Onderzoekers vinden tal van openstaande apparaten op internet

Onderzoekers van de Columbia universiteit in New York hebben op internet bijna 21.000 routers, webcams en voip-toestellen gevonden waar nog het default-password actief was. Hierdoor kunnen ze makkelijk worden gekaapt door hackers.

De onderzoekers begonnen in december vorig jaar met het afzoeken van internet naar kwetsbare apparaten. Inmiddels zijn er meer dan 130 miljoen ip-adressen gescand; op 300.000 daarvan werden apparaten aangetroffen die op afstand konden worden beheerd. Bij 21.000 daarvan kregen de onderzoekers toegang door middel van het door de fabriek ingestelde password, zo meldt Wired. Het vaakst bleek dit te lukken bij Linksys-routers, waar 45 procent van de 2729 routers toegankelijk bleek te zijn. De onderzoekers schatten dat er wereldwijd zes miljoen apparaten aan internet hangen, die nog met het default-password uitgerust zijn.

Hackers Ahead Volgens onderzoeksleider Salvatore Stolfo kunnen kwaadwillenden de firmware van de toestellen flashen en er iedere software op zetten die ze maar willen. Hij verwacht dat hackers kwetsbare routers zullen gaan gebruiken om er botnets mee op te zetten. Voip-toestellen zouden kunnen worden geprogrammeerd om er gesprekken mee af te luisteren. De onderzoekers hebben overigens niet daadwerkelijk geprobeerd om de apparaten te herprogrammeren; wanneer zij de commandoprompt te zien kregen, verbraken zij de verbinding.

Volgens Stolfo hebben mensen de neiging een nieuw apparaat in te pluggen en er verder niet meer naar om te kijken. Hij beschouwt echter de fabrikanten als voornaamste schuldigen. Volgens Stolfo zou bij nieuwe apparaten de admin-interface standaard uit moeten staan, zodat een gebruiker die hier niet naar omkijkt, tenminste niet kwetsbaar is voor hackers. De onderzoekers hebben de providers op de hoogte gesteld van de resultaten, in de hoop dat de isp's de boodschap doorgeven aan de gebruikers. Ze zijn van plan om later nog eens te kijken om te zien of de situatie verbeterd is.

IT-banen

Reacties (174)

djsubzero 25 oktober 2009 14:17

En wat geeft die onderzoekers het recht om in te loggen op een router met default wachtwoord? Dit is volgens mij illegaal, onderzoeker of niet.

Icekiller2k6 @djsubzero • 25 oktober 2009 14:33

Tja, dat is discutabel..
Webcam kun je voorbeeld zeggen dat het de bedoeling als je er vanbuiten af aan kunt..
en als daar standaard wachtwoord opgebruikt wordt.. Is het wel uw eigen fout hoor..

't is niet leuk maar ik vind het tegenwoordig wel erg dat ze al de verantwoordelijkheid maar proberen af te schuiven.. een beetje plichtverzuim zou ik het zelfs durven noemen..

RazorBlade72nd @Icekiller2k6 • 26 oktober 2009 14:04

Het lijkt mij helemaal niet discutabel. Er probeert gewoon iemand een slot open te maken met een generieke sleutel. Probeer jij maar eens met een aantal generieke sleutels op een grote parkeerplaats alle sloten uit van de auto's die daar geparkeerd staan. Vertel de agent, en later de rechter, vooral dat je met een onderzoek bezig bent naar het percentage open autoportieren. Veel success met je nieuwe cariere achter de tralies en laat vooral je zeepje niet vallen.

Het is gewoon verboden om een (digitaal) slot te openen, ook al is de username, password combinatie redelijk voor de hand liggend. Gaan we vervolgens ook controleren hoe sterk de wachtwoorden zijn met andere voor de hand liggende combinaties zoals de namen van de kinderen, huisdieren, etc?

Vergeet niet dat als de universiteit dit mag, dat iedereen dit mag. Immers de universiteit staat niet boven de wet. En als iedereen dit mag doen, en de onderzoeksresultaten zijn legaal verkregen dan mag je die resultaten uiteraard ook verkopen. Toch?

Antipater @djsubzero • 25 oktober 2009 15:10

Vrijwel elk security onderzoek wat een beetje iets probeert voor te stellen is per definitie 'illegaal' bezig. Zonder een grijs petje kom je nergens en dit vind ook niemand erg.

Bor Coördinator Frontpage Admins / FP Powermod @Antipater • 25 oktober 2009 21:30

Vrijwel elk security onderzoek wat een beetje iets probeert voor te stellen is per definitie 'illegaal' bezig.

Dat hoeft helemaal niet. Je kunt namelijk prima met een "target" overeenkomen wat wel en wat niet mag tijdens een onderzoek. Koppel hier een Non disclosure agreement aan vast en je hebt , mits goed uitgevoerd, een prima legaal beveiligingsonderzoek. Of denk je dat de beveiligingspenetratie tests door consultancy bedrijven etc ook aan de grijze kant der wet worden uitgevoerd?

SirBlade @djsubzero • 25 oktober 2009 15:10

Het slachtoffer moet aangifte doen van computervredebreuk, pas dan kunnen ze vervolgt worden.

johnkeates @djsubzero • 25 oktober 2009 14:48

Dus om dat een wet dat ergens zegt gebeurt het niet? Jij hebt dus geen slot op je deur..

Masterlans @johnkeates • 25 oktober 2009 15:09

Ook al is het verboden, het gebeurt wel, maar je zult niet snel een inbreker luidkeels horen verkodigen dat hij bij jou en je buren is binnengelopen... Feitelijk doen deze onderzoekers dat wel. Ze doen iets illegaals ("for the greater good" ongetwijfeld) en bekennen dat ook nog.

MisterData 25 oktober 2009 14:22

Ik vind het vreemd dat de admin-interface van dergelijke routers vanaf de WAN-kant bereikbaar is. Meestal staat dat gewoon uit, waarom zou een doorsnee user dat nodig hebben?

Hoe dan ook, volgens mij is er niet echt iets nieuws onder de zon. Hetzelfde geldt ook al tijden voor draadloze netwerken, die niet beveiligd zijn. Gelukkig is de nieuwste generatie access points / wireless routers voorzien van WPS (Wireless Protected Set-up)

ranjo @MisterData • 25 oktober 2009 15:44

Of dus nog een stap verder, wie heeft er een webcam (of ip-camera) aangesloten op zijn directe internetverbinding? Ik neem aan dat alle apparaten achter een router niet te bereiken zijn..

Bor Coördinator Frontpage Admins / FP Powermod @ranjo • 25 oktober 2009 21:33

Of dus nog een stap verder, wie heeft er een webcam (of ip-camera) aangesloten op zijn directe internetverbinding?

Ik denk heel erg veel mensen omdat de standaard consument er of niet bij nadenkt of de risico's niet goed kan inschatten. Wat te denken van bv een cam voor opa en oma waar zij kunnen zien hoe lief kleinzoon of kleindochter ligt te slapen? Dit is slechts een voorbeeld, je staat soms te kijken hoe makkelijk je dergelijke camera's oppikt.

Ter illustratie: tijden lang kon je hier in de straat in de huiskamer bij een van de buren kijken die een draadloze camera van niet al te beste kwaliteit in de huiskamer hadden staan gericht op de wieg. Deze camera kon je met de standaard draadloze AV transceivers oppikken. In dit voorbeeld was het systeem niet eens met internet verbonden.

[Reactie gewijzigd door Bor op 23 juli 2024 20:15]

Ravek @Bor • 26 oktober 2009 02:18

Met een normale wekkerradio en een antenne kan ik ook de babyfoon van buren ontvangen. Nou en, daar gaat echt niemand actief achteraan met oneerlijke bedoelingen. Hetzelfde met webcams.

Verwijderd @MisterData • 25 oktober 2009 15:17

Of standaard voorzien van een WPA2 code zoals alle sitecom routers

EmperoR88 @MisterData • 25 oktober 2009 15:21

Dat was ook het eerste wat bij mij opkwam... Wie heeft die functie aanstaan

? Als je niets weet van default passwords veranderen waarom zou je dan het benaderen van een router van buitenaf aan zetten? (Of zijn er routers waarbij dat standaard aanstaat? Alle routers die ik ken in ieder geval niet!)

BuzzeW 25 oktober 2009 14:11

Toch wel aanlokkelijke berichten voor hackers hé..

Even lekker aangeven hoe gemakkelijk het niet is de boel plat te leggen en te saboteren.

CodeCaster @BuzzeW • 25 oktober 2009 14:16

De hackers die hierin geïnteresseerd zijn, zijn toch al van deze flaw op de hoogte.

Gelukkig worden nieuwe routers die door ISP's worden uitgedeeld steeds vaker uitgerust met veiligere instellingen. SSID verbergen, sterke WPA2-sleutel, en een admin-wachtwoord waar de gebruikersnaam van de aansluiting in is verwerkt.

Masterlans @CodeCaster • 25 oktober 2009 15:05

Klopt ja, bij mijn vorige ISP (KPN toen) was de wireless modem/router al ingesteld met WPA2 sleutel etcetera. Voor mij niet zo erg nodig, maar voor mijn ouders bijvoorbeeld is het prettig als men ze dit uit handen neemt. In de handleiding staat netjes waar ze het wachtwoord kunnen vinden (sticker onder het apparaat) dus het kost even iets meer moeite, maar dan hebben ze wel een beveiligde verbinding.

Wel gevoelig voor social engineering overigens, iemand hoeft natuurlijk maar te bellen, doen alsof hij van de ISP is en te vragen of ze "even kunnen controleren wat er op de sticker staat" omdat ze "het idee hebben dat de verbinding niet helemaal stabiel is". (weten zij veel

)
Maar ja, het is veiliger dan geen beveiliding zullen we maar zeggen...

thegve @Masterlans • 25 oktober 2009 16:48

Het grote "gevaar" zit of gewoon over internet, het hacken van routers via remote management, of via wardriving. Een thuisrouter is nog niet echt interresant genoeg (voldoende onbeveiligd aanbod), om aan moeilijk gedoe als social engineering te gaan doen.

Masterlans @thegve • 26 oktober 2009 09:52

Op zich heb je gelijk, maar een directeur van een groot bedrijf komt ook af en toe thuis. Daar heeft hij geen IT'er die het netwerk heeft ingesteld, maar hij neemt ongetwijfeld zijn laptop wel eens mee naar huis. Op die laptop staan weer presentaties/mail/etc. Dus kan zo iemand op deze manier toch weer net wat makkelijker doelwit worden van "bedrijfsspionage" e.d..

Verwijderd @CodeCaster • 25 oktober 2009 15:01

Sterke WPA2 sleutel heb je alsnog weinig aan als het een hash is van jouw SSID...

daan08 @CodeCaster • 25 oktober 2009 14:56

SSID verbergen is schijnveiligheid.

Rembert @BuzzeW • 25 oktober 2009 19:28

Dit is wel heel oud nieuws voor hackers hoor. Meerdere merken waren zijn gevoelig hiervoor.

Erger is het dat mensen hun WiFi netwerk niet netjes beveiligen met WPA2 maar kiezen voor het eenvoudig kraakbare WEP of zelfs helemaal geen beveiliging. Tien tegen een dat het default password voor de router niet is gewijzigd. Je fietst dus zo binnen.

johnkeates @BuzzeW • 25 oktober 2009 14:47

Alleen al hier in nederland vond ik.. ehm, ik bedoel, zijn er 'erg veel' open apparaten op internet..

WiebeV 25 oktober 2009 14:43

Kwam een keer een draadloos netwerk tegen genaamd: "Wlan Verboden toegang" zonder WEP/WPA(2) wat dan ook.
Zelfs het password op de admin interface was standard, hernoemd naar "Wlan Heeft Beveiliging Nodig".
Twee weken later had het nog steeds dezelfde naam..

Ze zouden bij de winkel iets van een informatie boekje moeten meegeven imo.

darkfader @WiebeV • 25 oktober 2009 18:08

Hier zit ook al een AP (Tele2) in de buurt die al weken een andere naam heeft

Niet al deze open APs zitten in dit onderzoek omdat niet allen vanaf internet zijn te benaderen.

la_fusion @WiebeV • 25 oktober 2009 14:47

Zo'n informatie boekje zit erbij.. de handleiding..

WiebeV @la_fusion • 25 oktober 2009 14:53

Ja, maar daar staat niet bij wat de gevaren zijn van een onbeveiligde router.

sjorsg @WiebeV • 25 oktober 2009 15:30

Vast wel, er zit alleen geen grote sticker op van "Lees mij, of uw netwerk loopt gevaar". En als die er wel op zou zidden, zou alsnog de helft 'm niet lezen.

Bor Coördinator Frontpage Admins / FP Powermod @sjorsg • 25 oktober 2009 21:34

De standaard handleiding (indien uberhaubt meegeleverd, in veel gevallen een (soms downloadbare) PDF) beschrijft doorgaans niet veel meer dan hoe het apparaat van stroom te voorzien en hoe bv de instellingen voor de bekende providers in te stellen. Ik moet de eerste handleiding nog tegen komen die een goede weergave geeft van de risico's van WLAN.

Ravek @sjorsg • 26 oktober 2009 02:20

Het is ook belachelijk dat de gebruiker een boekje zou moeten lezen omdat de fabrikant te incompetent is om de standaardinstellingen fatsoenlijk te regelen.

Tha_Butcha 25 oktober 2009 20:04

Jezus wat een gelul weer over het feit dat je als consument geen verantwoordelijkheid moet nemen.

Misschien zouhet beter zijn om de computerwereld om eens iets gebruikersvriendelijk te maken en niet verkopen met ( snel met uw vrienden chatten of mailen, koop een Core i7 computer met ....................) met prachtige demo's in de winkel en personeel dat je een computer aanpraat alsof de Ultime Utopie werkelijkheid gaat worden.

Ja gek he? Toen ik op Tell Sell die oven zag met Mister T, en ik kocht hem, kwam er geen 3 sterren eten uit, maar een soort van groen-bruine derrie: wat een schande!

En dat wasmiddel ook, wat ik kocht die Ariel met 15 graden schoon. Nou die chocoladevlek zit er ook nog steeds in.

Maar o wee als het fout gaat (en dat gaat het honderden wat zeg ik duizenden keren) dan is er opeens niemand meer thuis en zit oma met de gebakken peren, want oma's wonen meestal niet in ICT wijken of wijken waar tientallen ICT buren zitten die ook nog eens zo vriendelijk zijn om te helpen.

BIj elke NL ISP levert een installatie service en een helpdesk. Toegegeven, ze zijn niet top of the bill, maar basic problemen die je oma tegenkomt, kunnen ze (geblinddoekt)tackelen.

Zolang computer apparatuur nog gammel is en er niet voor niets Duizenden technische forums zijn van allerlei lieden die dagelijks in de problemen zitten op hun jonge leeftijden, moet jij niet gaan verwachten dat oma en opa en miljoenen anderen het even snappen

Dat is het hele issue niet, ik verwacht niet dat een oma van in de 80 een computer kan installeren, wat ik wél verwacht is dat als ze dat dus niet weet, iemand fixt die het wel snapt.

want op het technische forum alhier, zie ik tienduizen vragen en nog veel meer non oplossingen van mensen die er ook ondanks hun technische kennis er geen bal van snappen (anders had je tweakernet niet nodig als iedereen manuals las en fouten kon opsporen) Want het aantal keren dat ik lees op het forum dat mensen hun handleidingen niet lezen dat is niet op de handen van 100.000 mensen te tellen.

Ja tuurlijk, en daarom is T.net de grootste tech community van NL, waar genoeg werknemers van grote internationale spelers hier zitten, omdat het mensen zijn die er geen bal van snappen. Besides, de vragen die hier vaak langs komen komen op GoT, kun je niet in een handleiding gooien, omdat ze specialistisch zijn.

Punt is dat mensen het vertikken om de eigen verantwoordelijkheid te nemen, als je het niet snapt, RTFM en anders fix je iemand die er wel verstand van heeft.

Je gaat ook niet autorijden zonder rijles te hebben gehad (althans de meeste mensen dan) en een auto is wat je ook redelijk ingeburgerd is.

Het gebruiken van dingen vergt kennis en inzet/wil om die kennis op te doen. Ik ga als totale klus nitwit toch ook niet naar de bouwmarkt, haal daar een dremel en ga vervolgens miepen dat ik mezelf heb bezeerd of niet het gewenste resultaat krijg omdat ik me er niet in heb verdiept. Doe ik dat wel, dan lacht iedereen me vierkant uit.

Je hebt als je je computer aan het internet knoopt een bepaalde verantwoordelijkheid om dat correct te doen. Waarom? Omdat je met een computer de hele wereld plat kan leggen (al dan niet in een botnet geknoopt.

Je zal maar een bedrijf zijn, dat zijn hele netwerk geddossed krijgt. Er is idd iemand die deze aanval uitvoert, maar dat wordt mede mogelijk gemaakt door mensen die te lui zijn om de handleiding te lezen en overal maar op "ja" klikken.

Verwijderd @Tha_Butcha • 25 oktober 2009 21:35

Je hebt als je je computer aan het internet knoopt een bepaalde verantwoordelijkheid om dat correct te doen. Waarom? Omdat je met een computer de hele wereld plat kan leggen (al dan niet in een botnet geknoopt.

Als je een mobieltje koopt hoef je hier ook geen rekening mee te houden. Waarom, omdat de fabrikant en de mobiele aanbieder hier al voor gezorgd heeft.

Of bij een dect telefoon hoef ook niet met lastige passwords en dergelijke te werken. Nu pas beginnen ze dit soort mechanismen te gebruiken voor wifi apparaten.

In de IT worden heel veel zaken op de markt gegooid die helemaal niet af zijn. Zoals bijvoorbeeld wifi wat inherent insecure is. Omdat Cisco en consorten zeggen dat het veilig is wordt het zelfs binnen bedrijfsnetwerken ingezet, zelfs zonder radius.

Verwijderd @Verwijderd • 25 oktober 2009 22:47

Ja, vergelijk een IP-netwerk waar elk protocol overheen kan wat je kunt bedenken anders even met een telefonie-netwerk wat maar voor 1 doel gemaakt is.

Beetje appels en peren vergelijken.

Waarom mag wel iedereen met een fiets de straat op, maar moet je voor een auto een rijbewijs hebben? Omdat de risico's groter zijn, en je een groter potentieel gevaar voor jezelf en anderen bent.

arbraxas 25 oktober 2009 14:17

Tja is dit verrassend dan?
De meeste mensen zijn al blij als de internetverbinding werkt en het wachtwoord veranderen "doen we straks wel".
Wat dus meestal vergeten word.

G-bird @arbraxas • 26 oktober 2009 16:06

Inderdaad rijd maar door een gemiddelde woonwijk en probeer maar een onbeveiligde draadloze netwerken te vinden.

Het barst ervan. En waarschijnlijk zal niet beveiligd ook wel betekenen dat de remote control niet is afgezet.

Avenger 2.0 25 oktober 2009 14:20

Valt nog wel goed mee vind ik. Had eerlijk gezegd gedacht dat het er meer waren. Volgens mij zijn exploits en misconfiguraties in routers van ISP's nog een groter risico. Neem nu bijvoorbeeld de bijna 300.000 Belgacom routers die al 2 jaar lang kwetsbaar waren door een gekende exploit.

Hensz @Avenger 2.0 • 25 oktober 2009 22:04

Ik vind 21000 van de 300.000, 7 %, een hele aardige score. Niet dat het niet beter moet, maar ik dacht dat het eerder in de buurt van de 30-40% zou zitten.

Verwijderd 25 oktober 2009 14:22

Ik vind die standaard wachtwoorden wel handig als je iets moet repareren voor iemand. "Wat is het wachtwoord van uw router?". "Router?". "Oh ik zoek het wel even op". Elk nadeel heb ze voordeel?

Tsurany @Verwijderd • 25 oktober 2009 14:39

Maar aan de andere kant, als ze dus zouden weten wat een Router is en de handleiding hebben gelezen dan zouden ze ook weten waar je het over zou hebben en zouden ze ook het wachtwoord weten of deze ergens opgeschreven hebben.
Gewoon op een sticker op de onderkant van het apparaat, de enige die dan je wachtwoord kunnen achterhalen is visite, en die kan je wel vertrouwen lijkt me.

deus4 25 oktober 2009 14:44

Zozo, ik wist niet dat het tegenwoordig al toegestaan was om onder het mom van 'onderzoek' zonder goedkeuring van de eigenaar, een scan op zijn ip uit te voeren, en dan ook nog even te testen of de aangetroffen apparaten toegankelijk zijn met het standaard wachtwoord? Het lijkt me niet dat een provider goedkeuring voor een dergelijke actie op zijn netwerk uit naam van de klant mag geven... Overigens vind ik de resultaten ook niet geheel verbazend of vernieuwend...

johnkeates @deus4 • 25 oktober 2009 14:51

Ze zijn hun eigen provider. En portscans zijn niet altijd duidelijk portscans (ook al duren ze dan langer).

Nessus heeft bij mij een redelijk lange lijst met IP's op z'n naam staan. Geen provider die het merkt. Misschien dat ze alleen windows hebben bij de isp's.. (met default wachtwoorden, of geen service packs, of geen licentie..)

Lothlórien 25 oktober 2009 16:50

21.000 op de 300.000, kleine wijziging

Dan gaat het nog niet echt over hele grote getallen: zeven procent van de apparaten die aan het internet hangen (die op afstand kunnen worden beheerd) hebben het standaard wachtwoord.

En bij de schatting van 6 miljoen apparaten zijn er 85.7 miljoen op afstand beheerbare apparaten. Dit zijn dus niet alleen routers maar ook webcams, voip-toestellen, robots http://tweakers.net/nieuw...n-beveiligingsrisico.html etc.

[Reactie gewijzigd door Lothlórien op 23 juli 2024 20:15]

xpc @Lothlórien • 25 oktober 2009 17:20

Hoezo? Ze hebben 130 miljoen ip adressen gescand toch?

Lothlórien @xpc • 25 oktober 2009 20:36

ja, meer dan 130 miljoen zelfs, maar aan die 130 miljoen adressen hangen 300.000 apparaten die op afstand kunnen worden beheerd. En daarvan zijn er 21.000 dus niet beveiligd.

afraca @Lothlórien • 25 oktober 2009 17:09

En dat is een significant deel, 7%

Op dit item kan niet meer gereageerd worden.

Onderzoekers vinden tal van openstaande apparaten op internet

Lees meer

Van Arpanet tot www: veertig jaar internet

IT-banen

Reacties (174)

Sorteer op:

Weergave: