Agentschap Telecom start onderzoek naar beveiliging routers in Nederland

Het Agentschap Telecom start een onderzoek naar de beveiliging van home gateway-apparaten in Nederland. Dat gaat bijvoorbeeld om routers, switches en wifirepeaters. Volgens onderzoek van ESET zijn er beveiligingsproblemen met 1,5 procent van de routers in Nederland.

Sinds begin dit jaar monitort het AT de beveiliging van slimme apparaten, waaronder routers. Dat zegt het agentschap tegen radio- en tv-programma Pointer. De instantie zegt het probleem van kwetsbare routers in Nederland te herkennen en begint daarom een onderzoek. Meer details daarover zijn nog niet bekend.

Pointer liet ESET onderzoeken hoe het met de beveiliging van routers in Nederland is gesteld. Het beveiligingsbedrijf onderzocht 5000 unieke routers en concludeerde dat ongeveer 1,5 procent daarvan niet goed of slecht beveiligd is. Over heel Nederland zou dat om potentieel tienduizenden kwetsbare routers gaan.

Het Agentschap Telecom is vanaf augustus 2024 officieel toezichthouder voor routers en slimme apparaten. Dat is het gevolg van Europese regelgeving. De instantie is in de aanloop daarvan nu al routers aan het testen, zegt Erik Lukas, hoofd van de afdeling Markttoezicht in de uitzending van Pointer.

Eerder dit jaar kwam naar buiten dat Russische staatshackers tientallen routers van Nederlanders hebben geïnfecteerd. Volgens de Militaire Inlichtingen- en Veiligheidsdienst werden de routers in een botnet opgenomen dat kan worden ingezet voor spionage, beïnvloeding en sabotage.

Reacties (72)

gertvdijk 2 mei 2022 12:34

Er zijn echt talloze aspecten aan de beveiliging van dergelijke apparaten, het is niet triviaal om dit "eventjes" te onderzoeken. Ben benieuwd naar de exacte scope en wie het publiek van de aanbevelingen precies gaat zijn.

Het beloofde onderhoud / beschikbaarstelling van beveiligingsupdates door de fabrikant en de termijn hiervan.
Maar ook: informeert de verkoper je als je een apparaat koopt dat al 3 van de 4 jaar support erop heeft zitten bijvoorbeeld? Je zou zeggen dat een apparaat een THT-datum moet hebben en die kenbaar gemaakt moet worden bij aanschaf/ingebruikname.
Communicatie van updates van de fabrikant aan de eindgebruiker; word je actief geïnformeerd of moet je zelf een download-pagina in de gaten houden?
Snelheid van reageren door de fabrikant op gevonden kwetsbaarheden.
De instructies in de handleiding aan de eindgebruiker over goede instellingen met betrekking tot beveiliging (activeren firewall, goed wachtwoord, etc.). Moeten ze standaard allemaal aan/afgedwongen worden en waarschuwingen in de user interface komen indien je ze uitzet of neem je genoegen met minder?
De kwaliteit van beveiliging van de management-interface naar de ISP (bijv. TR-069). Maar ook afdoende beperkingen aan die kant; want als een gemiddelde helpdeskmedewerker het ingestelde WiFi-wachtwoord in plaintext kan uitlezen: is dat 'service' of een beveiligingsprobleem?
Wie is verantwoordelijk als de ISP de apparatuur verstrekt? Communicatie naar eindgebruiker maar ook OEM-firmware updates beschikbaar stellen.

En ja zo kan je nog wel even doorgaan.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 20:42]

rubenkemp @gertvdijk • 2 mei 2022 20:10

Gezien ze vanaf 2024 "officieel toezichthouder" zullen worden geeft dit nog ruim anderhalf jaar. Afhankelijk van de grootte van de zak geld die ze voor dit onderzoek hebben gekregen lijkt het me dat behoorlijk wat dingen van je lijstje onderzocht kunnen worden, hoewel ik me dan afvraag of het niet snel een vergelijking gaat worden tussen merken (inherent reclame, lijkt me, als er dan "goede" en "slechte" producten worden aangeduid).

NoobishPro @rubenkemp • 2 mei 2022 23:55

Opzich niets mis mee wanneer het een feitelijke waarheid is, toch? En afvallende merken gaan dan per definitie bijbenen om de security te verbeteren zodat ze weer 'claims' kunnen maken, dus... win win?

xiphoid 2 mei 2022 13:12

De bestaande firmware updates van netgear van de laatste vijf jaar waren allemaal security updates, de laatste 13 maanden geen nieuwe firmware geweest; kortom, router doet het prima, waarschijnlijk zo onveilig als ik weet niet wat.

HakanX @xiphoid • 2 mei 2022 14:08

Dat valt nog mee, meeste die ik tegenkom hebben 5 tot 10jr geen updates gehad. Je kan het meer vergelijken met kabels aan elkaar knopen dan een router

noskill @HakanX • 2 mei 2022 14:18

Waren het alleen maar aan elkaar geknoopte kabels, dan viel er weinig te hacken hehe

WillySis @xiphoid • 2 mei 2022 19:37

Helaas krijgen veel routers slechts heel sporadisch of zelfs nooit een update. Dat geldt zeker niet alleen voor de goedkopere (consumenten) routers. Er zijn ook heel wat duurdere typen die het zonder updates moeten stellen.

goats @xiphoid • 2 mei 2022 20:59

Netgear is denk ik het enige bedrijf in het goedkope segment die na 8 jaar nog steeds firmware updates levert.
ISP's die ipv6 uitrollen met huawei doen dat zonder ipv6 firewall.
D-Link heeft over het algemeen exact 1 firmware versie en vrijwel nooit een update.
Netgear doet ook echt zijn best om firmware te fixen als ik een bug in de switch rapporteer.

William_H @goats • 3 mei 2022 11:25

Asus ook zeker. Krijg altijd nog updates, anders kan je ze heel makkelijk flashen naar stom open-source firmware.

terradrone

2 mei 2022 15:19

Ik denk dat het vooral zinvol is wanneer er initieel naar de absolute "onderkant" van de markt gekeken wordt. Daarmee bedoel ik de grootste rotzooi die in omloop is: de merkloze repeaters (in de volksmond "wifi versterkers") zoals toko's als de action die jarenlang verkocht hebben. Maar ook de noname rommel wat via aliexpress etc gekocht is. Er zijn zo ontzettend veel met internet verbonden apparaten (direct al dan niet indirect) waarbij het vooral verbazend zou zijn als er iets aan ze zou deugen.

Een volgende stap is kijken naar apparatuur met dubieuze hardware/firmware. Er zijn genoeg redenen om je zorgen te maken over bijv de bekende xiaomi/huawei apparatuur, waarbij het niet duidelijk is wat men in de firmware heeft gepropt . En dat houdt niet op bij routers, wat te denken van bijv. beveiligingscamera's, zoals die van hikvision en dahua .

En dan is er nog het fysieke veiligheidsaspect. Denk maar niet dat al die noname rommel netjes kema / CE gekeurd is En nee, de C E stickertjes op aliexpress zooi heeft niets met het europese keurmerk te maken, maar betekend dubbelzinnig "chinese export" .

In een ideale wereld kennen we enkel deugdelijke apparatuur, welke niet alleen elektrisch deugdelijk is, maar daarnaast ook softwarematig. Helaas is , zoals eerder benoemd, enorm veel rotzooi in de omloop, wat naast een elektrische en digitale onveiligheid ook nog eens ontzettend millieuvervuilend is (korte gebruiksduur, gaat snel kapot daarom relatief grote co2 footprint).

Wellicht dat twee acties een begin kunnen maken: noname ongekeurde rommel weren en inzetten op fatsoenlijke software support / update beleid.

Qalo @terradrone • 2 mei 2022 20:51

Een volgende stap is kijken naar apparatuur met dubieuze hardware/firmware. Er zijn genoeg redenen om je zorgen te maken over bijv de bekende xiaomi/huawei apparatuur, waarbij het niet duidelijk is wat men in de firmware heeft gepropt.

En Cisco niet te vergeten.

Ik heb 3 routers in huis, waarvan 2 nu even in de doos staan (want al oudere routers en heb ze op dit moment niet nodig). Maar alledrie heb ik recentelijk voorzien van een firmware update. Nee, niet de firmware van de fabrikant van deze apparaten, maar DD-WRT in dit geval. Eén van de routers gaat binnenkort naar een vriend van mij, die er weer een hele geschikte en goed beveiligde router bij krijgt.

Noem mij maar paranoïde, maar ik vertrouw de geïnstalleerde firmware van de fabrikant niet meer sinds dat Cisco-verhaal van een aantal jaren geleden. Je hebt inderdaad geen idee wat er voor rommel in zit. Bij de open source router firmware zoals OpenWRT, DD-WRT en FreshTomato loop je dat risico een stuk minder. En het presteert doorgaans ook beter dan de standaard firmware. Dat lijkt overdreven, maar het is écht gebleken. Voor mij nóg een reden om bij de aanschaf van een nieuwe router de standaard firmware er meteen af te knallen en te vervangen voor - in mijn geval - DD-WRT.

terradrone

@Qalo • 2 mei 2022 22:05

Echt helemaal opensource kan je DDWRT helaas niet noemen. Omdat ze een nda met broadcom hebben getekend hebben ze toegang tot closed source binary drivers (binary blobs). Daar kan je totaal niet van zien wat erin gebeurt. Openwrt maakt echt alleen gebruik van FOSS drivers (helaas soms ook met binary blobs in de vorm van firmware, zoals bij qualcomm atheros het geval (ath10k(-ct) en in toenemende mate ath11k).

Overigens gebruikt freshtomato ook closed source binary drivers voor haar firmware:
"Most of the software is opensource, except the broadcom wifi drivers. This means it might not be possible to customize wifi features (like adding more SSID supports). This also means that the kernel version is mostly frozen. "

De enige oplossing die ik me kan bedenken die dicht bij een volledige opensource oplossing komt is een mediatek based router met openwrt erop. Daar zit geloof ik nog iets van closed source firmware in , maar relatief weinig. De Asus RT3200 is om die reden op het moment erg in trek en velen zien dit voor nu als de "beste" oplossing wbt "open" hardware en FOSS firmware.

[Reactie gewijzigd door terradrone op 22 juli 2024 20:42]

wortelsky @Qalo • 3 mei 2022 07:27

Als het mogelijk is zeker doen, maar het is vaak net wat teveel voor de standaard gebruiker. Net als het configureren ervan.

AvdWerfhorst 2 mei 2022 12:27

Maar 1,5 procent niet goed beveiligd? Ik had het eigenlijk veel hoger ingeschat. Ik denk namelijk dat heel weinig mensen actief hun router firmware updaten, waardoor beveiligingsfouten er in blijven zitten.

Of gaat dit meer om onveilige configuraties? Vrij toegankelijke wifi netwerken etc?

pauldaytona @AvdWerfhorst • 2 mei 2022 12:32

De meeste mensen hebben er toch één van de internet provider, Ziggo, KPN of anderen, daar kan je zelf niks aan updaten.

pentode @pauldaytona • 2 mei 2022 12:59

Hier staat het "kastje" van de internet provider in bridge mode. Het modem.
Daar achter een eigen router. Die ook gepatched en onderhouden wordt.

Steve Gibson(een van de weinige die nog in assembly programmeert) oa bekend van security now heeft op zijn website de mogelijkheid om oa de openstaande 'internet' poorten te monitoren. Shield's UP heet het. En nog meer handige nyfty tool's van zijn hand. Voor de geïnteresseerde.

En Universal Plug and Play (UPnP) ook het liefst uitzetten. Alleen komt er dan gelijk een einde aan de simplificatie van oa apparaten vinden in het netwerk.

Mogelijk hebben andere Tweakers nog meer tip's en dan vooral voor familie, vrienden en kennissen. Die minder tech-savvy zijn.

[Reactie gewijzigd door pentode op 22 juli 2024 20:42]

HakanX @pentode • 2 mei 2022 13:54

En Universal Plug and Play (UPnP) ook het liefst uitzetten. Alleen komt er dan gelijk een einde aan de simplificatie van oa apparaten vinden in het netwerk.

Apparaten vinden in je lokale netwerk gaat (behalve scannen) via broadcast. Voor poort openen wanneer er geen UPnP is gebruiken meeste software nu hole punching ipv iedereen uitleggen hoe ze alles moeten instellen.

Wasabi! @pentode • 2 mei 2022 14:37

Damn, ben ik al zo oud, gebruikte het sinds 2002 of zo.

Inderdaad van alles gezien bij kennissen en vrienden, zet altijd standaard UPnP uit in het modem/router van Ziggo. Maar het is dan zo makkelijk zegt men dan, alles gaat vanzelf.

RGAT @pentode • 2 mei 2022 18:48

Wordt misschien wel eens tijd dat hij de website een update geeft

Zo krijg je bij een test bijvoorbeeld een opmerking over poort TCP:443:

The number one reason for doing this is the transmission of credit card information.

En 20 jaar geleden was dat helemaal correct...

Microsoft's Personal Web Server (PWS) and its Frontpage Extensions

Voor zover ik kan vinden was PWS een Windows 95/98 feature

Buiten dat de test wel wat updates mag krijgen is het een zeker nuttige tool, met 1 beperking en dat is dat het alleen maar TCP verbindingen kan testen, open UDP poorten worden niet getest...

UPnP is inderdaad een goede om uit te zetten, maar ben bang dat de gemiddelde console bezitter het standaard aan zet omdat je anders in-game bijvoorbeeld 'closed NAT' meldingen krijgt.
Nintendo is hier een hele handige in met de volgende documentatie:

For titles published by Nintendo, you will need to forward UDP ports 1 through 65535.

Oftewel ALLE UDP poorten op je netwerk naar je Wii U forwarden, vergeet dat je netwerk ook andere apparaten heeft die wel eens een UDP verbinding willen maken

Belangrijkste is een router kiezen van een fabrikant die (security) updates serieus neemt, Netgear heeft hierin een wat wisselende reputatie helaas, Ubiquiti maakt bijvoorbeeld prachtige spullen maar de firmware is regelmatig buggy en stopt na enkele jaren vrijwel volledig, Sitecom heeft zijn (flinke) aandeel van lekken gehad en Sweex en Icidu; tja......

Beste beveiliging is een kwestie van lagen, dus naast op de router zelf updates tijdig uitvoeren en geen UPnP/onnodig open poorten ook op computers op je netwerk een firewall instellen die uitgaand verkeer filtert. Al helemaal wanneer je smart home spul in huis hebt, beste is om dat op een apart VLAN te zetten zonder internet toegang.

pentode @RGAT • 2 mei 2022 22:44

Was a way, kon niet direct reageren, ff een ambulante dienst draaien.

Ja, de site is wat gedateerd. Steve is ook niet zo jong meer. Schijnt 's morgens vroeg al in een starbucks café te zitten werken. Zo gaan de verhalen.
UDP scannen schijnt tricky te wezen.

Er zijn meer sites die scan's en dergelijke aanbieden.
Of pen tests doen. Pakket sniffers noem maar op. En dan nog...

Over gelaagdheid of compartimenteren gesproken.
Ik hamer altijd op back-up's, back-up's, back-up's (houd je bek up ;-)) En ook testen dat ze echt terug gezet kunnen worden. Maar dat is dan meer (klein)zakelijk. Off-site. Verschillende media.

En van tevoren een plan voor 't geval je digitale boeltje is gecompromitteerd.
Heb vroeger wat gesleept met tapes. We reden zelfs verschillende routes om niet in een zelfde ongeluk terecht te komen. Naar de bunker toe... Ja Ja.

Qalo @pentode • 2 mei 2022 20:59

Ben even aan het scannen geweest met ShieldsUp, en het resultaat is naar tevredenheid. Nice: https://i.postimg.cc/hjyS9sww/Shields-Up-Qalo.png

loekf2

@pauldaytona • 2 mei 2022 12:52

Bijvoorbeeld Fritzboxen kun je van je provider krijgen (KPN, XS4ALL), maar ook gewoon zelf kopen. Updates worden inderdaad standaard gepushed, maar kan ook handmatig. Er geldt vrije modem keuze. Fritzboxen wordt erg lang ondersteund met updates is mijn ervaring.

Experia routers is een ander verhaal. Die is dicht getimmerd door KPN.

coolkil 2 mei 2022 12:16

Wanneer is een router onveilig dan? Als er 1 van de 65k poortjes open staat? Of wanneer ook echt vulnerabilities geconstateerd worden? Meeste routers die ik zie staan standaard dicht op de WAN poort. (misschien dat UPNP daar roet in het eten gooit)

Daarnaast krijg ik toch mijn twijfels als ik in het bron artikel van pointer de volgende zin zie staan

Een router zorgt ervoor dat het internet dat bij jouw huis naar binnenkomt, omgezet wordt in een wifi-signaal

Strikt technisch gezien is dit helemaal de functie van een router niet... alleen hebben we tegenwoordig routers met geintergreerde accesspoints. Maar routing heeft nog steeds helemaal niks te maken met WIFI...

[Reactie gewijzigd door coolkil op 22 juli 2024 20:42]

grasmanek94 @coolkil • 2 mei 2022 12:42

Tja, KPN sluit je af wanneer je de UPnP poort open hebt (ondanks dat je 'm voor een andere toepassing gebruikt). Je krijgt ook geen waarschuwing. Naderhand neem je contact op "Uw verbinding is onveilig en is in quarantaine gezet, u moet contact opnemen met <email> die u kan uitleggen wat er aan de hand is" (en zo een week verder).

Tja. Onkundig op zijn liefsts gezegd..

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 20:42]

servies @grasmanek94 • 2 mei 2022 19:38

De uPnP poort? Welke poort is dat dan?

demianmonteverd @servies • 2 mei 2022 20:43

Waarschijnlijk bedoelen ze UDP 1900. Misschien ook nog TCP 5000.

grasmanek94 @demianmonteverd • 2 mei 2022 22:16

Ik gebruikte inderdaad UDP 1900 voor OpenVPN (alleen via private/public keypair, geen username/wachtwoord).

Mijn verbinding werd toen geblokkeerd door KPN.

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 20:42]

Kabouterplop01 @grasmanek94 • 2 mei 2022 22:23

en als je de standaard 1194/UDP had gebruikt? (Heb je dat al getest?)

grasmanek94 @Kabouterplop01 • 2 mei 2022 22:28

toen ik het naar welke andere poort verplaatst heb en de poort dicht had gezet, hebben ze mijn verbinding gedeblokkeerd. Het werkte ook een tijdtje, totdat ze een 'poort scan ronde' deden. Op andere poorten werkte het ook prima en werd niet geblocked.

Kabouterplop01 @grasmanek94 • 2 mei 2022 22:30

bizar zeg, wist niet dat dat de nieuwe manier is.
Je kunt zeggen wat je wilt (of je het nou goed vind of niet) maar die lui houden wel het netwerk veilig.
Heb ik best respect voor.

grasmanek94 @Kabouterplop01 • 2 mei 2022 22:31

Ze moeten inderdaad iets (alle ISPs overigens), het is denk ik een Nederlandse of Europese wet. Maar de manier waarop ben ik zeker geen fan van.

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 20:42]

Kabouterplop01 @grasmanek94 • 2 mei 2022 13:33

De enige die onkundig is is de persoon die het om wat voor reden ondanks alle berichtgeving nog open laat staan of heeft opgengezet voor whatever reason.

grasmanek94 @Kabouterplop01 • 2 mei 2022 14:34

UPnP kan onveilig zijn. Ik gebruikte geen UPnP. Ik gebruikte een andere toepassing die de UPnP poort hergebruikte voor andere doelen. Heb ik duidelijk vermeld.

qlum

@coolkil • 2 mei 2022 12:22

Misschien T-mobile met routers die in geen jaren een update gehad hebben. (Draytek 2132Fvn).

robcoenen @qlum • 2 mei 2022 12:49

En welke ze nog steeds uitleveren aan bestaande klanten.
Afgelopen jaar een probleem gehad met de Draytek en deze werd, jawel, vervangen door een Draytek. Na wat zeuren uiteindelijk een Zyxel weten te bemachtigen.

(Wel enigszins begrijpelijk omdat het een glasvezelaansluiting betrof en er nog een mediaconverter geplaatst moest worden).

superbikkel @robcoenen • 2 mei 2022 16:15

En welke ze nog steeds uitleveren aan bestaande klanten.

Uitleveren aan niet-bestaande klanten lijkt mij onlogisch.

CherandarGuard @qlum • 2 mei 2022 12:49

Dat was ook mijn idee ja. En zelf kun je ze natuurlijk geen update geven, omdat ze een customised firmware draaien. Maar T-Mobile vertikt het om een nieuwe uit te brengen.

batjes

Networking en security

@CherandarGuard • 2 mei 2022 12:57

Ik heb sinds kort een nieuwe (2 zelfs, foutje van provider) Zyxel gekregen. Hier draait een eigen versie van OpenWRT op.

Maar zelf OpenWRT erop kunnen flashen, nope. Gelukkig is er (waarschijnlijk medetweaker) iemand mee bezig, hopelijk wordt het wat.

Audione0 @batjes • 2 mei 2022 13:42

Over welke zyxel heb je het precies?

batjes

Networking en security

@Audione0 • 2 mei 2022 13:55

VMG8825-T50, toen ik vorige week even rond ging kijken of ik er OpenWRT op kon flashen, kwam ik ergens een forum tegen waar iemand het had over dat er een eigen variant van OpenWRT op draait.

Nog geen tijd gehad verder in te duiken, gezien ik er per abuis 2 heb ontvangen, wilde ik met 1 gaan spelen.

terradrone

@batjes • 2 mei 2022 14:51

Is een vdsl2 modem/router. Daar gaat nooit openwrt op draaien. Openwrt ondersteund geen *dsl. Heeft ook weer te maken met closed source firmware etc.

Wat je gelezen hebt is waarschijnlijk dit . Die en7516 soc is een onbekend ding waar niemand mee bezig is.

batjes

Networking en security

@terradrone • 2 mei 2022 14:55

Hmm jammer. Hoopte dat ik er meer uit zou kunnen halen i.p.v. dat ik nu Pfsense in een VM draai waar de DMZ naar toe verwijst.

terradrone

@batjes • 2 mei 2022 15:02

kabel (modem in bridgemode) of glas (fiber mediaconverter), dat zijn je opties als je je firewall/router direct aan internet wil hangen.

Sharky @coolkil • 2 mei 2022 12:28

Staat in het gelinkte artikel:

Volgens de MIVD zouden de aanvallers routers hebben aangevallen via een update die persistence heeft op de router. Dat zou alleen het geval zijn als de routers van buitenaf benaderbaar zijn. Met de update zou de hackersgroep controle kunnen krijgen over de routers en die 'centraal en collectief aansturen en inzetten voor spionage, beïnvloeding en sabotage'.

Oftewel iemand die de beheerpoort open heeft staan.

oef! @coolkil • 2 mei 2022 12:35

Open poorten zijn niet per se onveilig en zelfs dan is een open poort niet zomaar een veiligheidsissue voor een router. Dikke kans dat het om (verouderde) apparatuur gaat met brakke firmware en/of een slechte configuratie.

Off-topic: Ik gebruik zelf een EdgeRouter 4 en als ik het aantal firmware updates afzet tegenover de updates voor mijn Asus routers dan vraag ik me serieus af hoe goed dat ding eigenlijk beveiligd is.

CAPSLOCK2000

Nederland
Networking en security

@coolkil • 2 mei 2022 15:07

Daarnaast krijg ik toch mijn twijfels als ik in het bron artikel van pointer de volgende zin zie staan
[...]
Strikt technisch gezien is dit helemaal de functie van een router niet... alleen hebben we tegenwoordig routers met geintergreerde accesspoints. Maar routing heeft nog steeds helemaal niks te maken met WIFI...

Op zich heb je gelijk en voor een site als Tweakers zou dat niet acceptabel zijn. Maar deze site richt zich duidelijk niet op Tweakers maar op de "domme consument". Die consument kent het verschil niet tussen een router, een switch, een accesspoint of een mediaspeler. In de volksmond heet het allemaal "het internetkastje". Die consumenten moet je niet afschrikken met moeilijke termen of op het verkeerde been zetten. Daarom vind ik het hier goed om heel breed in te zetten en al die verschillende apparaten op een hoop te gooien. Hoe het precies werkt is minder interessant dan de vraag of het veilig is.

DavidM 2 mei 2022 12:18

Misschien gelijk een keer kijken naar al die Chinese modems die de telco's aanbieden. Geen 5g apparatuur van Huawei, maar wel elk huis een modem uit China.

Luchtbakker @DavidM • 2 mei 2022 12:26

Misschien gelijk een keer kijken naar al die Chinese modems die de telco's aanbieden. Geen 5g apparatuur van Huawei, maar wel elk huis een modem uit China.

Merendeels van onze hardware thuis komt uit china, of is ontwikkeld in china. Dus wat is je punt?

pennywiser @Luchtbakker • 2 mei 2022 12:33

Ik denk dat laatste.

DavidM @Luchtbakker • 2 mei 2022 20:30

Mijn punt lijkt me duidelijk maar speciaal voor jouw verder uitgekauwd.
Murica roept over Huawei van alle,s dus wordt het overal (gedeeltelijk) verboden. Intussen zitten we de huizen wel vol te proppen met andere netwerk apparatuur uit dat zelfde land. En nu gaan de telcos koekeloeren naar de beveiliging van routers. Maar ze leveren zelf nog wel modems.

HakanX @DavidM • 2 mei 2022 13:45

En ook gelijk alle Amerikaanse met backdoors aub. Met China heb ik niet veel te maken.

RAAF12 @DavidM • 2 mei 2022 14:58

KPN levert een bruikleen Sagemcom uit Frankrijk ook wel Box12 genaamd. Dat is made in France juist om de Chinese spionnen buiten de deur te houden. Dus kan iedereen overstappen op niet China spul.

kodak

Networking en security
Nederland

2 mei 2022 12:21

Wat verstaan Pointer en ESET onder unieke routers? En hoe recent zijn dan al die onderzoeken? Want 5000 unieke routers klinkt namelijk wel als heel veel als die allemaal verschillend zijn en om dan te onderzoeken.

Simon Weel @kodak • 2 mei 2022 12:37

Eerlijk gezegd vind ik 5.000 wel meevallen? Ik denk dat het begrip router heeeeel ruim opgevat moet worden? Volgens mij worden apparaten met als enige functie 'router' allang niet meer gemaakt?

sjongenelen @Simon Weel • 2 mei 2022 13:04

Mikrotik maakt nog wel mooi proconsumer spul

kodak

Networking en security
Nederland

@Simon Weel • 2 mei 2022 13:08

Wat routers zijn valt niet zomaar even heel breed te trekken. Het opzettelijk heel ruim gaan opvatten kan niet de bedoeling zijn omdat het juist nogal uit kan maken voor het percentage en de betekenis.

In het radioverslag doet ESET overigens niet de bewering dat het om 5000 unieke routers zou gaan. Daarin is het veel vager: een paar duizend onderzochte routers van hun klanten. Uniek is daarbij niet genoemd, zelfs niet dat er verschil zou zijn om ze allemaal uniek te kunnen noemen.

[Reactie gewijzigd door kodak op 22 juli 2024 20:42]

CAPSLOCK2000

Nederland
Networking en security

@kodak • 2 mei 2022 14:59

Wat verstaan Pointer en ESET onder unieke routers? En hoe recent zijn dan al die onderzoeken? Want 5000 unieke routers klinkt namelijk wel als heel veel als die allemaal verschillend zijn en om dan te onderzoeken.

Dat "uniek" is inderdaad niet erg duidelijk. Ik denk dat ze bedoelen "5000 huishoudens" en niet "5000 modellen", als je snapt wat ik bedoel.

Het ligt er ook aan hoe ver je gaat met onderzoeken en wat je precies als "onveilig" rekent. Met een simpele scriptje dat controleert op verouderde SSL/TLS configuraties kun je in een paar minuten door 5000 apparaten heen werken.

kodak

Networking en security
Nederland

@CAPSLOCK2000 • 2 mei 2022 15:26

Dat is het andere probleem: het is niet eens duidelijk wat ESET precies heeft kunnen onderzoeken en wat precies de resultaten zijn. Het lijkt gewoon veel te makkelijk om maar te beweren dat 1,5% van wat ze onderzocht hebben niet goed beveiligd is.

Dat maakt het nog belangrijker dat Agentschap Telecom wel duidelijk onderzoek doet. Voor hetzelfde blijkt die 1,5% aan de veel te lage kant.

EraYaN @kodak • 2 mei 2022 16:11

Een beetje op shodan rondneuzen en dan heb je een heel aantal router inlog pagina's te vinden dus op zich denk ik dat het niet eens zo heel gek is die 1.5%. Dan nog denk ik dat ze bij ESET ook wel weten wat ze aan het doen zijn hooguit heeft dat de pers niet gehaald (want saai techniek).

kodak

Networking en security
Nederland

@EraYaN • 2 mei 2022 16:18

Dan kan je net zo goed ook gaan stellen dat een bedrijf dat beweringen doet dus zelf voor die onderbouwing zorgt. Maar kennelijk is dat ook al te veel moeite?

EraYaN @kodak • 2 mei 2022 16:27

Er zitten nu 2 lagen journalisten tussen het (al dan niet interne) rapport en dit artikel, denk je niet dat dat een veel simpelere uitleg is voor de wat summiere informatie dan dat ESET eigenlijk toch stiekem geen echt onderzoek gedaan heeft? Pointer wilde wat data, die hebben ze ook gekregen, die hebben daar een NPO1 level verslag van gemaakt en Tweakers heeft daar vervolgens weer een extra vertaalslag op gedaan.

kodak

Networking en security
Nederland

@EraYaN • 2 mei 2022 16:34

Je mist het punt: het gaat er niet alleen om wat journalisten er van maken, maar ook wat het bedrijf wel of niet aan beweringen doet en als onderbouwing heeft.

Je kan niet zomaar gaan stellen dat een onderbouwing naar de wereld er niet toe zou doen als je als bedrijf die wereld wel wil laten weten hoe groot het probleem is. Aangezien het bedrijf bewust mee werkt om te vertellen hoe het gesteld is dan mag er hoe dan ook een redelijke onderbouwing bij verwacht worden. Niet alleen wat beweringen, anders kan morgen net zo goed een ander bedrijf 5% gaan roepen en een ander 0,1% om in het nieuws te komen.

[Reactie gewijzigd door kodak op 22 juli 2024 20:42]

CAPSLOCK2000

Nederland
Networking en security

@kodak • 2 mei 2022 16:31

Dat is het andere probleem: het is niet eens duidelijk wat ESET precies heeft kunnen onderzoeken en wat precies de resultaten zijn. Het lijkt gewoon veel te makkelijk om maar te beweren dat 1,5% van wat ze onderzocht hebben niet goed beveiligd is.

Dat maakt het nog belangrijker dat Agentschap Telecom wel duidelijk onderzoek doet. Voor hetzelfde blijkt die 1,5% aan de veel te lage kant.

Eerlijk gezegd... wat doet het er toe?
Veiligheid is niet absoluut. Geen enkel systeem is helemaal veilig, er is altijd wel iets. Iedere grens voor veiligheid is behoorlijk arbitrair, je kan die grens leggen waar je wil en daar een redelijk onderbouwing bij geven.
Hoe ruimer je bent met je definitie van "veilig" hoe lager het percentage "onveilige" systemen.

Die 1.5% moet je dus met een flinke korrel zou nemen, net als ieder ander absoluut getal over veiligheid.
Maar ergens is het getal ook goed genoeg. Het is niet 0% en het is niet 50%. Alles daar tussenin lijkt me redelijk. Gevoelsmatig denk ik dat 1.5% aan de lage kant is maar dat ligt dus nogal aan je definitie van veilig.

Pragmatisch gezien, op grond van eigen ervaring, denk ik dat het onderzoek van het Agentschap Telecom terecht is. Het is een echt risico waar niet veel kijk op is.

Nu is ook wel een mooi moment omdat we net vrije modemkeuze hebben gekregen. Dat zou kunnen betekenen dat alles nu veiliger wordt of juist niet.

kodak

Networking en security
Nederland

@CAPSLOCK2000 • 2 mei 2022 16:42

De onderbouwing doet er toe omdat de conclusies gebruikt worden om te stellen hoe groot het probleem is. En zelfs als het alleen de bedoeling is om te stellen dat er een probleem is, dan mag alsnog verwacht worden dat het duidelijk genoeg blijkt. Anders is het namelijk veel te makkelijk om beweringen te doen en kan het dus net zo goed in twijfel worden getrokken omdat er niets valt te controleren en vergelijken.

In het nieuws staat overigens nergens dat het onderzoek van Agentschap Telecom gebaseerd zou zijn op de recente beweringen van het bedrijf. In het radioverslag komen de toezichthouder namelijk aan het woord omdat ze al met onderzoeken over beveiliging bezig zijn.

[Reactie gewijzigd door kodak op 22 juli 2024 20:42]

ari3 2 mei 2022 13:22

Wellicht is het een idee om een verplichte periodieke keuring van modems/firmware/instellingen in te voeren, zoals we ook voor auto's doen? Dat kost geld, maar de maatschappelijke kosten verstoring van (kritieke) internetdiensten kosten ook veel geld. Er zijn nu eenmaal grote groepen mensen die niet zelf hun router kunnen instellen.

Daarnaast zou ik graag zien dat als een fabrikant geen beveiligingsproblemen meer wil of (tijdig) kan oplossen, dat de broncode van router-software en router-firmware bij wet automatisch in het publieke domein vallen. Op die manier kan de software (evt. tegen betaling) door derden gefixed worden. Ook moeten alle apparaten een open standaard hebben om de software en firmware te vervangen.

Dit beschermt kopers tegen trage uitlevering van patches en geeft apparatuur een langer leven wat weer millieu-voordelen geeft. Ik zou het zelfs breder trekken dan alleen routers en modems: ik zou dit laten gelden voor alle apparatuur, dus ook telefoons, tablets, televisies, laptops, printers, PCs en spelcomputers.

wortelsky @ari3 • 3 mei 2022 07:38

Nee alstublieft niet. We kunnen dan overal wel verplichte keuringen op gaan plakken omdat de gebruiker er geen moeite voor wil doen? Grootste deel is op te lossen door vanuit de provider deugelijk spul en eventueel nazorg op de instellingen te leveren.

8mile13 2 mei 2022 13:42

Was op de radio. Intelligente apparaten zouden worden ingezet op grote schaal door hackers om banken ed lam te leggen. Misschien dat dit ook eens vaker op Tweakers wordt vermeld.

the_shadow @8mile13 • 2 mei 2022 14:12

Was op de radio. Intelligente apparaten zouden worden ingezet op grote schaal door hackers om banken ed lam te leggen. Misschien dat dit ook eens vaker op Tweakers wordt vermeld.

Het punt is dat dat absoluut geen nieuws is. Met de opkomst van IoT apparaten zijn ze al een gewild doelwit van malafide partijen om over te nemen/infecteren. Reden is vrij simpel: ze worden zonder goed te beveiligen aan algemene netwerken gehangen, inclusief internettoegang (soms zelfs direct benaderbaar vanaf het internet). Verder worden ze (tot op heden) nooit/sporadisch geupdatet. Als je dan eenmaal een lek in zo'n apparaatje hebt gevonden, dan kan je het mooi breed gaan misbruiken. Per device hebben ze maar beperkte rekenkracht, maar als je enkele (tien/honderd)duizenden hebt, dan kan je ze leuk misbruiken.

Franky Boy 2 mei 2022 12:56

Ik weet niet wat ze exact bedoelen met onveilige routers, maar er zijn landen waar je strafbaar bent als je het standaard beheer wachtwoord en WiFi access code niet wijzigd. Dat zet in ieder geval de onwetende consument aan het denken, en zo haal je al een deel weg.

De rest ligt toch vaak bij de ISP, die levert en beheert hem meestal.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (72)

Sorteer op:

Weergave: