Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Datalek bij Chinese slimmecamerafabrikant treft 14.000 exemplaren in Nederland

RTL nieuws meldt dat 14.000 slimme camera's in Nederland van de merken Apexis en Sumpple een lek hebben. De database waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken.

Niet alleen is het wachtwoord van de database buitengewoon zwak, maar de database bevat ook de locatiegegevens van het apparaat en het e-mailadres waaraan hij gekoppeld is, waardoor het relatief eenvoudig is om degene die bekeken wordt ook op te sporen. Wie toegang heeft tot de camera, kan niet alleen meekijken, maar ook de camera draaien en door de babyfoonspeaker praten. Omdat de database zelf zo slecht beveiligd is, helpt het voor gebruikers niet om hun wachtwoord te veranderen.

De 14.000 camera's staan in Nederland, maar wereldwijd zou het gaan om 'vele honderdduizenden', aldus de nieuwssite. De camera's werden verkocht bij Bol.com, Amazon en Aliexpress. Ook Trust koopt de camera's in, maar gebruikt zijn eigen inlogsysteem, waardoor het buiten schot blijft. Het eveneens Nederlandse Hesdo gebruikte de camera's ook, maar is daarmee vanwege de gebrekkige beveiliging al eerder gestopt.

Apexis is het moederbedrijf van Sumpple, beide bedrijven zijn Chinees. Om die reden delen de twee bedrijven ook een database. De twee hebben niet gereageerd op contactverzoeken van hackercollectief The Arcanum Group, dat het lek in augustus ontdekte, noch op de verzoeken van RTL Nieuws.

Door Mark Hendrikman

Nieuwsposter

21-09-2019 • 13:00

113 Linkedin Google+

Reacties (113)

Wijzig sortering
Aanvulling: de wachtwoorden in de database waren wel degelijk gehased met bcrypt, maar werden incorrect uit de request-logs gefilterd. De logs stonden opgeslagen in dezelfde onbeveiligde database. Zie deze Tweet van Daniël Verlaan, journalist van RTL die dit bekend heeft gemaakt: https://twitter.com/danielverlaan/status/1175357395490529280

[Reactie gewijzigd door n9iels op 21 september 2019 16:51]

Neem aan dat je incorrect gefilterd bedoeld.
Wat bedoel je hier mee? Ik kan zijn tweets gewoon lezen.
Volgens mij installeren veel mensen een ipcamera zonder wachtwoord en dit lek zorgt er niet voor dat de boel verbeterd wordt. Mijn vraag is een beetje: Waarom installeren mensen deze meuk nog? Is het zo moeilijk om zelf een camera en servertje thuis te installeren?
Een eigen servertje is natuurlijk ook geen garantie dat het veilig is. Je moet dan weten wat je doet (poorten openzetten e.d.) en je moet de boel constant up to date houden om geen beveiligingsrisico's te lopen. Als je de boel niet goed beheert loop je nog veel meer risico.

Nee, doe dan maar liever iets wat door de fabrikant beheert wordt. Je moet dan wel vertrouwen in die fabrikant hebben. Bij goedkope Chinameuk zou ik wat meer twijfels hebben dan bij een bekender/duurder merk. Dat is ook een beetje gezond verstand gebruiken. En zelfs dan gebruik ik dergelijke camera's niet permanent in bijv. mijn woonkamer en andere ruimtes waar ik veel ben. Je weet nooit wie er mee kan kijken/luisteren. Ook dat is gezond verstand gebruiken.
Ik ben wat wantrouwender.. Maar ik ga er gemaks-/veiligheidshalve maar van uit dat het gros van de 'duurdere' camera's die je koopt gewoon white-label gebrande China-meuk is waarvan je gewoon moet aannemen dat het onveilig is, dan valt het in ieder geval niet tegen.
Niet iets dat je direct aan het internet hangt. Er zijn hele botnets op goedkope IP camera's en vergelijkbaar gebouwd. https://blog.trendmicro.c...otnet-targets-ip-cameras/
Dat is inderdaad gemak aan jouw kant. Wij hebben goede relatie met Axis, zo'n "duurdere" camera. Die hebben een R&D lab in Zweden en maken hun eigen SoC's voor hun eigen camera's. Die chip vindt je niet terug in een Chinese white-label camera.

Dan heb je inderdaad meteen een ander veiligheids-verhaal. Installeren zonder wachtwoord is helemaal niet mogelijk; letterlijk het eerste wat je op de camera moet doen voordat je iets anders instelt is een wachtwoord kiezen. De firmware is digitaal ondertekend; een hacker kan niet zomaar nieuwe firmware uploaden. Nieuwe firmware komt regelmatig beschikbaar: niet alleen functionele updates, maar er is ook Long-Term Stability branch voor wie dat liever heeft. Je hebt dus zelfs keuze in updates.
Axis camera exploit, 2009
https://www.youtube.com/watch?v=ankAy-rixxk

Axis camera exploit, 2016
https://www.exploit-db.com/exploits/39683

Axis Camera exploit, 2018
https://github.com/rapid7/metasploit-framework/pull/10300
Gebaseerd op oa
https://www.vdoo.com/blog...abilities-in-axis-cameras

Waarbij TrendMicro waarschuwt dat mbv deze hacks camera's onderdeel van een botnet kunnen worden.
https://www.trendmicro.co...ld-give-attackers-control

Op basis van jouw formulering "Wij hebben goede relatie", ga ik er van uit dat je het over zakelijk gebruik hebt. Waarbij jullie, mogelijk.., deze camera's updates geven. Ik denk dat als ik als particulier zo'n camera op hang, ik misschien 1 keer een update zou installeren, maar als er dan geen berichten ergens op de frontpage van Tweakers verschijnen, zou dat denk ik niet snel gebeuren. Daarnaast weet ik ook niet of Axis deze updates gedurende de hele levensduur van de camera blijft leveren?

edit:
Gebaseerd op deze simple search, het aantal hits is eindeloos..
https://duckduckgo.com/?q...era+exploit&t=ffab&ia=web

edit 2 (iets inhoudelijker):
Ik zie niet echt in wat je punt mbt soc's te maken heeft met veiligheid, of wat het precies toevoegt.. Volgens mij kan je op zich best prima wat off-the-shelf hardware gebruiken. Het grootste risico komt van het internet, dat is grotendeels een software ding.

[Reactie gewijzigd door thegve op 23 september 2019 00:13]

Gaten in software of exploits zijn niet zozeer het probleem - een leverancier die weigert de gaten te fixed - dat is het probleem. Alle software bevat fouten, en exploits zijn een logisch gevolg. Maar hoe je met die fouten omgaat, dat maakt het verschil tussen een producent waar je een relatie mee op wil bouwen en eentje waar je zo snel mogelijk weer van af wil...
Wij zelf geven de camera's geen updates - wij zijn geen System Integrators maar Application Development Partner. Evengoed hebben we een lab vol van die dingen. De grap is dat Axis goede tooling heeft om in 1 keer alle camera's in het netwerk te updaten, dat is geen handwerk. Auto-update kan niet omdat elke serieuze partij die dingen ge-VLAN-d heeft zoniet airgapped. Eén van de partijen waar wij werken heeft dat nog serieuzer gedaan - geen airgap maar een 5 meter hoge betonnen muur met prikkeldraad. (Ok, misschien is dat om de gevangenen binnen te houden ;))

Ik denk ook dat je de lijst met vulnerabilities verkeerd leest. Die 2018 aanval werkt alleen omdat je 3 aanvallen achter elkaar moet uitvoeren, en die hebben allemaal een eigen CVE. Als je netwerk of firewall ook maar één van die drie CVE's voorkomt, dan was je al veilig.

Om het nog concreter te maken: de derde stap is het veranderen van een camera-parameter. Maar het is gebruikelijk dat die parameters bewaakt worden door externe processen - wij bewaken bijvoorbeeld alle parameters die de werking van onze applicatie aan kunnen tasten. Volgens Trend Micro zou je dat via de hack onze functionaliteit kunnen uitschakelen. Ja, klopt, maar dat gaat dus niet ongemerkt.

Mijn punt over eigen SOC's is om aan te geven dat het geen chips zijn die je terugziet in Chinese white-label camera's. Het zijn chips die een secure boot mogelijk maken.
waarvan je gewoon moet aannemen dat het onveilig is, dan valt het in ieder geval niet tegen.
Niet iets dat je direct aan het internet hangt.
Auto-update kan niet omdat elke serieuze partij die dingen ge-VLAN-d heeft zoniet airgapped.
Dan zijn we het feitelijk gewoon eens lijkt mij. Geen spul dat je rechtstreeks aan het internet hangt en tegen iedere hacker zegt dat hij zijn gang mag gaan.

Jouw use cases gaan wat verder dan die ik in mijn hoofd had, maar als je niet direct een gevangenis aan het monitoren bent of iets dergelijks gevoelig, maakt het dus niet uit of je een goedkope chinese onveilige camera gebruikt, of een veilige Axis (of whatever), als je er maar voor zorgt dat jij de enige bent die een TCP verbinding kan opbouwen met die camera...
In de praktijk is het verder nog zo dat "jij" geen verbinding maakt met de camera. Je hebt een VMS (Video Management Server) die als enige verbinding kan maken met de camera. Dat betekent dat zelfs die 3-staps aanval tegen Axis alleen werkt als je eerst de VMS server hebt gehackt. Maar goed, dit is high-end.
Het makkelijkst is een VPN server op te zetten met OpenVPN (bv. PiVPN op Raspberry Pi)...de kans dat de beveiliging van OpenVPN op orde is en veiliger is dan een camera of ander apparaat zelf te forwarden naar het WWW (met een of andere wachtwoordbeveiliging waarvan je niet weet hoe lek ze is) is groter. Ook komen er van een groot Open Source project als OpenVPN regelmatig updates uit die lekken dichten. En je moet maar 1 poort forwarden, de VPN poort.

Maar goed het kost extra, kost meer moeite en je moet een beetje verstand hebben van netwerken...niets voor de gewone consument...

[Reactie gewijzigd door Clemens123 op 22 september 2019 00:37]

Een eigen server is echter wel garantie dat bij lek XYZ jouw camera niet gelijk tussen honderdduizenden anderen gevonden wordt, maar dat iemand specifiek op jouw IP / server moet proberen in te loggen. Niemand gaat voor jouw deurbelcamera of bewakingscamera in de woonkamer moeite doen, tenzij je daar een echte picasso hangen hebt of je voordeur toegang geeft tot een kerncentrale.

Uiteraard beter dat je weet wat je doet en alles dichttimmert.

[Reactie gewijzigd door bramvandeperre op 22 september 2019 03:04]

An sich is het natuurlijk geen werk. Correcte poorten forwarden (als het al nodig is) en openen, een cronjob voor dagelijkse updates, misschien een periodieke reboot of backup via cron en je bent zo goed als klaar. Ik doe niets met ops of beheer maar dit is in een uur gedaan.

[Reactie gewijzigd door oef! op 22 september 2019 12:02]

Haha, door de fabrikant? Het is allemaal dezelfde lekke meuk. Zorgen dat streams lokaal blijven en dus camera's niet vanaf buiten te benaderen zijn is de enige 'veilige' optie.

https://www.youtube.com/watch?v=B8DjTcANBx0
"Mijn vraag is een beetje: Waarom installeren mensen deze meuk nog?
Is het zo moeilijk om zelf een camera en servertje thuis te installeren?
"

De eerste vraag is een vraag.

Is de tweede vraag óók een echte vraag of meer een stelling ?
(Nieuwsgierigheid)
Ik installeer inderdaad veel goedkope Chinese meuk in huis. Dit doe ik op de volgende manier:
1. Firmware vervangen door open source versie (indien mogelijk)
2. Apparaat installeren
3. Volledige internettoegang voor het apparaat verbreken op de router

Als ik toch nog DNS requests zie op Pihole van het betreffende apparaat gaat dat domein ook nog eens op de Blacklist.

Dus op 2 manieren geblokkeerd; zowel op DNS niveau als in de firewall van de router.
is er dan zoveel "goedkope Chinese meuk" waar je de firmware van kan flashen? (vb aub? )
Jazeker! Denk bijvoorbeeld aan Tuya en afgeleiden, maar ook van de Besder camera's zijn, beperkt, alternatieve firmwares te vinden.
Zelf ben ik erg fan van Xiaomi Dafang Hack; 1 van de meest stabiele camera's die ik gebruik en voor €20 bijna te geef.
Ja, die van xiaomi kan je dit bv goed doen. Draai zelf ook een paar icm Telegram bot en opnamens gaan ook nog eens naar mijn Synology. Hack is best makkelijk uit te voeren (ik doe het icm een SD-kaart) en de camera's kosten maar 20 dollar.

GIT wordt best wel goed bijgehouden en worden best leuke opties toegevoegd (de telegram bot als voorbeeld). Qua specs zijn de camera's ook nog eens zeer goed.

[Reactie gewijzigd door vali op 21 september 2019 19:59]

Bij stap één verlies je al 90% van de gebruikers. Het grootste deel weet niet eens waar je het over hebt en de overigen hebben wel en vaag idee waar het over gaat maar weten niet hoe dat moet. Bij elke volgende stap verlies je weer 90% van de gebruikers die je tot dan toe over hield.
Als je er de tijd voor neemt is het misschien niet zo moeilijk, maar de gemiddelde jan met de pet wil de camera met zo min mogelijk werk installeren. Die server moet je dan ook maar toevallig hebben en anders kost het weer extra geld en gedoe (hoe weinig dan ook).

Onderschat de luiheid van mensen niet
Er wordt toch altijd geroepen dat techbedrijven de beveiliging beter op orde hebben dan zelf beheerde servers? Stop alles in de cloud, veiliger dan een server thuis.
Hmm, dit was dis in de cloud. Zoals je ziet is dat geen enkele garantie voor kwaliteit. Of was je opmerking sarcastisch>
Aan de andere kant is jouw servertje geen doelwit van duizenden hackers... Vooral niet als je gewoon netjes een VPN draait (kan vaak zelfs vanaf je router).

Bovendien, in de cloud weet je nooit wie er allemaal meekijkt.
Dit is echt onzin. Hou je router maar in de gaten zodra poort 22 open staat....
Ze targetten helemaal niets. Het zoeken, vinden en exploiteren gaat.vplledig automatisch en kost deze lui helemaal niets .
De idee dat hackers zich alleen op interessante doelen richten, is er een die stamt uit het analoge tijdperk. (Staat er een dure auto voor het huis, zal er binnen ook wel iets liggen)

Ook hier is door verwerkingskracht en nieuwe technologie.sprake van een heel andere.manier van denken....
Jullie hebben het denk ik beide over wat anders. Ja, elk IP op Internet wordt gescanned op wat GekkePrutser al laaghangend fruit noemt. Veelal oude exploits, zwakke wachtwoorden, etc. Leuk als dat wat oplevert, handig voor sturen van spam oid, maar verder weinig bijzonders.

Maar een partij als Google, Amazon of Microsoft heeft ook veel aanvallen die wel specifiek getarget zijn, door mensen die wel weten wat ze doen. Dat in tegenstelling tot je servertje thuis, niemand zal specifiek jouw thuis server proberen te hacken, simpelweg omdat het niets oplevert.

Amazon hacken is instant fame. Familyman z'n Raspberry Pi niet.
Ja, die poort 22 scans ken ik (zie ik al sinds 2003 ongeveer) maar dat is laaghangend fruit. Als ze er daarmee in komen heb je geen slechte beveiliging, maar gewoon geen beveiliging.

Ik heb thuis helemaal niks open staan, dat gaat via een VPN server die vanaf daar verder routeert. Meerdere lagen en een zinvol authenticatiebeleid (zoals private keys, geen paswoorden) is al voldoende om dit te voorkomen.
Je het dus wel iets open, je VPN poort ;)
Nope, al mijn lokaties verbinden naar buiten toe. Er staat geen enkele poort open naar binnen toe. Het is een soort p2p VPN. Op de centrale VPN server natuurlijk wel, maar die heeft alleen de VPN geinstalleerd en verder niets (en goede beveiliging met enkel certificaten natuurlijk).
Ah helder, dat kan ook idd :)
Inderdaad de poort 22 scans komen veelal van spammers etc af die gewoon geautomatiseerd op zoek zijn naar apparaten die open staan op hun bots op te instaleren. Dat zijn geen hackers die specifiek met man en macht jouw thuisserver proberen te kraken. Ik ben het eens met dat je thuisservertje altijd nog veel minder doelwit is dan die van een groot bedrijf. En dat de analoge gedachten van mooie auto voor de deur in de digitale wereld nog altijd volstaat.
Denk niet eens dat het gaat om luiheid, maar om de kennis.
Een auto zelf reparen is voor een auto liefhebber/monteur ook, een badkamer vervangen ook voor een handige harry etc.
Ook een Tweaker kan zich hier helemaal niet in 'thuis' voelen.

Je verwacht buiten dat ook gewoon een veilig product te kunnen kopen bij bol.com (Dan wel niet via de marketplaces van Bol).
Ik ga akkoord, onderschat de luiheid van de mensen niet :)
Overschat ook niet het 'gemak' wat sommige producten pretenderen te bieden qua installatie. Er zijn vaak allerlei redenen waarom de makkelijkste installatie niet altijd werkt, achterhaalde handleidingen, slechte documentatie en voor support wordt je verwezen naar een forum met halfbakken feedback die voor de gewone burger niet werkt.
Die server moet je dan ook maar toevallig hebben en anders kost het weer extra geld en gedoe
(hoe weinig dan ook).

Onderschat de luiheid van mensen niet


Als je het over extra geld hebt zou je dat feit óók mee moeten nemen als reden,
niet alleen luiheid.

[Reactie gewijzigd door WimmieV op 21 september 2019 14:34]

Onderschat de luiheid van mensen niet
Hier ga je wel heel erg kort door de bocht. Ik denk dat je eigen specialistische kennis zo sterk bij jezelf verankert zit dat je denkt dat dit algemene kennis is. Hoeveel uur studie zou iemand moeten verrichten voordat hij met 0,0 voorkennis een camera en server te installeren en te configureren zodat deze goed en veilig werkt?
Zelfs voor diegenen die die tijd willen investeren is het ondoenlijk om dat voor elke technische oplossing te doen.

Je kunt betere een beroep doen op het gezond verstand.
Accepteer dat een goede kant-en-klaar oplossing vele malen beter en veiliger kan zijn dan knutselwerk van hobbyisten met net iets te weinig kennis. Ga onderzoeken wat de grote namen zijn bij mensen van wie je mag verwachten dat ze weten waar ze het over hebben. Kijk vervolgens naar een goede aanbieding van één van die camera's.
En ga er altijd van uit dat een spotgoedkope camera, die een fractie kost van wat reguliere merken kosten, zo lek is als een mandje. Natuurlijk loop je zo ook dat éne juweeltje mis dat én goedkoop én onbekend is én zijn zaakjes wel uitstekend op orde heeft, maar de kans dat je daar heel toevallig tegen aan loopt is toch nul.
Onderschat de luiheid van mensen niet
Niet iedereen begrijpt VPN/Pie-holes/port blocking/port-forwarding enzenz.. Koek-ei voor de meesten hier, tot het extreme, maar al horen deze mensen het, zijn ze al naar een zin afgehaakt.

Zelfs met doe-het-zelf zullen ze eerst zelf de boel proberen... werkt het.. mooi, geen specialist nodig. En in de meeste gevallen gaat het het goed. Ook in dit geval... ik heb beeld dus het werkt... mooi.
En weten mensen het niet, dan weten ze de weg naar de loodgieter,timmerman of klusjesman wel te vinden.

Jammer is dat dit nog niet geldt voor de IT-man. Zo vanzelfsprekend is het (nog) niet.
Jammer dat het ook meteen op luiheid gegooid wordt..
Je kan dan ook een paar tientjes meer betalen voor een betere camera. Die zal misschien ook een lek krijgen maar dan heb je meer garantie dat het ook opgelost wordt.
Ach, zelfs camera’s van over $1000,- van “gerenommeerde” merken kunnen zeer slecht beveiligd zijn. Zie: https://youtu.be/B8DjTcANBx0
(Ja, dat filmpje is al wat ouder, maar ik verwacht dat er nog veel bedrijven zijn met soortgelijke vulnerabilities, zeker de “goedkopere” van onder de $1000,-)
"Je kan dan ook een paar
tientjes
meer betalen voor
een betere camera.
"


Goedkope camera 25 euro
Betere camera 45 euro

En die is veiliger?
Ik ben bang van niet 😏

[Reactie gewijzigd door WimmieV op 21 september 2019 14:47]

Hoeft in principe niet veiliger te zijn.
Vaak zal een redelijk goedkope camera van een regulier merk dat je hier in de winkels kunt kopen een omgekatte versie zijn van een Chinees merk dat je voor minder dan de helft via internet kunt krijgen.
Maar dat reguliere merk heeft wel een reputatie te verdedigen. Het zal óf een eigen toevoeging doen, zoals Trust, zodat het veiliger is, of zal eerder geneigd zijn om een gevonden lek te dichten (wanneer dat mogelijk is). Dat een Chinees bedrijf van goedkope spullen niet reageert mag geen verbazing meer zijn.
Door de slimme apparatuur is het vaak niet goed mogelijk om zelf de camera te koppelen aan de server/nas. Dit geldt vermoedelijk vooral voor de duurdere oplossingen zoals die van Nest.
Ja dat is te moeilijk. Want IoT is een consumentenmarkt geworden en die rommel moet aan zo veel mogelijk mensen worden verkocht. Die mensen hebben geen benul van beveiliging en het kan ze eigenlijk ook niks schelen, want het is toch wel handig en leuk en lekker goedkoop.
Ja, want een server zul je moeten onderhouden met updates. En wat als er een update verkeerd uitpakt waardoor de opstelling niet meer werkt? Zie jij dit je oma al doen fixen?

Een slimme camera "werkt gewoon" net als dat een koffiezetapparaat of wasmachine "gewoon werkt". En als het kapot is vervang je het gewoon door een nieuwe.
Ja voor de gemiddelde Nederlander is het installeren en onderhouden van een server al een onmogelijke opgave, laat staan een ip camera daaraan koppelen
Omdat de meeste mensen geen idee hebben. Die schaffen iets aan met de gedachte dat als het verkocht wordt dat het dan ook wel veilig en denken 'anders mogen ze het niet verkopen'
een server kost onderhoud en energie(extra elektriciteitsverbruik) om te installeren. 98% van de mensen heeft zulke skills niet en wil dat het gewoon werkt. men gaat ook ervan uit dat het veilig is vanuit de fabrikant.

[Reactie gewijzigd door Ludwig005 op 21 september 2019 15:35]

Dan nog helpt het dus bij deze niet en bij het gros kan je niet eens het wachtwoord wijzigen of er zit toch nog een sysadmin account vast in met een default password.

Daarbij werken vaak deze camera’s met het almachtige upnp op routers om het maar zo easy as possible te maken voor gebruikers
Waarom,omdat het soort van plug en play is en een snelle oplossing is als je geen kennis hebt van servertjes en ip’s...
Kan jij een roetfilter of batterij vervangen van een auto, het is ook poepsimpel hoor ... als je kennis van auto’s hebt. Er zijn zelfs mensen die de website Tweakers niet kennen, ja echt waar..... :X
Maak niet uit of wel of zonder wachtwoord meestal de meeste ip camera's zoals die van netwave hebben hem ergens een bestandje die je via de ip kan bereiken ergens in de log of cache of etc files wel de user and password staan waardoor alsnog met een goede wachtwoord het wachtwoord kan worden gevonden in plaintext
Het is tegenwoordig vooral lastig om een oplossing te vinden die je nu beschrijft. Als ik opzoek ga naar een ip camera dan is 99% een "cloud" camera. Erg handig voor veel niet technische mensen maar voor jou en mij niet intressant.
Voor een niet-tweaker? Ja. :)
"Volgens mij installeren veel mensen een ipcamera zonder wachtwoord"

Een goede BeveiligingsCamera eist een wachtwoord !

En slechte doen dat zelfs ook blijkt.
Ook al staan die soms open en bloot in een database, als ik het goed begrijp

[Reactie gewijzigd door WimmieV op 21 september 2019 14:39]

probleem is vaak dat die cameraatjes via 1 of andere app werken die god mag weten waarmee verbinding moeten maken.
Ik heb er ook 1 in mijn huiskamer zodat ik op afstand in de gaten kan houden of de honden blaffen of niet. toegang is via een aan mijn camera gekoppelde telefoon, maar dat koppelen gaat wss via 1 of andere chinese houtjetoutje server...of mijn beelden daar ook worden opgeslagen...geen idee, kan ik niet achterhalen.
Het zou mij dan ook niet verbazen als de halve wereld mee kan kijken, maar aan de andere kant denk ik dat ik me wel kan verschuilen achter de grote getallen.
Als ze in alle camera's mee kunnen kijken, zou het wel heel raar zijn als zo'n hacker specifiek met mijn camera mee zit te kijken hoe ik in mijn ondergoed door de kamer paradeer :9
Als ze in alle camera's mee kunnen kijken, zou het wel heel raar zijn als zo'n hacker specifiek met mijn camera mee zit te kijken hoe ik in mijn ondergoed door de kamer paradeer :9
Het wordt wat anders wanneer al die camera's te benaderen zijn vanuit één website die ook de locatie van de camera's weet. Dan kan iemand gaan snuffelen naar camera's in zijn buurt en óf de buurman/ -vrouw begluren of in de gaten houden wanneer er niemand thuis is om hem te storen bij het inbreken.
Dit is gewoon goedkope meuk. Eenvoudig te installeren, wachtwoord veranderen en het draait.
In dit geval had het veranderen van het wachtwoord weinig nut.
De betere ip-camera's kan je aan je eigen server koppelen. Dit is altijd veiliger dan een verbinding die verplicht via een server van de fabrikant.
Het is schijnveiligheid door te denken dat je met een duurdere merk camera beter af bent qua cloud beveiliging...
Duurder is niet altijd beter, maar beter is vaak wel wat duurder.
Ik weet dat er veel "goede" camera's zijn, die wel behoorlijk prijskaartje hebben, maar toch niet veilig zijn.Ik beweer ook niet dat de duurdere camera's veilig zijn, maar dat je de veilige niet in de laagste prijsklasse moet verwachten.
Wat mij betreft zijn alle camera's die alleen via een door de fabrikant opgelegde server werken onveilig. Die servers worden juist interessante doelwitten voor hackers. Een camera moet gewoon via een zelf in te stellen (eigen) server kunnen werken. Dan loop je ook geen risico dat je camera tot een dummy wordt gedegradeerd als de fabrikant de server uitzet of failliet gaat.
Een eigen server is ook niet per definitie veilig, maar daar heb je wel zelf de controle over. Voor camera's die op voor publiek toegankelijke plaatsen hengen is een "adequate beveiliging" viaa de AVG ook verplicht.
Ik ben laatst op zoek geweest naar een buitencamera van rond de honderd piek die niet uit China komt. Vooral vanwege mijn slechte ervaringen met de firmware/software (op een vrijdagmiddag in elkaar geprutst door een dronken stagiair) en support (“als je last hebt van die bug dan gebruik je die functie toch niet”) van Foscam. Toen ik deze headline zag dacht ik direct dat het wel om Foscam zou gaan.

Maar goed, met “niet-Chinees” kom je eigenlijk al heel snel in een soort semi-pro niveau terecht boven die €250. Begrijpelijk maar wel vervelend.

Ik begon me toen af te vragen of het niet mogelijk was om een Europees bedrijf te beginnen die hun hardware wel in Azie laten maken maar de software, support etc. gewoon in Europa en met Europese standaarden. Ik zou zo 30% meer betalen als ik me jarenlang hoofdpijn zou kunnen besparen of de ongerustheid iedere keer als er weer een kwetsbaarheid in in het nieuws komt. Eigenlijk beschrijf ik nu zo’n beetje Logitech maar die maken geen buitencamera’s.

[Reactie gewijzigd door Maurits van Baerle op 21 september 2019 13:50]

Maar het probleem speelt dus niet alleen bij de "Chinezen". Ik bestempel Foscam zeker niet als het eerste beste <insert Chinees merk>. Ja, het is een Chinees merk, maar dat vind ik iets anders dan Chinese rotzooi. Chinese rotzooi is voor mij een product dat je tegen achterlijk lage prijzen koopt op Aliexpress, zeg maar de merken waar je nog nooit van gehoord hebt en de komende 20 jaar dat ook niet meer zal doen.

Maar ik ben het met je eens. We hebben IP-camera's nodig van fabrikanten die support serieus nemen en niet te duur zijn. Dat betekent:
- Er wordt serieus omgegaan met exploits
- Optie om ook zonder dienst van de fabrikant te werken.

Een apparaat moet gewoon veilig te gebruiken zijn. Dat betekent zowel 'hardware-matig' veilig als 'software-matig' veilig. Je moet niet opeens geëlektrocuteerd worden of jezelf openhalen o.i.d., maar de camera mag ook niet makkelijk te hacken zijn. Ik begrijp best dat er winst gemaakt moet worden en het niet rendabel is om na 5 jaar nog een service omhoog te houden. Maar als je dan (makkelijk) zou kunnen overstappen op een eigen service, scheelt dat al een hoop afval. En tja, goede software... Ook belangrijk, maar het kan een keuze zijn om niet het beste te kopen. Z'n developmentteam werkt niet gratis...

[Reactie gewijzigd door hoi1234 op 21 september 2019 14:23]

Heb op Aliexpres een binnencamera gekocht voor 20 euro. Werkt niet zonder de app, en de app dwong mij gelijk af updates van de firmware te installeren. Maand later kwam nog zo'n update.

Het doel van die camera was een beetje hobbyistisch lekken vinden in Chinese troep. Geen openstaande poorten, alles over TLS en vergrendeld achter een account in de cloud.

Helaas zorgde de laatste update dat de camera alleen maar in China gebruikt kon worden (deed een of andere IP-bassd geolocatie) maar tot die tijd was het ding op en top beveiligd.

Aan de andere kant heb ik zat talks gezien van mensen die dure "business grade" camera's kraken van Amerikaanse merken.

De prijs van een product is compleet ongerelateerd aan de veiligheid ervan. Anders zouden Juniper en Cisco switches geen backdoors hebben. Die €20 Mi camera die ik heb gekocht is beter dichtgetimmerd dan menige router.
De oorzaak is hier dat de camera afhankelijk is van clouddiensten en de cloudserver door achteloos omgaan met beveiliging kon lekken. Ik denk dat het verstandig om niet te snel met het wijsvingertje naar China te wijzen, want er zijn een hoop bedrijven die steekjes laten vallen als het om beveiliging gaat.

Wat mij betreft is dit een wijze les, dat privacy in de cloud betekent dat je je privacy toevertrouwt aan volslagen onbekenden. Hoe betrouwbaar die zijn, moet je maar afwachten.

Hang een USB-webcam op en maak hem via een eigen server toegankelijk van afstand. Met een klein beetje verstand bereik je als snel een acceptabel veiligheidsniveau. Het probleem is natuurlijk dat Tweakers dat kunnen en Jan-met-de-Pet niet, maar dit is nu precies waar de maatschappelijke uitdaging ligt.
FYI; Logitech heeft buitencamera's voor rond de 200 euro. ;)
Kijk anders ook eens naar Reolink, IP66 camera voor ~60 euro (waren laatst in de aanbieding voor 52).
nou...weet je waar ik 'goud' in zou zien?
Voor een algemene app die apparaten aan kan sturen via een eigen device thuis.
Dus een app, die ik kan voeden met b.v. een device driver van mijn thuis camera, waarmee ik er voor kan zorgen dat mijn data van die camera rechtstreeks vanuit een apparaat thuis naar die ene app gestuurd kan worden.
En dat diezelfde app op die manier ook gevoed kan worden met b.v. data van andere apparaten die nu via andere servers gaan, zoals eventueel een thermostaat, slimme deurbellen, etc etc...allemaal apparaten die nu via via verbinding maken...
Als je dat uit zou vinden, dan ben je vlgns mij bij voorbaat al rijk :)
Ik begon me toen af te vragen of het niet mogelijk was om een Europees bedrijf te beginnen die hun hardware wel in Azie laten maken maar de software, support etc. gewoon in Europa en met Europese standaarden. Ik zou zo 30% meer betalen als ik me jarenlang hoofdpijn zou kunnen besparen of de ongerustheid iedere keer als er weer een kwetsbaarheid in in het nieuws komt. Eigenlijk beschrijf ik nu zo’n beetje Logitech maar die maken geen buitencamera’s.
Ik denk dat je hiermee de meeste aanbieders beschrijft. Maar ik denk dat voor een goed systeem de meeste kosten zitten in de software, support, etc. Je zit dan niet op 30% extra bovenop een volledig Chinese oplossing, maar misschien net 10% minder dan een volledig Europese oplossing.
Misschien kan Tweakers en RTL ook eens bij de verkopers vragen waarom ze ondeugdelijke producten verkopen. Als consument heb je bij een aankoop als eerste te maken met de verkoper, die je een deugdelijk product behoort te verkopen.
Natuurlijk, maar noem mij eens één verkoper die exact weet wat die verkoopt.
En die de garantie geeft dat hij alle updates van (externe) firmware/software/hardware heeft gecontroleerd voor release.
En dat allemaal voor een camera van een paar tientjes, want niemand wil €300 betalen ;)

En zie jij iemand zijn hardware terug brengen vanwege bugs in iOS 13 of de Windows 10 update?

De truuk is gewoon om die zooi niet te kopen. Maar daar hebben sjonnie en anita op de cita geen boodschap aan.
Wel handig om voor paar tientjes de nieuwe pup in de gaten te houden.
(Google/duckduckgo ff op de gehackte camera van de Action, kan je lachen)
Of een verkoper exact weet wat die verkoopt is irrelevant. Als dat nodig is om een deugdelijk product te verkopen dan is dat het probleem van de verkoper als die een ondeugdelijk product verkoopt, niet van de consument.

Het lijkt mij eerder verstandig om geen apparatuur te verkopen waarvan je niet weet of die wel deugdelijk is. En natuurlijk moet een consument ook opletten, maar de wetgeving legt de verantwoordelijkheid niet voor niets bij de verkoper.
Citta is het. Ben er trots op!
Misschien zou Tweakers gelijk iedereen informeren geen camera's te kopen die met de cloud verbonden zijn. Dit is bij de meeste producten gewoon vragen om problemen.
Ik heb bij alle "slimme" producten die ik in de winkel zie liggen mijn twijfels of het wel zo slim is om die te kopen. Vooral bij onbekendere merken moet je maar afwachten of de beveiliging in orde is, en of de bijbehorende app (waarvoor de fabrikant veelal een internetdienst in de lucht moet houden) na een jaar of wat nog steeds werkt.
Ze noemen twee merken.

Zouden die apparaten ook niet onder ándere namen verkocht worden?
(Afgezien van andere (goedkope) merken die ook niet erg veilig zijn)
Ik heb zelf een Dahua ipc-a46 in de babykamer staan, als je ziet wat voor verkeer daar allemaal naar diverse servers gaat zodra die een internet verbinding heeft... Ik vertrouw die dingen in ieder geval voor geen meter, bij mij hebben ze dan ook geen toegang tot het internet (apart VLAN waar alleen intern verkeer mogelijk is).

Zelfde verhaal overigens met de Foscam camera's die ik hier thuis (aan de buitenzijde) heb hangen. Die genereren ook net iets teveel traffic naar buiten toe, terwijl daar helemaal niets voor geconfigureerd is qua apps of cloud diensten.

De enige camera die ik hier thuis heb hangen die daar geen last van lijkt te hebben is een Vivotek CC8371-HV (in gebruik als deurbel camera), die heb ik nog niet kunnen betrappen op ongevraagd extern verkeer.

Ik zou zelf in ieder geval nooit een camera ophangen die ik extern met een app van derden kan bekijken. Je weet nooit wie er nog meer mee (kan) kijken.
Zoals goeroe Donald Norman ooit wijs sprak:

Whenever you see something labeled "smart" or "intelligent," be assured that it is actually rather stupid.

Een waarheid als een }:O .
Ik snap niet dat mensen dit soort spul kopen (mag niets kosten) en dan denken dat het veilig is en dan ook nog aan het internet hangen. Gewoon eigen VLAN maken voor dit soort spul en achter een VPN zetten als je een merk koopt dat ook support levert kun je ook regelmatig updates installeren.

[Reactie gewijzigd door Vaevictis_ op 22 september 2019 14:05]

En hoeveel uur (zelf)studie had jij achter de rug voordat jij dit 'gewoon' kon?
Chinese bedrijven maken zo goedkoop mogelijk producten en verkopen het door.
Ik denk dat investering in goede security daarom ook heel slecht is en alles zo beetje simpel blijft.

Worden de slimme apparaten door Amerikaanse of Japanse bedrijven gemaakt, dus grote merken, dan is security ook stuk beter. Maar dat maakt alles wel duurder.

Het gemak om voor goedkopere camera te gaan is zelf erg groot, mensen doen dat toch. Ik denk dat bijna alle goedkopere elektronische apparatuur die internet aansluiting nodig hebben, heel wat gebreken kunnen tonen. Het is alleen wachten op iemand die een zwakke beveiliging ontdekt en er een melding van maakt.

Ja, het is China. Bekend om goedkope spul. Leuk, maar security zal ook slecht of onbetrouwbaar zijn omdat het goedkoop moet blijven. Research en ontwikkeling kost altijd geld en daar wordt in China heel weinig aan gedaan. Misschien grotere merken in China doen wat beter, maar minder bekende merken zijn een groot probleem.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True