Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers krijgen controle over tienduizenden slimme apparaten Google

Twee hackers draaien een script om willekeurige Google Home-apparaten wereldwijd via het web te hacken. Het blijkt dat dat gemakkelijk gaat wanneer bepaalde poorten open staan. De apparaten zelf doen niet aan authenticatie. Google is inmiddels op de hoogte.

De twee hackers achter het project hebben een website opgezet om de resultaten bij te houden. Daar spreken ze ervan dat er tot op het moment van schrijven 72.341 slimme apparaten ten prooi gevallen zijn aan hun sniffer. Het overgrote deel daarvan zijn Chromecasts en smart-tv's met Cast-functionaliteit. Een klein deel zijn Google Home-speakers.

Aanvankelijk dwong het script om de apparaten een ludieke video af te laten spelen, maar dat doen ze inmiddels niet meer. Nu worden de apparaten alleen nog in kaart gebracht. YouTube heeft de video's in kwestie offline gehaald, wat betekent dat moederbedrijf Google, officieel Alphabet, op de hoogte is van de praktijken.

In de video's zat een link naar de hackers' website, waar uitleg wordt gegeven over hoe slachtoffers zichzelf kunnen beschermen. Dat effect is nu dus tenietgedaan. In de faq op hun site leggen ze uit dat de apparaten een reeks gegevens prijsgeven: lijsten met wifi- en bluetooth-namen, uptime, wekkers en, aldus de hackers, nog veel meer. Een kwaadwillende kan video af laten spelen, apparaten rebooten en fabrieksresetten, de wifi doen vergeten en dergelijke. Gevoelige gegevens zijn niet bereikbaar. Om zichzelf te beschermen, moeten gebruikers de poorten 8008, 8009 en 8443 sluiten. Ook moet upnp uitgeschakeld worden.

Update, 13:14: In het artikel stond eerst dat het om ethische hackers gaat, maar dat is niet juist: ethische hackers lichten het bedrijf in dat een fix kan verspreiden en wachten op die oplossing voor ze een kwetsbaarheid naar buiten brengen en zoals walteij opmerkte is de handelswijze hier anders.

Door Mark Hendrikman

Nieuwsposter

03-01-2019 • 12:36

189 Linkedin Google+

Reacties (189)

Wijzig sortering
Volgens Kevin Beaumont gebruikt Google Chromecast geen UPNP. https://twitter.com/gossi.../1080895526885883904?s=21
Wat is hier precies ethisch aan te noemen? Volgens mij niets.
Ten eerste laten ze geen PoC zien, maar nemen ze deze direct in gebruik, ten tweede nemen ze ook daadwerkelijk de controle van de apparaten over, ten derde hebben ze er ook daadwerkelijk misbruik van gemaakt (lollige filmpjes afspelen), ten vierde hebben ze de fabrikant niet op de hoogte gebracht. Die weet het ondertussen, maar zoals ik het artikel lees, niet doordat deze 'ethische' hackers via responsible disclosure contact hebben opgenomen met Google.

Ik zie daadwerkelijk niets dat hieraan ethisch genoemd kan worden.
Scriptkiddies zijn het, die aan hun vriendjes willen zien hoe cool ze zijn. gewoon aanpakken deze jongens, wegens computervredebreuk.

[Reactie gewijzigd door walteij op 3 januari 2019 12:55]

TheHacker heeft net al zijn tweets van de afgelopen paar uren verwijderd en het enige wat er nog staat is "I'm Sorry", zijn Patreon is weg en zijn Discord ook, dus volgens mij krijg jij je zin.

Over je 3e punt: ik heb de video niet gezien maar volgens verschillende nieuwsberichten was het filmpje een informatieve om mensen een idee te geven hoe ze zichzelf kunnen beveiligen en dus niet zomaar een "lollig" filmpje. Ik zie daar toch wel een puntje van ethiek, namelijk het op de hoogte stellen van mensen dat ze kwetsbaar zijn en hoe ze er wat aan kunnen doen.

Edit: Hier zijn reactie, hij heeft inderdaad alles afgesloten: https://pastebin.com/pfX5p4ze
So, here we are. At the endgame. I'm sorry for leaving so suddenly, and I'm sorry for all of you who expected more tutorials, guides, or anything. I can't do this. It may not look like it, but the constant pressure of being afraid of being caught and prosecuted has been keeping me up and giving me all kinds of fears and panic attacks.

I just wanted to inform people of their vulnerable devices while supporting a YouTuber I liked. I never meant any hard, nor did I ever have any ill intentions. I'm sorry if anything I've done has made you feel under attack or threatened.

Most of all, I'm sorry to the people who supported me on Patreon. I didn't want to leave like this, you deserve more for your money, and I'm truly sorry that I've failed to meet your demands and my promises when it comes to the guides.

@pewdiepie, I love your content man, keep on going.

I guess there is a lesson to be learned here, don't fly too close to the sun and then act like you don't know you'll get burned. Well, here I am, burned and roasted, awaiting my maybe-coming end. I thank you all, thank you all so much for the past month. It's been amazing to see all of you who wanted to learn hacking/cybersecurity. Please do push on, don't give up! Stay safe, stay legal, and most of all, be civil.

What will I do now? Probably suffer from this horrible panic for the next few days before I completely lose my mind until either my end comes or this all flies over and I'll probably never touch a computer again.

I hope I'm overreacting and this is all in my head, I really do hope so.

Peace out guys,
TheHackerGiraffe
en
Y'know what's funny? I was actually having a good time. I actually felt like I was making a difference. Seeing those UPnP numbers drop, seeing people close their ports, asking for help...

But no. Someone just had to play the legal card. You couldn't resist. You had to kill me.

[Reactie gewijzigd door thefal op 3 januari 2019 13:49]

En daar valt zeer zeker iets voor te zeggen. Het is steeds moeilijker om te blijven geloven in de ethische verantwoordelijkheid van de grote tech bedrijven en google hoort zeker in dat rijtje.

Gebaseerd op de berichtgeving is dit een te simpel probleem om door de google QC te komen, plus dat Google zelf scripts heeft draaien om dergelijke problemen te vinden.

Dit doet mij vermoeden dat het waarschijnlijk een bewuste backdoor is. In het beste geval voor google om updates door te voeren die misbruik van de Google services mogelijk zouden maken. In het slechtste geval is het toegevoegd in opdracht van/ op verzoek van overheids instanties.

edit typo

[Reactie gewijzigd door Tommy_K op 3 januari 2019 13:59]

Het is ethisch niet netjes... Maar ik denk dat Google op deze manier wel sneller bewogen wordt om actie te ondernemen :Y) Het is niet heel handig, maar ik verwacht dat de man/jongen in kwestie ook nog niet zo oud is.

En de verwijzing naar Pewdiepie lijkt mij dat het niet enkel een informatief filmpje was, maar ook te maken kan hebben met de Pewdiepie VS T-series "oorlog" die momenteel loopt. Waarbij verschillende mensen videos verspreiden om te subscriben voor Pewdiepie. Niet altijd op een nette manier (zoals het hacken van billboards e.d.). Iets wat men trouwens op eigen initiatief doet en niet na oproep van Pewdiepie.
Ethisch? Ik ben benieuwd hoe happy ze zullen zijn als ik opeens bij hun in de slaapkamer sta men een zwarte bivakmuts over m'n hoofd, over m'n schouder wijs naar hun voordeur, zeg "Je moet toch echt een beter slot op de deur kopen, die dingen zijn echt onveilig!" en vervolgens weer weg ga. Als ik dat dan ook nog eens doe bij 72.341 woningen, dan vraag ik me af hoe lang het duurt voordat ik wordt opgepakt... Niets fysiek stukgemaakt, behalve hun gevoel van veiligheid.

Als ze dat bij zichzelf hadden getest en hun resultaten hadden gemeld bij Google dan was er niets aan de hand geweest. Dit is aandachttrekkerij welke ook nog eens illegaal is.
Ik zeg ook niet dat wat hij heeft gedaan ethisch is, maar dat een onderdeel en/of het doel wel als ethisch gezien kan worden. Dat de manier waarop het gedaan is niet handing/"ethisch" is ben ik met je eens.
Ik dacht meer aan een vergelijking van een papieren voetstap die door het raam worden gegooid dat via dat raam gemakkelijk kan worden ingebroken.
Dat doen diverse beveiligingsbedrijven en zelfs de politie zelf.
Volgens de politie is hier niks aan te doen, dit valt niet onder colportage maar is advies.
(ik vind mensen die aan de deur staan en vragen naar de beveiliging van mijn woning hatelijk dan is wat deze hackers doen minder erg in mijn ogen. Het eerste mag wettelijk wel. Zolang je maar advies geeft en niks zegt te verkopen. Maar het tweede niet, ik denk dat de offline wetgeving meer gelijk moet worden getrokken met de online wetgeving.)
Ethisch? Ik ben benieuwd hoe happy ze zullen zijn als ik opeens bij hun in de slaapkamer sta men een zwarte bivakmuts over m'n hoofd,
En dan sta je al binnen. Maar ga eens op een parkeerterrein aan alle autodeuren morrelen.
Of in een flatgebouw aan allerlei voordeuren per galerij..

''Ja, maar, ik ben ethisch...''
Ethisch? Ik ben benieuwd hoe happy ze zullen zijn als ik opeens bij hun in de slaapkamer sta men een zwarte bivakmuts over m'n hoofd, over m'n schouder wijs naar hun voordeur, zeg "Je moet toch echt een beter slot op de deur kopen, die dingen zijn echt onveilig!" en vervolgens weer weg ga. Als ik dat dan ook nog eens doe bij 72.341 woningen, dan vraag ik me af hoe lang het duurt voordat ik wordt opgepakt... Niets fysiek stukgemaakt, behalve hun gevoel van veiligheid.

Als ze dat bij zichzelf hadden getest en hun resultaten hadden gemeld bij Google dan was er niets aan de hand geweest. Dit is aandachttrekkerij welke ook nog eens illegaal is.
als je gevoel van veiligheid gebaseerd is op een leugen help je de mensen juist hier mee,
of was het een backdoor??? en mochten de mensen het niet weten?
dat is het gevoel wat mij bekruipt hier!
want alle DSL / label router die niet door de mensen zelf zijn aangesloten kunnen op een soort gelijke manier worden benarderd!
dus kun je als overheid met 1 script alles bedienen.

[Reactie gewijzigd door bluegoaindian op 3 januari 2019 16:59]

Helaas, bij een echt slot zal je toch iets fysiek stuk moeten maken. Fysieke ongewenste aanwezigheid in iemands huis is in dit geval toch net ietsje anders.
een attention whorende-millenial.
huh?! waar basseer je dat op?
Deze hacker heeft tenminste het openbaar gemaakt. Denk je nu werkelijk dat hij de enige was die deze vulnerability zag ?
Google moet maar eens met de billen bloot. Ze doen precies hetzelfde met andere bedrijven en hacken de concurrentie aan de lopende band. Wie denkt dat deze Google-Zero een liefdadige organisatie is, is zeer naief.
Deze hacker heeft tenminste het openbaar gemaakt. Denk je nu werkelijk dat hij de enige was die deze vulnerability zag ?
Openbaar gemaakt? Een beetje etische hacker doet dat niet op deze manier maar meldt het gewoon netjes en maakt niets "openbaar". Je maakt het openbaar, zonder specifieke details te geven als het bedrijf waar je het gemeld hebt niet reageert op jouw melding. In plaats van semi grappig je favo youtuber te gaan zitten promoten als een 14 jarige..

En ja, ik denk dat hij vooralsnog de enige was, aangezien er naar mijn weten nog geen zero day exploits zijn.

[Reactie gewijzigd door xxxneoxxx op 4 januari 2019 08:12]

Weet je wat het is, google luistert niet als je het via de legit weg doet.
Een tijd terug een mini-docu gezien kan hem even niet vinden helaas. Maar het ging over een man die de telefoonlijn van de NSA "aftapte" door gebruik van google services. Wat hij deed was via google maps zich eigenaar maken van bepaalde plekken die nooit geclaimed waren, in dit geval o.a. de NSA en deed dan simpelweg het telefoonnummer wijzigen. Dus mensen zochten het nummer, vonden zijn nummer en hij routeerde dit door terwijl hij alles opnam.

Hij is toen de NSA binnengestapt en heeft het verhaal uitgelegd. Toen heeft NSA tegen google gezegd dat ze deze dienst offline moesten halen totdat het opgelost was. Dit offline halen gebeurde meteen echter een aantal maanden later was de dienst gewoon weer online en was er niks veranderd.

Lang verhaal kort, google heeft schijt. Zelfs als de NSA voor de deur staat.
Ik vind zijn manier lekker doeltrefend
Overdrijven is ook een vak...
Dit is mijn inziens wel Ethisch, mensen zijn gewoon naïef en denken dat ze alles zomaar zonder gevolgen op internet aan kunnen sluiten. Dit persoon liet gewoon een informatieve video zien op je apparatuur als je je beveiliging niet voor elkaar had. Ja iemand schrikt als ze dat zien, maar aan de andere kant wees blij dat het een informatieve film was en niet dat ze alles wat jij doet gingen opslaan en loggen.

Dat ze je bewust maken van het feit dat veel mensen niet nadenken voor ze iets aansluiten, dat ze maar geloven dat alles veilig is wat ze kopen en aansluiten. Dit is natuurlijk de reinste onzin. Veel apparaten die met internet zijn verbonden bevatten gaten waar gemakkelijk misbruik van gemaakt kan worden.

Wees blij dat iemand je erop wijst, en dat je ervan enigszins bewust word en wat meer na gaat denken over beveiliging als het gaat om apparaten die je aansluit op internet.

Google zei en zegt er verder niets over, dat zou ook alweer genoeg moeten zeggen...
Inderdaad helemaal niks. Ethische hackers, of te wel; beveiliging experts, zouden contact hebben opgenomen met Google. En het nieuws gedeeld hebben nadat Google een patch heeft uitgebracht of na een X aantal dagen. Googles eigen beleid is full disclosure na 90 dagen.

Er is dus werkelijk niks ethisch aan.

Overigens, geen medelijden met Google. Ook zij publiceren bugs wel eens eerder dan de 90 dagen die in hun eigen policy staat, om concurrenten dwars te zitten.

(2 jaar terug, kreeg Microsoft 10 dagen de tijd van ze voor het patchen van een bug: https://security.googlebl...abilities-to-protect.html)
Die exploit werd actief gebruikt. 90 dagen wachten om een trage vendor te helpen terwijl de hack in gebruik is? Dat is ontverantwoordelijk.
Een trage vendor? In geval van iets complex als Windows, is het vrijwel onmogelijk om een bug binnen 10 dagen na melden, te ontwikkelen, te testen, en uit te rollen.
Klopt, sommige zijn na een jaar of wat nog steeds niet verholpen...
Microsoft laat nogal eens wat slingeren, is niet bepaald proactief (geweest) bij het oplossen van fouten.
Idd, ik lees uit de reacties alsof Google geen blaam treft.. niemand kan bewijzen dat ze het niet zelf bewust open hebben staan voor meer informatie vergaring en winst door meer profilering van data....
Lol. Dus omdat Windows moeilijk is en MS heel traag hoeft google niets te melden zodat de hackers stilletjes door kunnen gaan. Lekker beleid.
Niet alleen hadden ze contact moeten opnemen met Google, maar ze hadden ook de devices gewoon niet mogen overnemen (om nog maar te zwijgen van het tonen van de filmpjes).
Nee, ethiek heeft hier niets mee te maken. Ludiek vind ik het ook niet echt, maar goed, ik zal dan wel een slecht gevoel voor humor hebben of zo :).
ethische hackers lichten het bedrijf in dat een fix kan verspreiden en wachten op die oplossing voor ze een kwetsbaarheid naar buiten brengen en zoals walteij opmerkte is de handelswijze hier anders
Als ik het zo lees... Google krijgt een koekje van eigen deeg.

Google disclosed ook vulnerabilities van andere partijen (of naja, alleen van MS, want bij andere partijen is Google ineens wel coulant) terwijl er nog geen fix beschikbaar is. 90 dagen hard aanhouden is idioot, vooral omdat Google het zelf ook wel eens niet lukt om binnen 90 dagen na melden veiligheidsmeldingen te fixen.
Hoh wacht even. Full disclosure na 90 dagen, behalve bij 0days die actief misbruikt kunnen worden, wat hier dus het geval was. Bij 0days die actief misbruikt kunnen worden is het 7 dagen. Ze hebben uit fatsoen nog 3 dagen langer gewacht.
Uit fatsoen?! Google heeft zelf de deadline van 7 dagen verzonnen. Zo ken ik er nog wel één. De hacker heeft gekozen voor 7 minuten als redelijke termijn en heeft "uit fatsoen" 10 minuten gewacht. Of is dit dan opeens geen fatsoen?

Voor wat perspectief, een quote van Google zelf:
Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information.
Nee wat deze hacker heeft gedaan was niet netjes, ik zou zelf zeker niet blij zijn met een zelfafspelend filmpje, maar blijkbaar wel effectief.
Uiteraard vind ik het niet fijn als mijn systeem "geplunderd" wordt. Juist daarom ben ik van mening dat Google had kunnen wachten. Als het al werd misbruikt, dan wordt de hoeveelheid misbruik alleen maar vergroot door het aan de grote klok te hangen.

Maar goed, blijkbaar een niet populair standpunt. En geheel offtopic.
In iedergeval een stuk etischer dan het gedrag van Google.
Ze laten een onschuldig filmpje zien die de gebruikers informeerd over beveligingsproblemen en hoe deze opgelost kunnen worden.
Ik kan dat meer waarderen dan het feit dat Google zonder te vragen gebruikers data steelt en over de rug om geld aan jou verdiend. En ja dat doen ze met al hun 'smart' devices.
Ach natuurlijk, Google is hier een grotere boosdoener dan deze hackers.
Wat je even vergeet is dat Google voornamelijk diensten levert aan consumenten die daar geen geld voor hoeven te betalen. Google is ook geen liefdadigheidsorganisatie en ze willen (terecht) geld verdienen. Dat doen ze door gegevens van gebruikers te verzamelen om op die manier de betreffende gebruiker redelijk relevante advertenties te tonen.
Daar is Google ook vrij open en eerlijk over en dit wordt ook bij al hun producten vermeld. Dat is een heel stuk ethischer, eerlijker en opener dan een lek vinden en hier direct actief misbruik van gaan maken (ook al is het om de eigenaar van het product te laten weten dat ze gehacked zijn).

Jijzelf hoeft geen diensten van Google af te nemen. Er zijn voldoende andere zoekmachines, andere telefoon OS-en (toegegeven, helaas steeds minder), andere mail aanbieders, andere websites die filmpjes aanbieden en ook zijn er nog voldoende manieren om de google trackers te weren.

Alleen heeft de data- en informatiehonger van Google geen zak te maken met deze 'hack'. Google gaat over het algemeen goed om met gerapporteerde kwetsbaarheden en zal er ook zijn best voor doen om deze zoveel mogelijk te verhelpen binnen een acceptabele periode (helaas gunnen ze hun concurrenten vaak wat minder tijd).
Daar is Google ook vrij open en eerlijk over en dit wordt ook bij al hun producten vermeld.
praat geen poep.
Persoonlijke details, zo als google deze van je verzameld, zijn helemaal niet nodig om je persoonlijke advertenties te laten zien. Dit heeft DuckDuckGo (en vele anderen die privacy vd gebruiker wel respecteren) al laten zien.
Jijzelf hoeft geen diensten van Google af te nemen.
Onzinnige en naive opmerking. Zoals iedereen weet is Google een monopolie en kun je ze niet eens ontwijken op het internet, ook al zou je het willen. Google heeft al Ad-IDs in Chrome ingebouwd om je te tracken, laat staan alle cookie-middelen en googlead-scripts die ze gebruiken. Dan hebben we het nog niet eens over 3rd parties en Android. Een gemiddelde gebruiker kan google niet ontwijken.
Ze laten een onschuldig filmpje zien die de gebruikers informeerd over beveligingsproblemen en hoe deze opgelost kunnen worden.
Daar is niets mis mee. Zelfs met full disclosure is zelf niets mis vanuit een wettelijk perspectief. Informatievrijheid, en zo. Liever een responsible disclosure naar de fabrikant, maar als die het niet op tijd oplost moet het maar aan de grote klok gehangen worden.

Er is wel iets mis mee dat ze daadwerkelijk computervredebreuk op zoveel apparaten op het Internet hebben uitgevoerd. Dat is gewoon illegaal. Voor een proof of concept hadden ze prima apparaten in eigen eigendom kunnen hacken.

[Reactie gewijzigd door The Zep Man op 3 januari 2019 15:22]

Waarschijnlijk omdat onderstaande op hun website staat:
Why are you doing this?
We want to help you, and also our favorite YouTubers (mostly PewDiePie). We're only trying to protect you and inform you of this before someone takes real advantage of it. Imagine the consequences of having access to the information above.
Maar ik ben het met je eens. Ethische hackers hebben een andere handelswijze.
Valt niet onder etische hackers maar ze waarschuwen de mensen wel en hoe ze zich kunnen beveiligen. Aanpakken vind ik daarom ook wat overdreven
Technisch gezien ben ik het helemaal met je eens, laat ik dat voorop stellen. Wat zij hebben gedaan raakt veel mensen die nu dus kwetsbaar zijn + moet Google nu achter de feiten aanlopen.

Toch laat het mensen eens even direct het gevaar van verbonden apparaten voelen en het belang van beveiliging. Ik hoor te vaak van mensen dat het ze niks kan schelen met als nonsens argumenten de eeuwenoude: "Ik heb niks te verbergen" en "Het zal wel goed zijn".

Daarbij begrijp ik uit dit artikel dat ze geen persoonlijke informatie hebben vrijgegeven en laten ze mensen weten hoe ze zich kunnen beschermen (al zullen velen dit niet willen of kunnen doen). Ik denk dat sommige mensen dit zelfs een ludieke actie zouden noemen...
gewoon aanpakken deze jongens, wegens computervredebreuk.
De ironie is dat Google één van de grootste computervredebreukplegers op deze aardbol is. Moeten die ook maar eens aangepakt worden denk je?
Als je hier ook maar enigszins de waarheid zou spreken, zouden ze allang strafrechterlijk aangepakt zijn. Dat is alleen nog nergens gebeurd. Wat wel (terecht) gebeurd, is dat ze aangeklaagd en veroordeeld worden/zijn wegens monopoly-wangedrag.
Als je hier ook maar enigszins de waarheid zou spreken, zouden ze allang strafrechterlijk aangepakt zijn.
Daar zijn ze te groot en te rijk voor. Bovendien hebben ze (inmiddels! ) hun "voorwaarden" mee want je moet natuurlijk akkoord gaan met hun datagraaiende gedrag als je hun producten wilt gebruiken. Het punt is dat ze zich eerder (voordat de voorwaarden expliciet waren) vrijwel overal hebben ingenesteld en de halve wereld tot junkies hebben gemaakt.

De wetten (en de handhaving ervan) worden niet bepaald door de overheden ten behoeve van de bevolking maar de wetten worden gemaakt door overheden in opdracht van multinationals ten behoeve van multinationals.

Het aloude gezegde gaat ook hier gewoon op hoor: "geld is macht". En niets illustreert dat beter dan de vervolging (of beter gezegd: het gebrek eraan) van rijke criminelen.
Met alle respect, maar wie zijn wij om te bepalen wat een ethische hacker is?

Als de hackers van de Google toestellen zich ethisch noemen, en wij zeggen dat ze het niet zijn, wie heeft dan gelijk?

Het enige waar we het over eens kunnen zijn is dat het om hackers gaan en dat ze, zover we kunnen beoordelen, nog niet de intentie hebben getoond om de getroffenen kwaad te doen.

[Reactie gewijzigd door zipje_en_zopje op 3 januari 2019 14:47]

Wij bepalen niet wat ethisch hacken is, daar is gewoon een opleiding en certificering voor.
Of iets ethisch is, daar kunnen we ook vrij duidelijk over zijn. Een definitie van ethisch is:
Ethisch is het gebied van de praktische filosofie die handelt over wat goed en kwaad is. Het betekent of iets moreel verantwoord is.
Een lek misbruiken is niet goed en al helemaal niet moreel verantwoordelijk, dus daarmee direct ook niet ethisch. Het niet rapporteren van een lek is al helemaal niet goed en ook niet moreel te verantwoorden.
Toegegeven, een filmpje tonen waarin wordt uitgelegd dat het apparaat lek is en een link tonen hoe dit op te lossen is, is alweer iets moreler en toont wel de juiste intenties (zeker als ze gebruikte link ook daadwerkelijk een oplossing biedt, en niet 'per ongeluk' wat extra Trojans op je systemen zet), maar de gebruikte methode is alles behalve ethisch.

Zoals iemand anders al schreef, is dit het digitale equivalent van 's nachts een huis binnen lopen en de bewoners wakker te maken door hard te roepen dat de sloten op de deuren niet in veilig zijn. Zou jij dat op prijs stellen en moreel oke vinden?
Ach Ethiek.... dat is maar net hoe je er naar kijkt:

Het is wel ethisch om bommen in het midden oosten op mensen te gooien....
als zij wat terug doen heet het terrorisme... wat nog meer bommen erop gooien weer goed maakt.
tja....

Terrorist/Vrijheidsstrijder het is een verschillend etiket dat op iemand geplakt wordt.
Hetzelfde over hacking... het is maar net van welke kant je het bekijkt...

Ze hadden het stil kunnen houden en op een duister forum de methode kunnen verkopen,(zonder mensen ver te waarschuwen), ze hadden er zelf iets mee kunnen doen om het te gelde te maken...
met 70K apparaten is er vast wel een paar (Bit|Whatever)Coins te minen.

Vergelijkingen gaan al snel mank. De mensen met een bivakmuts komen of niet zo snel een slaapkamer in..., of ze hebben dat als doel om mensen letterlijk van hun bed te lichten oid.
Dus als iemand met een bivakmuts in je slaapkamer alleen maar een waarschuwing geeft mag je best schrikken, maar heb je toch mazzel met de waarschuwing.
Soms pakt een actie wat grof uit. Als je verwacht enkele 10-tallen apparaten tegen te komen en het worden tien-duizendtallen.. zou het je ook boven je hoofd kunnen groeien...
Wij bepalen niet wat ethisch hacken is, daar is gewoon een opleiding en certificering voor.
om CEH als certificering te noemen laat je je behoorlijk kennen. De meest onzinnige cert in de industrie. LOL
Wat @tweaknico ook zegt: Wat ethisch is hangt helemaal van je eigen standpunten af.

Spreken over "digitale equivalenten" van huisvredebreuk is een vergelijking die mank gaat. Dan is verbale berisping aan je kinderen ook niet moreel oke omdat je het ook niet okay vindt om een fysieke berisping ("corrigerende tik") te geven.

Ethiek en moreel zijn altijd aan discussie onderhevig, maar meestal wordt er ook wel gekeken naar de (achterliggende) intenties. Het (ongevraagd) afspelen van een filmpje is nou niet bepaald een groot probleem of een halsmisdrijf.Sommige mensen doen hier alsof er een groot onrecht is aangedaan, ik zie het van het niveau "Goh ik heb een NEE/NEE sticker op de brievenbus maar toch zit er een flyer in van de lokale pizzaboer"
[quote]
het van het niveau "Goh ik heb een NEE/NEE sticker op de brievenbus maar toch zit er een flyer in van de lokale pizzaboer"
[/quote

Meer ik ben vergeten een Nee/Nee sticker te plakken, en nu verontwaardigd zijn dat er een folder in de bus ligt. Maar goed alle vergelijkingen gaan mank.
Een etische hacker heeft altijd het doel het probleem te melden bij het bedrijf voordat informatie wordt gedeeld met de wereld, om het probleem op te laten lossen. Hierbij gaan ze nooit verder dan noodzakelijk is om het probleem aan te tonen. Vaak gebeurt dit zelfs in opdracht van dit bedrijf..

Hier zijn gewoon vrij duidelijke richtlijnen en afspraken voor. Volg je die niet dan ben je gewoon een "crimineel" en is er niets etisch aan. Dit kunnen wij hier zo wel beoordelen ja.

Dat ze geen kwaad wilden doen, denken we, heeft hier niets mee te maken. Ze hebben echt alle "etische" "regels" genegeerd, oer en oerstom. En hoezo geen kwaad doen? Een video ongevraagd tonen, hoe goed bedoeld ook, gaat veeeeel te ver.
Volgens mij wel, althans de gebruiker wat bijbrengen over internet en veiligheid vind ik belangrijker dan een miljardenbedrijf dat z'n zooi gewoon op orde hoort te hebben.
Het filmpje was informatief, de fabrikant hoort lekken zoals deze in de PoC al gevonden te hebben en ze hebben geen daadwerkelijke schade gemaakt, alles bij elkaar een paar euro aan stroomkosten en wat reclame hits op de filmpjes,, maybe heeft het Google dus zelfs advertisement money opgeleverd. Ik hoop dat de "slachtoffers" een beetje bewustwording hebben bijgekweekt net als ieder ander die dit lees ;)
Lekker kort door de bocht om meteen te zeggen dat het niet volgens de certified ethical hacker manier is gedaan.
Okey hij heeft geen Proof of Concept laten zien... maar toont wel aan dat het kan!
Je 2de punt is een beetje misleidend... dit hoort namelijk gewoon bij de hack, hoe neem je anders een apparaat over zonder deze over te nemen :P
je 3de puntje over lollige filmpjes afspelen, prima het is inderdaad niet erg slim maar om meteen te bestempelen als misbruik en malicious purposes, vind ik ook wel weer erg vergaan, denk juist dat door deze lollige filmpjes er een awareness gecreëerd wordt en dat je dit dus juist wel onder ethisch kan gaan verstaan.
je laatste punt slaat echt nergens op, waarom zou hij via responsible disclosure contact moeten opnemen met Google? Het gaat hier om apparaten die direct gekoppeld worden op het internet door dat mensen upnp open zetten, geen firewall op hun eigen netwerkje zetten....Lijkt mij niet echt iets voor google om te fixen.
Laat ik dan alleen even reageren op mijn punten 2, 3 en 4.
Punt 2: Je koopt het apparaat, plaatst het bij een vriend in het network (die hier dus vanaf weet) en probeert het apparaat te hacken. Geen ongewenste inbraak (want je hebt een duidelijke afspraak gemaakt met je vriend over deze poging), geen slachtoffers (in tegenstelling tot deze grootschalige hack).

Punt 3: In dit geval laten ze inderdaad een filmpje zien waarin een link naar de juiste oplossing staat. Echter kan de link natuurlijk ook naar een handleiding verwijzen om wat andere malware op je systeem te plaatsen. De bedoeling is dus goed, de werkwijze niet.

Punt 4: Natuurlijk neem je wel contact op met de leverancier van het gekraakte apparaat. UPnP is namelijk niet de enige boosdoener. Het apparaat zelf staat namelijk toe om commando's te ontvangen zonder enige authenticatie (en dat kunnen we dan ook best wel een lek noemen waar de fabrikant iets aan kan moet doen).

UPnP is natuurlijk mede schuldig aan dit lek, maar naar mijn (misschien niet al te bescheiden mening) is UPnP iets dat je gewoon niet wilt inschakelen op welk netwerk dan ook. Als ISP zorg je dan gewoon voor een kundige FAQ pagina, waarin je beschrijft hoe je poorten op je modem open kunt zetten. Als leverancier van soft- en hardware die bereikbaar wil/moet zijn vanaf het internet, geef je dan dus ook in de handleiding aan welke poorten je open moet zetten op de router om dit werkend te maken.
Hij is inderdaad geen White hat (of ethische) hacker.
Dit is het schoolvoorbeeld van een grey hat hacker. Hij overtrad wetten en brak in op systemen zonder toestemming van de eigenaar. Maar hij deed dit niet voor persoonlijk gewin.

https://en.wikipedia.org/wiki/White_hat_(computer_security)
https://en.wikipedia.org/wiki/Grey_hat
https://en.wikipedia.org/wiki/Black_hat

En ik zou geen energie verspillen om deze jongens te vervolgen. Die energie kan men beter steken in het aanpakken van phishing mails en scare mails in de trend van ("We hebben beelden van toen je pr0n keek. Cough up the bitcoin!").
Dit hangt ervan af wat een individu verstaat onder ethisch. Voorop gesteld wordt een ethische hacker dus van allerlei condities opgelegd geheel ongevraagd naar mijn weten. Daarnaast vraag ik mij ook af hoe ethisch jou reactie is aangezien je ervan uitgaat dat het hier om mannelijke personen gaat echter wordt er in dit artikel geen woord gerept over of de hacker mannelijk of vrouwelijk zijn. Voor iemand die over ethiek praat naar mijn idee wel heel kort door de bocht. Zouden je jou nu ook mogen aanpakken voor discriminatie?
Als je wil zien wat er allemaal zichtbaar is op je Google Home: https://rithvikvibhu.github.io/GHLocalApi/
mja, dit is toch geen hack te noemen? is toch logisch dat je extern op je apparaten kan als je de poorten open zet, zeker apparaten zonder authenticatie? dit lijkt me gewoon lompigheid van de eindgebruiker?
Wat is het alternatief? Elke keer de instellingen van je TV of router in moeten duiken als je Spotify over de daaraan gekoppelde versterker wil laten spelen? Elke keer de instellingen van je TV of router aanpassen als je een YouTube video van je iPhone naar je Samsung TV wil doorzetten? En elke keer daarna de instellingen weer terugzetten?
Nee, zolang je binnen het interne IPv4 netwerk zit hoeft dit niet. Gewoon je Youtube filmpje van je iPhone naar je Samsumg TV streamen, werkt ook met UPnP en port forwarding UIT op de router. Pas als je van BUITEN op je TV/iPhone / etc. wilt komen dan is dat geblokkeerd.
OK, bedankt.

Ik vraag me af of mijn oude Apple Airport überhaupt wel UPnP ondersteunt. Ik zie daar geen optie voor in de Airport Utility app.
En wat zijn de nadelen als je die poorten dichtzet? Als de google device ze zelf via upnp openzet, lijkt het me dat ze een voor een reden nodig zijn.
Ik zet liever poorten zelf open dan dat een apparaat dat onoverlegd voor mij doet.

In beide gevallen zijn er genoeg legitieme redenen om poorten open te zetten. Zelf draai ik een VPN server op m’n thuis verbinding. Toch wel handig als je telefoon daar dan verbinding mee kan maken ;)

[Reactie gewijzigd door Engineer op 4 januari 2019 19:46]

Volgesmij alleen voor de functie voor gastgebruikers (dus dat mensen niet op je netwerk hoeven te zitten om te castn, maar met een code of geluidssignaal).
Tja ik denk dat dit pas een klein begin is met de problemen die "slimme" apparaten hebben die we steeds meer in huis gaan nemen. Domme apparaten zijn misschien wat dat betreft toch een stuk slimmer
Het probleem in deze, is vaak uPNP. Waar veel routers naar luisteren.

Dus je TV zegt tegen je router, zet poort 8654 eens open, en stuur het verkeer door naar mij.
Als uPNP default uit zou staan bij de consumenten spul, dan zou dit een veel minder groot probleem zijn.
Klopt maar ja upnp is juist bedacht zodat de niet tweaker en nog mee kan werken. Vertel een doorsnee consument maar eens iets over poorten, router instellingen enz.
Nou moet ik wel zeggen dat de industrie ook geen consistente interface aanbiedt. Vanuit de consumenten-/klant-kant bekeken is er weinig lijn in de GUI te ontdekken. Elke merk router-interface is weer anders van opzet, indeling, opties en vaak zijn zelfs de gebruikte termen net weer anders, zelfs bij hetzelfde merk tussen verschillende generaties modems. Als je uitzoekt hoe het moet staan bij jouw situatie qua router-instellingen en die gaat kapot, gebruikt je nieuwe router geheid weer net een ander IP-adres, interface, termen.. Dus ja, ik begrijp wel dat de doorsnee consument daar niet mee kan werken.
Vroeger was dit onderdeel van de gemiddelde gamer zijn basis kennis.

Juist dankzij upnp is zelf aanklooien in de router/modem niet meer nodig en ondertussen weet vrijwel niemand meer hoe je een poort open zet.
Of welke poorten je nu weer meer openzetten, elke applicatie heeft zo zijn eigen poorten, kijk voor de grap eens naar die van FIFA en GTA om online te spelen, die ga ik echt niet elke keer zelf openzetten en weer wijzingen van intern IP.

Het wordt hopelijk met IPv6 wat beter, omdat daar de kans groter is dat een apparaat direct aan het internet hangt en dus de firewall het enige opstakel is.
Dan zou heel veel functionaliteit niet kunnen werken. Enerzijds wil men niet aan de cloud-gebaseerde oplossingen, terwijl die juist komen door dit soort technisch gedoe. Upnp vervult een behoefte, ja het is een onveiligheid, maar handmatig voor elk apparaat weer van alles openzetten is geen realistisch alternatief voor velen. Bij mijn Experiabox V10 kan ik zelfs maar 10! apparaten vastzetten met DHCP, dat zou dus ook nog eens betekenen dat je vanaf elk priegelapparaatje zelf het een vast IP mag geven.
Nee. Domme apparaten zijn dommer. Maar het is misschien verstándiger om die te gebruiken.
Iets dat zelf geen verstand heeft kan volgens mij niet dom of slim. Slimme en domme apparaten bestaan dan ook niet.
"Domheid kent een aantal betekenissen die alle teruggaan op een beperktheid van denken: je hebt een beperkt verstand of handelt op een zodanige manier dat het ingaat tegen het gezonde verstand. In die zin is het niet het tegenovergestelde van intelligentie want je kunt intelligent zijn en toch dom handelen."
(https://www.encyclo.nl/begrip/Domheid)

En
"Het verstand is het (menselijke) vermogen om logisch te redeneren en is noodzakelijk om te kunnen leren. Het verstand is synoniem met het denkvermogen. De mate van ontwikkeling van dat vermogen is de intelligentie."
(https://nl.wikipedia.org/wiki/Verstand)

"Slimme apparaten" === marketing geblaat, ze zijn eigenlijk 'dommer' dan 'domme' apparaten omdat er gepretendeerd wordt dat ze "verstand" hebben, waardoor ze automatisch een beperkt verstand / geen gezond verstand hebben :+
bbob1970 bedoelt dat het slimmer is voor de eigenaar om deze te bezitten, niet dat de apparaten slimmer zijn.
Nee.
It’s not a bug, it’s a feature
Je koopt een apparaat om een aantal eigenschappen en het laatste wat je wilt is dat die dingen gaat/kan doen die je niet wilt hebben.

En Google heeft daarbij al een twijfelachtig verleden waarbij apparaten veel meer (kunnen) doen dan eigenlijk de bedoeling is.


Daar waar je in het verleden een apparaat kocht die potentieel meer kon,
zal de keus in de toekomst komen te liggen naar apparaten die juist alleen doen wat ze moeten doen en niets meer.
Daar waar je in het verleden een apparaat kocht die potentieel meer kon,
zal de keus in de toekomst komen te liggen naar apparaten die juist alleen doen wat ze moeten doen en niets meer.
En daarin ook zullen excelleren in plaats van alles half te doen.
dat is voor mij de reden geweest om alles 'smart' naar een appart vlan te verplaatsen en toegang te limiteren vanaf andere vlans.
Klopt, straks doet je staafmixer het niet meer, omdat OS niet meer ondersteund wordt. 8)7
nouja, het Internet of Shit twitter account laat regelmatig dat soort dingen zien - tandenborstels die niet meer werken omdat de firmware geupdate wordt. :?
Tja ik denk dat dit pas een klein begin is met de problemen die "slimme" apparaten hebben die we steeds meer in huis gaan nemen. Domme apparaten zijn misschien wat dat betreft toch een stuk slimmer
Precies, dit is ook een van de rede dat ik geen slimme apparaten in huis zal nemen, al helemaal niet Amazon Alexa en die van Google.

Geef mij dan maar lekker een zogenaamde Domme apparaat(en).

[Reactie gewijzigd door AmigaWolf op 4 januari 2019 15:13]

Om zichzelf te beschermen, moeten gebruikers de poorten 8008, 8009 en 8443 sluiten. Ook moet upnp uitgeschakeld worden.
Beetje raar maar als UPNP uit staat, staan deze poorten van buitenaf toch sowieso niet open?
Als je ipv6 gebruikt, en dat slecht geïmplementeerd is op de router dan kan het wel degelijk zijn dat die poorten "open" staan vanaf internet. Er vind immers geen NAT meer plaats, elk device krijgt een direct vanaf internet benaderbaar ipv6 adres. Het is zaak dat de router mbv een firewall het verkeer tegen houdt.
Idd goede opmerking met ipv6 krijg je idd een eigen ip voor je apparaat en niet meer via nat.
Weet niet of de meeste thuisrouters hiervoor dan een goede firewall hebben ?
De meeste zullen dat standaard inderdaad dicht zetten.
En hoe verzorgen we dan voor Jan met de Pet deinteractieve communicatie van zijn technologische apparatuur zowel naar binnen toe als naar buiten? Mensen hier begrijpen volgens mij niet echt dat upnp een reële behoefte vervult. Dan kan je die techniek de nek omdraaien, maar dan is de behoefte niet opeens weg.

[Reactie gewijzigd door MsG op 3 januari 2019 14:16]

Ik heb geen specifieke voorbeelden bij de hand, maar er zijn goedkope routers die geen ipv6 firewall aan boord hebben/hadden.
Nieuwere routers van de bekendere merken zullen die wel aan boord hebben.
https://www.security.nl/p...6+op+goedkope+routers+uit
een goeie firewall houdt gewoon inkomend verkeer tegen, tenzij de verbinding van binnenuit opgezet is. NAT is geen beveiliging (ook al denken sommige mensen van wel).
een goeie firewall houdt gewoon inkomend verkeer tegen, tenzij de verbinding van binnenuit opgezet is. NAT is geen beveiliging (ook al denken sommige mensen van wel).
NAT zonder UPnP of expliciet ingestelde port forwardings heeft anders precies de eigenschap die je in je eerste zin noemt, nameijk dat inkomend verkeer wordt tegengehouden tenzij de verbinding van binnenuit opgezet is.
NAT doet voor praktisch alle consumenten dus wel degelijk dienst als beveiliging tegen inkomend verkeer, dat dit gedrag een toevallige bijkomstigheid is van niet weten waar een pakket naartoe moet doet daar niets aan af.
Maar.. Ik dacht dat IPv6 juist werd aangeprezen met voordeel dat elke koelkast voortaan zijn eigen ('volwaardige') IP kon hebben. Ik begrijp wel dat je het dan ook moet beveiligen, maar is alsnog NAT daar de beste oplossing voor?
Ik denk dat het voor Jan met de Pet helemaal niet wenselijk gaat zijn dat al zijn apparatuur rechtstreeks benaderbaar is, en dat veel providers gewoon een IP6-adres aan de router geven maar dat het intern IPV4 blijft na de router.
Helaas niet bij Ziggo. Bij Ziggo moet je speciaal aanvragen dat je IPv4 wilt hebben voor intern gebruik. Zowel bij mijn vorige huis als mijn huidige huis, moest ik daar echt moeite voor doen. Ik kreeg geen IPv4 adres en de verbinding tussen interne apparaten ging via het internet over IPv6. Om mijn eigen router er achter te kunnen hangen, waren dan ook wijzigingen door Ziggo noodzakelijk.
Helaas niet bij Ziggo. Bij Ziggo moet je speciaal aanvragen dat je IPv4 wilt hebben voor intern gebruik. Zowel bij mijn vorige huis als mijn huidige huis, moest ik daar echt moeite voor doen. Ik kreeg geen IPv4 adres en de verbinding tussen interne apparaten ging via het internet over IPv6. Om mijn eigen router er achter te kunnen hangen, waren dan ook wijzigingen door Ziggo noodzakelijk.
Eigen router met gedeeld IPv4/v6 ondersteuning achter het modem zetten en modem in bridge laten zetten is toch niet zoveel moeite, of wel? Ziggo is verplicht (besluit eind-apparatuur) dit mogelijk te maken en als ik me goed herinner kun je het tegenwoordig zelfs via de website aanvragen en geautomatiseerd door laten voeren.

Zelf heb ik liever extern nog een echt IPv4 adres, ipv een extern IPv6 adres. Voornamelijk ivm oudere multiplayer games die enkel IPv4 draaien. Want die IPv4-over-IPv6 emulatie meuk van Ziggo geeft daarbij vaak alsnog problemen.

[Reactie gewijzigd door R4gnax op 3 januari 2019 14:27]

Tegenwoordig misschien wel. Toen ik mijn huis kocht ging dat via de helpdesk en ik moest allemaal vragen beantwoorden, ze probeerde mij over te halen om dit niet te doen "want het was helemaal niet nodig" en na het aanvragen moest ik nog enkele dagen wachten voor het was uitgevoerd. Bij mij is ondertussen IPv6 volledig uitgezet.
ze probeerde mij over te halen om dit niet te doen "want het was helemaal niet nodig"
Bij mij begonnen ze destijds over de hotspots feature, en dat je die zou verliezen. Maar dat was het dan ook.

Goed; ik liet meteen aan het begin van mijn gesprek al doorschemeren dat ik een power-user ben, dus wellicht dat daar dan nog een verschil in zit in hoeverre het je afgeraden wordt. Of Ziggo heeft in de loop der tijd haar toon gematigd - dat kan natuurlijk ook.
Nee, NAT is geen goede oplossing en bestaat daarom niet in het IPv6 protocol. In plaats daarvan moet je router een firewall hebben die inkomend IPv6 verkeer standaard tegen houdt. Bij vrijwel alle routers is dit gelukkig ook zo ingesteld vanuit de fabriek.
Nee, NAT is geen goede oplossing en bestaat daarom niet in het IPv6 protocol.
NAT is een eigen set standaarden en delen ervan kunnen ook gewoon op IPv6 toegepast worden.
Bijv. het combineren van meerdere WANs met één LAN, voor redundante verbindingen of load-balancing.

Maar ook om bewust een subnet af te schermen. Of enkel bepaalde subnets het mogelijk te maken elkaar te zien.

[Reactie gewijzigd door R4gnax op 3 januari 2019 15:27]

Ja tuurlijk, maar ik hield het bewust simpel, in de context van de vraag van Breakers waarop ik reageerde.

Het gaat in deze thread alleen over Dynamic PAT (in de volksmond NAT genoemd) dat door de meeste thuisgebruikers wordt gebruikt als een pseudo-firewall. In een IPv6-netwerk moet daar een echte firewall voor in de plaats komen.
Nee. Maar NAT zorgde er bij ipv4 wel voor dat je router automatisch ook als firewall dienst deed, dat kon immers niet anders. Alle inkomende verkeer wordt namelijk automatisch gedropt tenzij er specifiek regels ingesteld zijn om het te forwarden naar een intern IP adres.
Met ipv6 is dat niet meer zo en is er dus wel weer specifiek een firewall nodig (maar NAT zelf niet).
Nee, ipv6 kent geen NAT!
Tenzij je ze zelf dus hebt opengezet
Het openzetten lijkt me echt iets voor tweaker, de doorsnee gebruiker heeft van poorten openzetten weinig kaas gegeten. Ben dus benieuwd of de scans die ze nu gedaan hebben dan van upnp systemen komen of systemen waar de gebruiker de boel heeft opengezet.
Tenzij je ze zelf dus hebt opengezet
En bewust naar het IP adres van je (apparaat met ingebouwde) Chromecast gemapped hebt.
Wat wss. niemand heeft.
Wel als een gebruiker zelf die poorten heeft geforward.
Waarom zou je die poorten forwarden naar je Chromecast?
Dat is correct, tenzij je ze zelf handmatig aanzet natuurlijk.
Ligt natuurlijk een beetje aan de router/firewall. Het apparaat zal zelf wel een connectie maken naar een van deze poorten en zonder return verkeer is dat redelijk hopeloos te noemen. Zie het als een web pagina. Die laat je het html script vraagt een plaatje op en die webserver waar het plaatje op staat moet dat natuurlijk wel naar je kunnen sturen. Dus er staan wel poorten open op verzoek van uiteindelijk jou die de web pagina wil kunnen bekijken.

De router/firewall houd hier dan ook een tabel voor bij. Zodat de state van de sessie in een NAT tabel terecht komt compleet met session ID en nog wat meer dingen. Dat kan losjes of strikt worden gedaan naar gelang instelling of implementatie van de software die op de router/firewall staat.

Deze gegevens zien we niet in het artikel dus er ook vrij weinig over te zeggen. However in een ideale wereld heeft iedereen een hele goede firewall die heel goed snapt dat het verkeer van het apparaat alleen voor dat ip adres is en houdt die state ook in de gaten zodat return traffic niet ergens anders vandaan kan komen. Dit kan heel goed weleens niet het geval zijn. uPNP verslechterd dit alleen maar maar lijkt me niet de hoofdzaak.
waarom zou je uberhuapt die poorten open zetten naar je google home devices? is toch niet nodig
Ook moet upnp uitgeschakeld worden.
Ik vermoed dat voornamelijk hier de crux zit. Als je Google device zelf een poort (tijdelijk) open zet dan is die natuurlijk ook te bereiken.
Hoe gaat dat Google device dat doen dan? Tenzij je upnp aan hebt staan lijkt me dat dat niet zomaar gaat.
Nee, dat is precies mijn punt. Als iemand upnp aan heeft staan omdat iemand z'n *steekt natte vinger in de lucht* robotstofzuiger dat vereist, dan hang je dus in dit geval. Dus waarschijnlijk hebben flink wat mensen upnp aan staan. (al is het maar voor de torrent client :) )
upnp is gemaakt voor gemak en voor de massa.
De massa heeft geen kaas gegeten van porten forwarden en dit zelf in een router instellen.
Ze kopen iets, sluiten het aan met upnp en het werkt. Als er dan een fout of bug in zit of de poort misbruikt kan worden zullen de meeste daar geen verstand van hebben.

Dus ja ga er maar van uit dat upnp bij de massa gewoon aanstaat voor het gemak.
Vergeet daarnaast ook niet dat op de meeste consumenten hardware uPNP gewoon default aanstaat.
Waarom wil een chromecast of smart tv die poorten openzetten middels upnp? Lijkt me onwaarschijnlijk dat je je chromecast wilt gebruiken als je niet thuis bent?

En als het dan om een of andere reden toch open moet staan, hoe dan geen authenticatie?? O.a. Google roept over allerlei stappen om het internet veiliger te maken (bijv ssl) en dit zetten ze dan zomaar open? 8)7
Is omdat bijvoorbeeld je visite dan via hun mobiel netwerk op je Chromecast kunnen, zonder dat ze je wifi gebruiken.
Dat kan via beter via een directe verbinding naar de chromecast (Ik meen zelfs dat hij bluetooth kan gebruiken en een of ander hoog frequent toontje en de microfoon gebruikt om te verifieren dat de gebruiker bij de chromecast staat, of vergis ik me??). Daarvoor hoeft mijn chromecast dus niet op internet. Visite via internet op mijn chromecast = heel de wereld via internet op mijn chromecast lijkt me?

Ter vergelijk, als de visite een printje op mijn printer wil maken zou ik hem dus via internet beschikbaar moeten maken? Nee, liever direct verbindingen met de wifi van de printer of toelaten op mijn wifi...
Ik mag hopen dat Chromecast dit niet standaard vanzelf doet? Dat zou zo’n beetje het tegenovergestelde van een firewall zijn. De hele wereld op je netwerk binnenlaten.

Dan krijg je deze nieuwsberichten inderdaad.
Ik blijf me na al die jaren verbazen over dit soort comments. Blijkbaar denken nog steeds veel mensen dat de meerderheid überhaupt snapt wat een poort is. Of is het een sarcastische reactie? Of een reactie om te laten zien dat je het zelf wel beter weet?

In mijn ogen is het heel logisch dat deze zaken openstaan als de fabrikant dit standaard zo aanlevert.
Ik denk niet dat het sarcastisch is omdat op tweakers de meerderheid heus wel snapt wat een poort is. Het is een populaire site maar ook weer niet zo populair dat tante Truus van de viskraam hier nu tech-nieuws gaan lezen ;)
Ik snap het wel. Met of zonder uPnP het device zelf zal een connectie naar buiten zoeken in de eerste instantie niet alleen via uPnP maar gewoon zoals elke computer dat doet met bijvoorbeeld een web browser. Vandaar ook de poorten 8008, 8009 en 8443. Daardoor is terugkerend verkeer ook mogelijk in dit geval met de betreffende google server waarmee het apparaat praat. Als dat niet mogelijk zou zijn dan kun je wel dingen sturen naar de server maar die kan er geen antwoord op geven. Dit is een dynamisch proces wat elke router of firewall doet. Behalve als je expliciet verteld tegen de firewall dat niet te doen.

uPnP is een vraag van het device aan de firewall om een poort, NAT (PAT) open te maken zodat de server op zijn eigen houtje ook verzoeken mag sturen naar het device. Wat normaal gesproken zonder port forwarding niet mogelijk zou moeten zijn. Terechte opmerking eerder met IPv6 heb je geen NAT dus dan is het aan de firewall.

Ik weet niet precies hoe het zit met consumenten routers maar ik kan me wel voorstellen dat firewalling een beetje een nageboorte is voor zo'n apparaat. Dus in plaats van een vertrouwd pinhole maken word er een pinhole open gezet naar alles? Of firewalling staat helemaal uit. Hoe dan ook uPnP is een beveilings gat van hier tot Tokyo net als slecht beveilgde computers en apparaten die vanuit je LAN naar je WAN een connectie opzetten.

Hoewel het belangrijk is het WAN te beveiligen is het misschien nog wel belangrijker om het LAN te beveiligen. Iets wat natuurlijk heel moeilijk is voor de gemiddelde consument.
Als er een verbinding naar buiten opgezet wordt dan is dit niet hetzelfde als een poort open zetten.

De router weet naar welk adres de verbinding is open gezet, en zal dus alleen data retour accepteren van dat ene adres.

Als ik naar www.tweakers.net surf dan kan heus niet iemand anders even gauw tussendoor iets naar mij sturen over die openstaande verbinding :)
Dat zou idd het geval moeten zijn. Hoe zit jij in het vertrouwen in een bijvoorbeeld Experia box van KPN?

Daarnaast gaat het bij een router het er echt toch om zoveel mogelijk verkeer te routeren en is een firewall iets wat zoveel mogelijk verkeer zou moeten blokken.
Een router is geen switch (al hebben ze meestal wel een ingebouwde switch op de LAN zijde als bonus). Je hebt WAN (internet) en LAN (lokaal netwerk) zijdes. Standaard zijn deze 2 netwerken volledig gescheiden. Een functie genaamd NAT (Network Address Translation) zorgt ervoor dat de clients binnen je netwerk een verzoek kunnen versturen over de WAN aansluiting, en zorgt er ook voor dat de retour gekomen data weer naar de client in je netwerk gestuurd wordt waar het verzoek vandaan kwam. Een router waarop niks geforward staat is in principe dus al een firewall.

[Reactie gewijzigd door Engineer op 4 januari 2019 08:42]

Wist je dat bijv. OSX alle poorten standaard open staan? Firewall is standaard uitgeschakeld. Dit omdat eigenlijk altijd de router alles wel dichthoud.

De vraag is dan waarom dit niet elders uitgeschakeld is.
Ik begrijp niet helemaal dat hier UPNP als de boosdoener wordt gezien door velen. Als het ook zo simpel was, dan hadden ze toch zo de controle over miljoenen devices moeten kunnen krijgen? Gezien zover mij bekend veruit de meeste consumenten routers standaard UPNP aan hebben staan. Dat uit zetten is ook leuk, behalve dat je dan een overbelaste helpdesk hebt als provider.

Dus direct maar een geheimpje vertellen: Bij mij staat UPNP ook aan. Gewoon een afweging tussen veiligheid en gemak. Ik heb geen zin om elke tijdelijke port forward permanent handmatig in te moeten stellen. Wat ik nog niet begrijp is hoe het probleem dus hier UPNP is. Als mijn Chromecast zegt dat hij een poort nodig heeft om te functioneren, dan is er toch geen verschil of ik die handmatig forward, of dat hij dat zelf automatisch regelt? Als hij die niet daadwerkelijk nodig heeft om te functioneren, dan is het probleem dus bij de Chromecast, die poorten aan het forwarden is via UPNP die hij helemaal niet nodig heeft. Het volgende probleem is dat hij dan dus niet alleen poorten forward, hij accepteert ook nog eens al het verkeer op die poorten zonder iets van authenticatie.

Misschien mis ik iets hier hoor, maar kan iemand mij uitleggen waarom UPNP hier de schuldige zou zijn en niet de Google devices?
Misschien mis ik iets hier hoor, maar kan iemand mij uitleggen waarom UPNP hier de schuldige zou zijn en niet de Google devices?
UPnP is debet aan dit debakel omdat de hele UPnP protocol-suite zo lek is als een vergiet en het eigenlijk nooit, nooit; nooit tot universele standaard had moeten schoppen.

Wil inderdaad niet zeggen dat ze direct schuldig zijn aan deze zaak; maar wel dat ze schuldig zijn in the big(ger) picture.
Tja, dus lang verhaal kort: Het is niet de schuld van UPnP. Zover mij bekend is de enige zwakte van UPnP dat als je eenmaal een besmet device op je netwerk hebt, hij de rest open kan zetten. Maar eigenlijk heb je al een probleem als één device besmet is. In dit geval is het puur de Google devices die hun inkomende verkeer niet fatsoenlijk authenticeren.
Tja, dus lang verhaal kort: Het is niet de schuld van UPnP. Zover mij bekend is de enige zwakte van UPnP dat als je eenmaal een besmet device op je netwerk hebt, hij de rest open kan zetten. Maar eigenlijk heb je al een probleem als één device besmet is. In dit geval is het puur de Google devices die hun inkomende verkeer niet fatsoenlijk authenticeren.
Het probleem is dat UPnP uberhaupt geen encryptie, authenticatie of authorisatie bevat. De genieën die deze standaard in zo'n staat op de wereld los hebben gelaten verdienen een laars in hun reet.

Het is nota bene Google zelf die een patent heeft op een suite aanvullende protocollen bovenop UPnP om dit (deels) op te lossen.
Nou iets genuanceerder gezegd kun je bedenken dat uPNP gewoon een poort openzet naar een intern IP adres ongeacht waar het vandaan komt. Doe je dat zelf en weet welke servers dat nodig hebben dan heb je in beveiliging perspectief al heel veel gewonnen. Ik zie niet eens in waarom uPNP nodig zou moeten zijn. Het apparaat creëert toch zelf een verbinding met google. Die port forwarding snap ik eigenlijk alleen maar als Google de behoefte heeft om met de bijv. Chromecast te praten. Een connectie die het apparaat niet initieert dus. Als dat het geval is het hele concept Chromecast qua beveiliging verrekte slecht te noemen. Maar de mijne werkt ook prima zonder uPNP.
Kan iemand toelichten hoe ik extern kwetsbaar ben vanwege upnp? Die poorten zullen voor de meeste mensen geen issue zijn, er zullen weinig mensen zijn die de poorten vanaf het internet forwarden naar hun lokale netwerk.
Automagisch poorten open zetten en forwarden is juist wat upnp doet.
Van de speakers weet ik het niet, maar de Chromecast doet helemaal niets met UPnP-IGD, NAT-PCP of NAT-PMP.
Omdat UPNP ervoor zorgt dat deze bewuste poorten alsnog opengezet worden:
https://en.m.wikipedia.org/wiki/Universal_Plug_and_Play
Dus dat hoef je daarmee ook niet zelf te doen. :)

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True