Nieuwe Mirai-variant infecteert verouderde IP-camera's

Een nieuwe versie van het Mirai-botnet richt zich op kwetsbare IP-camera's. Dat blijkt uit een rapport van cloudserviceprovider Akamai. De malware maakt misbruik van zowel bekende als nieuw ontdekte beveiligingslekken in verouderde securitycamera's.

Het botnet, dat in 2016 grote delen van internet platlegde, heeft zijn pijlen nu gericht op camera's van het merk Avtech. Hierbij wordt onder meer gebruikgemaakt van een zerodaykwetsbaarheid die remote code execution mogelijk maakt. Deze zwakke plek wordt sinds begin dit jaar actief uitgebuit, zegt Akamai in een rapport. Veel getroffen camera's, zoals het AVM 1203-model, krijgen al sinds 2019 geen ondersteuning meer. Hierdoor zijn er geen patches beschikbaar om de problemen te verhelpen. Akamai waarschuwt dat Mirai zich via deze niet-patchbare 'end-of-life'-hardware verspreidt.

Reacties (69)

wildhagen

Cybercrime
Beveiliging en antivirus

3 september 2024 09:23

En dit is dus mijn grote bezwaar tegen IoT en het koppelen van allerlei devices zomaar aan het publieke Internet. Van dit soort camera's, maar ook dingen als koelkasten, magnetrons, ovens, vaatwassers, wasmachines, thermostaten etc.

Die dingen worden door de meeste consumenten nooit meer gepatched, en je loopt dus zo enorme risico's, waarbij de devices doodleuk in een botnet worden opgenomen. Mirai is hier maar één voorbeeld van.

En die botnets richten weer een hoop ellende aan, van DDoS-attacks tot 'gewone' hacks, phishing-campagnes etc etc. Waar weer mensen de dupe van zijn.

Mensen, zorg ervoor dat je op zijn minst de devices patched met aanwezige security patches, en mochten die er niet (meer) zijn, zorg ervoor dat ze dan niet meer aan het publieke Internet hangen zonder op zijn minst een firewall ertussen. Dat is nog steeds geen garantie dat er geen misbruik van gemaakt wordt, maar het maakt de kans wel kleiner.

[Reactie gewijzigd door wildhagen op 3 september 2024 09:25]

DealExtreme2 @wildhagen • 3 september 2024 09:29

Even andersom denkend: moeten we ons lokale netwerk niet gewoon zien als het internet. Dan is malware op m'n robot stofzuiger ineens minder erg.

Eigenlijk gaat het hier mis: standaard kunnen alle devices op een thuisnetwerk elkaar zien. Dat zou default anders moeten, zoals op een gasten netwerk. Vroeger was dat logisch, want anders kon je niet met elkaar communiceren (zoals een printer, etc), maar alles gaat tegenwoordig via een cloudservice, ook al staan de appraten naast elkaar. En voor de tweakers met z'n nas of ip camera, die kan uitzonderingen toevoegen.

Natuurlijk kan je stofzuiger dan als hij een camera heeft nog altijd rondkijken, maar zelfs dat is eenvoudig op te lossen: stel per device een set regels in met welke servers ze mogen verbinden en we maken ergens een publieke db waarin deze regels staan (zo lastig zijn die vaak niet). Of nog simpeler: ieder nieuw device krijgt een warming up periode van een week om te leren waar hij moet moet kunnen praten, en bij veranderingen daarna krijg je een waarschuwing of moet je akkoord geven.

Allemaal niet 100% waterdicht, maar het is allemaal 1000x safer.

Kent iemand wellicht een device of software die dit management goed op orde heeft? En bij wijze van in te stellen is door niet tweaker.

arbraxas @DealExtreme2 • 3 september 2024 10:21

Ja, gewoon niet gebruiken. Deze tweakert weigert iot apparaten. Waarom moet mijn koelkast verbonden met t internet moeten zijn?
Risico/baten analyse is voor mij duidelijk. Gewoon geen IoT.

increddibelly @arbraxas • 3 september 2024 11:51

dat gaat een tijdje goed. en dan? denk je dat er over een paar jaar nog een offline koelkast te koop is?
dit gesprek gaat over het zoeken naar een oplossing, niet het vermijden van het probleem.

haam @increddibelly • 3 september 2024 18:32

Mijn Shelly's zijn geblokkeerd voor internet in de router. Ze kunnen op het interne netwerk gewoon communiceren, maar niet van buiten benaderd worden.
IoT is niet standaard een probleem, maar IoT wat niet functioneert zonder internetverbinding wel.

arbraxas @haam • 4 september 2024 08:45

En hoeveel mensen gaat dat lukken voor hun koelkast en kookplaat?
99,999% van de mensen hebben werkelijk geen idee hoe dat moet en zitten ook nog s met een dichtgespijkerd modem van hun provider.

Laten we maar gewoon het probleem niet creeeren, lijkt me een stuk effectiever.

haam @arbraxas • 5 september 2024 09:33

Helemaal mee eens, maar data is de nieuwe valuta. Dus als ik als fabrikant wat extra's kan verdienen door data te verkopen, zal ik dat zeker gaan faciliteren.
En natuurlijk ga ik dat verkopen als een of andere handige feature. Zo is Google groot geworden, dingen makkelijker maken en ondertussen data opslurpen.

Ik had het betere kunnen formuleren, maar de moraal van mijn verhaal is dat IoT spullen moeten werken ook als ze niet met internet verbonden zijn. Dan kan ik prima een koelkast met IoT kopen, maar doet ie het gewoon, ook als ik m niet verbind met de router.

De shelly's zijn de enige wifi IoT spullen die ik heb, vandaar dat ik dat als voorbeeld gebruikte.

dasiro @increddibelly • 3 september 2024 12:36

er is geen definitieve oplossing, tenzij alle verouderde apparatuur buitengooien, want geen enkel bedrijf gaat updates blijven uitbrengen zo lang als dat mensen toestellen gebruiken. Dat is gewoon geen levensvatbaar businessmodel.

In zowat elke woning kan ook ingebroken worden, maar de fabrikanten van die hardware worden er ook niet voor verantwoordelijk gesteld, dus waarom zou je dat van software/toestellen wel mogen verwachten?

arbraxas @increddibelly • 3 september 2024 12:37

Ja dat denk ik wel en als je het probleem niet creëert dan behoeft het ook geen oplossing.

SahladdPhourqe @increddibelly • 4 september 2024 08:14

Waarom mag de oplossing niet zijn dat sommige apparaten niets te zoeken hebben op het internet? Ik zeg top-down afdwingen. Of anders afdwingen dat er over een lange periode, bijvoorbeeld 15 jaar voor een ijskast, wordt geüpdate. Waarom moeten fabrikanten maar vrij spel blijven krijgen om ongevraagde toevoegingen op te dringen en obsolescence af te dwingen in een wereld waarin vervuiling een steeds grotere rol speelt. Het is absurd om dit risico te introduceren en tot een industriestandaard te maken en de verantwoordelijkheid af te schuiven op Jan Alleman. Alsof ik zin heb om mijn ijskast bij te houden qua software of instellingen. Het is schattig dat IoT beschikbaar is voor wie wil, maar ik wil buiten het werk niet bezig zijn ervoor te zorgen dat mijn oven veilig is naast de standaardoperatie van voedsel verwarmen. Alsof ik stil wil staan bij wat voor risico ik vorm voor patiëntendossiers van een ziekenhuis waar dan ook ter wereld als ik een stofzuiger koop. Echt get outta here met dat soort nonsens.

Jerie

@arbraxas • 4 september 2024 01:45

Toch zie ik wel een use case voor een koelkast met netwerkverbinding (hoeft niet per definitie internettoegang te hebben, HASS mag ook). En dat is een slimme koelkast die bijhoud wat er in gaat, wat de houdbaarheidsdatum is, waar de koeling minder wordt, enz. Dus big data. En dan wel graag in het voordeel van de gebruiker.

haam @Jerie • 5 september 2024 09:51

Dat is vaak het probleem, de gebruiker wil 'direct' kunnen voelen dat hij er voordeel bij heeft. Meestal omdat iets makkelijker wordt.

Het probleem is dat al die data gebruikt worden om mensen nog beter te kunnen targetten om advertenties te verkopen. En dat werkt gezien de miljarden die er in die industrie omgaan.

Dus ik moet ervoor zorgen dat jij het gevoel krijgt dat je er voordeel bij hebt, terwijl ik ondertussen je uitgaven stuur en daar rijker van wordt. Dat laatste is natuurlijk niet direct zichtbaar, dus dat 'nadeel' ervaar je niet.

silsil @DealExtreme2 • 3 september 2024 09:44

Voor niet-Tweakers en Apple liefhebber kan mogelijk iets in de richting van een HomeKit enabled router een oplossing zijn. Het lijkt een extra beveiligingslaag rond je lokale devices te kunnen creëren.

https://support.apple.com/nl-nl/102189

Klaus_1250 @silsil • 3 september 2024 12:06

Het lijstje bij Apple bestaat uit welgeteld 2 routers die dit ondersteunen?

AmpliFi Alien
Linksys Velop AX4200 Mesh WiFi 6 System, Tri-Band

https://www.apple.com/home-app/accessories/#section-routers

SirBlade @DealExtreme2 • 3 september 2024 10:19

Ik denk dat we nog zeker nog 10-20 jaar moeten wachten voordat het idee "lan=safe, internet=hostile" niet meer geaccepteerd is. Ik zie het een beetje als werken met een admin/root account.

mjl @DealExtreme2 • 3 september 2024 10:50

AP isolation zou daarvoor werken. Ieder device kan alleen met internet praten en niet onderling. Nadeel is wel dat je PC niet meer met je NAS kan praten.

Beste is een firewall en VLANs, maar de gemiddelde leek krijgt dat niet voorelkaar.

Piemol @mjl • 3 september 2024 16:05

Ik snap eigenlijk ook niet zo veel van VLAN's , snap het concept wel maar niet hoe je dit over je thuisnetwerk goed configureert.

Bestaan er interfaces voor modems en switches waarop je gewoon lijntjes kan trekken van poort naar poort om aan te geven hoe data mag lopen?
Standaard kan elk poortje alleen naar WAN, wil je het anders dan moet je zelf lijntjes trekken. Dus wil je dat poort 1 met poort 2 kan praten trek je een lijntje.
Dan kan een leek toch heel makkelijk een AP op een switch zetten en is die standaard geisoleerd van de andere aparaten.

mjl @Piemol • 3 september 2024 16:37

Een dergelijke interface ben ik. Oh niet tegen gekomen, in de meeste gevallen heb je gewoon verstand van netwerken nodig om dit goed op te zetten. Sommige routers hebben de mogelijkheid om Guest of IOT wifi netwerken te definiëren. Maar dat is alleen in de wat duurdere varianten als je dat ook voor bedrade verbindingen wilt regelen.

SillieWous @DealExtreme2 • 3 september 2024 11:02

Allemaal niet 100% waterdicht, maar het is allemaal 1000x safer.

Alleen dingen waar het een significant toegevoegde heeft als ze met het internet kunnen praten toegang geven. Is vrijwel in al deze gevallen 100% water dicht. Een koelkast hoeft geen internet, klaar.

wooha @DealExtreme2 • 3 september 2024 13:25

Het is dan minder erg (veiliger) voor jou persoonlijk en heeft dus zeker toegevoegde waarde.

Maar het probleem van botnets is daarmee niet opgelost. Bovendien heb je alsnog een probleem als jouw ISP jouw verbinding in quarantaine zet nadat ze klachten krijgen of merken dat iets op jouw verbinding onderdeel is van een botnet.

ouweklimgeit @wildhagen • 3 september 2024 09:53

Beetje overdreven, een camera hangt bewust aan internet omdat je er van buiten verbinding mee wilt maken en daarom is zo'n apparaat kwetsbaar. Koelkasten en overige IOT apparaten verbinden met een externe server. Die laatste groep kan dus niet zomaar vanaf het internet worden aangevallen omdat ze simpelweg niet rechtstreeks benaderbaar zijn.

MeltedForest @ouweklimgeit • 3 september 2024 10:51

Met een NVR / NAS ertussen zouden de camera's zelf niet met het internet hoeven te praten. Het probleem zit hem vooral in al die cloud based camera's die geen updates krijgen.

mjl @ouweklimgeit • 3 september 2024 10:53

Ik had onlangs een camera die ik niet ‘bewust’ aan het internet gehangen had, toch kon ik via de telefoon, zonder wifi de beelden zien. Blijkt Reolink iets ingebouwd (UID) te hebben dat die toch iets naar buiten publiceert dat de camera gevonden kan worden…

Vertrouwen in dat met merk is nu dus wel 0 wat betreft privacy.

Jippelskea! @mjl • 3 september 2024 13:17

Hmm, vreemd. Ik heb deze zomer een rlc-811a opgehangen waarbij ik tijdens het instellen de vraag kreeg of ik daar gebruik van wilde maken. Toen op 'nee' geklikt maar ik kan binnen de app in elk geval niet terug vinden waar deze instelling staat. Wellicht via de webinterface, zal vanavond nog een kijken.
Uiteindelijk moet ie gewoon in een vlan achter frigate komen te hangen zodat er geen connectie meer mogelijk is naar het internet.

mjl @Jippelskea! • 3 september 2024 15:51

Bij rlc-510a poe staat de uid standaard aan, bij eerste ingebruikname wordt je alleen geforceerd een wachtwoord in te stellen.

emrmulder @Jippelskea! • 3 september 2024 16:12

Jippelskea!
Kan je hem niet via de router DHCP aan de hand van het MAC-adres een ipnummer geven in de gewenst VLan? Ik heb op VLAN1 van het interne netwerk alleen de computers, NAS en printers. GSM en IP-telefonie op een 2e VLAN, TV en ipTV op een 3e VLAN en mijn camera's via een 4e VLAN. Alles via DHCP aan de hand van het MAC-adres.

Jippelskea! @emrmulder • 3 september 2024 17:45

Dat is inderdaad de planning maar dan met frigate in een VM. Het ontbreekt momenteel alleen aan tijd om me te verdiepen in VLAN instellingen op mijn Mikrotik router

robbinwehl @mjl • 4 september 2024 09:51

Hun servers verlenen toegang tot jouw interne camera daarvoor hoef je niks te forwarden/natten

mjl @robbinwehl • 4 september 2024 12:18

Precies wat ik niet wil…. Men hoeft niet van buitenaf een achterdeur in mijn netwerk te plaatsen

robbinwehl @mjl • 4 september 2024 15:21

poorten of host dichtgooien in je firewall en klaar :-)

GeroldM @ouweklimgeit • 3 september 2024 17:36

Nee, je verzamelt de video data in een centrale plek, daarna koppel je een service aan die data om deze te verzamelen in een interface en vervolgens koppel je alleen die interface via beveiligde kanalen aan het internet voor de mogelijkheid om deze te bekijken via je telefoon/tablet/laptop als je niet thuis bent.

Heb hier 12 IP cameras (PoE) aan het LAN netwerk hangen. Deze zitten in een apart VLAN, 1 computer verzamelt alle video. Dit VLAN kan maar via 1 computer in een ander VLAN worden benaderd. De verzamelde data wordt via een andere computer in een 3e VLAN via een webservice aan het internet gekoppeld. Al deze VLANs zitten achter een hardware firewall.

Deze firewall biedt me de mogelijkheid voor traffic inspectie en ik zie geen traffic naar het land van herkomst. Niet via HTTP, HTTPS, SSH of zelfs NTP.

Daarmee wil ik niet zeggen dat ik mijn zaken beter voor elkaar heb dan de fabrikant van de cameras, maar doordat de fabrikant al die video data verzamelt van een heel groot aantal cameras, betekent dus ook dat deze data dus een goudmijn voor mensen/organisaties die achter botnets, malware en ransomware zitten. Terwijl mijn setup te vergelijken is met wekenlang siften naar een verdwaald goudkorreltje voor zilke personen/organisaties.

3 keer raden waar zulke figuren hun tijd en moeite in steken.

ouweklimgeit @GeroldM • 3 september 2024 20:34

Ho, wacht even, ik reageerde op Wildhagen he 😂 Ik heb het niet over wat de beste optie is, ik doelde op de gemiddelde consument die zijn Action IP cam gewoon via port forwarding (of DMZ..) aan zijn router hangt en vervolgens buiten huis 'gewoon' beeld heeft. Een situatie die zich simpelweg niet voordoet met een koelkast of ander willekeurig IoT apparaat.

Hier ook keurig alles achter een Unifi Dream Machine Pro en VLAN's, waar de IoT vlan niet eens een eigen DNS server mag kiezen, laat staan enige communicatie naar buiten heeft. Enige theoretische risico wat jij nog zou lopen is een vpn verbinding vanaf de camera naar de fabrikant, maar die kans is klein

Royale de Luxe @wildhagen • 3 september 2024 09:35

Hoezo gebruikers : "Veel getroffen camera's, zoals het AVM 1203-model, krijgen al sinds 2019 geen ondersteuning meer." Het heeft niet altijd iets met de consument te maken. Veelal gewoon duur betaalde rommel zonder een echt update plan voor de langere termijn, zeker voor zaken die gemakkelijk 10-15 jaar meegaan.

Men zou betere regelgeving kunnen afdwingen van fabrikanten. Nu is het gewoon een apparaat dat een gevaar is voor het Internet en de gebruikers zonder dat de klanten die het kochten nog iets kunnen doen.

Dit wil niet zeggen dat we niet moeten meer opletten en de eindgebruikers ook vertellen hoe het moet. Zelf heb ik alle moeite om de vader van mijn vrouw, ondertussen +70 jaar oud, dat hij een nieuwe pc dient aan te schaffen om zeker te zijn dat hij up to date is qua beveiliging van zijn OS en daarbij misschien ook zijn centen enz...

RoyTrenneman @Royale de Luxe • 3 september 2024 10:13

Er zijn maar weinig camera fabrikanten die nadenken over Long Term Support. Bij mijn weten heeft alleen Axis LTS modellen in het assortiment en doet Hanwha ook aan redelijk lange ondersteuning. Vivotek doet het ook nog best aardig.

Bij de rest is het toch een beetje Holland Casino, en bij goedkope meuk als AV tech, Hikvision, Dahua, etc. meer balletje-balletje.

Jemboy @RoyTrenneman • 3 september 2024 10:49

De de camera zero day vulnerabilties heeft is nog niet eens het probleem.
De NVR (recorder) is vaak de enige die aan het internet hangt.
Zolang die wel updates krijgt.
Mocht de NVR EOL zijn dan kan je voor thuis eventueel voor "weinig" een nieuwe kopen.
Je kan ook de recorder als software draaien, die zijn vaker makelijker upgrade baar.

RoyTrenneman @Jemboy • 3 september 2024 12:40

Eens, al is het natuurlijk niet wenselijk als een device met een zeroday in een bedrijfsnetwerk hangt. Zal niet de eerste keer zijn dat in een groot pand (ziekenhuis, hogeschool, overheidsgebouw, bv) een laptop even aan een kabeltje wordt geprikt. Met een fluohesje aan kom je met veel weg in zulke gebouwen.

Zal ook niet het eerste hotel zijn waar ik middels de gast wifi en mijn VMS-toegang kon krijgen tot de camera's in hetzelfde netwerk als de camera's. Netwerkconfiguratiefout, maar lukt onbedoeld, toch wel eens.

NVRs zijn overigens nauwelijks beter. Daar krijg je nog wel eens functionele updates, maar zelden tot nooit OS-updates.

Ik gebruik gewoon Video Management Software van een fatsoenlijke partij met een OS dat ik zelf beheren kan, Ubuntu in mijn geval.

[Reactie gewijzigd door RoyTrenneman op 3 september 2024 12:42]

metalmania_666

@wildhagen • 3 september 2024 09:50

Er zijn helaas ook genoeg fabrikanten die géén patches leveren, of maar voor een zeer korte periode.
Bij aanschaf van een camera is meestal niet duidelijk hoe lang een fabrikant ondersteuning geeft.
Zelf heb ik laatst ook 4 camera's naar de milieustraat gebracht omdat ze niet meer werden ondersteund. Sommigen waren net een jaar oud.

indigo79 @wildhagen • 3 september 2024 09:55

Voor een camera is een netwerkconnectie vaak nog een essentieel deel van de functionaliteit (al horen die uiteraard ook voldoende beschermd te zijn), voor de meeste andere huishoudapparatuur is dat voor het overgrote deel van de gebruikers vooral een zinloos risico dat enkel de fabrikant wat extra informatie over het gebruik ervan oplevert.

PhilipsFan @wildhagen • 3 september 2024 10:29

Leg je nu de schuld bij consumenten neer? Die kopen gewoon een device dat vervolgens aan het internet blijkt te hangen. Volgens mij is het aantal mensen dat connectiviteit als eis heeft voor een aanschaf, nog steeds een minderheid. En als je al express een apparaat koopt met connectivity, dan wil je een lokale API, wat de meeste fabrikanten niet aanbieden. Ik vind dat de verantwoordelijkheid voor updates bij de fabrikanten moet liggen.

Ik roep het al heel lang, maar dit is iets waar Europa juist iets kan doen. Ze houden zich bezig met allemaal futiliteiten zoals stofzuigermotoren, maar als je nu eens verplicht stelt dat alle connected apparaten een bepaalde standaard ondersteunen (met een lokale API) en updatebaar zijn, desnoods door de community, dan los je dit probleem op. En dan kun je ook mooie oplossingen maken om het energieverbruik te spreiden.

Maar ja, usb-stekkers verplicht stellen op Apple apparaten is makkelijker. Connected apparaten zijn nog wat te moeilijk voor de heren politici. Hopelijk verandert dat in de nabije toekomst.

[Reactie gewijzigd door PhilipsFan op 3 september 2024 10:47]

Sp3ci3s8472 @wildhagen • 3 september 2024 13:59

Ik raad mijn kennissen aan om hun IOT spul zo veel mogelijk op het gast netwerk te gooien als het toch weinig belangrijke dingen zijn. Dan kan het tenminste nooit (of lastiger) bij je echte spul komen.

Jerie

@wildhagen • 4 september 2024 01:42

Ja, en toch is het wel handig/interessant als je je wasmachine remote aan kunt zetten. Waarom. Nou, vanwege de energieprijzen en de congestie. Ik moet zeggen dat ik het nog niet geprobeerd heb. Wel hang ik alle IoT in een aparte VLAN. En daar mogen ze ook niet met elkaar praten.

mmniet 3 september 2024 09:27

ik heb er wel moeite mee met de term end of life hardware. Ik kan me bijna niet voorstellen dat die camera's geen OTA updates konden ontvangen. Dit soort kwetsbaarheden kunnen dan gewoon gepatcht worden zonder problemen. Grote probleem zit waarschijnlijk in de volgende factoren

Geen kennis meer in huis om het op te losse
Kosten baten zijn niet gunstig voor een bedrijf
locatie waar updates voor deze hardware geplaatst werden bestaat niet meer

wat ik me wel kan voorstellen is dat dergelijke apparaten bijvoorbeeld via een onveilige verbinding spullen gingen ophalen van een server en dat is dichtgezet in een laatste firmware versie door de update mechanisme (OTA) te killen.

wildhagen

Cybercrime
Beveiliging en antivirus

@mmniet • 3 september 2024 09:32

ik heb er wel moeite mee met de term end of life hardware. Ik kan me bijna niet voorstellen dat die camera's geen OTA updates konden ontvangen.

Hoe zie jij een OTA-update voor je, als volgens de specificaties van dit model, de AVM 1203 er geen WiFi of 2/3/4/5G aan boord is? Dit model heeft zo te zien alleen een fysieke RJ45 aansluiting.

Ik zie dan niet in hoe je een OTA update zou kunnen geven?

En als je OTA via die RJ45 wil doen, zou de fabrikant dus toegang tot je netwerk moeten hebben voor die updates? Dat lijkt me security-technisch óók weer niet wenselijk.

Of je moet de update via het 'pull'-mechanisme uitvoeren, maar dan heb je dus weer actie van de gebruiker voor nodig. Wat veel gebruikers niet/zelden doen.

[Reactie gewijzigd door wildhagen op 3 september 2024 09:37]

mmniet @wildhagen • 3 september 2024 09:35

OTA is maar een principe natuurlijk. OTA via een fysieke lijn is nog steeds hetzelfde principe. Je krijgt een update via het grote internet.

wooha @mmniet • 3 september 2024 13:09

Volgens mij heet dat principe “remote update”. Over-the-air impliceert draadloos en is dus een beperkter scope.

plukke @wildhagen • 3 september 2024 09:36

En een RJ45 aansluiting levert geen netwerk/internet toegang? OTA hoeft niet per se draadloos

The Zep Man

Beveiliging en antivirus

@wildhagen • 3 september 2024 09:43

En als je OTA via die RJ45 wil doen, zou de fabrikant dus toegang tot je netwerk moeten hebben voor die updates? Dat lijkt me security-technisch óók weer niet wenselijk.

In een apart VLAN en prima.

Verder is toegang geven tot een netwerk vergelijkbaar zoals bijvoorbeeld een Microsoft dat heeft tot systemen waar Windows op draait. Dat kan misbruikt worden via OTA updates. Ik denk echter dat het risico van directe aanvallen op camera's die direct bereikbaar zijn via het internet een stuk groter is.

IP camera's plaats je idealiter in een netwerksegment zonder internettoegang en benader je met een tussensysteem.

[Reactie gewijzigd door The Zep Man op 3 september 2024 12:20]

Verwijderd @wildhagen • 3 september 2024 10:12

Hoezo is wifi anders dan een fysieke kabel naar je router?
En werkt de meeste hardware niet zo dat die gewoon naar een domain of op adres gaat elke zoveel tijd, om te kijken of daar een update staat?

mjl @wildhagen • 3 september 2024 10:56

Die pull kan ook vanuit de software van het device komen, de leverancier hoeft niet direct met jou netwerk te verbinden.

De camera vraagt dan bij de server op internet op of er een update is en die wordt dan uitgevoerd. Enige risico is eventueel een man in the middle aanval indien ze die verbinding niet goed beveiligen.

Neus 3 september 2024 09:49

Mijn IoT devices zitten allemaal aan het Guest WiFi netwerk dus onderlinge communicatie tussen de devices (en mijn eigen netwerk) is niet mogelijk.

pmeter

@Neus • 3 september 2024 10:01

Als je IoT devices aan het Guest WiFi hangen en je smartphone op een afzonderlijk WiFi netwerk, kun je dan met je smartphone wel de IoT devices bedienen?

Edit: ik bedoel meer specifiek de Shelly Plug S. Dat is een slimme stekker waarop lokaal een webserver met API draait. Dat loopt als ik het goed heb niet via de cloud.

[Reactie gewijzigd door pmeter op 3 september 2024 12:36]

SirBlade @pmeter • 3 september 2024 10:15

De communicatie gaat meestal smartdevice<->cloud<->smartphone. Dus zolang beide netwerken met het internet verbonden zijn werkt dat.

Yucko @SirBlade • 3 september 2024 10:47

tja, en sommige devices wil je gewoon niet dat die phone-home doen als dat niet perse nodig is.

voorbeeld:
ik wil niet dat de stream van mijn camera zomaar door jan en allemaal op het internet te bekijken is (zou niet voor het eerst zijn dan iemand in de app ineens de stream van iemand ander ziet) dus ik heb bewust rechtstreekse toegang tot het internet afgesloten voor mijn Foscam camera. De streams maak ik alleen toegankelijk beschikbaar via Surveillance Station op mijn NAS.

SirBlade @Yucko • 3 september 2024 11:27

Tuurlijk, nerds zoals wij kunnen een NAS installeren en die via portforwarding over een VPN ontsluiten. Maar 99% van de mensen kan dat niet. Maar ze willen wel allemaal die camerastream kunnen zien terwijl ze niet thuis zijn. Dat soort zaken via een cloud laten lopen is wat de meerderheid wil. Simpel en relatief goedkoop.

mjl @pmeter • 3 september 2024 10:57

Als je routers firewall instellingen juist zijn kan je wel verbinden naar guest maar niet van guest naar je privé netwerk.

Boost9898 3 september 2024 09:28

En dit is dus waarom je al dat smart home spul op een lokaal afgeschermd netwerk moet draaien.

ATS 3 september 2024 09:32

Kwetsbaarheid is ook bijzonder simpel. Deze video laat zien wat er aan de hand is: een bijzonder suffe bug, veroorzaakt door pure luiheid, in cgi code die geen input parameters checkt als je de brightness aanpast via de web interface en rustig uitvoert wat je dan ook invoert.

Fido 3 september 2024 09:33

Geef IOT apparaten die niet naar buiten hoeven geen gateway. Dan moet er al iemand actief zijn op je lokale netwerk om erop in te breken. M'n foscam's doen constant ET phone home. Zonder gateway lukt het niet...

Polderviking

@Fido • 3 september 2024 13:08

Meeste routers zitten op .1 of .254 in het subnet, kan zo'n apparaat en zeker een persoon gewoon raden.
Beter hou je die traffic gewoon met een firewall tegen.

Het is ook wel verhelderend om dan logging aan te hebben en gewoon eens te kijken naar wat er allemaal met wat voor regelmaat naar huis probeert te bellen.
Zeker die boutsoftware op Foscams accepteren niet dat ze geen internet hebben en blijven het gewoon proberen.
Driekwart van de traffic die uit mijn iot subnet wordt tegengehouden komt van de camera's.

[Reactie gewijzigd door Polderviking op 3 september 2024 13:17]

beerse 3 september 2024 09:38

Tja, kamera's gaan jaren mee. Zelfs digitale kamera's. Daarmee zou de netwerk interface van die machines dus ook jaren mee moeten kunnen. Als je weet dat de software niet wordt onderhouden, dan moet je ze dus echt niet aan het grote boze internet hangen...

aliberto @beerse • 3 september 2024 10:05

Of beter niet kopen deze producten.
Persoonlijk ben ik anti-smarthome. Ik vind het persoonlijk weggegooid geld. De fabrikanten brengen een nieuw product op de markt en schrijven het binnen paar jaar weer af en de support wordt beëindigd. Dit is gewoon geplande slijtage in hoop dat de consument nieuwe producten gaat kopen.

Ik had de keuze om LED-verlichting met een WI-FI module te laten werken maar een ouderwetse lichtschakelaar of afstandbediening volstaat al jaren en heeft geen software ondersteuning nodig. Ik hoef niet bang te zijn voor hacks of veroudering van het apparaat. Ook slimme sloten ben ik geen fan van omdat de accu leeg raakt of je krijgt te maken dat er een storing is en kan je jouw huis niet binnenkomen. Eveneens vallen fabrikanten om en dan heb je geen ondersteuning. Ouderwetse metalen sleutel volstaat jaren zonder problemen en gaat langer mee dan een slim slot.

Ik heb het idee bij smart home dat het bestaande wiel opnieuw uitgevonden moet worden. Maar waarom eigenlijk als het oude nog volstaat?

[Reactie gewijzigd door aliberto op 3 september 2024 10:07]

biomechanical

@aliberto • 3 september 2024 12:41

Voor mij is het smarthome concept een "life saver". Niet meer, met pijn, naar de voordeur moeten kruipen wanneer de opgeroepen hulp aan de deur staat, maar even mijn telefoon pakken en mijn slot ontgrendelen. En de meeste (zeg maar alle smartpacks) kunnen met lege batterijen of met storing gewoon (met de metalen sleutel geopend worden. Natuurlijk geldt dit voor een fatsoenlijk smartlock fabrikant. Niet die Alibaba troep.

mapa2011 3 september 2024 10:28

Ter info, een gemiddelde netwerk camera gaat 5 tot 7/8 jaar mee, sommige ip camera's zelfs tot 10 jaar. Zo te zien geeft Avtech slechts 3 jaar ondersteuning op die camera's.

Het probleem met de meeste producten die in de cloud hangen is vaak dat je vooraf niet weet hoe lang er firmware / o/s patches of beveiligingsondersteuning wordt gegeven door de fabrikant. Daar zou een standaard voor moeten zijn of komen.

[Reactie gewijzigd door mapa2011 op 3 september 2024 10:29]

Tusk 3 september 2024 11:30

Ik heb een oude Foscam (denk een jaar of 7), maar die kan alleen praten met mijn NAS. Niet met internet en niet met andere apparaten. Lekker op een eigen VLAN. NAS (surveillance station) kan overigens ook niet met internet praten, zet ik zelf periodiek aan voor updates. Deze praat met mn Home Assistant waarop ik via een beveiligde verbinding op afstand de beelden kan zien.

Ik ben echt niet vies van de cloud, maar om je camera zo met internet te verbinden gaat mij erg ver.

Klauwhamer 3 september 2024 11:52

Nou is de ene 0-day de andere niet, maar het zou toch prettig zijn wanneer fabrikanten voor dit soort fratsen strafrechtelijk verantwoordelijk worden gehouden. Wat hier misgaat in de code is echt hemeltergend en dit had nooit door de eerste de beste code review mogen komen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: