Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsonderzoekers vinden lek in duizenden 'slimme' koelkasten en vriezers

Het is beveiligingsonderzoekers gelukt binnen te dringen in de systemen van koelkasten en vriezers waarvan op afstand de temperatuur bijgesteld kan worden. Daardoor is het mogelijk om bijvoorbeeld de vriezers te laten ontdooien en producten te laten bederven.

Het gaat om systemen die zijn gemaakt door het bedrijf Resource Data Management, zo meldt TechCrunch. De techwebsite sprak met een van de beveiligingsonderzoekers die het lek hebben gevonden. Het blijkt namelijk mogelijk te zijn om op de koelkasten en de vriezers op afstand in te loggen via een standaard-url, die volgens de onderzoekers vrij gemakkelijk is te vinden. De bewuste webpagina is weliswaar beveiligd, maar in veel gevallen is het standaardwachtwoord te gebruiken om toegang te krijgen.

Er zijn ongeveer zevenduizend koelkasten en vriezers gevonden die op afstand uit te lezen en te manipuleren waren. Het gaat om industriële apparaten die bijvoorbeeld in winkels of restaurants worden gebruikt. Hackers kunnen daardoor voor grote schade zorgen, bijvoorbeeld door producten in vriezers te laten ontdooien.

Resource Data Management heeft op de berichtgeving gereageerd door te stellen dat het klanten adviseert om het standaardwachtwoord aan te passen. Het bedrijf wijst erop dat dit de verantwoordelijkheid is van de gebruikers van de koelkasten en vriezers.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

09-02-2019 • 09:10

128 Linkedin Google+

Reacties (128)

Wijzig sortering
Er zijn ongeveer zevenduizend koelkasten en vriezers gevonden die op afstand uit te lezen en te manipuleren waren. Het gaat om industriële apparaten die bijvoorbeeld in winkels of restaurants worden gebruikt.
Zitten dit soort systemen dan niet achter een firewall? Of is het hier alleen een kwestie van dat niet veranderde default password? Zeker bij een bedrijf dat zich met dit soort bederfelijke waar bezighouden zou je toch mogen verwachten dat ze hun systemen en de beveiliging ervan serieus nemen....

Dat dit soort systemen direct aan Internet hangen lijkt me dan ook niet heel erg slim. Sowieso, wat is daar de toegevoegde waarde van? Dat hij aangestuurd kan worden vanaf afstand zie ik het nut nog wel van in, maar doe dat dan via een intern netwerk of evt via VPN etc?
De toegevoegde waarde is dat er een registratie gebeurd zodat ze dit steeds kunnen aantonen aan de voedselagentschap. Voorbeeld je product moet een temperatuur hebben van 0 tot 4 graden dan moet je als bedrijf dit kunnen aantonen dat dit zo is. Op een willekeurige dag ook.
Dat het nut heeft geeft @wildhagen al aan. Maar wat is precies de toegevoegde waarde dat iedereen (dus ook onbevoegden) via het internet bij de gegevens kunnen en zelfs de controle over de bedrijskoelkast of vriezer kunnen hebben?

In een bedrijf laat je ook niet iedereen in de buurt komen van de financiele administratie of de personeelsdossiers. Dat er inzage nodig kan zijn wil niet zeggen dat iedereen er onbegeleid bij moet kunnen of wijzigingen moet kunnen aanbrengen. Waarom zou je dat dan wel doen bij een bedrijfskoelkast of vriezer?

Het is te betwijfelen of het een toegevoegde waarde heeft als de beveiliging van dit soort apparaten onvoldoende is gecontroleerd. Hoe wil je dan vertrouwen dat het apparaat je als bedrijf helpt om aan de eisen te voldoen terwijl je niet weet of het apparaat wel kan weergeven wat de realiteit is?
Dat het nut heeft geeft @wildhagen al aan. Maar wat is precies de toegevoegde waarde dat iedereen (dus ook onbevoegden) via het internet bij de gegevens kunnen en zelfs de controle over de bedrijskoelkast of vriezer kunnen hebben?
Het lijkt me nogal logisch dat het geen feature is dat onbevoegden er ook bij kunnen. Dus de toegevoegde waarde daarvan is er simpelweg niet. Het is een beveiligingslek. Waarom dergelijke gegevens online te benaderen zijn? Ik kan me zo voorstellen dat het eenvoudiger is voor de inspecteurs om op afstand uit te lezen of de koelers en vriezers wel de juiste temperatuur zijn ipv dat ze overal fysiek langs moeten om de logs uit te lezen op locatie. Dan kunnen ze zich bij steekproeven focussen op orde en netheid in de horeca-gelegenheden (een koelcel op de juiste temperatuur is leuk, maar als er over datum meuk in ligt of hij niet goed schoongehouden wordt, heeft de ondernemer alsnog een probleem).
In een bedrijf laat je ook niet iedereen in de buurt komen van de financiele administratie of de personeelsdossiers. Dat er inzage nodig kan zijn wil niet zeggen dat iedereen er onbegeleid bij moet kunnen of wijzigingen moet kunnen aanbrengen. Waarom zou je dat dan wel doen bij een bedrijfskoelkast of vriezer?
Heb je het artikel wel gelezen? Iedereen kan er helemaal niet onbegeleid bij: er zit een wachtwoord op. De pagina is versleuteld. De fout die de ondernemers maken is dat ze het default PW gebruiken. Waarom je in hemelsnaam een feature zou inbouwen om de vriezer te ontdooien ontgaat me echter wel.
Het afschuiven om stevig wachtwoord lijkt me geen passende beveiliging. Ik zou het tenminste geen goed idee vinden om een interface die (beheer)toegang geeft tot een personeelsdossier of een bedrijfsvriezer voor iedereen bereikbaar te maken. En als ik die reactie van de fabrikant zo lees, kijk welke beveiliginglekken er in de producten zijn ontdekt en de handleidingen lees krijg ik niet de indruk dat het goed beveiligde producten zijn. Misschien dat het wel zo is, maar waarom zou je het risico willen nemen dat het hele internet met die interface kan proberen te knoeien zonder te weten of het product met een stevig wachtwoord wel goed beveiligd is?
Ik denk dat de HMI geen verschil maakt tussen registratie en beheersing. Er is gewoon één webinterface gebouwd. Dat had natuurlijk beter gekund, maar dat zal wel een vervolgslag worden.
Het nut!..., dat is te lezen in het woord SMART:

Secret
Militarized
Arms
in
Residential
Technologies
Tja, maar we hebben dit jaren gekund zonder connected devices. Soms weegt eenvoud en gemak echt niet op tegen dit soort risico’s.
Papieren lijsten die je moest overtikken of een hele dure 'schrijvende' thermometer. Veel makkelijker dan een software-pakket wat het bedienend personeel, de keuken, de kassa, de voorraad, het menu en alle rapportages keurig voor je bijhoudt.

Je moet gewoon je wachtwoord veranderen, zo moeilijk is het niet.
helaas de beveiliging is bij dit soort IOT apparaten notoir slecht, ondermaats en niet afdoenend.
Hier is al jaren geleden van vastgesteld dat dit gaat gebeuren.

Bij de eerste IOT apparaten was het vaak niet eens mogelijk om passwords enz aan te passen en was er helemaal geen beveiliging. En dit is een endemisch en systemisch probleem.
Alleen is dat hier allemaal niet van toepassing. Hier is maar een probleem: en dat is een gebruiker die z'n wachtwoord niet aanpast. Dus stop met ouwehoeren, pas je password aan, klaar. Gaan we daarna lekker bomen over bufferoverflows in andere apparaten.

En 'hier' is dus als jij een van de 7000 RDM-koelkasten hebt die een standaard wachtwoord gebruiken.

[Reactie gewijzigd door burne op 9 februari 2019 19:56]

Dat is hier ook van belang want je kan het systeem ook gebruiken zonder ooit zelf de webinterface te gebruiken. Vaak wordt dat bij installatie & onderhoud gedaan door de leverancier, en die wijzigen zelden het default ww voor je en waatschuwen amper. (& ook regelmatig is er dan ook nog een 2e "speciaal" onderhoudswachtwoord om door leverancier/service gebruikt te worden die verre van uniek zijn. Je kan de eindgebruiker wellicht naief vinden, maar jij gaat wel erg kort door de bocht
Inmiddels zijn we zover dat je als leverancier van dit soort spul wat mij betreft aansprakelijk gesteld kunt worden voor de schade want je bent als je het niet aanpast op grove wijze nalatig geweest.

We hebben het in het geval van RDM niet over een koelkastje wat je op zaterdagochtend even oppikt bij de Makro, het gaat over dit soort dingen en nog veel groter. Dat is het soort koelkast wat apparatuur van RDM gebruikt. De meneer die 'm aan de stroom hangt moet NEN 3140 hebben, de meneer die 'm afvult met koelmiddel moet een STEK categorie 1 certificering hebben, en je mag 'm door een puistenkop van 14 aan het internet laten hangen.

Als je dat doet ben je wat mij betreft volledig aansprakelijk voor alle schade.

Dat is wat ik er van vind. Maar wat je moet doen is nu het wachtwoord veranderen. Er wordt hier eindeloos geluld over IoT en fabrikanten en airgaps en VPN's, maar dit verhaal toont weer eens een keer aan dat de meest eenvoudige beveiligingsmaatregel, het aanpassen van het default wachtwoord, overgeslagen wordt.

[Reactie gewijzigd door burne op 10 februari 2019 13:22]

Fully agree. Had in mijn post waarop je reageert ook dieper op willen ingaan, maar wou t kort en bondig houden. Zelf vergelijkbare ervaringen met "in row aircos" van APC die je volledig via klein controlscreen kan beheren, maar ook via www. Gelukkig kwamen we er snel achter dat naast account wat leverancier voor ons had aangemaakt er een 'origineel' admin account was en daarvan zowel pw gewijzigd als inactief gemaakt. Leverancier "klaagde" bij 1e maintenance bezoek dat we "hun" account hadden disabled. Na uitleg waarom alles ok, maar baarde me zorgen voor andere locaties omdat zelfde leverancier ook levert aan datacenters van vele grote jongens in ierland...
Als je een product lanceert mag je wel wat verder kijken naar hoe gebruikers daadwerkelijk met dat product omgaan dan gewoon een interface leveren met een standaard wachtwoord dat dan vervolgens gebruikt kan worden voor allerlei belangrijke dingen. Er is een heel vakgebied opgetuigd hieromheen (HCI) en je mag best wel stellen dat de gebruikers van dit systeem over het algemeen geen IT experts zijn en dus moeten worden beschermd tegen zichzelf. Anders kan je ook stellen dat 2-factor authentication en het niet toestaan van het wachtwoord ‘qwerty’ onzin is. Hadden ze maar een beter en uniek wachtwoord moeten instellen. Die manier van denken gaat heel erg uit van een ideale wereld waarin iedereen zich overal bewust van is.

Ze hadden best kunnen zorgen dat er bijv geen default wachtwoord was maar dat je een lokale knop moet omzetten en dan in een interface komt waarin je dat kan instellen, of dat je het ww op een geheugenkaartje instelt dat je er vervolgens instopt, of nog 1000 andere mogelijkheden. Dit is gewoon luiheid, en niet van de gebruiker want die moet gewoon door met zooi uit de oude koelkast naar de nieuwe versjouwen en snapt niets van internet security.
Er staat letterlijk

''Het blijkt namelijk mogelijk te zijn om op de koelkasten en de vriezers op afstand in te loggen via een standaard-url, die volgens de onderzoekers vrij gemakkelijk is te vinden. De bewuste webpagina is weliswaar beveiligd, maar in veel gevallen is het standaardwachtwoord te gebruiken om toegang te krijgen.''

Oftewel, het wachtwoord is in dit geval een full proof methode om 'hacken' te voorkomen.

Heb je het artikel wel gelezen? Nee dus.
Je weet echt niks. Je hebt nooit van bruteforcen gehoord? Daar heb je scriptkiddie programma's voor. En dat is alleen maar het begin. Wat voor beveiligingsfouten zitten er op de pagina? Jaaa niet aan gedacht he. Goed bezig man.
Hoe moeilijks het voor een fabrikant om het standaard wachtwoord te koppelen aan iets als een serie nummer. Initieel per apparaat al anders en minder impact omdat er geen standaard ww is, ook al is het natuurlijk nog steeds noodzaak dit soort dingen vanuit sysbeheer te regelen.
Vergelijkbaar issue met default root/admin acct van dell server chassis m1000e. Default is root/calvin en vaak blijft dat account actief ook al wordt je duidelijk gewaarschuwd om t te wijzigen na installatie. Op opvolger mx7000 chassis is er een uniek factory default pw wat op een luggage tag geprint is (& zo onhandig dat bijna iedereen het ook daadwerkelijk wijzigt).
Nouja gekund, een keer per week vulde de afwasser de dagelijkse rondjes in één keer in zonder daadwerkelijk te temperaturen. En als je voor duizenden euro's aan producten in je vriezer hebt liggen dan wil je daar ook wel temperatuurmonitoring- en alarmering op als er niemand is.
Dit kon inderdaad al heel lang. Bij ons op het werk waren vriezers aangesloten op een systeem die automatisch belde als de temperatuur buiten spec viel. Alleen niet heel tof als je 's nachts wakker wordt gebeld en dat gebeurde helaas regelmatig. :O
maar dat waren systemen die een eigen meetcircuit hadden en a.d.h.d.v je alarmeren. Zelf regelen kan dan niet.
Tja, maar we hebben dit jaren gekund zonder connected devices. Soms weegt eenvoud en gemak echt niet op tegen dit soort risico’s.
Het is een glijdende schaal
Ja, we konden het jaren af zonder connected te zijn, maar niet alleen gemak zorgt hier voor, maar ook kosten.
De temperatuur moest elke 6u genoteerd worden, dat betekende dat er een persoon ( duur ) daarnaartoe moest, en noteren.
Ook in die tijd ging het mis, de persoon had 10 adressen op zijn lijstje, en noteerde de standen, op de luie dagen bezocht hij er maar 5, en verzon de andere 5 naar gemiddelden van voorgaande periode ( ging vaak prima ;) )
Toen kwam er de electronica, deze schreef op een rolletje elke 6u de temperatuur ( dat was geen gemak, maar wantrouwen in de controlerende <luie> persoon )

Het rolletje kon toen ineens ook 'ergens anders' beschreven worden ( fax )
Dat scheelde - controleur die rondjes liep, de brandstof en het kon naar één meldpunt ( eigenaar )
Maar die eigenaar wilde in de nacht slapen -> extern bedrijf ging die taak overnemen ( en de slimme ging dat 24u/d doen, met niet één maar 100 aansluitingen

Allemaal kostenbesparingen, tot waar we nu zijn, snel, goedkoop ( gemak is al lang geen onderdeel meer hiervan ) en verantwoording verplaatsen.
De eigenaar van de supermarkt is niet meer 24/24 verantwoordelijk voor de oplossing, maar de leverancier van het monitoringsysteem, er is een hele 'nieuwe' bedrijfsvoering ontstaan, waar er niet 100, maar 100'en aansluitingen data doorgeven.

Omdat de verantwoordelijkheid zo 'vaag' is geregeld, is de veiligheid ook minimaal ( standaard wachtwoord ? ) de aangegeven hack geeft aan dat ook non-standaard wachtwoorden relatief eenvoudig te vinden zijn, helaas.

[Reactie gewijzigd door Gimmick op 9 februari 2019 10:25]

Connected is handig en vaak essentieel voor bijvoorbeeld trendanalyses, maar niemand zegt dat je alles maar aan het internet moet hangen.
Registratie is natuurlijk mooi, maar hiermee kun je ook de temperatuur aanpassen en ddaar zit het gevaar. Als de hackers hoogstens kunnen uitlezen is er geen gevaar. Ik zou ook niet weten waarom je op afstand een vriezer zou willen ontdooien. Je bent er toch al bij om hem eerst leeg te halen, kun je ook wel op de ontdooi-knop drukken. Voor de rest moet ie toch gewoon een constante temperatuur hebben (ik verstel mijn koelkast echt nooit, die staat gewoon op de goede stand en houd deze automatisch aan).

[Reactie gewijzigd door jongetje op 9 februari 2019 10:23]

Hang er maar een keer een logger in, 98% kans dat je koelkast een paar keer per dag opwarmt om ijsvorming tegen te gaan.
Doe het dan via een vpn etc??

De meeste Nederlanders weten niet eens waar je het over hebt. Ijskast aansluiten en het moet werken dat is wat ze willen.

Niet heel Nederland heeft verstand van dit soort dingen dat is gewoon een feit
Juist, mijn overbuurman is friturehouder, stel zijn nieuw aangekochte vriezers hebben die optie...zoals ik hem ken weet hij dat internet bestaat, maar daar houdt die kennis ook ver op....ga nu niet verwachten dat die man erbij nadenkt om zijn vriezers te beveiligen....en zo zullen er meer bedrijven zijn die daar totaal niet mee bezig zijn
Jouw vriend zal zijn koeling/vriezer aanschaffen op basis van functionaliteit
De koelkast wordt geplaatst door de leverancier, en daarmee klaar.

De stap "netwerk" komt pas kijken als er een aanbieder komt met "monitoring" hierop, jouw vriend de zal deze niet ( zomaar ) zelf nemen ( stekker in utpkastje ) <- deze zijn nog vrij weinig te vinden in dat soort bedrijven.

'even aansluiten' betekend een halve verbouwing, kabels trekken naar router vanuit een keuken/magazijn ...

De besproken koelingen zijn installaties gekoppeld aan abonnementen ( in Nederland Freemex en Carrier e.a ) die hebben een secure verbinding van installatie naar een monitoringservice.
Die krijgen een signaal bij een probleem, en houden het dan in het oog, gaat het te snel de verkeerde kant op, sturen ze een monteur.

Het probleem ligt bij dat soort bedrijven, die verkopen 'jouw buurman' een dienst ( waar een koelinstallatie bij inzit ) en die moeten inderdaad zorgen voor een veilige aansluiting
ah, kijk dat is duidelijk nu, ik ging uit van een systeem á la smart tv of router die je in de winkel koopt, inpluggen, gebruiken en vergeten dat t ook beveiligd moet worden, dank je voor de uitleg Gimmick
Het gaat hier niet om consumenten-apparaten, maar om industriele apparaten in winkels, restaurants etc. Dan ook nog eens bedrijven wiens core-business het is om te werken met bedervelijke waren (voedsel).

Als die de beveiliging van hun eigen core business al niet serieus nemen, klopt er volgens mij toch iets niet in de bedrijfsvoering?
Als die de beveiliging van hun eigen core business al niet serieus nemen, klopt er volgens mij toch iets niet in de bedrijfsvoering?
Hun bedrijfsvoering klopt prima. Zoals je zelf al zegt: hun core business is werken met voedsel. Hun core business in niet IT. Net zoals ze geen verstand hebben van electrotechniek, bouwkunde, etc. etc. etc. Kennis daarvan kopen ze elders in, en die leverancier moet ervoor zorgen dat de geleverde spullen 'veilig' zijn, en niet de winkel of het restaurant zelf. Ze kunnen ook niet ervoor verantwoordelijk zijn dat een gebouw deugdelijk gebouwd is, of dat de electrische installatie kortsluitingsvrij is. Daarvoor is ook de leverancier verantwoordelijk. En dat wordt afgedwongen door wetten en regels. Het wordt hoog tijd dat we voor IoT etc. ook regels krijgen, zodat leveranciers gestraft kunnen worden voor dit soort zaken, en gedwongen worden om het op te lossen.
Dat je als bedrijf ergens zelf weinig verstand van hebt is als bedrijf meestal je eigen risico, of het nu is bij het kiezen van vervanging van je gebrek of de gevolgen van die keuze. Ik betwijfel of je dus kan stellen dat de bedrijfsvoering prima klopt als je als bedrijf een leverancier inhuurt dat basisprincipes niet weet te hanteren of zich zelfs niet aan de wet weet te houden.

Goede bedrijfsvoering is dus ook een kwestie van geschikte leveranciers kiezen. Het inkopen van kennis, diensten of producten is niet zomaar hetzelfde als het verschuiven van je eigen wettelijke verantwoordelijkheid als bedrijf.

Je kan een boekhouder inhuren voor je financieren, maar dat maakt nog niet dat je als bedrijf de verantwoordelijkheid over de financien hebt afgeschoven en je van de belastingdienst af bent. Je kan een installateur inhuren die je vriezer zal onderhouden, maar dat maakt nog niet dat je als bedrijf de verantwoordelijkheid over verkoop van bedorven waren uit die vriezer hebt afgeschoven en je van de voedsel en warenautoriteit af bent. En dan kan je de schade proberen te verhalen op die ingehuurde boekhouder of de leverancier.

[Reactie gewijzigd door kodak op 9 februari 2019 11:22]

Dat je als bedrijf ergens zelf weinig verstand van hebt is als bedrijf meestal je eigen risico, of het nu is bij het kiezen van vervanging van je gebrek of de gevolgen van die keuze. Ik betwijfel of je dus kan stellen dat de bedrijfsvoering prima klopt als je als bedrijf een leverancier inhuurt dat basisprincipes niet weet te hanteren of zich zelfs niet aan de wet weet te houden.
En hoe weet jij als restauranthouder of de electotechnisch installateur, of de boekhouder, etc. z'n geld waard is ? Als je dat goed kon beoordelen, dan was je zelf boekhouder, of installateur, en geen restauranthouder. Je moet afgaan op de reputatie. En voor installateurs is die reputatie opgebouwd in de tijd dat IoT er nog niet was. Dus dat betekent dat als je als restauranthouder je werk goed doet, en een leverancier uitzoekt met een goede naam, dat je dan nog steeds goede kans hebt op een IoT-beunhaas.

En ja, primair ben je zelf verantwoordelijk voor jouw keuze van leverancier, en voor de gevolgen daarvan, maar als een leverancier z'n werk niet goed doet, dan moet hij aansprakelijk te stellen zijn. Net zoals een aannemer aansprakelijk is als hij slechte kwaliteit gebouwen neerzet. En een gebrekkige netwerk-beveiliging door een leverancier zou beschouwd moeten worden als wanprestatie.
Dus een IoT installateur keurmerk. En dan mag je alleen standaard XYZ toepassen zodat we weer in een monocultuur komen van slechte oplossingen. Ik zie voor- en nadelen hieraan.
Precies dit.
Dit soort apparaten zou nooit geleverd mogen worden met een standaard wachtwoord.
Gewoon elk apparaat uitrusten met een eenmalig te gebruiken wachtwoord voor de eerste keer inloggen die dan direct aangepast moet worden. Ook direct eisen dat er een veilig wachtwoord gebruikt wordt met een minimale lengte en gebruik van genoeg verschillende soorten tekens (hoofdletters, kleine letters, cijfers, vreemde tekens, etc.).
Zo moeilijk lijkt me dit niet om te implementeren.
De bal bij de 'domme' gebruiker leggen is gewoon gemakzucht en zou inderdaad bestraft moeten worden.
Er is al vaak genoeg gebleken dat eindgebruikers gewoon de moeite niet (willen) nemen om dit zelf goed te regelen.
Laten we het even bij het onderwerp houden van deze bedrijfsapparatuur. Stel iemand wil geld verdienen en start een bedrijf. Wat is dan het verschil tussen een bedrijf dat de domme (eind)gebruiker moet kunnen zijn en het bedrijf dat volgens jou aan eisen moet voldoen?
Diegene die de software ontwikkelt of daar opdracht voor geeft.
Als de software zo ontwikkelt wordt, dat alle functies die op afstand misbruikt zouden kunnen worden, niet werken als er nog geen 'veilig' wachtwoord is ingesteld, zou een groot deel van dit soort problemen voorkomen worden.
Het feit is gewoon dat standaard wachtwoorden niet werken en keer op keer zie je dat apparaten misbruikt worden doordat er nog standaard of slechte wachtwoorden ingesteld staan.

De verantwoordelijkheid bij de eindgebruiker leggen hebben we inmiddels lang genoeg gedaan en het blijkt dus dat dit niet werkt.

Daar komt bij, hoe moeilijk is het nou daadwerkelijk om bovenstaande scenario te realiseren?
Let wel, ik heb het dus niet over veiligheidslekken/fouten in software, maar alleen over het stukje 'standaardwachtwoord'.

Het verschil is dus, zoals al door anderen aangegeven, of je leverancier of afnemer bent.
Een leverancier/fabrikant/programmeur heeft de expertise om een goed werkend en veilig systeem af te leveren, de eindgebruiker (meestal) niet.

[Reactie gewijzigd door RagingRaven op 9 februari 2019 14:36]

Een leverancier/fabrikant/programmeur heeft de expertise om een goed werkend en veilig systeem af te leveren
Voor de duidelijkheid, we hebben het hier over bedrijven als eindgebruikers. Bijna alle beroepen zijn vrij. Hoef je geen kennis voor te hebben, als je wil kan je zo een handeltje beginnen. Ergens expert in zijn of jezelf dom houden is wat dat betreft dus heel relatief.

Je had het over gemakzucht. Het feit dat je software kan (laten) maken, assembleren en je merk ergens op plakt, tussenhandelaar/installateur kan spelen of winkeliertje/eindhandelaartje wil zijn neemt volgens mij voor ieder de verantwoordelijkheid mee dat je niet alleen de voordelen hebt maar ook de nadelen.

Iemand die producten of diensten aanbied is in de regel vooral goed in handelen in een bepaald onderwerp. Dat is heel wat anders dan expert zijn. Als jij iets wil maken of verkopen kan je afgerekend worden op de wettelijke eisen en verantwoordelijkheden, maar niets staat je in de weg om met domheid geld te verdienen aan een winkel houden met in het magazijn een bedrijfskoelkast of een bedrijfskoelkast te verkopen, te installeren en onderhouden, of software aan een assemblage te verkopen die het in een koelkast wil gebruiken. Nu stel jij dat die bedrijfsmatige eindgebruiker meestal geen verstand heeft van dit soort zaken als beveiliging en een ander bedrijf in de handel de expert moet zijn. Hoe is dat niet een gemakzuchtige oplossing als dat expert zijn al een relatief begrip is? Waarom zou de een de voordelen moeten hebben van de domheid/slimheid om te kunnen handelen en de ander de nadelen?

Een antwoord dat er deels voor lijkt te zijn gegeven is dat de eindgebruiker zijn verantwoordelijkheid niet neemt. Maar ook dat is dus gemakzucht. En in plaats van die gemakzucht aan te pakken lees ik hier eerder pogingen om de een te laten profiteren van de gemakzucht en de ander met de nadelen op te zadelen.
Het verschil tussen een installateur en een afnemer. De installateur zou bij installatie het apparaat ook moeten configureren voor het eerste gebruik. Op dat moment kan er prima een ander wachtwoord ingesteld worden door de afnemer op dwingend advies van de installateur. Oftewel: “je moet een wachtwoord instellen”.
dwingend advies van de installateur. Oftewel: “je moet een wachtwoord instellen”.
''Je moet een wachtwoord instellen, anders doet hij het niet''..
Dat zou een redelijke eis zijn.
Ze zouden het serieus moeten nemen en sommige doen dat ook zeker wel.
Sommige besteden het dan uit aan een ICT bedrijf die er ook een potje van maakt.

Gisteren op RTL nieuws nog een stukje over:

https://www.rtlnieuws.nl/...f6a8c6ecb%2C.rtlnieuws.nl

Hier zie je een bedrijf (fysiotherapeut) die dit soort zaken liet regelen door een in hun ogen goed veilig ICT bedrijf. Veel kleine ondernemers besteden dit uit omdat de kennis niet in huis is. Vervolgens denken ze dat het goed geregeld is.

[Reactie gewijzigd door EdvanAl op 9 februari 2019 09:42]

Wat je niet moet vergeten is dat beveiliging geld kost. Ik werk bij een IT dienstverlener, we beheren vele duizenden werkplekken en honderden infrastructuren en wij adviseren klanten hoe ze het beste hun beveiliging in kunnen richten. Je moet eens weten hoeveel klanten reageren met een opmerking als “wij zijn toch geen bank”, of simpelweg “dat risico lopen wij toch niet”, “wij zijn toch niet interessant voor de Russen”. Je kan dan “lullen als brugman” maar die organisaties nemen zelf echt het besluit om niet te investeren in de IT beveiliging.
Dit herken ik, ja.
Probleem met security is dat het veel geld kost en het management er niets van terug ziet.
Security is niet tastbaar en niet zichtbaar en dus wordt er te weinig aan uitgegeven. Totdat het een keer goed misgaat en dan zijn de rapen gaar.

Wat ik altijd probeer te doen bij een klant, is een simpel Linuxdoosje in te richten met OpenVAS en twee NICs. Eentje white listed in de firewall en de andere niet. Dan een scan draaien (op beide NICs) en dan krijg je een vrij aardig beeld van de kwetsbaarheden. Omdat je twee NICs gebruikt, kun je ook zien wat er door de firewall wordt afgevangen.
In mijn ervaring is dat vrijwel altijd een eye opener en wordt er daarna wel serieus over security nagedacht.

En het leukste is: vaak willen de klanten die OpenVAS doos in gebruik blijven houden, omdat hij ook statistieken bijhoudt. Dalende trends qua lekken, doen het altijd goed. Dan wordt het wel zichtbaar en is budget plotseling wel beschikbaar.
Dit herken ik, ja.
Probleem met security is dat het veel geld kost en het management er niets van terug ziet.
Security is niet tastbaar en niet zichtbaar en dus wordt er te weinig aan uitgegeven. Totdat het een keer goed misgaat en dan zijn de rapen gaar.
Maar een verzekering sluiten ze wel af waarmee ze zich indekken voor risico's.
Daar vergelijk ik het maar mee, en gelukkig zie je dan wel een lampje gaan branden bij een aantal.
Interessant dat OpenVas. En leuk dat ze een demo omgeving hebben om een en ander te proberen. Oh wacht... https://livedemo.greenbone.net/omp:

Secure Connection Failed

An error occurred during a connection to livedemo.greenbone.net. Peer’s Certificate has been revoked. Error code: SEC_ERROR_REVOKED_CERTIFICATE

Edit: In Chromium (Ubuntu 18.04) werkt het wel, Firefox 65.0 (Ubuntu 18.04 en Windows 10) niet, in Edge ook niet (Windows 10)

[Reactie gewijzigd door Contagion op 9 februari 2019 17:26]

Dat is écht gênant, zeg :D
Het is echter wel een goede tool.
Nou met het artikel van RTL kun je nu dus aantonen dat de russen het doodleuk doorverkopen aan nederlanders ;). Zijn ze ineens wel interessant voor de russen.

De grap met dit soort uitspraken is dat je als individu inhoudelijk inderdaad helemaal niet interessant bent voor de russen, maar als groep zijn we dat wel. Er zijn genoeg nederlandse kwaadwillenden die gebruik maken van de diensten die russen aanbieden, die wel uitzijn op jouw inhoudelijke data.
Het gaat hier niet om consumenten-apparaten, maar om industriele apparaten in winkels, restaurants etc. Dan ook nog eens bedrijven wiens core-business het is om te werken met bedervelijke waren (voedsel).

Als die de beveiliging van hun eigen core business al niet serieus nemen, klopt er volgens mij toch iets niet in de bedrijfsvoering?
Maakt dat uit?

https://www.home-connect....n-huishouden/koken-bakken
Soortgelijke apparatuur wordt steeds meer toegepast bij consumenten. En dat werkt voor de koelkast, wasmachine, vaatwasser, afzuigkap, espresso. Je kunt het zo gek maken als je zelf wilt.

Moment dat het op grote schaal wordt toegepast voor langere tijd, dergelijk apparatuur schrijf je niet af binnen paar jaar, dan moet de veiligheid in orde zijn.
Moet niet zo zijn dat er op een gegeven moment script worden geschreven die internet afstruinen naar dergelijk apparatuur en daar mee gaan rommelen.

nieuws: Onderzoekers tonen ransomware voor slimme thermostaat

En deze tak van hacken zit nog in de kinderschoenen.
Op afstand monitoren van temperatuur heeft niets met luiheid te maken. Je kunt niet altijd in de buurt zijn en al helemaal niet de hele dag checken of de temperatuur wel klopt. Bedrijven met zo'n ding hebben wel wat beters te doen.
Je hebt gewoon mensen op kantoor en mensen die gewoon daarrond lopen.. dit zijn industrie apparaten niet huis/tuin/keuken.

Ga naar een bakkerij of slager naar achteren gewoon mensen die rond lopen. En bakkers vooral die staan vaak al om 4-5 uur aan het werk. En hun kunnen niet controleren. Kom dit is gewoon luxe en luiheid. Vroeger had men nooit problemen m
Je begrijpt serieus niet de voordelen van continu monitoring van zoiets als een vriezer met bederfelijke waren t.o.v. af en toe dat checken, ook niet vergeten dat af en toe te checken, en hopen dat je er op tijd bij bent? Op afstand settings veranderen lijkt me minder belangrijk, maar weten wanneer je als de bliksem je spullen veilig moet stellen als iets niet goed meer werkt lijkt me voor de financiën en wellicht volksgezondheid erg verstandig.
... weten wanneer je als de bliksem je spullen veilig moet stellen als iets niet goed meer werkt lijkt me voor de financiën en wellicht volksgezondheid erg verstandig.
Als een gewone huis-tuin-en-keukenkoelkast kan piepen en knipperen, moet een industriele dat toch ook kunnen.
En de moderne zou dan ook nog email en sms (of zo) kunnen verzenden.
[...]

Als een gewone huis-tuin-en-keukenkoelkast kan piepen en knipperen, moet een industriele dat toch ook kunnen.
En de moderne zou dan ook nog email en sms (of zo) kunnen verzenden.
Dingen moeten ook gekoeld/bevroren blijven worden als er niemand aanwezig is ('s nachts bijvoorbeeld), dan is het handig als je weet wanneer je dingen moet gaan redden. Ik kan me verder ook voorstellen dat je zelfs overdag zoiets niet direct door hebt gezien de herrie en hectiek in een horecazaak, zeker als de langere termijn opslag van je voedsel een beetje buiten de gebaande paden is.

Sowieso moet zo'n apparaat extern gemonitord kunnen worden, een functie dat ie zelf een mail of sms stuurt heb je niets aan als genoeg van het apparaat zelf defect raakt.
Is dat dan niet de volgende stap. Vooraleer we alles aan het internet gaan hangen. Ze dit uitleggen. Het is geen ingewikkeld concept, ook de installatie en configuratie van is voor menig mens nog wel haalbaar. Maar niet zonder een duwtje in de rug en dikke vriend Google.
We gaan langzaamaan naar omgevingen bij consumenten en mkb waar IPv6 wordt uitgedeeld en de apparaten min of meer direct op t internet zitten zinder de firewall van een router er tussen.
Je hebt op zijn minst DSL of 4G gateway-hardware achter je computer nodig om op internet te komen via een gangbare provider. Het enige verschil is dat je je gescheiden lokale subnet zoals bij IPv4 met evt. bijbehorende settings voor forwarding/redirecting kan laten vervallen en alle computers rechtsstreeks remote adresseerbaar kan laten zijn.
Het enige verschil is dat je je gescheiden lokale subnet zoals bij IPv4 met evt. bijbehorende settings voor forwarding/redirecting kan laten vervallen en alle computers rechtsstreeks remote adresseerbaar kan laten zijn.
Dat kan dus alleen wel een probleem worden als de firewall in die gateway niet naar behoren werkt. In het IPv4 tijdperk was de 'firewall' een bijwerking van NAT, die vervalt bij IPv6 en verhoogt dus het risico dat interne hosts publiekelijk beschikbaar worden..
Die firewalls waren als je het mij vraagt standaard bagger en een verplicht opgedrongen functie van modems uit de tijd dat lokale netwerken met gedeelde internetverbinding nog ongewenst waren om economische redenen. Beter hang je er een zelfbouw-router achter met of zonder lokaal netwerk op IPv4. Daarop IPv6 uitsluiten en probleem opgelost, Alsnog heb je dan wel een modem nodig die daar enigzins aan meewerkt en geen dingen gaat dwarsbomen omdat ie alleen maar "bridge" mag zijn.

[Reactie gewijzigd door blorf op 9 februari 2019 20:34]

Als de firewall toegang tegenhoudt heeft het geen nut meer.

Zie het als een modem of router van je ISP. Als je de inloggegevens admin admin laat ben je kwetsbaar. Pas je het netjes aan zoals de bedoeling is dan is er niets aan de hand.

Let wel, dit is professionele apparatuur die bewust aangeschaft is. Dan hoor je ook te weten hoe je hier mee om hoort te gaan.
Heel veel bedrijven in de voedings branche besteden alles uit aan de leverancier van de apparatuur. Die hangt alle apparatuur aan het Internet zodat zijn monteurs op afstand de apparaten uit kunnen lezen en resetten indien er een storingsmelding binnenkomt.

De broodjeszaak staat er verder helemaal niet bij stil dat de apparatuur verbinding met Internet maakt. Ja ze weten dat Internet nodig is om alles te laten werken maar dat is het dan ook wel.

Alles hangt tegenwoordig aan Internet, van de brug tot de elektriciteit centrale. Van stoplichten tot vriezers. De reden is overal dezelfde, zo kunnen technici op afstand erbij indien er een storing op treed.
Waarschijnlijk om te kunnen zien wat nog in stock is zonder de vriezer open te moeten trekken. Ik zie er thuis ook niet echt de toegevoegde waarde van, maar het kan in hotels en restaurants, met veel grotere stock, wel handig zijn dat er een notificatie komt of een automatische bestelling wanneer een product bijna op is.

[Reactie gewijzigd door FreVDP op 9 februari 2019 09:18]

Maar daarvoor hoeft het systeem niet per se van buitenaf benaderbaar te zijn. Ze kunnen ook een bericht sturen naar de afdeling inkoop/administratie/etc als er iets op dreigt te raken. En als de leverancier er dan tóch bij moet kunnen van buiten, doe het dan via een firewall of VPN ipv het naakt aan Internet te hangen.

Tevens hoeft voor dat doel het default password niet te blijven staan. Als dat een vereiste is om te kunnen zien of de voorraad nog klopt, deugt er iets niet in het ontwerp van het systeem lijkt me...

[Reactie gewijzigd door wildhagen op 9 februari 2019 09:21]

Dit dat het tech niveau van de gemiddelde restauranteigenaar niet zo hoog is. Het zou me niet eens verbazen als een groot deel niet eens wist dat hun koelkasten vanaf internet te benaderen is. Ze kunnen het vanuit de backoffice gebruiken en dus "is het oké".

Ooit met Shodan eens wat onbeveiligde ipcams gezocht en dan kom je ook van alles tegen: winkels, bakkerijen, stomerijen, banken, internetcafés, etc. Zelfs een enkele computershop waar je dan in de winkel kunt kijken. Vaak ook de camera besturen, maar veel is er niet te zien, dus je bent het snel beu. Ondeskundigheid op dit gebied kom je overal tegen.

Hoe dan ook, het is een kleine moeite voor fabrikanten om af te dwingen dat het standaard wachtwoord aangepast moet worden bij installatie. RDM maakt zich er dus nogal makkelijk vanaf.
@wildhagen Perfect verwoord. Ik vraag me dan ook af of dit een 'lek' mag noemen. :?
Waarom maken ze de devices niet zo dat ze alleen connectivity kunnen hebben wanneer er een nieuw wachtwoord is ingesteld tijdens first setup.
Al die slimme producten zijn dus helemaal niet zo slim ;)

Maar even serieus waarom een slimme koelkast?
Ik heb een niet slimme koelkast en daar is niets mis mee. We kunnen alles wel "slim" maken maar vaak heeft het geen toegevoegde waarde vind ik persoonlijk.
Er is altijd een type consument die zoekt naar modern en nieuw zonder echt goed stil te staan bij het praktische.

Zie je hier op tweakers ook , bv bij slimme ovens waar tweakers serieus 's ochtends een kipschotel willen inzetten, om die de hele dag op kamertemperatuur te laten broeien en aan het eind van de middag de oven aan te zetten om voor het avondeten kipschotel klaar te hebben. Bij basale dingen zoals voedselveiligheid wordt dan maar niet stilgestaan want dat is niet modern genoeg.
Bouw je toch ook even een koelkast in je oven... :Y)

Het probleem is dat van zodra iets tegenwoordig al meer kan dan "aan en uit" men het al slim begint te noemen.
Ik denk dat 'slimme' koelkasten zeker praktisch kunnen zijn. Zeker in tijden waarin we steeds meer automatiseren is de koelkast een belangrijk apparaat in de keuken dat een dubbele functie kan hebben. De family hub koelkasten van Samsung bijvoorbeeld zijn een mooi concept. Het besturingssysteem is ruk, maar het principe er achter is wel heel goed.

Mogelijk zorgen apparaten zoals de Google Home Hub, met zijn 'vrij beschikbare' besturingssysteem er voor dat dit soort apparatuur makkelijker beschikbaar word.
Als je serieus een slimme koelkast nodig hebt voor je etenswaarvoorraadbeheer dan moet je jezelf eens gaan afvragen of je wel voldoende niveau hebt om zelfstandig maatschappelijk te functioneren.

Het is natuurlijk pure overbodig luxe die mensen alleen maar dom maakt.
Ik werk 60-80 uur per week. Als ik moet onthouden wat ik allemaal aan boodschappen mee moet nemen, dan komt het niet goed.

Nu heb ik mijn Google Home, met bijbehorende shoppinglist. Een GUI zou dit alleen maar makkelijker maken. Zoals gesteld: een koelkast is een ideale plek voor een scherm met evt assistent. Het is een groot oppervlak dat we allemaal hebben, wat enigzins 'nutteloos' is, en dus makkelijk benut kan worden.

Tevens is voorraadbeheer maar 1 van de vele opties die een dergelijk systeem kent.

Je kunt misschien het nut er van niet begrijpen, maar dat neemt niet weg dat er zeker vraag naar is!
Ben wel bekend met dat soort uren werken en dan wordt het eten ook belangrijk. Het eten wordt dan zelfs zo belangrijk voor de continuïteit van je lichaam dat je dat niet gaat outsourcen naar samsung en google.

Wat is het nu voor werk om even in je koelkast te kijken wat er is en een boodschappenlijstje te maken. Dan kun je bv ook rekening houden met de griep of een verkoudheid en je anders gaat eten of andere omstandigheid waardoor je eetpatroon verandert. Iets wat google en samsung echt niet voor je gaat doen.

Maar ja, het is dan wel weer hip en modern.
Maar je hebt zeker wel zo'n hippe en moderne centrale verwarming? Zielig hoor. Echte mannen die kappen zelf hout en stoken een kachel in plaats van dom op Essent en kornuiten te vertrouwen! 8)7

Maar serieus: dit zijn allemaal van die non-argumenten. We leven in een geautomatiseerde maatschappij, waar iedereen wel aan meedoet in meer of mindere mate. Hoeveel hangt van je voorkeuren en je budget af, maar dat er je dom van wordt is wat overdreven.

Wat deze koelkasten betreft: ja, een ondernemer kan ook dagelijks handmatig de temperatuur opnemen en noteren op een lijstje. Wat is het voordeel daarvan? Helemaal niks en tijd = geld, dus is geautomatiseerde registratie beter en efficiënter. Je moet alleen wel rekening houden met de beveiliging.
Nee , ik heb geen centrale verwarming.

Het iq is al decennia aan het dalen maar dat ga ik niet aan domme snotneuzen uitleggen.
Nou, veel plezier in je grot dan, met je misplaatste superioriteitsgevoelens. :+
het gaat om industriële koelkasten, om daar nou 300 van allemaal af te gaan is ook niet al te handig
Maar even serieus waarom een slimme koelkast?
Vorige week gaf mijn koelkast me een message dat de temperatuur veel te hoog was. Toen ik ging kijken stond mijn hond een komkommer op te eten (niet de slimste) en stond de deur open. Omdat ik al naar bed was had woef zonder melding de hele inhoud kunnen weg happen en zou de rest niet meer bruikbaar zijn.

Wereldschokkend? Nee, handig, ja. Slim? Het is maar hoe je het noemen wilt.

Als mijn Tesla niet kan opladen op schema verteld ie dat me, als mijn 'slim' huis een probleem ontdekt (bijvoorbeeld een lekkage) dat roept ie me, als mijn telefoon bijna leeg is dan gaat ie zachtjes zeuren, als mijn server een probleem heeft laat ie dat weten, hetzelfde met mijn verwarming, waarom de ijskast niet?
Volgende keer de deur gewoon goed dichtdoen. Waarvoor sommige modellen al ene waarschuwingsbliep bliep bliep geven...
Denk dat Woef dan meer heeft aan een goed sluitende koelkast of een industriële koelkast (vergelijkbare prijs) :) Deze slimme koelkast zal niet voorkomen dat Woef in je koelkast gaat hamsteren, maar enkel dat zijn tijd in deze attractie korter is dan met een normale koelkast.

En het is ook maar afwachten hoe slim je koelkast blijft als de koelkast niet meer ondersteunt wordt met updates. Als ik naar andere slimme apparaten kijk enkel handig als je om de 5 jaar een nieuwe neer zet.
Die kipschotel van +8°C is waarschijnlijk onhandig, maar diezelfde kipschotel op -5°C zou zo maar eens kunnen. Die oven is namelijk best redelijk geïsoleerd en zoveel energielek zit er niet in. Daarnaast gaat de temperatuur naar >90°C dus het zijn niet de bacteriën waar je zorgen om moet maken, maar de toxinen. Er is wel wat voor te zeggen om als je thuiskomt eten klaar te hebben, wat voor programma is er dan nodig voor een gezonde en veilige maaltijd. Klinkt als iets waar een Hello Fresh achtig concept best een oplossing voor zou kunnen bieden.
Dat zei men ook over de smartphone....

Hier staat een slimme koelkast, siemens nog wat, meerprijs hiervoor was nihiel. Slimme functies zijn oa waarschuwing deur open, en temp regeling. Toegegeven: niet life changing, had liever een camera gehad die de binnenkant weergeeft.
Een echt slimme koelkast doet zelf de deur dicht na een bepaalde tijd als hij gedetecteerd heeft dat hij nog open staat. :+
Maar even serieus waarom een slimme koelkast?
Ik heb een niet slimme koelkast en daar is niets mis mee.
Het gaat over bedrijfsapparatuur, bijv. restaurants. Daar ligt vermoedelijk voor veel geld aan voedsel in, in tegenstelling tot die paar knaken in jouw koel-/vrieskast.
Waarom niet gewoon de consument bij eerste gebruik een login laten aanmaken? Dan heb je toch al het voordeel dat je niet met duizenden apparaten zit met dezelfde credentials.
Dit is geen consumentenapparaat, dit gaat om industriele installaties. Die heb je over het algemeen niet thuis staan ;)

Maar dat men systemen wegzet zonder de standaard passwords te wijzigen is inderdaad een kwalijke zaak. Net als dat die dingen blijkbaar zo van buiten te benaderen zijn ipv achter een firewall of VPN te zitten.
Het maakt niet uit of het nu particulier is of niet. Default passwords is gewoon slecht en mist enige vorm van een logische beveiliging. Met de uitgifte van een apparaat zou je een random password moeten hebben, meegegeven in je boekje die per apparaat verschilt. Bij het inloggen moet er gewoon direct een password change geforceerd worden. Of iets in die trend..

Het is gewoon zo makkelijk om te zeggen dat de verantwoording bij de eindgebruiker ligt.

Tweakers houden van vergelijkingen dus bij deze: Dit is hetzelfde als je nieuwe auto ophalen en niet meer kunnen remmen omdat er geen remvloeistof is. "Dat is de verantwoording van de klant"; nadat je in de vangrail ligt.

De algemene leek weet dat er zoiets bestaat als remvloeistof, moet deze gene dan dit zelf gaan checken of mag er een bepaalde kwaliteit verwacht worden?
Sommige klanten willen gewoon de stekker erin doen en dat het apparaat meteen volledig functioneel is. Wat je ook kunt doen is een sticker met een unieke login op het apparaat of de handleiding.
Ik denk dat we bij de tijd zijn aangekomen waarin je pc gehackt is, en de aanvaller via de koelkast het netwerk binnen kwam :X
Dat probleem hebben we in 2015 met de slimme waterkoker al gehad, die waren er eenvoudig toe te brengen het wifi-wachtwoord prijs te geven.

Hier gaat het om industriële apparatuur waarbij ook de installateur te lui is geweest om even het standaardwachtwoord aan te passen.
Of waar het niet mogelijk is......laten we vooral die optie niet vergeten he.
Of waar de koper vond dat het standaard wachtwoord wel oke was.
;P
Dat iemand mijn koelkast/vriezer laat ontdooien is niet het grootste probleem. Maar als kwaadwillenden zien dat in de zomer na drie dagen zien dat de temperatuur niet terug is gezet, dan is duidelijk dat er niemand thuis is. Als mensen al geld willen uitgeven aan een slimme koelkast, dan is er een dikke kans dat er nog meer moois te vinden is.
Misschien roept die koelkast wel naar de buitenwereld dat die al drie dagen niet geopend is. Dan weet je ook genoeg. ;)
Resource Data Management heeft op de berichtgeving gereageerd door te stellen dat het klanten adviseert om het standaardwachtwoord aan te passen. Het bedrijf wijst erop dat dit de verantwoordelijkheid is van de gebruikers van de koelkasten en vriezers.
Dit is waar het fout gaat, als onderdeel van de installatie verplichten wachtwoord te wijzigen verkleint het risico enorm.
Die dingen hangen toch niet automatisch aan het internet als je ze aanzet (je moet er minimaal een ethernet stekker of Wifi voor instellen)? Kwestie van de eerste keer inloggen verplicht het wachtwoord wijzigen. Daarna het apparaat pas op afstand toegankelijk laten zijn (indien de gebruiker daarvoor kiest). Lijkt me vrij eenvoudig te implementeren en je bent direct een stuk veiliger.

[Reactie gewijzigd door jongetje op 9 februari 2019 10:28]

Dit komt regelrecht voor in een aflevering van Silicon Valley
Hilarisch trouwens:
https://www.youtube.com/watch?v=x1f1uW8iedM
Mja, lek of geen lek? Dan is bijv. heel Thailand ook lek met hun wifi in hotels. Elke router die ik er ben tegen gekomen kan ik gewoon als admin op. Zijn dan de routers lek of de beheerders geen gekwalificeerde beheerders door te doen wat elke beheerder moet doen en dat is als eerste de veiligheid op orde te zetten alvorens men door gaat met afconfigureren.
Standaard wachtwoorden zijn een lek ja, het gevolg is 100% voorspelbaar. Het is een ontwerp fout.
Standaard wachtwoorden zijn een lek ja, het gevolg is 100% voorspelbaar. Het is een ontwerp fout.
Lol.... hoe stel jij je een apparaat voor dat geen standard wachtwoord heeft als je het koopt? Of het nu leeg is of 'admin' bevat het is altijd een 'standaard'. Je kan natuurlijk ook voor elk exemplaar een random password maken dan maar veel success met je customer service!

Wat je bedoelt is dat bij het eerste gebruik de gebruiker gedwongen moet worden om een nieuw password te zetten. Dat nalaten is vrijwel altijd een keuze en ik zou dat niet een ontwerpfout noemen.
Leeg en het apparaat gewoon niet laten functioneren tot het is ingesteld, of random met stickertje (en misschien in database bij fabrikant zodat ze hem na een hard reset over het internet kunnen benaderen voor noodgevallen).

Nooit standaard met een functioneel apparaat, het gevolg is 100% voorspelbaar en veroorzaakt miljarden aan schade, is niet acceptabel. Als de gebruikers te debiel zijn om een stickertje af te lezen dan moeten ze maar iemand inhuren.

[Reactie gewijzigd door Pinkys Brain op 9 februari 2019 11:24]

Wat je bedoelt is dat bij het eerste gebruik de gebruiker gedwongen moet worden om een nieuw password te zetten. Dat nalaten is vrijwel altijd een keuze en ik zou dat niet een ontwerpfout noemen.
Dat nalaten zou niet moeten kunnen. Het gaat om vele euro's en voedselveiligheid.
Standaard wachtwoorden zijn niet automatisch een ontwerpfout.
Standaard wachtwoorden zijn niet zo erg als de rest van je beveiliging in orde is. Dat je mensen er niet zo maar bij laat of een verplichte wachtwoord wijziging bij de eerste aanmelding.

Maar als je je meuk zo open en bloot op het internet hangt, dan is een standaard wachtwoord niet eens je grootste probleem. Als de programmeurs/designers achter dit gebeuren niet eens af weten van security 101, hoe veilig zal de code zelf zijn?
Als bedrijf wil je wel van afstand kunnen monitoren, stel dat een compartiment niet meer naar behoren werkt is het fijn als je kunt voorkomen dat al je spullen bederven voordat je er de volgende ochtend pas achter komt. Ik kan me voorstellen dat het ook praktisch nut heeft om op afstand de temperatuur te kunnen veranderen, zodat niet elke medewerker dat even ter plekke kan doen en misschien uit onwetendheid een fout maakt.

De oplossing hier (en bij alle andere connected devices) is om nooit een webinterface vanaf het apparaat te draaien, maar om het apparaat verbinding te laten maken met een externe server *die je zelf kunt kiezen* en via daar te communiceren. Die externe server zou dan niet van de fabrikant hoeven zijn, maar juist van een derde partij die je wel vertrouwd qua veiligheid en lange termijn support. Zo'n derde partij zal er dan echt wel voor zorgen dat je geen standaard wachtwoorden gebruikt, in plaats van een bedrijf dat koelkasten maakt en het online deel er "even bij doet".

[Reactie gewijzigd door Skit3000 op 9 februari 2019 09:31]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True