Onderzoek: vrijwel alle routers voor thuisgebruik hebben verouderde software

Duitse beveiligingsonderzoekers concluderen dat vrijwel alle routers voor thuisgebruik die zij hebben bestudeerd niet up-to-date zijn. De onderzoekers keken naar 127 routers en vonden overal verouderde software, ontbrekende securitypatches en simpele beveiligingsfouten.

Het onderzoek werd uitgevoerd door het Duitse Fraunhofer Instituut voor Communicatie, Informatieverwerking en Ergonomie. De onderzoekers bekeken 127 routers van bekende merken, zoals Asus, Zyxel en TP-Link, die bedoeld waren voor thuisgebruik. Het ging daarbij expliciet om routers die door oem's worden geleverd; routers waar providers hun eigen firmware op plaatsen vallen er niet onder.

De onderzoekers concluderen dat geen enkele van de 127 routers echt goed beveiligd is. De problemen verschillen. In veel gevallen gaat het om beveiligingsupdates die niet worden doorgevoerd, maar soms ook om bekende beveiligingslekken. De onderzoekers zagen dat 46 routers al meer dan een jaar geen beveiligingsupdate meer hadden gehad. In 22 gevallen was dat zelfs meer dan twee jaar. Een router had zelfs al vijf jaar geen updates meer gekregen.

In sommige gevallen werden wel beveiligingsupdates doorgevoerd, maar repareerden die niet alle kwetsbaarheden. Ook gebruikt meer dan negentig procent van de routers volgens de onderzoekers firmware op basis van Linux, maar werd de kernel daarvan niet bijgewerkt, waardoor kwetsbaarheden alsnog in de routers blijven zitten. Het merendeel van de devices draait nog op kernelversie 2.6, die al jaren niet meer wordt bijgewerkt.

Andere problemen zijn standaardwachtwoorden die gemakkelijk te raden of te kraken zijn, en privésleutels die hard coded in de firmware staan. De onderzoekers concluderen dat AVM in de meeste gevallen het best is in het doorvoeren van beveiligingsoplossingen. Asus en Netgear zijn daar iets minder goed in, maar 'in sommige gevallen beter dan D-Link, Linksys, TP-Link en Zyxel', schrijven de onderzoekers.

Update: toegevoegd dat het alleen om oem-routers gaat en niet om isp-routers met custom firmware.

Door Tijs Hofmans

Nieuwscoördinator

07-07-2020 • 09:43

241

Reacties (241)

Sorteer op:

Weergave:

Vind ik niet zo gek, volgens mij zijn er nog een hoop routers die handmatig geupdate moeten worden en dat zie ik de meeste personen niet doen. Sterker nog, ik verwacht dat de meeste consumenten het simpelweg zien als een apparaat wat als het eenmaal hangt gewoon werkt en geen aandacht nodig heeft.
Daar gaat het onderzoek dan weer net niet over. Eigenlijk is het nog iets dramatischer.
Dat consumenten hun eigen router niet updaten is natuurlijk een probleem, maar dit probleem is eigenlijk nog veel groter.

Wat ze hebben gedaan is de firmware geanalyseerd en daaruit komen deze resultaten naar voren. Dat betekent dus, dat als jij als consument nog zo je best doet om je router up-to-date te houden dat je eigenlijk nog steeds niet veilig bent.
Wat ze hebben gedaan is de firmware geanalyseerd en daaruit komen deze resultaten naar voren. Dat betekent dus, dat als jij als consument nog zo je best doet om je router up-to-date te houden dat je eigenlijk nog steeds niet veilig bent.
Ik kan niet zeggen dat het als een verassing komt, het is precies het beeld dat ik er van heb. Volgens mij weten de meeste IT'ers en security specialisten wel dat alle software fouten bevat en dat beveiliging meestal de sluitpost is.

Daarom draai ik zo veel mogelijk Free Software. Niet omdat ik de illusie heb dat daar geen fouten in zitten, maar omdat dan ik niet 100% afhankelijk van de leverancier ben wanneer de onvermijdelijke fouten gevonden worden.
Voor routers en accesspoints gebruik ik OpenWRT dat zich IMHO kan meten met de software van de beste consumentenrouters. OpenWRT lijkt genoeg op een "gewone" Linux dat het goed te doen is om zelf kleine aanpassingen te doen zoals een extra patch of update installeren, of wat extra firewallregels toe te voegen om een probleem te mitegeren.
OpenWRT heeft ook nog eens een groter installed base dan welke commerciele consumenterouter dan ook omdat het grootste deel van dat systeem gedeeld wordt tussen alle ondersteunde hardware. In tegenstelling tot veel fabrikanten die voor ieder apparaat aparte software lijken te onderhouden en daardoor heel veel dubbel werk doen.

Verschillende fabrikanten hebben al ingezien dat ze daar zelf niet tegen op kunnen en leveren hun hardware dus gewoon met (een variant van) OpenWRT (Deden ze dat allemaal maar.)
Daardoor zijn er stiekem best wel veel professionals die bijdragen aan dat platform waardoor de kwaliteit lekker hoog is.
Verschillende fabrikanten hebben al ingezien dat ze daar zelf niet tegen op kunnen en leveren hun hardware dus gewoon met (een variant van) OpenWRT
En die zaten dus ook gewoon in de test. :)

In het onderzoek zie je ook dat er veel keuzes zijn om wel of niet een bepaalde beveiliging te gebruiken op OS niveau - zie pagina 19 dat AVM de enige is die daar in de breedte in heeft geïnvesteerd.
Voor de aangehaalde fabrikanten dient OpenWRT gewoon als solide buildroot om een firmware te bouwen uit source code. Die kunnen ze gebruiken om de Linux kernel plus bijbehorende software te compilen (veelal wordt dnsmasq gebruikt voor DNS en DHCP) en voegen ze proprietary driver blobs toe voor de hardware (voornamelijk wireless). Daar blijft weinig OpenWRT aan over (denk aan de LuCI GUI, odhcpd voor IPv6, fw3 voor firewall, enz).

Voor 85% van de routers kun je met wat moeite gewoon de source code opvragen om je eigen firmware te compilen, omdat het GPL software betreft met hier en daar wat blobs voor proprietary zaken. Je merkt wel dat fabrikanten die dertien in een dozijn routers uitpoepen vroeger echt een buildroot hadden die met tape aan elkaar zat. Dan is inderdaad een solide buildroot als die van OpenWRT een flinke kosten en tijdsbesparing, welke het ook mogelijk maakt om eenvoudiger updates beschikbaar te maken.

Maarja, zolang de fabrikant dat niet doet of blijft doorkakken op een outdated OpenWRT buildroot en software packages maakt het niet uit of het in de basis OpenWRT is. Zelfde probleem, ondanks een solide en flexibele buildroot. Updaten naar nieuwe software is wellicht eenvoudiger met de OpenWRT buildroot, maar fabrikanten moeten nog steeds hun eigen wijzigingen erin patchen en testen. Laat staan dat het allemaal compatibel is met de beschikbare drivers voor de gebruikte SoC, die ook maar genieten van een beperkte ondersteuningscyclus door de SoC fabrikant. OpenWRT gebruikt overigens alleen open source drivers, die wellicht stabieler zijn maar niet altijd dezelfde performance leveren (die ervaring verschilt per apparaat / SoC).
Of bouw gewoon je eigen (x86) router met een NUC en debian of iets anders 'light' :-)
Mijn eigen ervaring is dat er een enkele keer per jaar een update uit komt en daarna eigenlijk niet meer. Dan praat ik over huis tuin en keukenspul. Wellicht dat het bij een Ubiquiti iets beter gesteld is. Een router gaat vaak wel langer mee dan een paar jaar, waarvan vaak de laatste jaren zonder updates. Ook zie je dat er van een en dezelfde router diverse HW versies in omloop zijn, waarvan de meest recente worden gesupport.

Eigen voorbeeld: Ik heb de D-Link 868L en die heeft een firmware welke voor het laatst in 2017 is bijgewerkt en per augustus 2020 vervalt de support vanuit D-Link geheel. Echter is de router nog prima, hij ondersteunt AC wifi en kan de snelheid van mijn fiber verbinding ook gewoon aan.Er is wel een patch beschikbaar voor een bepaalde HW versie i.v.m. de KrØØk vulnerability, maar dat was het ook ongeveer.
Vergeet ook mikrotik niet! RouterOS behoudt ondersteuning voor vrij belachelijk antieke apparaten, voor zover me bijstaat. Daar is écht de hardware onbruikbaar oud voordat de ondersteuning wegvalt.

... Gebruiksvriendelijk is het spul dan weer niet echt, maar als je weet waar je doet echt zalig betrouwbaar dus, zeker voor de prijs.
Als tweaker zet je op je router uit je voorbeeld natuurlijk custom firmware zoals open/dd wrt (de laatste word iig ondersteund). Probleem opgelost, maar niet voor jan met de pet.
Probleem met firmware als DD-WRT en Tomato is dat bijvoorbeeld de drivers voor de hardware niet zo goed zijn als die van de fabrikant zelf. Ik ben o.a. in het bezit van een D-Link DIR868L en hoewel ik de opties die een DD-WRT of FreshTomato bieden geweldig vind, is bijvoorbeeld het bereik van de WiFi met de stock firmware een heel stuk beter.

Ik heb laatst een tweedehands Asus RT-AC3200 gekocht om een beetje te spelen met alternatieve firmware en eigenlijk biedt alleen de AsusWRT-Merlin firmware hetzelfde bereik als de standaard firmware. Met zowel DD-WRT en Tomato heb ik een stuk minder bereik.
Dit is niet altijd helemaal waar.

Wellicht zijn de drivers beter, ook meer gelimiteerd door allerlei zaken.

Ik hoef met m'n standaard linksys 3200 firmware niet het bereik te proberen die ik met mn Openwrt router kan bereiken.

Nu is de range niet specifiek groter, maar wel opties als disconnect on low acknowledgement, waar je eigenlijk nog prima praktisch bereik hebt kickt de stock firmware je er al af.
En vergeet niet dat DD/WRT voor een toenemend aantal routers een betaalde activatie nodig heeft.
Erg jammer die ontwikkeling. voorbeeld: de Senao routers.
https://dd-wrt.com/shop/
Ubiquity hier en inderdaad zeer regelmatig updates voor alle apparatuur en de controller. Makkelijk door te voeren voor alles vanuit een centrale plek.
Is dit een verassing?

Zie bijvoorbeeld de fixes welke Merlin allemaal toevoegt in AsusWRT, Asus zelf is hier blijkbaar te lui voor.

Overigens wil een verouderde kernel niet altijd zeggen dat een product onveilig is.

Voor de normale consument zou uiteindelijk goede managed infra de veiligste keuze zijn of routers met actieve thread protection.

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 12:57]

ASUS Heeft in het verleden al vaak fixes en toevoegingen van Merlin opgenomen in hun eigen officiële firmware. Dat zegt ook wel iets over het niveau van Merlin.

Ik heb zelf een ASUS RT-AX88U draaien op de recent uitgebrachte 384.18 Merlin firmware. :)
Klopt inderdaad, adviseer eigenlijk altijd Merlin over Asus.

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 12:57]

Overigens wil een verouderde kernel niet altijd zeggen dat een product onveilig is.
Maar het gaat niet altijd om de kernel; ook een router-OS bestaat uit meer dan alleen een kernel ;)

En het is ook maar net wat je onder "verouderd" verstaat. Er zijn genoeg mensen in de tech- en Linux-gemeenschap die vinden dat een 2 jaar oude LTS-kernel verouderd is...
Een LTS kernel is nog onder support, als je hem niet update is hij verouderd, als je hem wel update binnen dezelfde versie is hij gewoon ok als je geen nieuwe feature nodig hebt.

Het probleem van niet updaten is dat er teveel mensen zijn met de instelling if it ain' t broke don't fix it. Maar software is altijd kapot, dus moet je het bijwerken, vooral als de gaten groot zijn. Met software zie je het alleen niet zo duidelijk wanneer het echt nodig is om te patchen
Een LTS kernel is nog onder support, als je hem niet update is hij verouderd, als je hem wel update binnen dezelfde versie is hij gewoon ok als je geen nieuwe feature nodig hebt.
Dat weet ik. Ik zeg alleen dat er mensen zijn die roepen dat LTS-kernels verouderd zijn. Ik ben niet één van hen; ik ben het volledig met je eens :)
Dat consumenten hun eigen router niet updaten is natuurlijk een probleem
Ik zal zelf ergens tussen "wel in staat' en 'meer noob dan hij zelf doorheeft' inhangen waar het routers instellen betreft, maar waarom kan zoiets niet automatisch, of desnoods met een popup op bepaalde apparaten (of in je mailbox)?

Is dat iets in het kader van gebruiksvriendelijkheid gaat boven veiligheid, of uit de koker van 'you silly rabbit, je snapt toch dat je dat zelf moet doen?'
moet je dit niet als ISP dan niet regelen? Ik kreeg bijvoorbeeld toen ik nog ADSL (XS4all) praat ik over 15+ jaar geleden dat regelmatig mijn modem werd uitgezet omdat er ''virussen'' op mijn lijn kwamen en deze op het XS4all netwerk konden komen. had in een week soms dat ik 3-5 keer werd uitgeschakeld. En de hotline moest bellen. Na 2 jaar hadden ze er genoeg van en adviseerde mij om over te gaan naar een andere ISP.

ik was toen nog op Kazzaa, napster, torrent tijdperk.Nadat ik naar Chello overstapte toen geen last meer gehad. Dus als de infra zo wordt beveiligd vanuit de ISP waar je al een vermogen aan betaal. Zodat zij het back-end beveiligen.
Bor Coördinator Frontpage Admins / FP Powermod @theduke19897 juli 2020 11:21
Jouw lijn werd waarschijnlijk uitgezet omdat je actief malware aan het verspreiden was via door de router ontsloten systemen. Dat heeft niets te maken met de veiligheid van de router software op zich.
dat als jij als consument nog zo je best doet om je router up-to-date te houden dat je eigenlijk nog steeds niet veilig bent.
Je bent nooit 'veilig', je heb alleen minder risico. Er wordt hier puur gekeken naar de bekende lekken op dat moment.

Het issue is dat als er al updates worden geleverd die niet doen wat ze horen te doen, de bekende gaten correct dichten. Dat noem ik nalatigheid van een producent. Nu verbaast mij dat geheel niet, maar wel dat dit pas in 2020 wordt ontdekt, ik zou verwachten dat beveiligingsonderzoekers hier al veel eerder hun vizier op hebben gericht. Of is dat al eens eerder gedaan? Is daar dan ooit wat concreets uit gekomen? (Kennelijk niet...)
Maar daar gaat dit artikel niet over. Dit gaat erover dat er überhaupt geen recente updates beschikbaar zijn in veel gevallen. Dat gebruikers niet updaten is denk ik ook een probleem, want ik ken bijna niemand die de firmware van zijn router kan of wil updaten.
Op tweakers zul je wel meer mensen vinden die dat wel doen of willen. Ik run zelf bijvoorbeeld een beta van AVM met allerlij nieuwe features en hier en daar een bug. Maar het zijn idd alleen techies die het doen. Voor de rest van mijn familie moet het gewoon werken. Eraan klooien doe je pas als het niet werkt. Het liefst bellen ze dan iemand die wel techie is.
En dat is het probleem, pas ALS er problemen zijn.
Maar helaas doen de problemen zich pas veel later op, als er eerst wat backdoors geplaatst zijn, en deze na een evt. update alsnog beschikbaar blijven.

Ik heb er ook geen 100% verstand van, maar wel zoveel, dat ik liever bij Mikrotik en/of Ubiquity spul blijf hangen.
De basic settings zijn al zover dichtgezet, dat je 'moeite' moet doen om het open te krijgen, ipv de echte consumentenspullen, die andersom werken, omdat anders 'de consument' wegloopt.
De default instellingen zijn bij de meesten al prima. Dit rapport toont toch juist dat er op de achtergrond best veel achterstallig onderhoud is. Het zou me niet enorm verbazen als Ubiquity (of Mikrotik for that matter) het wat dat betreft niet noemenswaardig beter doet dan AVM. Het aantal rapporten over grote gaten in enterprise-level netwerk hardware is niet om te lachen. Ook bij Ubiquity en Mikrotik bestaat dat gewoon. Mirkotik heeft bijvoorbeeld duidelijk meer CVEs dan AVM. De vergelijking kun je pas goed maken als een expert zoals hier met dezelfde methodes ook hun hardware onderzoekt.

[Reactie gewijzigd door Darkstriker op 23 juli 2024 12:57]

Geen ervaring met AVM, deze komt later in het jaar met de glasverbinding mee.

Maar consumentenrouters hebben graag upnp aanstaan, iets wat ik toch graag zelf inregel, net als QOS-settings die op 'algemeen' staan, omdat dat dat voor 'iedereen' werkt.
Dus jij kiest je hardware op de default instellingen? Net als de gemiddelde consument. Maar jij bent duidelijk niet gemiddeld als het op je wensen aankomt. Dus de settings zijn voor het gemiddelde en niet voor jouw geoptimaliseerd.

En als je zelf je port forwards doet, dan kost upnp uitzetten je letterlijk 1 of 2 extra kliks eenmalig bij de setup. Net als het uitzetten van QOS. Dat is de extra prijs van Ubiquity ed echt niet waard.
Euh nee ....
Ik kies mijn hardware op wat ik nodig heb.
En toevallig zijn de default settings prima om mee te beginnen, ook als je geen uitgebreide wensen hebt

Ik draai een /23 netwerk, meedere vlan en een vpn zowel in als uitgaand.
Met consumentenrouters moet je eerst naar xxWRT gaan flashen, met het risico op defecten of andere bugs
( verschillende keren gehad dat je prima open/ddWRT kan falshen, maar de WiFi toch een issue werd. )

Dus gebruik ik losse onderdelen, edgerouter, unifi en managed switches om mijn wens te behalen.
Precies dit.

Ik heb een router van Linksys achter mijn modem staan die sinds 2016 op de markt is (EA7500 v1) en al sinds eind 2018 geen firmware updates krijgt (en dus security updates). Ik wil dus wel, en heb dat ook altijd gedaan, een nieuwe update installeren, maar er is gewoon niets meer.

Het blijft, naar mijn mening, van de zotte dat een producent er mee weg kan komen maar 2 jaar daadwerkelijke ondersteuning te geven voor een product zoals dit. Vooral in het huidige technische klimaat met alle random hacks is dit toch onacceptabel?
Ik had al eens een paar weken geleden gezocht naar OpenWRT, maar officieel ondersteunde OpenWRT toen alle de EA7500 V2. Dank hiervoor!
Ach dat officiële... ;-)
Ik denk 90% van deze gevallen die het niet doen mensen zijn die er niet over nadenken. Voor diezelfde mensen heeft Microsoft updates eigenlijk verplicht gemaakt.

Het werkt toch waarom zou ik updaten?

Maar ja zo ken ik ook een paar software engineers die nooit updaten bewust en draaien nog op een oude build van Win10 die nog niet automatisch updates installeerde.
nooit updaten bewust en draaien nog op een oude build van Win10 die nog niet automatisch updates installeerde.
Helaas hoor ik daar bij, elke feature update heeft tot nu mijn systeem zover in de war gekregen dat elke keer weer een herinstallatie nodig was.
Rare GPU issues, rare windows installer issues, windows update wat niet goed werkt, netwerkcentrum wat na de upgrade het hele systeem plat legt als je het opent etc.
Om maar te zwijgen van driver issues met bijvoorbeeld Intel NICs.
VLANs, ho maar. Wacht eerst maar weken of zelfs maanden voordat er een nieuwe update uit is, die op jouw build goed werkt.

Nu zet ik mijn machine vast op een LTS build en installeer alles opnieuw bij de volgende LTS release, zo sta ik niet voor onverwachtse verassingen. Dan blijft het wel gewoon werken. 8)7
Maar dan heb jij de LTS en installeert neem ik aan wel high impact security updates?

Die mensen waar ik het over heb draaien nog 1507 en hebben nog nooit maar nog nooit een update geïnstalleerd. Met de gedachte ik weet wat ik doe dus zal mij toch niets gebeuren...
Op de machine waar ik nu op werk is de non LTS geinstalleerd, de volgende herinstallatie wordt weer een LTS.
Security updates worden wel geinstalleerd, voor de rest ook veel afhankelijk van wat de changelog etc vermeld.
"if it aint broke dont fix it" is niet echt mijn motto, maar ik wil wel graag een systeem dat blijft werken zoals verwacht - ook na updates. En dat is helaas niet het geval als je Windows automatisch updates laat doen, en niet iets wat bij de Surface reeks hoort of Surface achtig is.
Die mensen waar ik het over heb draaien nog 1507 en hebben nog nooit maar nog nooit een update geïnstalleerd.
Tja, wat moet je daar nog teggen zeggen. Zijn zeker dezelfde mensen die een keer de Ubuntu LTS installeren en daarna nooit systeem upgrades doen, tenzij het moet voor een random nieuw pakket.
Daarbij is iets als unattendedUpgrades zo makkelijk op Ubuntu/Debian :+
Oeps, je hebt helemaal gelijk dat maakt het eigenlijk nog een stap erger.
Kijk eens op de tweakers lijst met firmware udpates: https://tweakers.net/downloads/downloadtype/78/

Daar is te zien welke routers van de leverancier nog zo af en toe een update krijgen (en dat een tweaker het ziet en doorgeeft :) https://tweakers.net/submit/.
Precies dit.

Je kunt met al die connected apparaten in huis toch niet van consumenten verwachten dat ze zelf updates gaan installeren?

Vereiste bij dit soort apparaten zou moeten zijn dat zelfstandig updates uit kunnen voeren. Zou gewoon in het basisontwerp moeten zitten. Uiteraard met backup config in rom waar ze automatisch naartoe kunnen gaan mocht het updaten mis gaan.
Het lastige is dat er wel heul veul apparaten in mijn huis staan die mogelijk een keer een firmware update zouden willen, en dat ze dat dan waarschijnlijk doen op het moment dat ik 't ding nodig heb, of dat die update fout gaat en het apparaat niet meer werkt zonder dat ik weet waarom.

Slimme TV's die hun software updaten, je TV decoder, je Apple TV of Chromecast. Je Hue lampen en bridge, de slimme stekkers. Je Toon Thermostaat, de omvormer voor de zonnepanelen. Je slimme koelkast of wasmachine. Je twee switches in je backbone. De accesspoints aan je backbone. De webcams in de achtertuin. Je slimme deurbel. Je DAB+ radio.En dan natuurlijk elke iPad, iPod, iPhone in huis, de laptops en desktops

Er zijn zoveel connected apparaten in huis, waarvan ik allemaal blij ben dat ze het doen, maar waarbij ik toch een beetje bang ben wat er gebeurt als de firmware update niet goed gaat. Sterker, mijn geroote Toon (waar ik overigens best blij mee ben!) is niet iets waar je tussen oktober en maart problemen mee wil gaan hebben. Mijn Ubiquiti spullen draaien prima, maar de cockups die hierboven al genoemd zijn maken me toch voorzichtig klakkeloos de meest recente firmware te installeren - temeer daar er flink thuis gewerkt wordt en zonder wifi alles ophoudt...
Daarom pleit ik ook voor een verplicht fail-safe systeem.

Automatische updates. Backup bios in rom waarvan automatisch opgestart wordt als een update het systeem verneukt waarna de één-na-laatste oorspronkelijke update weer geïnstalleerd wordt.

Erger me ook aan apparaten die te pas en (vaker) te onpas beginnen met updaten. Een chromecast die een tijdje niet gebruikt is, een PS4 waar je even snel een spelletje op wil spelen, maar die eerst tergend langzaam een verplichte update binnen hengelt.

Dat kan zoveel beter. Kijk naar de browser chrome. Daar merk je amper dat er geupdate wordt. Dat zou voor alle apparaten moeten gelden.
veel mensen doen dat doorgaans als er problemen zijn met dat ding. Dan hoop je dat de update dat probleem oplost. Is natuurlijk bijna nooit zo.
Sterker nog, ik heb recent mijn Netgear R7000 naar de laastste firmware gebracht en het is echt drama met de stabiliteit momenteel. Ik denk er zelfs over om geheel terug te gaan naar een oudere firmware :o
ik heb dezelfde router, met meest recent firmware, en verlies regelmatig (paar keer per week) de verbinding met de isp. en plaats van dat de router zelf probeerd de verbinding te herstellen moet ik hem handmatig 'testen'.
Netgear heeft schijnbaar haar firmware development outsourced en sinds dien is het een drama.
Google: Asuswrt Vortex ;)
Ik heb ook de Netgear R7000 met de laatste firmware, maar ik heb nog geen problemen gehad met de stabiliteit.
ah, ik ben niet de enige met die problemen...misschien moet ik 'm toch maar even uit de prullenbak vissen en hopen op een nieuwe update. :+
Je kent 't vast wel? " Don't Fix It When It's Not Broken"
Dat is nou juist waar het niet om gaat. :+
Ik denk dat het allergrootste probleem ligt bij de fabrikanten en de ondersteuning van hun eigen producten in deze. Ik zelf heb een aantal maanden geleden mijn Netgear R8000 geupgrade naar de laatste firmware... Wat een drama, niets werkte meer, verbinding was vele malen slechter dan daarvoor en dus ben ik onderhand gewoon maar 5 firmwares teruggegaan en bij elke stap terug verschillende testen gedraaid. Na 5 firmware versies terug heb ik eindelijk het gevoel weer alsof hij weer werkt zoals ik was gewend.

En dan kan je in dit geval moeilijk de gebruiker de schuld geven, want als Netgear in dit geval zijn zaakjes op orde had gehad had ik gewoon op de laatste firmware gedraaid.
Ik denk eerder dat 90% van de eigenaren geef flauw idee heeft wat een firmware upgrade of een router is.

en waarom zouden ze hun internet werkt toch.


Enige oplossing is een auto upgrade functionaliteit maar dan krijgen we weer de discussie dat als het mis gaat de fabrikant hem heeft gesloopt en dus gaat iedereen bij install dat uitzetten omdat men geen zin heeft elk weekeind bij een familie lid het internet weer te fixen.
Vind ik niet zo gek, volgens mij zijn er nog een hoop routers die handmatig geupdate moeten worden en dat zie ik de meeste personen niet doen. Sterker nog, ik verwacht dat de meeste consumenten het simpelweg zien als een apparaat wat als het eenmaal hangt gewoon werkt en geen aandacht nodig heeft.
Niet alleen routers, zo'n beetje alles heeft dit probleem met uitzondering van de OS'en voor mobiele telefoons en de grote Linux distributie. Die systemen hebben namelijk een min of meer een geintegreerd systeem om OS en apps te updaten (de appstore / package manager).

Daar buiten is het standaard dat ieder apparaat en vaak zelfs iedere applicatie voor z'n eigen updates moet zorgen. Ik ken echt helemaal niemand die ook maar in de buurt komt. Voor de meeste mensen is het juist dat ze er vanaf blijven zolang het werkt want als er iets mis gaat komt het nooit meer goed.

We hebben dringend een algemeen systeem nodig voor updates dat applicatie, OS en hardware-overspannend is. Ik wil zeg maar 1 centrale management unit in m'n meterkast hebben staan waar alle hardware en software zichzelf aan koppelt, liefst via een beveiligde twee-richting interface zodat de centrale manager kon besluiten om updates uit te voeren, maar ook om ze weer terug te draaien als er iets mis gaat. Als we dan toch een centraal punt hebben voor updates dan kunnen we daar ook andere vormen van configuratie-management doen zoals het aanmaken van gebruikers en wachtwoorden of het open zetten van firewall poorten.
Liefst een beetje intelligent zodat apparaten niet gaan proberen te updaten op het moment dat je je kabelmodem aan het rebooten bent en internet het toch niet doet.

Dat is op zich geen nieuw idee, er bestaan al verschillende vormen, maar geen van de bestaande systemen is populair genoeg om universeel beschikbaar te zijn. Er zijn altijd meer systemen die niet ondersteund worden dan wel.
Sterker nog vaak zijn de routers al out of support. Ik zit bij tmobile thuis en ik loop 3 jaar achter. Updaten gebeurd overigens door tmobile.
Klopt en dat is niet vreemd.

Infra en beveiliging daarvan hoort in mijn optiek bij de overheid thuis en als second best bij een non-profit organisatie die de samenleving verrijkt. Een voorbeeld van het laatste is NIC.cz zij hebben ook een modem/router uitgebracht die zij wel onderhouden.
Tja hier een sitecom router (toen der tijd top model), ik denk 2 updates gehad en de laatste dateert uit 16/17.

Fabrikant maakt en verkoopt geen routers meer en de support is 0,0 , tja wat moet je dan?
Dan moet je een brave consument zijn; nieuwe kopen, bestaande werkende apparaat weggooien.
De top van een dal is nog steeds een dal...
Sitecom is nooit een topmerk geweest...
Toen op advies van de winkel werd deze aangeboden als beste, linksys was het bereik toen minder (had toen zelf ook minder verstand van Routers).
Ik gebruik een Experiabox V10 van ZTE met Hardware versie V1.00
Software versie V1.01.01T01.9
Boot loader versie V1.0.00

Hoe kan ik zien dat dit up to date is?
En wederom een onderzoek dat aantoont dat de EU hier zicht echt mee moet gaan bemoeien. Fabrikanten moeten, wat mij betreft minimaal de verwachtte levensduur van het apparaat beveiligingsupdates geven op een redelijke manier (dus dat ze ook normaal zijn te toe te passen). Ongeacht wat voor apparaat dit is of hoe duur het is (hiermee bedoel ik dat een e-bookreader van 100 euro ook gewoon 5 jaar updates moet kunnen krijgen). Je moet als consument altijd er vanuit kunnen gaan dat de spullen die je koopt veilig zijn, voor zolang je ze gebruikt.

Ik zou uiteraard niet weten hoe dit dan precies uitgevoerd moet worden, maar daar zijn natuurlijk allemaal slimme mensen voor die dit wel kunnen.
Ik zeg ook expres 'de verwachtte levensduur' van het apparaat, en niet de economische afschrijving van de initiele koper. Dus als voorbeelden (even los van individuele items):
Telefoon: 4/5 jaar (een telefoon kan prima refurbished de markt weer op gaan)
Tablet: 5/6 jaar
Printer 7/8 jaar
Navigatieapparaat: 5/6 jaar
Laptop: 6/8 jaar
E-reader: 5/6 jaar
Digitale camera: 5/6 jaar
Televisie: 8/10 jaar
Wasmachine: 8/10 jaar
Wasdroger: 8/10 jaar
Koelkast: 8/10 jaar
Afzuigkap: 15 jaar

Je moet ook vooraf kunnen zien tot wanneer je apparaat minimaal ondersteund wordt. Gewoon op de verpakking, en in de handleiding. Eventueel ook nog op interface/app van het apparaat. Misschien moet er ook een soort 'laatste update' komen die de 'slimme' functionaliteit afbreekt aan het eind van het verhaal? (dus een beetje zoals de eerste Hue hub)
Bor Coördinator Frontpage Admins / FP Powermod @lenwar7 juli 2020 11:14
Fabrikanten moeten, wat mij betreft minimaal de verwachtte levensduur van het apparaat beveiligingsupdates geven op een redelijke manier (dus dat ze ook normaal zijn te toe te passen).
Houdt je er ook rekening mee dat deze apparaten dan (behoorlijk) duurder worden? Het onderhouden van apparatuur kost geld. Er moet ontwikkeld blijven worden waarvoor middelen en kennis nodig is.
Ik vind het verrassend dat mensen klagen over mogelijke kosten voor problemen waar consumenten nooit om hebben gevraagd. Er zitten dus enorm veel verborgen kosten in die zogenaamde "slimme apparaten" die fabrikanten niet aan willen gaan.

Verder zijn er op bijv. fysieke veiligheid genoeg eisen waar een apparaat aan moet (blijven) voldoen. Als bijv. de airbags in een auto niet goed zijn, moeten ze ook weer vervangen worden.

Maar als het om informatiebeveiliging gaat, dan geeft niemand thuis.
Niet dat ik het niet eens ben met jou, maar dit zal de prijs naar boven drijven van al die producten of simpelweg het aanbod enorm laten snoeien.
Software onderhouden is duur en al zeker als ze gelinkt is aan een bepaald hardware profiel. Die tv van 5 jaar geleden heeft niet de performantie van een toestel van vandaag, zelfde met je wasmachine enz. Daarnaast kan een fabrikant wel eens een slechte verkoop hebben van een product (minder verkocht dan verwacht). Deze dan ook ondersteunen voor de beloofde leeftijd is moordend.
Vaak is het al niet eens meer de moeite waard om een budget wasmachine te laten repareren als het 5 jaar oud is. Gaan we naar een wereld waar je dan je perfect werkend toestel buiten kan gooien omdat je geen security patch meer kan installeren?

Als dit zal opgelegd worden dan vrees ik dat abonnementdiensten de norm zullen worden. Niet meer een router kopen van €60 en die 10 jaar laten draaien, maar iedere maand €5 ofzo betalen voor je hardware en updates. Hardware wordt dan om de 5 jaar ofzo vervangen.
Alternatief is dat de fabrikant een andere inkomsten heeft aan jou door ads of data verkopen.

En dan is de vraag natuurlijk, is het dat allemaal wel waard? Wie wacht er op een slimme koelkast of wasmachine met een abonnement, je reclame geeft over Dash of die data verkoopt aan AH met welke producten iemand koopt in combinatie met melk?

Maar ik geef je wel overschot van gelijk. In een IoT wereld dient hier eens goed over nagedacht te worden. De vraag is uiteraard wie het zal betalen en welke impact dit zal hebben op de adoptie van dit soort toestellen.

[Reactie gewijzigd door SMGGM op 23 juli 2024 12:57]

maar dit zal de prijs naar boven drijven van al die producten of simpelweg het aanbod enorm laten snoeien.
Ik twijfel er niet aan dat dit de gevolgen zullen zijn. De prijs omhoog drijven is wel echt een potentieel dingetje. Maar een kleiner aanbod lijkt me niet verkeerd. Waarom moet Samsung ieder jaar 4 wasmachines uitbrengen die, behalve het uiterlijk en wat vage knopjes/standen/apps allemaal hetzelfde doen (kleding wassen, en dat even goed als de vier modellen van vorig jaar, maar nu met een OLED scherm ipv een LCD scherm)
Je hebt overigens een grote kans dat er minder 'net niet' apparaten op de markt zullen komen. (dus minder apparaten die 'net niet alle functionaliteit hebben', en voor 150 euro meer wel)
Daarnaast kan een fabrikant wel eens een slechte verkoop hebben van een product (minder verkocht dan verwacht). Deze dan ook ondersteunen voor de beloofde leeftijd is moordend.
ondernemersrisico?? Klinkt heel flauw als reactie, maar het komt er wel op neer. In de praktijk zal dit heel erg loslopen, omdat al die apparaten eigenlijk allemaal hetzelfde zijn. Althans, voor het beveiligingsstuk.
Je hebt een OS daar draait software op die uiteinde de hardware aanstuurt. Ze kunnen mij niet wijsmaken dat wasmachine a, b, of c van fabrikant XYZ een heel erg ander besturingssysteem hebben, of zelf maar andere drivers hebben de afgelopen jaren. Het vereist hooguit een slimmer ontwerp van het apparaat, door de functionaliteit van het apparaat te scheiden van het slimme gedeeltje. Als je dat eenmaal hebt, kan je het slimme gedeelte redelijk generiek houden en hoef je, kort door de bocht, maar één keer een patch te ontwikkelen voor alle vier je wasmachines van dat jaar.
En dan is de vraag natuurlijk, is het dat allemaal wel waard
Dat is ook een dingetje. Ik wil persoonlijk geen slimme wasmachine/koelkast. Echter heb ik over een tijdje geen keuze, omdat de fabrikanten vinden dat iedereen dat wel wilt. Dan kan ik ervoor kiezen om het slimme gedeelte niet te gebruiken (als dat kan over 10 jaar), maar dat staat er los van of de rest van Nederland dat dan ook doet. Zoek maar is een 'domme 4k OLED televisie'. (dus met tuner, zonder al dat 'smart-zooi') . Ze zullen er vast zijn, maar het aanbod is zeer summier.
Waarom moet Samsung ieder jaar 4 wasmachines uitbrengen die, behalve het uiterlijk en wat vage knopjes/standen/apps allemaal hetzelfde doen (kleding wassen, en dat even goed als de vier modellen van vorig jaar, maar nu met een OLED scherm ipv een LCD scherm)
Dit is een leuk argument uiteraard een waar de verkopers van wasmachines om zullen huilen. Wie niet innoveert staat stil, ook bij wasmachines. Als je minder vaak een refresh doet van je aanbod zal de koper je misschien minder snel kiezen. Wie wilt er nu een model van wasmachine van 2 jaar oud? Een nieuw model is toch beter, niet? (dat is uiteraard wat sarcasme, maar het is uiteraard een argument dat vaak nu gebruikt wordt).
De reden van de refresh en de knop nu een ander kleurtje te geven is dan ook een argument voor de fabrikant om zijn prijs een refresh te geven. Een model van 2 jaar oud kan je immers toch niet aan dezelfde prijs verkopen.

Daarnaast, Samsung heeft niet 4 maar (althans alleen al op Coolblue) 13 modellen te koop in verschillende prijsklassen. Als ze iedere 2 jaar een refresh doen dan kom je uit bij 8 jaar van 50 consumenten wasmachines blijvend voorzien van updates.
Ongetwijfeld zal IoT nieuwe ideeën aanboren wat je wasmachine kan doen. Je wilt toch over 5 jaar niet meer via old school Tiktok horen dat je was gedaan is ;) De opvolger Tiktak vereist dan net wat meer van de processor om (er zit immers een foto bij van je wasvat en een diagnose van hoeveel kalk er in het water zat).
Het hek was van de dam toen Sonos aangaf hun oudste versie niet meer te voorzien van updates, zulke berichten ga je dan wel vaker horen.
Ze kunnen mij niet wijsmaken dat wasmachine a, b, of c van fabrikant XYZ een heel erg ander besturingssysteem hebben, of zelf maar andere drivers hebben de afgelopen jaren. Het vereist hooguit een slimmer ontwerp van het apparaat, door de functionaliteit van het apparaat te scheiden van het slimme gedeeltje.
Dit is al zo (althans voor de hardware). Je wasmachine heeft waarschijnlijk wel een Bosch motor enz. De fabrikant van je wasmachine stelt vaak gewoon het boeltje samen om het te verkopen (enkel een paar dingen zullen ze zelf misschien nog doen).

Dat er een slimmer ontwerp moet komen voor dat de functionaliteiten scheidt van het slimme gedeelte is volledig terecht!
Kijk naar Tesla en je ziet dat die wereld hier naartoe gaat. Zij maken weliswaar wagens, maar eigenlijk is het ook een software boer. Hun hardware is (op dit moment toch nog) mee met wat ze in de toekomst willen doen. Of dit nog lang zal blijven zal de toekomst uitmaken, maar ik verwacht ook ergens dat ze op een bepaald punt gaan moeten zeggen: sorry dit is niet beschikbaar op dit ouder model.

Om zo'n transformatie uit te voeren zoals Tesla nu is, is verdomd moeilijk en ook daar: duur.
Iemand zal het mogen betalen dan.
Echter heb ik over een tijdje geen keuze, omdat de fabrikanten vinden dat iedereen dat wel wilt.
Zo blijft men rechtvaardigen dat een refresh van de prijs ook verantwoord is want die wasmachine, tja eigenlijk is dat dezelfde van 3 jaar geleden hoor maar nu met kleuren touchscreen ;)
Daarnaast, Samsung heeft niet 4 maar (althans alleen al op Coolblue) 13 modellen te koop in verschillende prijsklassen. Als ze iedere 2 jaar een refresh doen dan kom je uit bij 8 jaar van 50 consumenten wasmachines blijvend voorzien van updates.
Dat is natuurlijk iets wat ze zichzelf aandoen. Maar let op: We hebben het hier over 'beveiligingsupdates'. Mijn naïeve gedachte zegt hierin dat de motoraansturing hier niet onder valt. Althans. Die moet ook wel beveiligd zijn, maar niet op het vlak dat de motor een onderdeel van een botnet kan worden.

Je kan prima 10 wasmachines met verschillende specificaties van grotendeels dezelfde softwarestack voorzien. Het onderliggende besturingssysteem is generiek (waarschijnlijk iets van Android, of een soort uitgeklede Linux en een paar drivers. Een wasmachine met een capaciteit van 8 kilo heeft geen andere IP-stack nodig dan een wasmachine met een capaciteit van 10 kilo. Sterker nog. Ze kunnen technisch identiek zijn op hooguit een zwaardere motor en ophangveren na. (als hier een wasmachinespecialist aanwezig is, word ik graag gecorrigeerd). Ook zal de IP-stack van het luxe model met 270 voorgeprogrammeerde standen en een automatisch wasmiddeldoseringssysteem niet erg anders zijn dan het instapmodel met slechts 15 standen.
Om zo'n transformatie uit te voeren zoals Tesla nu is, is verdomd moeilijk
Dat vraag ik me, in het geval van een wasmachine, oprecht af. Ik weiger te geloven dat er echt een hele diepe integratie zit tussen het "slimme"(als in het online stuk) gedeelte en de wasmachine zelf. Ik ben in de overtuiging dat het 'slimme gedeeltje' van de wasmachine, onder aan de streep weinig anders doet dan het bedieningspaneel automatiseren. Dus dat dat effectief volledig los staat van elkaar. En laten we ook eerlijk zijn. In het geval van Samsung hebben ze niet echt een excuus dat het moeilijk is. Ze hebben best wel ervaring met softwareontwikkeling enzo :)
En laten we ook eerlijk zijn. In het geval van Samsung hebben ze niet echt een excuus dat het moeilijk is. Ze hebben best wel ervaring met softwareontwikkeling enzo
Het zou zo lijken, maar hier kan je wel eens serieus in vergissen. Vele producten (huishoudtoestellen maar ook laptops en laten we eerlijk zijn auto's) zijn volledig gefocust op massa productie. Veel van die toestellen worden gemaakt door bedrijven dat op zeer kostenefficiënte manier die toestellen in elkaar boksen en de marknaam van de "fabrikant" erop plakken. Er is immers nog maar weinig te verdienen aan een laptop, wasmachine,... Het is een volwassen product op een voorspelbare markt en de marges liggen gewoon zeer laag.

Enkel als er een uitdager op de markt komt (bij auto's dan Tesla) springt de markt wat wakker en probeert men te achtervolgen (Mercedes ziet er naar uit een beetje meer mee te kunnen). Maar dit komt zeer traag op gang en zolang er geen uitdager is, waarom wijzigen?
Ik denk dat het probleem ook bij de providers ligt. Ik heb KPN(oud Telfort) met de V10. Naast een verlopen certificaat voor de webgui, is mijn firmware reeds twee jaar oud (03-2018). Nergens op de modem is een update knop te vinden. Dat is in mijn ogen ronduit slordig. Zolang een provider modems bij klanten heeft staan, dan dienen deze bijgewerkt te zijn met laatste security patches.

Ik zie net dat er 8 maanden geleden voor KPN klanten (dus niet oud telfort) een update is uitgekomen. Toch wel vreemd als je het mij vraagt. Aangezien we, als oud telfort klanten, nu allemaal bij de monopolist KPN zitten en zijn. Gelijke monniken, gelijke kappen, doen ze niet aan bij KPN....
Ik ben zelf niet bekend met die Experiaboxen, maar dat zijn toch gewoon DSL-modem/routers met een KPN-sausje? Ook hiervoor geldt dan deze gewoon patches moeten kunnen krijgen. Het feit dat jij hem hebt gekocht/gekregen bij je provider staat hier los van.
Dat sausje gaat iets verder, bepaalde opties zijn geblokkeerd en niet zichtbaar (bv de usb poorten op het apparaat werken niet om bv een hdd aan te hangen, het modem in NAT modus zetten tevens niet).

Hierdoor zal er een team na een update van de leverancier zelf een aangepaste firmware moeten maken, of de leverancier hier een opdracht voor moeten geven.

Allemaal kosten en waarschijnlijk klagen er weinig mensen dat dit niet gedaan wordt (voor de gemiddelde gebruiker maakt dit niet uit, zolang het internet werkt zal er nooit in het modem ingelogd worden).

Persoonlijk zit ik op software versie 1.01.01T01.9 (ook oud telfort), conform de routerpagina is deze uit 2017 (dat KPN/Telfort hem pas in 2018 heeft gepubliceerd doet er niet aan af dat de firmware zelf al 3 jaar oud is)
Ik denk dat je dan misschien meer geluk hebt als de firmware open source moet worden als de fabrikant geen ondersteuning meer biedt. Maar ook dat heeft weer een gevaar dat natuurlijk lekken dan weer makkelijker gevonden kunnen worden en garandeert niet dat er een community gaat zijn die firmware voor dat apparaat gaat maken.

Ik denk dat de bijgewerkte OpenWRT router en access point bij mijn ouders waarschijnlijk minder kwetsbaar zijn doordat deze wel bijgewerkt kunnen blijven via OpenWRT i.p.v. afhankelijk te zijn van TP-link daarvoor. Maar ja dat is zo'n beetje best case; Wifi routers hebben doorgaans geen DRM nodig.

Bij TVs/Smartphones/Tablets met allerlei DRM gaat dat weer heel moeilijk worden.
Ik denk dat je dan misschien meer geluk hebt als de firmware open source moet worden als de fabrikant geen ondersteuning meer biedt.
Dat vraag ik me af. Misschien kan dat bijdragen voor populaire apparaten als televisies en routers, maar apparaten als thermostaten en afzuigkappen vraag ik me af of er veel vrijwilligers zijn die die apparaten willen patchen bij beveiligingslekken.
Het kan natuurlijk tot op grote hoogte wel geregeld worden op bijvoorbeeld EU niveau (en vanaf daar heeft het via het Brussels Effect een wereldwijde impact). Maar, het zal ook wel gevolgen hebben voor de prijs. Een high-end Europese fabrikant als AVM zie ik dit ook wel mokkend invoeren, een goedkope Chinese fabrikant als TP-Link zal het moeilijk vinden om nog apparaten van een paar tientjes te verkopen als ze er vervolgens vijf jaar ondersteuning op moeten bieden.

Nou is dit natuurlijk een prima voorbeeld van marktfalen, waardoor een beroep op overheidsingrijpen te rechtvaardigen is. Tante Truus die namelijk "nieuw internet" krijgt en er een router bij zoekt/krijgt zal zich weinig interesseren voor firmware updates en is dus juist de doelgroep. Maar, dat is ook iemand die als ze moet kiezen tussen een TP-Link* van vier tientjes en een AVM van negen tientjes altijd voor de TP-Link zal gaan. Als overheidsingrepen dan zorgt dat alle apparaten minstens vijf jaar automatische updates hebben maar het goedkoopste apparaat zes tientjes wordt dan is dat winst.

Ik zou alleen voordat je aan levensduurregelgeving begint eerst regelgeving invoeren die een basale veiligheidsstandaard vereist, in het kader van "alle kleine beetjes helpen". Bijvoorbeeld een verbod op standaardwachtwoorden en managementinterfaces die aan WAN hangen, een verplichte ingebouwde check op of er updates zijn met updatemechanisme en een verplichting dat alle communicatie met de servers van de fabrikant (voor update checks etc.) minstens over TLS 1.2 gaat bijvoorbeeld. Een heleboel IoT spul zou daar al meteen een klein stukje veiliger mee worden.

Je zou dit kunnen kunnen doen zoals we dat ook doen met de Euro emissiestandaarden voor auto’s. Eens in de zoveel jaar verhoog je de eisen (over een paar jaar maak je TLS 1.3 de ondergrens bijvoorbeeld) en fabrikanten zetten een label op de doos met welke standaard ze aan voldoen. Dan hoeft een koper niet te weten wat TLS of een managementinterface is, alleen dat een apparaat met “EuroTech 5” label beter is dan dat oudere apparaat dat alleen “EuroTech 4” heeft en ze dat misschien wel een tientje meer waard vinden.

* Overigens is er weinig mis met TP-Link. Je moet er alleen direct OpenWRT op zetten, dan is het OK spul.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 12:57]

Een high-end Europese fabrikant als AVM zie ik dit ook wel mokkend invoeren, een goedkope Chinese fabrikant als TP-Link zal het moeilijk vinden om nog apparaten van een paar tientjes te verkopen als ze er vervolgens vijf jaar ondersteuning op moeten bieden.
Dit gaat absoluut gevolgen hebben voor de kosten van allerlei apparaten. Het zal ook tot gevolg hebben dat er minder soorten apparaten op de markt komen (TP-link alleen al adverteert op het moment van schrijven 20 modellen consumentenrouters op haar site).
Als TP-Link er voor kiest om in plaats van 20, laten we zeggen 5 consumentenrouters te ontwikkelen (van instap tot prosumer/gamer), scheelt dat ook in de onderhoudskosten natuurlijk.


Het verbieden van zwakke wachtwoorden en dergelijke kunnen daar natuurlijk goed bij bijdragen inderdaad.
Allemaal leuk en aardig, maar als mensen een router krijgen van hun ips en die doet het 20 jaar wat dan? Dan stoppen die updates ook na 5 jaar of moet een IPS dan zeggen je krijgt een nieuw model?
De modem/routers van bijvoorbeeld Ziggo zijn geen consumentenrouters. Dit zijn bedrijfsrouters (van Ziggo in dit geval), die volledig in beheer zijn van Ziggo. Het feit dat ze voornamelijk bij consumenten in huis staan, staat hier los van. Juist dit soort zaken zijn heel makkelijk te regelen. Ziggo moet zorgen voor de apparatuur die zij in beheer hebben. Zij moeten dus blijven patchen zolang zij die apparaten nog in gebruik hebben.
Bij een Ziggo is dit zelfs heel makkelijk. Zij weten hoeveel van welk type modem zij overal hebben staan. Dit is iets wat TP-Link/Asus/enz niet kunnen weten. (even los van dat de apparaten naar huis zouden kunnen bellen enzovoorts)

Net zoals een slimme meter. Hij staat in mijn huis, ik kan hem uitlezen met een P1-poort, maar hij is in beheer van (in mijn geval) Stedin. Stedin moet het apparaat dus veilig houden.
Klinkt goed. Moet je dan rekenen vanaf de introductie van het product of vanaf de verkoopsdatum? Of vanaf een periode van x maanden of jaar na de introductie van een product? Sommige winkels verkopen namelijk nog lang oude stock van bepaalde apparatuur.

En wat doe je met budget fabrikanten die dan gewoon na een paar jaar failliet gaan en onder een andere naam terug beginnen? En wie is er verantwoordelijk bij OEM producten die gewoon gelabeld worden door een merkhouder? Als de merkhouder verantwoordelijk is en de OEM gaat failliet?

Ik vind het een hele interessante vraagstelling en ik ben er mee akkoord dat er iets zou moeten gebeuren maar de oplossing ligt niet voor de hand.
Dat is ook precies mijn punt met "Ik zou uiteraard niet weten hoe dit dan precies uitgevoerd moet worden", maar er moeten wel een paar slimme mensen zijn die hier handen en voeten aan kunnen geven.

Wat ik persoonlijk zo 1-2-3 bedenk op je voorbeelden:
Ik reken zelf dan vanaf de introductiedatum van het apparaat. Daarom ook die zoveel jaar. De datum moet ook op de verpakking komen zodat de consument de mogelijkheid heeft om een keuze te maken als ze dat willen. (eerste introductie, ondersteund tot die datum).

Die fabrikanten die (zichzelf) failliet (laten) gaan, weet ik even niks op.

Als de OEM-leverancier van de merkhouder failliet gaat, is het probleem van de merkhouder. Die moet dan met de OEM-leverancier bepaalde afspraken maken, dat de merkhouder bij faillissement de benodigde data kan verkrijgen om die beveiligingsupdates op een andere manier kunnen verkrijgen. (Een voorbeeld: Mijn werkgever heeft ooit geëist van een softwareleverancier dat hun broncode in een kluis komt te liggen "bij een notaris", en dat als het bedrijf stopt met bestaan, dat mijn werkgever altijd bij die code kan, zodat wij zelf iets anders kunnen regelen voor onderhoud. Die software gaat naar verwachting decennialang gebruikt worden. Om het in context te plaatsen. Het gaat hier om software voor specifieke financiele producten geschreven in Kobol)
Klinkt goed. Moet je dan rekenen vanaf de introductie van het product of vanaf de verkoopsdatum? Of vanaf een periode van x maanden of jaar na de introductie van een product? Sommige winkels verkopen namelijk nog lang oude stock van bepaalde apparatuur.

En wat doe je met budget fabrikanten die dan gewoon na een paar jaar failliet gaan en onder een andere naam terug beginnen? En wie is er verantwoordelijk bij OEM producten die gewoon gelabeld worden door een merkhouder? Als de merkhouder verantwoordelijk is en de OEM gaat failliet?

Ik vind het een hele interessante vraagstelling en ik ben er mee akkoord dat er iets zou moeten gebeuren maar de oplossing ligt niet voor de hand.
Al die problemen heb je ook met garantie, daar is de regel dat de verkoper verantwoordelijk is en dat garantie in gaat op het moment van aankoop.
De verkoper kan afspraken maken met de fabrikant om oude voorraad terug te sturen als die niet langer ondersteund kan worden.

Daarmee dek je ook voor budget fabrikanten die falliet gaan. De winkel zal dan voor een oplossing moeten zorgen. In de huidige markt zal dat neerkomen op een nieuwe telefoon van een ander merk. Als winkeliers dat risico niet willen lopen dan moeten ze geen onbetrouwbare budgetmerken verkopen, of een goede verzekering afsluiten.

Helemaal sluitend is dat niet want winkels kunnen ook falliet gaan. Daar is niet veel aan te doen, dan heb je pech als klant. Net zoals wanneer je TV stuk gaat en de winkel falliet is. Misschien is de fabrikant coulant en anders heb je gewoon pech. Het houdt een keer op. Dat is niet anders bij auto's, als de fabriek falliet gaat en er geen vervangende onderdelen meer geleverd worden dan mag je vroeg of laat niet meer met die auto de weg op omdat je niet meer door de APK heen komt.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 12:57]

Perfectie is de vijand van het goede. Problemen genoeg om op te lossen, maar een paar simpele maatregelen lossen de meeste problemen al op.
regel 1: Verplicht op elke doos, in grote letters: De datum tot en met welk een product veiligheidsupdates krijgt.
regel 2: Afdwingen dat bedrijven dit ook nakomen.

In een keer wordt "hoe lang is dit ding veilig/bruikbaar" een overweging voor klanten bij de aanschaf. Dat gaat voor concurrentie op dit gebied zorgen waardoor de situatie sterk verbeterd.

Geen enkele fabrikant of merkhouder wil om de paar jaar failliet. Naamsbekendheid heeft een waarde.
maar de gemiddelde gebruiker heeft een router van de ISP. En zelden eentje van een TPlink etc.

En de routers van de ISP zijn ook niet de beste met updatebeleid. Wij hadden een chello router, toen werd het UPC en toen werd het Ziggo. Die zelfde router van Chello kon ik door blijven gebruiken. Maar in meer dan 10-15 jaar misschien maar 1-2 keer een update gehad.

Mijn Modem / router van Asus bijvoorbeeld die heeft zijn laatste update in 2019 gehad. En die blijft nog wel updaten (handmatig). Ik denk dat je eerder de ISP kan aanspreken dan een externe fabrikant.
Maar in meer dan 10-15 jaar misschien maar 1-2 keer een update gehad.
In elk geval een update die jij gezien hebt. Je weet niet hoeveel lagen zo'n apparaat heeft. Niet alle updates hoeven voor de consument zichtbaar te zijn natuurlijk.
Maar je hebt waarschijnlijk gelijk dat de apparaten nooit fatsoenlijk zijn geüpdatet. Echter: zo'n modem/router van Ziggo is niet een 'consumentenrouter'. Dit zijn routers die verkocht zijn aan en in beheer zijn van een groot bedrijf (Ziggo in dit geval). Het feit dat (vrijwel) alleen consumenten die apparaten in gebruik hebben staat daar los van. Maar ook Ziggo moet verplicht worden om hun apparaten voor de levensduur van het apparaat, blijven updaten. Bij Ziggo is het zelfs nog strakker te regelen, want zij weten precies hoeveel apparaten van elk type in gebruik zijn. (in het geval van xDSL, waar iedere klant een eigen modem/router kan installeren is het een ander verhaal)
Een fabrikant van een consumentenrouter kan dat niet weten. (Tenzij al die apparaten naar huis blijven praten. En allicht dat hier ook iets mee gedaan kan worden qua wetgeving. Als er nog teveel apparaten van een type in gebruik zijn, moeten ze langer geüpdatet worden?)
Daarom blijf ik al jaren trouw aan Ubiquiti. Hun Amplifi lijn zou je als consumenten product kunnen zien. Zelf zit ik op Unifi, toch iets minder voor de gemiddelde consument. Maar alsnog. Heb bij mijn ouders de Amplifi staan en het draait als een zonnetje. Op de display voorop komt een melding ‘update beschikbaar’ waarmee ze met een druk van de vinger updaten. Zonder een moeilijke control panel op te gaan. :)

[Reactie gewijzigd door slijkie op 23 juli 2024 12:57]

Maar is nog steeds een handmatige actie. Dus als die router ergens staat/hangt waar je ouders niet de hele tijd dat schermpje kunnen zien, zullen ze niet altijd (al dan niet meteen) op update drukken. Ja, er zal sneller geupdate worden omdat het zo makkelijk is, maar dan moet je wel weten dat er een update is en dus dat schermpje geregeld kunnen zien.
Wil je gelijk een automatische update op een moment dat het je niet uit komt? Met het riscio gelijk te profiteren van eventuele fouten in de software?
Mijn Asus-routers updaten uit zichzelf, vooralsnog gaat dat in ieder geval goed. Ik denk ook niet dat de gemiddelde consument uitgebreid changelogs bekijkt en ervaringen van andere gebruikers uitpluist voordat hij/zij een update doorvoert.
En hoe up to date zijn de patches van Asus?
Ik kan gewoon mijn Unifi meuk op automatisch updaten zetten, dat is niet uniek aan Asus. Het is alleen dat de meeste mensen die Unifi gebruiken meer de IT hobbyisten zijn en een hekel schijnen te hebben aan automatische updates... ;-)
Lijkt me erg fijn. Gewoon schedulen dat tijdens de nacht de update wordt uitgevoerd incl. een reboot. Heb je geeneens door dat je router geflashed is.
Dat is wel hoe het bij de meeste internetprovider-geleverde modem/router combinaties werkt, ook niet altijd zonder problemen
Het gaat hier over routers specifiek, geen modem/routers. ISP’s leveren (in principe) geen losse routers.
Maar je hebt dat modem/router van je ISP wel, en die update wanneer die dat wil.
En als je gateway richting het mooie internet dit kan zonder dat dit eigenlijk klachten oplevert, waarom een router dan niet? Een beetje slim inplannen mag natuurlijk wel, maar ik zou het wel fijn vinden.
Consumenten routers staan over het algemeen 24/7 aan. Een enkeling zet hem uit in de nacht. Een update zou dus gepusht kunnen worden naar de router vanuit de fabrikant tussen 00.00 en 06.00 uur.

Daarbij zijn de meeste consumenten zich waarschijnlijk niet eens bewust dat er updates zijn (of wanneer ze er zijn), zoals @pizzafried ook al aangeeft.

Mocht je zelf de updates willen installeren en dus daarbij mogelijk N -1 willen toepassen, dan zou dát, mijn inziens, een handmatige actie moeten zijn.
Mijn unifi apparaten checken dagelijks op updates en ik heb ingesteld dat ze tussen 3 en 4 uur 'snachts mogen updaten.
Mijn unifi apparaten checken dagelijks op updates en ik heb ingesteld dat ze tussen 3 en 4 uur 'snachts mogen updaten.
.. En er dan als je eenmaal opgestaan bent, achter komen dat de update de boel vernaggeld heeft. Lekker dan zo 's morgens om een uur of vijf.
Dat kan inderdaad, maar daar ubiquiti een redelijk track records heeft vertrouw je die jongens. Over het algemeen gaat het eigenlijk niet fout. En anders doe je het maar even zonder WiFi voor een paar uur.
Het zijn toestellen voor consumenten. Wat denk je dat die doen als ze een update button zien ? Eerst even een test of staging environment opzetten om te kijken of de nieuwe update wel betrouwbaar is ? Niet dus, die hebben helemaal geen manier om te gaan testen, en de meesten gaan ook geen nieuws of communities volgen om te zien of iemand anders issues heeft met de update. Gevolg: ze klikken toch direct update, dus kan het even goed automatisch dan.
Het gaat niet om testen; het gaat om niet direct bij beschikbaarheid die update binnen trekken.
Even een paar weekjes wachten is helemaal geen gek idee.
mwah.. mijn orbi netwerk staat ingesteld op automatisch updaten (standaard instelling).
Op de een of andere manier snapt dat ding wel dat hij dat niet overdag moet doen. Afgelopen 2 jaar heb ik eigenlijk niet eens gemerkt dat de boel automatisch een update doorvoerde, terwijl er elke 3 maanden wel een update van de firmwares uit komt.

Voordeel is ook wel dat de Orbi's wel redelijk failproof zijn met firmware updates. En de nieuwe update wordt automatisch later geïnstalleerd dan dat je het handmatig zou kunnen doen (hij geeft een tijdje in de interface aan dat er een nieuwe versie is en gaat een week later ofzo automatisch over)

[Reactie gewijzigd door SunnieNL op 23 juli 2024 12:57]

Wil je gelijk een automatische update op een moment dat het je niet uit komt? Met het riscio gelijk te profiteren van eventuele fouten in de software?
Natuurlijk wil niemand dat, dat is nu net het hele probleem. De oplossing die we nu kiezen (niks doen) voldoet niet. We hebben een betere oplossing nodig.

Gigabyte levert moederborden met dubbel uitgevoerde chips zodat je een reserve hebt als het flashen van de eerste fout gaat. Dat zouden ze met routers ook kunnen doen.

Daarnaast zou er veel meer aandacht moeten komen voor automatisch testen en controleren van functionaliteit zodat je na een update kan controleren of alles naar behoren werkt of dat de update moet worden terugdraaien.
Hier op kantoor gebruiken we alles van Unifi. Probleem met dat spul is, dat updates niet altijd goed verlopen, waardoor de hele configuratie mis gaat en devices niet meer geadopteerd konden worden. Nu hangen die AP's hier onbereikbaar hoog.. dus ik kan er ook niet zomaar even bij om die dingen te resetten, zodat ik ze weer over kan nemen.
Dus nu zit ik met een half te beheren netwerk.. erg irritant.
Ja hun quality control is niet bepaald geweldig aan de software kant, ik heb het thuis ook draaien maar ik heb de update frequentie wel sterk naar beneden gebracht gezien de vele issues met updates.

Denk dat dit ook de reden is dat de meeste routers geen auto-update doen: support kosten schieten dan fors omhoog.
kan je er niet heen ssh-en?
Nee, het wachtwoord wordt automatisch aangepast zodra hij aan een "andere controller" (lees: dezelfde eigenlijk) wordt gehangen. Je kunt dat alleen oplossen door een hard-reset uit te voeren op de AP, waarna je 'm kunt overnemen.

[Reactie gewijzigd door DeCo op 23 juli 2024 12:57]

Maar als je AP's onbereikbaar hoog hangen..
Dan ga ik ervan uit dat het meer als 3 meter is.

Mag ik hopen dat het richt antennes zijn en geen 'standaard' omni directionele AP's.
Want dan verstoren ze meer dan dat ze je fatsoenlijk signaal geven.
Dan is het misschien maar goed dat ze zijn uitgevallen ;)
Unifi is eigenlijk wel consumenten spul hoor, beetje prosumer wel, maar echt niet te vergelijken met 'echte' oplossingen zoals Cisco of Aruba die heeft. Dat gezegd hebbende, wij hebben bij tig klanten Unifi oplossingen draaien, en zijn daar zeer content mee vwb prijs / pret verhouding. Maar: unifi heeft het afgelopen jaar meermaals grote cockups gemaakt met privacy van klanten. Enorme minpunten!
maar echt niet te vergelijken met 'echte' oplossingen zoals Cisco of Aruba die heeft.
Bedoel je nu qua prijs of qua capabilities? ;-)
Aruba = Cisco

En geen enkel product is zaligmakend, het Ubiquiti verhaal zit gewoon recenter/sterker op je netvlies: https://securityintellige...-aruba-networks-products/
https://www.consumerrepor...-webex-videoconferencing/
https://www.forbes.com/si...lions-of-network-devices/

Edit: Haal Aruba en Meraki door elkaar! Oeps...

[Reactie gewijzigd door Cergorach op 23 juli 2024 12:57]

Oh nee natuurlijk niet. Ik denk niet dat er één appliance bestaat die echt 100% secure is. Vroeg of laat is er altijd wel een slimmerik die op een of andere manier toegang kan krijgen. Ook qua privacy zijn er inderdaad wel meer bedrijven die er een loopje mee hebben genomen. Maar Unifi takes the shit-cake de laatste tijd, na een hoop ophef over de phone-home 'functie' doen ze het domweg NOG een keer.
Het ging me meer over de schaalbaarheid in deze; in een ziekenhuis of school zou ik geen unifi ophangen, boven de pakweg 50 clients op een AP (zit je op een school nogal eens gauw aan) zakken die behoorlijk in. Maar, voor elke situatie is er een oplossing, en zoals gezegd gebruiken we op veel plekken dus wél Unifi, en zijn we daar ook zeer content over.

Maar Aruba = Cisco? Aruba = HPe, en Cisco is gewoon Cisco. Ik heb nog gezocht, maar kan ook geen enkele informatie vinden dat die ook maar iets met elkaar te maken zouden hebben...

[Reactie gewijzigd door Rataplan_ op 23 juli 2024 12:57]

Kan je meer info geven over die cockups? Ik heb Unifi materiaal draaien intern, geen cloud/externe connecties.
uit mn hoofd: In versie 4.0.66 zat een phone-home functie, die standaard aan stond (mag al niet in Europa) en in de controller zat geen optie om hem uit te zetten. Daarbij werd er veel meer info naar Ubiqiti gestuurd dan toegestaan. Na heel veel ophef op hun forum en langs andere support kanalen hebben ze het opt-in gemaakt meen ik ipv opt-out, en is er ook een optie in de GUI gekomen om dit in te stellen.

Ubiquiti heeft er een handje van negatieve forum threads te verwijderen. Er waren verschillende threads over het phone-home gedoe, ook constructieve waar de GDPR erbij werd gehaald en netjes aangegeven waarom het niet klopt wat ze deden. Er waren daar verschillende threads bij waar ik zelf in meegedaan heb, maar die zijn allemaal verwijderd inmiddels. Ik vond er nog wel een: https://community.ui.com/...81-4d69-a3b3-45640aba1c8b


Maar als je denkt dat ze geleerd hebben: in 4.3.13 (downloads: Ubiquiti UniFi UAP/USW 4.3.13.11253) doen ze het WEER. Er is een optie in de GUI om sensitieve data collectie uit te zetten, maar de generic data kan je enkel uitzetten door handmatig in de config te rommelen. Ze doen dit dus bewust, en dat staat mij echt ENORM tegen.
Toch ben ik blij dat mijn unifi's er uit zijn en dat ik overgestapt ben naar Aruba Instant On. Deze zitten in de zelfde prijsklasse maar zijn 1000x betrouwbaarder.
1000x is wel veel :) Nadeel van Aruba Instant On vind ik (lees: vinden wij in mijn bedrijf) dat je gebonden bent aan een cloud-service, terwijl we bij Unifi nog zelf de controller kunnen hosten, danwel bij onszelf danwel bij de klant zelf. Sommige van onze klanten denken er serieus over na en willen liever niet iets wat cloud-connected is.
Persoonlijk ben ik ook erg huiverig voor het Instant-On verhaal, met name wanneer ze over 5 jaar bedenken dat het spul EOL is, zoals je met veel connected apparatten ziet gebeuren inmiddels. Hue bridges, thermostaten, deurbellen, Microsoft Band, en ga maar door. Dit terwijl voor WiFi je producten functioneel nog helemaal prima kunnen zijn.

Maar ik moet er ook gelijk bijzeggen dat ik zelf nog nooit met Instant On gewerkt heb, welicht zijn er nog mogelijkheden lokaal wat te doen.
De Ubiquiti Dream Machine Pro heeft ook een cloud user ID nodig om in te loggen. Er zijn een boel protesten over, en ze beloven ergens in een volgende firmware update ook alleen lokaal management mogelijk te maken, maar momenteel ben je verplicht een user ID bij Ubiquiti te registreren om je Dream Machine Pro te installeren.

En de implicaties zijn enorm - niet alleen op het moment dat de leverancier omvalt. Stel dat jij een tweet plaatst over een POTUS met een plaatje van een mandarijn - staat er een agent van een zekere dienst daar op de stoep met het verzoek om toegang tot jouw netwerk? Zou Ubiquiti in deze opzet mogen worden verkocht als hun hoofdkantoor in China stond (<kuch>Huawei<kuch>)?
Naamgeving van aruba is een tikje verwarrend:
* "aruba" (niet "instant", niet "on") heeft een aparte controller (en licenties) nodig, maar werkt ook standalone
* "aruba instant" (niet "on") werkt zonder aparte controller, maar laat 1 van de access-points dit doen en werkt dus ook standalone
* "aruba instant on" werkt via een cloud service en werkt dus NIET standalone (zonder internet)

persoonlijk ben ik fan van de aruba instant's (niet "on")

Aruba is over het algemeen goed in het bijhouden van de firmware van hun apparaten, maar ook bij hen houdt het op een gegeven moment op - het is een commercieel bedrijf. In tegenstelling tot sommige andere vendors hebben ze geen "sell-and-forget" attitude. Dit zie je ook aan hun firmware: momenteel hebben ze 2 series firmware releases lopen: 8.*.*.* en 6.*.*.*. niet elk apparaat kan elke release aan, maar elke release beslaat wel verschillende generaties/modellen apparaten en wordt vanaf dezelfde broncode gebouwd, dus als een nieuw apparaat een update krijgt, krijgt een ouder apparaat die in principe ook - tenzij (bijvoorbeeld) de hardware het niet aan kan.
ik kende Aruba nog niet...
Is dit echt zo goed?
Ik heb nu:
- switches van TP-link
- AP van Unifi
- router: Edgerouter Lite 3
Wij draaien zakelijk met Aruba als AP's. Aruba is van HP en binnen een grote organisatie goed te managen.
ah ok, bedankt voor de info.
En ze werken correct/stabiel?
En je managed ze via de (cloud)site of app op mobiel?
Tot nu toe geen problemen. Je hebt wat meer AP's nodig ivm dekking. Ik beheer ze niet zelf maar hoor positieve verhalen.
Iets wat mikrotik ook goed doet, inderdaad niet voor de gemiddelde consument maar zeer zeker degelijk.

Ook met 1 druk op het touchscreen te updaten:
https://tweakers.net/pric...d-rb2011uias-2hnd-in.html
Maar wat voor update? Enkele bugfixes? Dat doet asus ook met enige regelmaat. Het gaat hier toch vooral om een verouderde kernel denk ik dan.
Op de display voorop komt een melding ‘update beschikbaar’ waarmee ze met een druk van de vinger updaten.
Hebben die dingen geen auto update?
Geld dat ook voor een ziggo router?
AuteurTijsZonderH Nieuwscoördinator @Rzarect0r7 juli 2020 09:56
Hangt er vanaf welke dat je gebruikt. Ziggo heeft Sitecom-routers en Netgear-routers. De onderzoekers hebben alleen naar die laatste gekeken. Het onderzoek ging niet specifiek om iedere losse router, maar was een soort steekproef. Of specifieke Ziggo-routers veilig zijn of niet kan ik niet zeggen maar ik denk dat het onderzoek wel veelzeggend is.
Sitecom WLAN repeater gehad (te koop bij de Aldi). Hier heb ik een ernstige kwetsbaarheid in gevonden. Reactie gekregen dat men het zou fixen. Nooit meer een firmware update voor gezien.
Hier zo een zelfde verhaal, laatste app update dateert uit 2016... jaar geleden nog contact hierover gehad. antwoordt: we zijn er mee gestopt zoek het zelf uit (beetje in het kort)... :+
Zeehond FP Admin / FP PowerMod / Moderator Wonen en Mobiliteit @Jerie7 juli 2020 12:03
Heb op de router die ik had staan (WLR-9000) nooit een fix gezien voor bijv de kracks kwetsbaarheid. Inmiddels het ding maar weggegooid.
Sitecom routers zijn volgens mij ook niet veilig, hier hebben we er een (pricewatch: Sitecom WLR-8100 - Router - AC1750) maar support en updates zijn er weinig geweest. Tegenwoordig brengt sitecom überhaupt geen netwerk apparatuur meer uit. Beveiliging zal niet opper best zijn.
Ziggo is al een poos bezig de nieuwe docsis versie uit te rollen.
Wellicht willen ze daarmee alle oudere hardware uitfaseren, wat al een poosje duurt.
En mijn ubee evw321b? Ziggo heeft echt wel meer dan alleen Sitecom en Netgear spul in omloop hoor. Overigens heb ik er geen illusies over dat het spul dat providers leveren gewoon in ieder opzicht ondermaats is. Het moet allemaal zo min mogelijk kosten en dat merk je bij dat soort apparatuur echt aan alles.
Bij KPN zijn de certificaten verlopen, dus bij ziggo verwacht ik niet veel beters, zeker niet na de overnames.
nieuws: KPN-klanten kunnen Experiabox V10A niet benaderen door verlopen certi...
KPN Doet toch de updates? Volgens mij kan dit nog geen eens handmatig.
Maar inderdaad, dat verlopen certificaat en de tijd tot oplossen voorspelt niet veel goeds.
Dat zouden ze inderdaad moeten doen voor de consument inderdaad.

Net even gecontroleerd, maar mijn Experiabox heeft software vanuit 2017, en nee er zijn geen nieuwere versies zover ik kan vinden beschikbaar.
Dat certificaten verlopen zijn, wil natuurlijk niet zeggen dat er niet automatisch geupdate is. Wil hooguit zeggen dat ze vergeten zijn die certificaten mee te nemen in de laatste update.
Ja moet je hier de reviews maar eens van lezen. Die dingen zijn helemaal prut. Mensen hebben dat prima uitgezocht allemaal al.

edit: productreview: Ziggo Connect Box review door Nivk

dit dus

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 12:57]

Ik heb Ziggo nog nooit deftige hardware zien leveren.
Dat ze dat hele bridge mode verhaal over de hele linie in redelijk in orde hebben zodat je je eigen spulletje kan aansluiten lijkt me geen toevalligheid.

Die units die ze bij hun peperdure giganet leveren zijn ook gewoon bud. Ziet er mooi uit maar uiteindelijk moet je er toch wel weer zelf hardware aan gaan hangen.
Ze verdienen hun geld met abonnementen, niet met modems/routers/WiFi. Dat is een noodzakelijk kwaad en moet simpelweg zo min mogelijk kosten. De grotere router/accesspoint/etc-boeren verdienen hun geld met routers/accesspoints.

Als de eerste slechte prestaties levert, stroomt er nog steeds geld binnen, omdat mensen vaak geen fatsoenlijk alternatief hebben. Als de tweede slechte prestaties levert, lopen de klanten weg en gaan ze failliet.
Toch moeten ze daar wel een keer bij gaan stilstaan anders zijn ze niet echt met de lange termijn bezig.

Ziggo is inderdaad een "moetje" als je betrouwbaar meer wil dan 50 megabit per seconde zonder glasvezel en ook niet toevallig bovenop een dsl wijkkast woont.
Maar ze leveren waardeloze hardware, doen nagenoeg niets voor gevorderde gebruikers in hun dienstverlening (ipv6 op non-ziggo hw, static ip's, deftige uploadsnelheden bijv.) want "daar zit niemand op te wachten" en zijn peperduur, o.a. omdat je nog steeds stug tv en volgens mij ook telefonie moet afnemen waar de gemiddelde VOD en instagram millennial al helemaal niet meer op zit te wachten.

Ik ga met een half jaartje verhuizen, en op dat nieuwe adres ga ik op termijn glasvezel krijgen.
Wanner dat gerealiseerd is ben ik zo vertrokken want dan heb je diezelfde gigabit maar dan synchroon voor 30 euro per maand minder en dan moeten ze echt wel met iets heel deftigs aan komen zetten wil ik overwegen om terug te komen.
er is een reden dat veiligheidsrapporten van ISP hardware maar zeer beperkt beschikbaar zijn.
Is het niet handig om over te stappen naar: https://openwrt.org/ ?
Ik snap dat dit voor de gewone consument een grote stap is.
Ja, dit vraag ik me ook af. Bij een community-driven systeem is er hopelijk meer druk/aandacht voor het implementeren van updates. Maar is dat ook zo?
Bor Coördinator Frontpage Admins / FP Powermod @dutchnltweaker7 juli 2020 11:19
Nee dat is het voor de meeste mensen niet. Het gaat hier om routers voor thuisgebruik zoals ik het lees waarbij het gros van de mensen gewoon wil dat het "werkt". Veelal stellen doorsnede consumenten dit soort devices 1x in om er niet meer naar om te kijken "zolang het werkt". Voor openwrt is toch wel wat kennis nodig.
Gelukkig zitten we hier op Tweakers.net, bedoeld voor de tweaker en niet de doorsnee consument.

Zelfs als basis met de stable builds is OpenWRT voor een klein beetje technisch aangelegde gebruiker prima te installeren en te gebruiken. De web interface is vaak nog duidelijker ook dan de meeste fabrikant FWs.

Ja, met OpenWRT kan je heel veel meer, maar als je alleen de basis wil gebruiken kan iedere beetje tweaker dit makkelijk installeren en instellen.
Meerdere keren naar gekeken maar yet update proces was niet eenvoudig en de helft van de functies werd niet eens ondersteund. Zo ook niet hardware acceleratie en die functie is gewoon broodnodig met mijn internet. Het is een beetje zoals custom roms voor je telefoon. Het hangt vaak van de compromissen aan elkaar. Ik koop dingt gebaseerd op features die ik nodig heb en als custom software dat niet ondersteund houd het snel op
Als mn oude router ondersteunt werd idd een optie.
maar helaas.
Bij de FritzBox staat automatisch updaten aan, dus daarmee wordt dat probleem verholpen.
Dat zijn ook maar aannames. AVM heeft de naam alles goed op orde te hebben (althans, volgens mij zijn het wel prima routers) maar heb jij enig idee wat er daadwerkelijk in een firmware zit? In een firmware van 2020 kan ook een totaal verouderde kernel zitten, of een lekke openSSL implementatie. Alleen het feit dat er updates zijn is niet per definitie genoeg om veilig te zijn.
AVM is gelukkig wel open over bekende kwetsbaarheden: klik
Je hebt daar wel gelijk in, maar dit is niet door de consument bijna niet te ondervangen, als er al kennis in huis is dan kan de fabrikant er nog een zootje van maken. AVM hanteert gelukkig automatische updates en geeft een redelijk uitgebreide lijst uit met nieuwe functies en bugfixes. Er zijn ook partijen (laatste geval bij mij was een ASUS) die het lijstje beperken met 4 hele zinnen. Uiteindelijk ben je afhankelijk van deze partijen en wat deze partijen zien als ondersteuning en updates.
Dat zijn per definitie aannames, want echt objectieve zekerheid heb je toch nooit. Dat is een realiteit van het leven.
Dat geld evengoed voor updates van elke andere software.
Ook als AVM ook alles netjes doet weet je niet of er upstream niet toch een issue is met één of meer van die componenten.
En brengt de leverancier gelukkig ook met enige regelmaat updates uit.
Je kunt een apparaat wel op automatisch updaten zetten, maar als de fabrikant/leverancier geen updates uitbrengt, heeft dat nog geen nut.

Updaten van routers/switches etc is iets dat helaas nog steeds erg veel vergeten wordt (en dan dus niet alleen bij thuisgebruikers).
Bij de FritzBox staat automatisch updaten aan, dus daarmee wordt dat probleem verholpen.
Dit artikel gaat erover of er updates beschikbaar zijn, niet of het automatisch gebeurd (zoals bij Fritzbox, wellicht brengen ze ook regelmatig updates uit?) of dat gebruikers het zelf doen. Er zijn maar erg weinig mensen in de reacties die dat door hebben. Goed lezen.
XS4all heeft nog Fritzbox 7340 modellen in 'het veld' waarvoor al sinds 2014 geen update meer beschikbaar is gekomen...
Hoe erg is dit? Zolang de router niet vanaf het internet te benaderen is lijkt de potentiële impact mij beperkt.
Er zijn natuurlijk meerdere soorten attack vectors.

Het grootste issue is uiteraard als de router wel (direct) aan het internet hangt, oftewel: het modem in bridge mode staat. Immers kan een aanvaller dan vanaf het internet meteen een aanval op de router doen en bv met malafide TCP / UDP pakketjes het ding plat krijgen.

Daarnaast is het ding natuurlijk ook nog steeds vanaf het netwerk te benaderen, en volgens mij zijn er ook al aanvallen geweest waarbij via bv javascript of slimme iframes een router werd over genomen via de browser. Dus een gewone gebruiker bezoekt een malafide website, en die site bevat allemaal scripts die een aanval op de router uitvoeren. Door de aanval via de browser te laten verlopen zit de aanvaller dus wel aan de LAN kant en is er sowieso meer mogelijk op de router. Uiteraard kan dat ook via een traditioneel computer virus, maar meer aanvalsmogelijkheden (via kwaadwillende site & virus) verhoogt natuurlijk ook de kans dat een aanval slaagt.

Als vervolgens bv via een aanval, worst case, een alternatieve firmware op de router kan worden gezet kan een aanvaller dus toegang verschaffen tot je volledige netwerk en alle internetverkeer.
En als de router wel vanaf het internet te benaderen is, is de potentiele impact zeer groot.

Ti's maar hoe je het insteekt natuurlijk.
Precies. De gemiddelde consument heeft een extra router doorgaans onbewust in Access point Mode, achter een Ziggo danwel KPN-modem. Daar kom je niet zomaar bij.
Dan ga je er wel van uit dat dat Ziggo- of KPN-apparaat dus wel veilig is en voorzien van alle recente patches. En ik zou daar niet al te zeker van zijn.
De providers dragen daarmee een grote verantwoordelijkheid, want anders is zonder meer bij iedereen in te breken. Ik vertrouw de beveiliging daarvan beter dan van een willekeurige verouderde router. Mijn Experiabox van BudgetAllesIn-1 krijgt steeds updates.
Is er dan een router merk waar je 9 van de 10 niet mis mee kan gaan?
Ik heb een 3-4 tal jaren geleden één van Linksys gekocht, het was afgeprijsd, had ondersteuning voor MU-MIMO (waar ik opzoek naar was toen), heeft een app waarmee ik alles kan regelen via cloud en installeert firmware updates automatisch zelf.

Ik wil binnenkort een nieuwe kopen dat ondersteuning heeft voor wifi 6, maar dat gaat nog even wachten worden omdat dat nog niet zo veel beschikbaar is, vooral qua keuze.

Welke merk(en) is(zijn) zeker aan te raden? (niet noodzakelijk één dat momenteel wifi 6 ondersteund. meer bedoeld als future reference)
Als je een simpele (consumenten) router wil die gewoon werkt dan is (in ieder geval qua beveiliging) AVM het beste.

Ubiquiti, Aruba en de meeste andere prosumer merken zijn over het algemeen ook prima beveiligd, maar routers van die merken kosten wel veel meer kennis en moeite om in te stellen.

Met aternatieve router software zoals Tomato, OpenWrt of dd-wrt kun je op heel veel routers van allerlei merken goede beveiliging krijgen, maar dat is net zo moeilijk als de prosumer merken (als het niet moeilijker is).
Ik heb een Asus router uit 2013 (AC-68U) die nog steeds updates krijgt. Daarvoor had ik een Asus N66U (2011) die blijkbaar nu nog steeds updates krijgt.

Ik zie vaker patches verschijnen voor mijn Asus router dan mijn Ubiquity Edgemax (zogenaamd semi professionele) router.
If you pay peanuts you get monkeys. Door te gaan voor de laagste prijs, heb je vaak ook de laagste kwaliteit.
Maar....door meer te betalen krijg je niet altijd beter.
Dit maakt het voor consumenten onmogelijk om een goede keuze te maken.

Een aantal oplossingen zijn door de Tweakers al eens gegeven:
- op elke verpakking in de winkel een uiterste houdbaarheid datum: de leverancier garandeert veiligheid en updates
- op internet.nl een klik 1x test die je router controleert op zwaktes: is al gedeeltelijk zo maar kan veel beter
- geld terug indien je product niet voldoet voor de uiterste houdbaarheid datum
- op internet.nl een lijst van routers die wel door de test komen

Wie heeft de aanvullingen?
Waar ik wel nieuwsgierig naar ben: in hoeverre is dit een probleem? Welke update-graad is gewenst, waarom, en hoeveel schade is daarmee te voorkomen?

Niet dat ik zoek naar argumenten om maar niet te updaten, in tegendeel, maar ik zou dit toch graag in een relevant perspectief willen zien.
Maandelijks. Je scant in 10 minuten het internet af als je op zoek bent naar èèn specifiek lek.
Het risico op geautomatiseerde exploits is best hoog als hij erg makkelijk is.
Momenteel is er nog geen grootschalige aanval met schade geweest, maar dat is puur een kwestie van tijd. Routers zijn minder interessant dan ip camera's namelijk, maar net zo kwetsbaar.

Bijvoorbeeld:
nieuws: 79 Netgear-routers zijn kwetsbaar voor ongepatcht buffer-overflowlek
nieuws: DrayTek waarschuwt dat aanvallers dns-instellingen van zijn routers w...
nieuws: MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet

En oja, zelfs de professionals patchen niet.
nieuws: Zeker 39 Nederlandse servers zijn geïnfecteerd via oud Citrix-lek ond...

[Reactie gewijzigd door jeroen3 op 23 juli 2024 12:57]

ACM Software Architect @jeroen37 juli 2020 10:48
In 10 minuten het "internet scannen" lukt je niet zomaar. Maar dat hoeft ook niet, er zijn gewoon online zoekmachines die je dat kunnen leveren :X
In 10 minuten het "internet scannen" lukt je niet zomaar. Maar dat hoeft ook niet, er zijn gewoon online zoekmachines die je dat kunnen leveren :X
Vergis je daar niet in, tegenwoordig is 10 minuten prima haalbaar zonder gekke dingen te doen.
Je moet een beetje pittige computer en een snelle verbinding hebben, maar niks bijzonders, ieder modern datacenter kan dat leveren voor een prijs die in ieders budget ligt.

https://zmap.io/ deed het in 2013 al in 6 minuten. IPv4 is niet groter geworden, maar onze netwerken zijn wel een stuk sneller geworden. Ik ga van uit dat het nu dus nog sneller kan.
Maandelijks. Je scant in 10 minuten het internet af als je op zoek bent naar èèn specifiek lek.
Het risico op geautomatiseerde exploits is best hoog als hij erg makkelijk is.
Momenteel is er nog geen grootschalige aanval met schade geweest, maar dat is puur een kwestie van tijd. Routers zijn minder interessant dan ip camera's namelijk, maar net zo kwetsbaar.

Bijvoorbeeld:
nieuws: 79 Netgear-routers zijn kwetsbaar voor ongepatcht buffer-overflowlek
nieuws: DrayTek waarschuwt dat aanvallers dns-instellingen van zijn routers w...
nieuws: MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet

En oja, zelfs de professionals patchen niet.
nieuws: Zeker 39 Nederlandse servers zijn geïnfecteerd via oud Citrix-lek ond...
Voor hetzelfde geldt, zijn veel routers al voorzien van malware. Niemand die het merkt, zolang je maar 10% van de resources gebruikt of data steelt.
Een exploit op een router moet je wel echt kunnen benutten. Het is best lastig want het meeste verkeer is versleuteld, dus op wat redirects of andere netwerkdingen is het niet zo waardevol volgens mij.
Crypto minen zal het niet worden.
Wat wel kan is routers inzetten voor ddos, tunnel enpoint of andere zaken. Je moet dan een iets uitgebreidere organisatie hebben. Maar zeker niet onmogelijk voor sommige teams met een, uhh, landelijk motief.
Leuk artikel, zeker ik vandaag weer een (grote) update van mijn Synology router heb gekregen. Zowel de rt2600ac als de (ondertussen 5 jaar oude) rt1900 draaien de update zonder problemen en ik ben weer helemaal bij.

Oh, en ik heb allerlei additionele features gekregen bij elke update. What can I say.... Ik raad niemand iets anders aan de laatste drie jaar!
Bor Coördinator Frontpage Admins / FP Powermod @Coreantes7 juli 2020 12:13
De laatse update voor die routers is van 18-6 (1.2.4-8081). Dit geldt zowel voor de 1900ac als de 2600ac. Je loopt bijna een maand achter wat mede een punt is waar het hier over gaat.
Een maand noem ik niet "verouderde software". We praten hier niet over oude linux kernels vol lekken, namelijk... jullie artikel gaat over jaar/jaren.

Kun je nog meer bij zijn qua vulnerabilities etc.? Voor routers en modems lijkt me dat niet handig. De cyclus van development is lang, want je wilt een goede update uitrollen en niet halve bevolkingsgroepen zonder internet hebben zitten, omdat een softwareupdate faalt.

Volgens mij gaat jullie artikel over al dan niet voorzien van updates, niet zozeer of de routers altijd "bij" zijn. Zoals de vele comments hier ook al uitwijzen: modems en routers worden gemaakt, verkocht en na een eerste of tweede update vergeten. DAT is het hele grote probleem. Mijn punt staat wat dat betreft als een huis: Synology ondersteunt ook nog na ruim 5 jaar zijn 1900ac, wat bovengemiddeld lang is.

Op dit item kan niet meer gereageerd worden.