Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lekken in Crestron-domoticacontrollers laten aanvaller apparaat overnemen

Op de Def Con-conferentie heeft een onderzoeker van het Japanse beveiligingsbedrijf Trend Micro verschillende kwetsbaarheden in Crestron-domoticacontrollers gepresenteerd, die een aanvaller de apparaten laten overnemen en bijvoorbeeld video laten streamen.

De onderzoeker, Ricky Lawshae, introduceerde Crestron als een systeem dat op veel plaatsen wordt gebruikt, zoals kantoren, universiteiten, hotels en vliegvelden. Ook zou Crestron in zijn communicatie vaker verwijzen naar een hechte samenwerking met Microsoft. Voor zijn onderzoek richtte hij zich op twee Crestron-apparaten, de MC3 en de TSW760. Daarbij is het eerste apparaat een controlesysteem op basis van Windows CE 6 en het tweede een Android-tablet dat als controller fungeert en Lollypop draait. Via een Shodan-zoekopdracht wist hij gemiddeld 20.000 to 23.000 Crestron-apparaten te vinden die direct op het internet waren aangesloten.

Dat leverde een probleem op toen hij erachter kwam dat er ongeautoriseerde toegang mogelijk was tot de zogenaamde ctp-console, waarbij ctp staat voor Crestron Terminal Protocol, iets dat voornamelijk door programmeurs wordt gebruikt. Hoewel er authenticatiemethodes beschikbaar waren, stonden deze in de meeste gevallen uit. Lawshae opperde dat dit wellicht met de complexiteit van de systemen te maken heeft. Een tweede constatering was dat hij na het inloggen op de apparaten meteen een beheerdersrol had, waardoor hij een groot aantal commando's kon uitvoeren. Bovendien waren er ongedocumenteerde commando's te vinden die buiten de sandbox draaiden waarin hij na het inloggen terechtkwam. Zo kon hij bijvoorbeeld een browser starten of audio opnemen op de Android-tablet.

Lawshae ontdekte bovendien twee backdoor-accounts voor engineers. De wachtwoorden daarvan waren gebaseerd op het mac-adres, waartoe hij toegang had via de ctp-console. Bovendien was het algoritme voor het aanmaken van het wachtwoord opgenomen in de firmware. De onderzoeker illustreerde dat hij met de aanwezige accounts op het Windows-systeem bijvoorbeeld het register kon aanpassen en elk willekeurig uitvoerbaar bestand buiten de sandbox kon uitvoeren. In een demo toonde hij hoe hij een telnet-shell aanmaakte die hem volledige toegang gaf tot het systeem.

Lawshae sloot af met de ontdekking van 22 command injection-kwetsbaarheden in de ctp-console op het Android-systeem, die het op afstand uitvoeren van code mogelijk maakten. Omdat hij maar beperkt de tijd had, zocht hij niet naar verdere lekken. In een laatste demo liet hij zien hoe hij op afstand de camera van de Android-controller inschakelde en toegang had tot de videostream. Daarbij merkte hij op dat dit product bijvoorbeeld ook in hotelkamers wordt gebruikt. Crestron heeft de gevonden lekken volgens de onderzoeker inmiddels gedicht. Hij merkte in zijn conclusie op dat het Android-systeem een stuk onveiliger leek dan de Windows-variant; hij speculeerde dat dit mogelijk te maken heeft met de relatie tot Microsoft en dat Crestron nog niet lang met Android werkt.

Beheerderstoegang na het verbinding maken met de console

Door Sander van Voorst

Nieuwsredacteur

11-08-2018 • 11:45

19 Linkedin Google+

Reacties (19)

Wijzig sortering
Wat hij er vergeet bij te zeggen is dat Crestron als enige in de industry enterprise grade security beschibaar heeft in zijn toestellen. Dit gaat van 802.1x tot active directory integration for authentication.

Crestron heeft documentatie beschikbaar, de security deployment guide, dat duidelijk laat zien hoe deze toestellen kunnen worden beveiligd. Alle attacks die beschreven zijn kunnen alleen uitgevoerd worden als er effectief toegang is tot een toestel zonder authentication.

Sinds 3 jaar biedt Crestron ook security training aan tijdens zijn jaarlijkse programming masters training. Hier bespreekt Crestron hoe belangrijk het is om authentication aan te zetten. (zo deze attacks ook niet mogelijk zijn).

Sinds paar jaar heeft Crestron ook een dedicated security council waar key persons van het Crestron development team in zitten. Deze personen kijken dagelijks welke security issues Crestron exposed zijn. Zij hebben ook bovenstaand report behandeld en zo snel mogelijk firmware fixes gemaakt. Op het Crestron knowledge database platform is een article waar Crestron duidelijk en open communiceert over deze issues. (en andere) Dit article is beschikbaar voor iedereen, niet alleen voor Crestron klanten. De issues besproken in dit artikel staan hier ook op.

Je hoort het waarschijnlijk, ik werk voor Crestron. Crestron is wereldwijd zeer goed vertegenwoordigd met kantoren en mensen. Als tweakers eens op de koffie wilt komen in ons kantoor in Gorinchem dan horen we het wel :) :)

[Reactie gewijzigd door ttts op 11 augustus 2018 14:53]

Fijn dat je een reactie durft te geven, maar het wekt de indruk dat Crestron het probleem niet helemaal snapt of wil snappen en daar een marketingpraatje van maakt.

De kwetsbaarheden zijn onder bepaalde omstandigheden te gebruiken. Dat maakt het probleem van het bestaan van de kwetsbaarheden niet minder. En juist daar ga je nauwelijks op in.
Wat hij er vergeet bij te zeggen is dat Crestron als enige in de industry enterprise grade security beschibaar heeft in zijn toestellen.
Hoe is die opmerking relevant? Blijkbaar kan Crestron dat wel aanbieden maar had het geen effect op het voorkomen en het bestaan van de lekken.
Crestron heeft documentatie beschikbaar, de security deployment guide, dat duidelijk laat zien hoe deze toestellen kunnen worden beveiligd.
Goede beveiliging hangt natuurlijk nooit af van een soort beveiliging. Het goed configureren en onderhouden bij de klant is zeker belangrijk. Maar dat gaat voor alle control systems op. Het is behoorlijk flauw van de onderzoeker om wat dat betreft specifiek Crestron aan te wijzen. Er hangt kwetsbare apparatuur van honderden fabrikanten/concurenten online die wat dat betreft het zelfde risico geven.

Maar het onderliggende probleem over Crestron is niet die beschikbaarheid, maar de vele problemen waar de klant nauwelijks invloed op heeft. De klant moet die beveiliging onder andere toepassen omdat er minimaal 22 command injection-kwetsbaarheden bleken te zijn, omdat er root rechten verkregen konden worden. omdat er backdoors in de software zaten waar een klant nooit over is ingelicht, omdat de wachtwoorden van die verborgen accounts niet sterk waren, omdat die accounts veel te veel rechten gaven, omdat er verborgen commando's waren waar de klant niets van wist, omdat er arbitrary file upload mogelijk was, omdat sommige beveiliging zoals het instellen van wachtwoorden op accounts niet standaard was.
Sinds paar jaar heeft Crestron ook een dedicated security council waar key persons van het Crestron development team in zitten. Deze personen kijken dagelijks welke security issues Crestron exposed zijn. Zij hebben ook bovenstaand report behandeld en zo snel mogelijk firmware fixes gemaakt
De 22 command injection kwetsbaarheden, de hidden commands of de backdoors waren schijnbaar niet heel moeilijk te vinden. Dat het een dedicated council is die al een paar jaar bestaat heeft schijnbaar nauwelijks bijgedragen om in de bestaande firmware dit soort basale problemen te herkennen en te verhelpen. Dus wat is de waarde van dat council als het tot actie komt als anderen de securitygebreken moeten vinden?

Begrijpelijk dat Crestron ook wil laten zien dat ze wel/ook aan beveiliging doen. Crestron zal vast heel veel ook goed of beter doen. Maar het is volkomen onterecht dat als deze fouten gevonden worden de fabrikant de focus probeert te verschuiven naar tal van randverschijnselen waar de klant iets had kunnen doen als ze maar gebruik hadden gemaakt van de diensten van de fabrikant. Dat is voor mij weinig meer dan marketing en afleiding van het onderliggende probleem bij de fabrikant.

[Reactie gewijzigd door kodak op 11 augustus 2018 17:46]

802.1x e.d. heeft AMX en een kleinere speler als Cue ook al lang hoor. Dus dat enige is niet helemaal correct.

Met name android apparatuur wordt over het algemeen niet toegestaan bij grotere bedrijven.

Dat de authenticatie e.d. uit stonden in deze test geeft voor mij overigens al voldoende aan dat deze hack minder groots is als de topictitel wil doen geloven.
Thanks voor deze post! Je profiel moet je misschien eens bijwerken:
Beroep: Student
Ben al langer tweakers dan ik werk bij Crestron. Maar je hebt een goed punt. Is bij deze aangepast.
Het wordt tijd dat er serieuze wetgeving komt, die de leveranciers van zulk soort apparaten (cq. bedrijven die zulke apparaten inzetten - bijv. hotels) beperkt aansprakelijk stelt voor schades door onvoldoende beveiliging en/of onvoldoende updates. Wellicht zou het ook strafbaar moeten zijn, zodat het niet nodig is dat iemand aantoonbaar schade geleden heeft om een financiŽle straf op te kunnen leggen.
Zoals jij het stelt klinkt het een beetje alsof de aansprakelijkheid weg moet bij de uiteindelijke koper of de gebruiker. Ik zou eerder voorstander zijn voor een heldere verdeling van verantwoordelijkheid gekoppeld aan bepaalde verplichtingen. Dat kan dan gebruikt worden om mogelijk te komen tot aansprakelijkheid als het mis gaat. Ik denk dat je een fabrikant of leverancier namelijk niet verantwoordelijk kan houden als de koper het product publiek bereikbaar laat en ook weinig moeite heeft met het gebrek aan updates of die niet laat toepassen.
Zoals jij het stelt klinkt het een beetje alsof de aansprakelijkheid weg moet bij de uiteindelijke koper of de gebruiker.
Inderdaad. De meeste gebruikers van zulke apparaten hebben geen verstand van IT. Dus kun je weinig verantwoordelijkheid bij hun leggen. Net zomin als er veel verantwoordelijkheid ligt bij de gebruiker van electrische apparatuur. De fabrikant moet ervoor zorgen dat die apparatuur electrisch veilig is.
Ik denk dat je een fabrikant of leverancier namelijk niet verantwoordelijk kan houden als de koper het product publiek bereikbaar laat
Je kunt de fabrikant wel degelijk verantwoordelijk houden als het device, na inpluggen, publiekelijk toegankelijk is. Die moet zorgen dat het produkt zodanig is dat er geen default- of makkelijk te raden wachtwoorden zijn, of backdoors. Als er toegang vanaf een netwerk nodig is, dan mag dat alleen mogelijk zijn na het instellen/configureren van een voldoende veilige authenticatie-methode door de gebruiker. Daar moet de fabrikant voor zorgen. Net zoals een fabrikant van electrische apparatuur bijvoorbeeld moet zorgen dat een apparaat voldoende geaard is, of anders voldoende geÔsoleerd.
Ik denk dat je een fabrikant of leverancier namelijk niet verantwoordelijk kan houden als de koper [...] weinig moeite heeft met het gebrek aan updates of die niet laat toepassen
De gebruiker gaat vaak voor de prijs, en begrijpt niet altijd wat de impact is van de tekst 'geen updates' op de verpakking. Daarnaast zijn security updates in het algemeen belang (botnets...). Dus moeten die verplicht zijn voor alle devices die direkt of indirekt aan internet zouden kunnen hangen (dus in ieder geval alles voor niet-industriŽel gebruik dat een netwerkaansluiting heeft).

De algemene gebruiker heeft ook geen benul van updates, en heeft echt geen zin om een keer per maand (?) al z'n tientallen IoT devices na te lopen om updates te checken. Als dat al mogelijk is. Dat moet dus automatisch gaan. Als dat niet kan, of niet automatisch gebeurt, of als er geen updates worden uitgebracht, dan moet de fabrikant daarvoor verantwoordelijk te houden zijn.

Als de gebruiker daarentegen zijn firewall instelt dat de updates niet gedownload kunnen worden, of als ie een slecht wachtwoord kiest, of zo, dan kan je natuurlijk niet de fabrikant verantwoordelijk houden. Waarbij ik wel wil opmerken dat een wachtwoord waarschijnlijk niet de beste manier van beveiligen is. Dat is vragen om makkelijk-te-raden wachtwoorden. Dat moet dus via een smartphone gaan, of zo.
De meeste gebruikers van zulke apparaten hebben geen verstand van IT.
De gebruiker gaat vaak voor de prijs
De algemene gebruiker heeft ook geen benul van updates
Wellicht moeten we iets aan de gebruiker doen in plaats van nog meer betutteling via regeltjes.
Ik ben het eens dat fabrikanten meer aan veiligheid kunnen en moeten doen, maar er maar zeker een deel van de verantwoordelijkheid bij de gebruiker komen te liggen.
[...]

Wellicht moeten we iets aan de gebruiker doen in plaats van nog meer betutteling via regeltjes.
Ik ben het eens dat fabrikanten meer aan veiligheid kunnen en moeten doen, maar er maar zeker een deel van de verantwoordelijkheid bij de gebruiker komen te liggen.
De gebruiker moet ook verantwoordelijkheid hebben, maar niet meer dan hij verantwoordelijkheid heeft voor de veiligheid van zijn eten, van zijn auto, van zijn (nieuwbouw)huis, van het vliegtuig waarin hij op vakantie gaat, van zijn electrische apparatuur, etc. etc. etc.

Alles was voor jou op IT-gebied voor zich spreekt, is voor andere mensen niet vanzelfsprekend. En daar kunnen ze zich ook niet in verdiepen. Zij verdiepen zich in andere dingen, zodat jij je in IT kunt verdiepen. Er zijn ontelbare regeltjes die de veiligheid van al die andere zaken die ik noem, en mťťr, garanderen. En daarop vertrouw jij dagelijks. Daar hebben de meeste mensen geen weet van. Zulke regels zijn er amper (?) voor de software in IoT devices. Ik vind: een consument moet een IoT device veilig kunnen gebruiken met evenveel kennis van de technologie erachter als jij kennis hebt van auto's (of bouwkunde, of electrotechniek, of voedselveiligheid, etc.).
De gebruiker moet ook verantwoordelijkheid hebben, maar niet meer dan hij verantwoordelijkheid heeft voor de veiligheid van zijn eten, van zijn auto, van zijn (nieuwbouw)huis, van het vliegtuig waarin hij op vakantie gaat, van zijn electrische apparatuur, etc. etc. etc.
Je bent als automobilist anders voor de veiligheid verplicht een opleiding te doen, daarnaast verantwoordelijk er voor te zorgen dat je voertuig in een goede veilige staat is etc.
Alles was voor jou op IT-gebied voor zich spreekt, is voor andere mensen niet vanzelfsprekend. En daar kunnen ze zich ook niet in verdiepen.
Je hoeft je ook niet te verdiepen in IT, maar enige basiskennis nu IT een groot onderdeel van het dagelijks leven is mag best verwacht worden. Als die ontbreekt moeten we er voor zorgen dat mensen die krijgen, vandaar dat ik ook aangeef dat we niet (alleen) de fabrikant aan moeten pakken, maar ook de gebruiker.
Ik vind: een consument moet een IoT device veilig kunnen gebruiken met evenveel kennis van de technologie erachter als jij kennis hebt van auto's (of bouwkunde, of electrotechniek, of voedselveiligheid, etc.).
Dat lijkt me een goed plan... alleen ben ik een ICT'er opgeleid als automonteur, werkend in de elektrotechniek, en ik heb voor vrijwilligerswerk een HACCP certificaat :P... mis dus alleen bouwkunde

[Reactie gewijzigd door Zer0 op 12 augustus 2018 12:50]

[...]Inderdaad. De meeste gebruikers van zulke apparaten hebben geen verstand van IT. Dus kun je weinig verantwoordelijkheid bij hun leggen. Net zomin als er veel verantwoordelijkheid ligt bij de gebruiker van electrische apparatuur. De fabrikant moet ervoor zorgen dat die apparatuur electrisch veilig is.[...]De gebruiker gaat vaak voor de prijs, en begrijpt niet altijd wat de impact is van de tekst 'geen updates' op de verpakking.[...]De algemene gebruiker heeft ook geen benul van updates, en heeft echt geen zin om een keer per maand (?) al z'n tientallen IoT devices na te lopen om updates te checken
Dit vind ik regelrechte onzin. Een gemiddelde koper van een huis of een auto heeft ook geen verstand van alle ins en outs daarvan maar dat ontslaat de koper niet van eigen verantwoordelijkheid als er gebreken zijn. Het selectief toepassen van een levenswijze als wel de lusten maar niet de lasten is geen gezonde situatie. En om het even wat meer in perspectief te plaatsen: iedereen kan apparaten en software maken of laten maken. Het hele punt is juist dat de wetgeving nodig is om dat mensen nauwelijks verstand van zaken en verantwoordelijkheid willen hebben om er voordeel uit te halen. De makers, de verkopers en de kopers. Als luiheid en ontwetendheid en andere prioriteiten een excuus zijn dan is dat ook van toepassing op de fabrikanten en verkopers.
Als de gebruiker daarentegen zijn firewall instelt dat de updates niet gedownload kunnen worden, of als ie een slecht wachtwoord kiest, of zo, dan kan je natuurlijk niet de fabrikant verantwoordelijk houden.
Neem je me nou in de maling of weet je zelf niet wat je wil? Eerst is de gebruiker volgens jou niet slim genoeg en ligt de verantwoordelijkheid bij een ander, maar als de gebruiker wat aan past dan ligt de verantwoordelijkheid wel bij de gebruiker. Laten we de discussie maar stoppen want zo heeft het geen zin. De gebruikers van deze Crestron apparatuur hebben laten blijken dat het opvolgen van basisregels beveiliging niet hun sterkste punt is. Eigenlijk zou het misschien gewoon verboden moeten worden om dit soort producten te verkopen aan incapabele personen. Is het probleem ook snel opgelost. Fabrikanten en verkopers hebben geen klanten meer en de klanten blijven veilig. :+
Dit vind ik regelrechte onzin. Een gemiddelde koper van een huis of een auto heeft ook geen verstand van alle ins en outs daarvan maar dat ontslaat de koper niet van eigen verantwoordelijkheid als er gebreken zijn.
Mijn punt is niet dat mensen geen eigen verantwoordelijkheid hebben. Mijn punt is dat fabrikanten een deugdelijk en veilig produkt moeten leveren.

Jij bent verwend met de huizen en auto's (en ander spul, zoals electrische apparaten) dat hier van zeer goede kwaliteit is, juist dankzij de regels. Jij vindt dat vanzelfsprekend, maar dat is het niet. Als jij een nieuwe auto koopt, dan verwacht je dat je er zo mee weg kunt rijden. Je wilt echt niet ervoor verantwoordelijk zijn om de airbags zelf af te stellen (of zelf te monteren!), of de sloten te vervangen (omdat het standaardsloten zijn met een standaardsleutel), of het brandstofsysteem te tunen. Er zijn mensen die dat wel willen, maar de meesten willen gewoon een auto waarmee ze zo weg kunnen rijden. Idem met een huis. Als alle huizen in een nieubouwwijk met dezelfde sloten/sleutels worden opgeleverd, of als de pannen scheef liggen (eigen verantwoordelijkheid om te zorgen dat ze recht liggen), dan zou je er schande van spreken. Ook als er geen politie-keurmerk hang en sluitwerk gemonteerd is. Of als de voordeur van bordkarton is. En als je CV zonder handmatig afstellen (door jouzelf) koolmonoxide uitstoot dan stel jij de fabrikant / installateur ook aansprakelijk. En als je in een restaurant uit eten gaat, dan wil niet eerst zelf een test op microorganismen uitvoeren, en je wilt ook niet in de keuken de uiterste verkoopdata op de verpakkingen gaan controleren. Je verwacht dat het eten wat je krijgt veilig is, en dat je het zo op kunt eten.

Dat alles wil je ook voor een IoT device dat een reguliere consument in de winkel koopt.

Jij wilt niet weten hoveel regels er zijn voor auto's en huizen, voedsel, electrische apparaten, etc. etc. etc. Als die regels er niet waren, dan was jij minstens de helft van je tijd bezig met je 'eigen verantwoordelijkheden' te nemen. Jij hebt echt wel wat beters te doen. Dat jij toevallig verstand van IT hebt, betekent niet dat iedereen dat heeft. Net zoals met auto's, huizen, eten, etc. verwacht je dat iets wat je koopt geschikt is om te gebruiken zonder kennis van de onderliggende techniek. Als een normaal mens (niet IT-er) een lamp koopt, dan verwacht hij dat die werkt en veilig is, en dan wil hij er niet eerst een expert bij moeten halen om te zorgen dat de lamp veilig gebruikt kan worden.

Ander voorbeeld: Als jouw auto onveilig is, dan verwacht je dat de fabrikant een terugroepactie doet, en dat de dealer jou een brief stuurt met het verzoek om langs te komen. Jij controleert echt niet regelmatig de website van de fabrikant om te zien of er nog terugroepacties zijn. En dan ge je daarna echt niet zelf aan je auto sleutelen om het probleem te verhelpen. Moet de gewone man dan wel regelmatig de website van de fabrikant van zijn domotica-systeem controleren om te zien of er updates zijn die (veiligheids)problemen met het produkt verhelpen ? En de website van de Roomba-fabrikant ? En de telefoon-fabrikant ? En de TV-fabrikant. etc. etc. etc. En die updates dan zelf installeren. Nee. Daar heeft de gewone man terecht geen zin in en geen tijd voor, en als ie het wel zelf zou doen, zou ie het waarschijnlijk nog fout doen ook. Net zoals jij (waarschijnlijk) het brandstofsysteem van je auto niet kunt nakijken zonder fouten te maken.
Het selectief toepassen van een levenswijze als wel de lusten maar niet de lasten is geen gezonde situatie.
Wel de lusten niet de lasten is bij uitstek van toepassing op de fabrikantan van zulke apparatuur: wel de inkomsten, niet de verplichting een veilig produkt op de markt te brengen. DŠt is wat moet veranderen.
Neem je me nou in de maling of weet je zelf niet wat je wil? Eerst is de gebruiker volgens jou niet slim genoeg en ligt de verantwoordelijkheid bij een ander, maar als de gebruiker wat aan past dan ligt de verantwoordelijkheid wel bij de gebruiker.
Neem jij mij nu in de maling ?? Of moet ik het uitleggen: om de parallel te trekken met een huis: de aannemer moet een solide bouwwerk opleveren, maar als de eigenaar een steunbalk verwijdert of een gat zaagt in een draagmuur, dan kan dat de aannemer niet verweten worden. De meeste mensen zullen dat niet doen, of die schakelen een (andere) aannemer in om de verbouwing te doen (die ze dan aansprakelijk stellen als die een steunbalk verwijderd heeft). Mensen die zelf verbouwen, moeten zelf op de blaren zitten als ze iets fout doen. Mensen die zelf hun firewall instellen, moeten dus ook zelf de gevolgen dragen als de IoT devices geen updates meer krijgen, en onveilig worden. De meeste mensen stellen echter niet zelf hun firewall in, die kopen een kant-en klaar exemplaar. En als de IoT devices dan geen updates meer krijgen, dan gaan ze bij de ene of de andere leverancier klagen.
Laten we de discussie maar stoppen want zo heeft het geen zin. De gebruikers van deze Crestron apparatuur hebben laten blijken dat het opvolgen van basisregels beveiliging niet hun sterkste punt is.
Dat is exact mijn punt: de meeste consumenten hebben geen verstand van beveiliging. De fabrikant die zulke gebruikers als doelgroep heeft (de meeste IoT fabrikanten dus) moet dus een produkt leveren wat voor zulke gebruikers geschikt is.
Eigenlijk zou het misschien gewoon verboden moeten worden om dit soort producten te verkopen aan incapabele personen. Is het probleem ook snel opgelost. Fabrikanten en verkopers hebben geen klanten meer en de klanten blijven veilig. :+
Dat is dus precies mijn punt: het moet verboden worden om dit soort produkten te leveren aan incapabele personen. En dat zijn veruit de meeste mensen. Dus ůf de fabrikant levert het produkt niet, ůf ze zorgen ervoor dat het produkt veilig is. Opgelost.
De moeilijkheid is volgens mij definiŽren wat 'voldoende' is.
Om Rian van Rijbroek te citeren: "geen enkel cybersecurity bedrijf kan zelfs maar 97% veiligheid garanderen".
Het lijkt me prima mogelijk een minimale verzameling eisen op te stellen waar ten eerste: mensen met enig verstand van veiligheid het over eens zijn, en ten tweede: 99% van de devices op dit moment toch al niet aan voldoet :-) Experts zullen die minimale verzameling nog steeds onvoldoende vinden, maar zolang de meeste devices er niet aan voldoen is het beter dan niets...

Als je de minimale set verplicht stelt (bijv. met een overgangsperiode van 5 jaar), en daarbovenop nog een paar niveaus met uitgebreidere eisen, dan boek je met die minimale set al winst, terwijl bedrijven die veiligheid serieus willen nemen voor de uitgebreidere eisen gaan. Daarbij kun je ook eisen stellen aan de bedrijfsprocessen zelf (bijv. o.a. de aanwezigheid van een voldoende opgeleide security officer met voldoende autoriteit). Langzaamaan stel je dan steeds hogere niveaus verplicht.

Het heeft geen zin om te gaan discussiŽren over de details van 'voldoende', als de grote lijn nog ruim onvoldoende is.
Het heeft geen zin om te gaan discussiŽren over de details van 'voldoende', als de grote lijn nog ruim onvoldoende is.
Je kunt alleen niet wettelijk aangeven dat iets onvoldoende is als je geen maatstaf voor voldoende hebt. Dat is geen simpel "detail"
Als Crestron programeur verbaast het mij dat dit nu pas aan het licht komt. De software van dit systeem, afhankelijk van de hardware is verre van up to date.
Dat gezegd hebbende is het bijna nooit nodig om dit systeem direct aan het internet te hangen, tenzij je cloud functies wil gebruiken. Ook zijn er behoorlijk veel beveiliging opties binnen het systeem, het slechte is alleen dat hier vanuit Crestron niet op gestuurd wordt. Ik verwacht wel dat na dit soort nieuws de sturing van Crestron hier op groter zal worden.
Maar als je ziet dat er standaard gebruik gemaakt wordt van Telnet waar niet op gestuurd wordt om minimaal de wachtwoorden te veranderen en anonieme login via FTP verbaast het mij dat hier niet vaker problemen mee zijn geweest.
Wij hebben een tijd terug bij een Faillissement veiling een kavel met alle apparatuur voor de AV voor 3 zalen (beamers, schermen, crestron rack, hdbase t spul, audio etc)
Het crestron is zo "lastig" als onbekend iemand, zonder een stuk training etc kom je er niet makkelijk mee weg (nu was ons doel die spullen direct door te verkopen wat ook gelukt was dus niet veel naar gekeken) maar gezien de complexiteit snap ik wel dat het vaak mis kan gaan door goedbedoeld gehobby.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True