij probeert om van oom agent het pistool af te pakken en te slopen, omdat er over een paar jaar misschien wel een overval mee wordt gepleegd, ben je nog steeds strafbaar of doodgeschoten.
Het is niet jouw eigendom en iemand maakt dat doelbewust onbruikbaar. Dan begaat die persoon richting jou een onrechtmatige daad. Dat jij er niet mee zit, en geen aangifte doet, omdat je eigenlijk wel blij bent dat dit beveiligingsrisico is geŰlimineerd, is jouw keuze. Maar Hans en Annie vinden het denk ik niet zo leuk als hun koelkast het niet meer doet, of midden in de winter de slimme thermostaat de pijp aan Maarten geeft.
Dus volledig eens met @anboni en hoog tijd dat er van uit de industrie een IoT certificering komt met ook gewoon een goede boete en klachtenregeling. De techniek is gaaf en biedt veel mogelijkheden, maar met een slechte beveiliging is het snel over en uit, en wordt de kans om er echt iets mee te doen weggenomen.
Ik snap wat je bedoelt.
Maar ondanks je (op zich goede) argumenten denk ik dat dat IOT spul nog niet zo diep in de maatschapij zit ingegraven om tot grote problemen te leiden.
Dat wapen van oom agent is dik ingepakt in allerlei wetten die ook worden gehandhaaft. Een van de redenen dat ik niet zou durven een diender zn dienstwapen af te pakken is omdat de politie mij dan kan oppakken of erger.
Dat soort bescherming is er niet voor IOT apparaten, maar die zullen in de toekomst wel op enorm kritieke plekken in onze maatschapij terecht komen.
Dus volledig eens met @anboni en hoog tijd dat er van uit de industrie een IoT certificering komt met ook gewoon een goede boete en klachtenregeling.
Het probleem is alleen dat daarmee die IOT zooi niet meer te betalen is. En daardoor wordt het hele businessmodel van IOT onhaalbaar. Bedrijven zullen er dus ook alles aan doen om zo min mogelijk geld uit te geven aan dit soort beveiliging. Met alle gevolgen van dien.

Zoals ik het zie kun je maar op 1 manier een IOT hebben en dat is als de onderliggende infrastructuur ook veilig is. Maar internet is inherent onveilig (vanuit beveiligingsperspectief) en dus gaat dat hele idee van IOT slecht werken. Je valt dan terug op de beveiliging in de apparaten zelf terwijl IOT juist zo klein en goedkoop mogelijk moet zijn dat het massaal uit te rollen valt. Plug and forget. Die twee zaken staan lijnrecht tegenover elkaar.
Ik denk dus dat IOT, zoals dat in marketingpraatjes wordt voorgesteld, helemaal niet kan werken.

En dan vind ik het goed dat we in deze beginfase Hans en Annie erop moeten attenderen dat deze classe apparaten helemaal niet zo betrouwbaar is als dat wordt voorgesteld door fabrikanten. Beter nu dan over 5~10 jaar wanneer we niet meer zonder kunnen.

[Reactie gewijzigd door koelpasta op 12 december 2017 16:01]

Het heeft niet met legaal of neit legaal te maken, maar met het feit dat fabrikanten/wetgeving dit helemaal negeert.

Schijnbaar kan niet alles met diplomatiek opgelost worden, en moet er altijd iets 'ergs' gebeuren voordat men zich mobaliseert.

Het is gewoon vandalisme, maar het is wel vandalisme met een doel. De fabrikanten en verkopers moeten gewoon geen troep verkopen
Brickerbot bevind zich in mijn ogen overigens in grijs gebied.
Grijs gebied?

Vraag me af of je er ook nog zo over denkt als jou apparatuur vernield word.
Grijs gebied?
Slachtoffers van BrickerBot zijn slachtoffers van computervredebreuk. Daar is geen twijfel over. Als het echter geen 0-day exploits betreffen en er geen beveiligingsupdates zijn uitgebracht binnen een redelijke en billijke tijd dan is de verkopende partij ook schuldig.

Waarom de verkopende partij? Een consument heeft geen relatie met een fabrikant. In plaats daarvan is er een koopovereenkomst met een verkoper. Dat de verkoper zaken moet afdwingen bij de fabrikant is geen strijd voor de consument.

[Reactie gewijzigd door The Zep Man op 13 december 2017 21:34]

Inderdaad, verkoper is verantwoordelijk voor het verkopen van een deugdelijk apparaat. Je kunt er dus als verkoper ook voor kiezen om slecht beveiligde IOT apparatuur niet te verkopen
Dat is maar ten dele waar. Met embedded software koop je namelijk een fysiek product (de drager of het apparaat) en ga je daarna een licentie overeenkomst aan met de fabrikant door het accepteren van de voorwaarden. Daar moet je apart voor accorderen. En in die overeenkomst is de verkoper van het oorspronkelijke product weer geen partij. Ik kon zo snel geen jurisprudentie vinden.
Waarom de verkopende partij? Een consument heeft geen relatie met een fabrikant. In plaats daarvan is er een koopovereenkomst met een verkoper.
De schuld ligt wat mij betreft op de hele keten, van fabrikant tot consument.
Consumenten worden uit de wind gehouden maar daarmee worden ze ook dom gehouden. Consumenten willen het niet weten maar hun aankopen hebben wel consequenties (waar ze dus niet genoeg op gewezen worden). Fabrikanten, aan de andere kant, produceren troep en dat weten ze. Daar ligt dus ook schuld.
De verkopers weten vaak ook wanneer ze troep verkopen of snappen zelf de gevolgen niet van de producten die ze verkopen. Ook daar ligt dus wat schuld.
Kunnen we dit probleem niet oplossen door te stellen dat IP en/of copyright niet geld voor apparaten die onredelijke fouten bevatten of waarvan fouten niet worden opgelost?
(Zonder nu details te verzinnen).
Jij als leverancier besluit geen fouten meer op te lossen (https://tweakers.net/nieu...tes-in-maart-stoppen.html), daarna eindigt je copyright op de sofware.
D-Link verkoopt IP camera's die een standaard account hebben waarvan het wachtwoord ontbreekt. Het is een klassiek voorbeeld hoe je dit soort apparaten kunt overnemen en infecteren.

Na een firmware update is, naar mijn bevinding, het probleem verholpen. D-Link is al jaren op de hoogte trouwens.
Deze actie, illegaal of niet, bevordert de bewustwording juist. Mensen moeten het voelen om een les echt te leren. Dit is basis-psychologie...

Enjoy your day ☺
Mensen bellen het bedrijf dat het spul heeft ge´nstalleerd. Een technieker komt langs en ziet direct het probleem: "Het moederbordje is kapot, jammer, maar dat zijn dingen die nu eenmaal gebeuren. Dat is 175Ą inclusief werkuren." Tot ziens!
Hahaha, moet hier toch wel om lachen. Dikke doei met die iot troep :D
Denken mensen misschien een keer na. Zou ook niets liever willen dan de KOM module uit mijn auto slopen waarmee Mercedes op ieder moment de auto die ik heb betaald alsnog stil kan zetten

[Reactie gewijzigd door GamesBond op 12 december 2017 12:59]

Wordt het niet eens tijd dat men wetgeving maakt tegen standaard wachtwoorden en voor software updates.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*