Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 174 reacties

Onderzoekers van de Columbia universiteit in New York hebben op internet bijna 21.000 routers, webcams en voip-toestellen gevonden waar nog het default-password actief was. Hierdoor kunnen ze makkelijk worden gekaapt door hackers.

De onderzoekers begonnen in december vorig jaar met het afzoeken van internet naar kwetsbare apparaten. Inmiddels zijn er meer dan 130 miljoen ip-adressen gescand; op 300.000 daarvan werden apparaten aangetroffen die op afstand konden worden beheerd. Bij 21.000 daarvan kregen de onderzoekers toegang door middel van het door de fabriek ingestelde password, zo meldt Wired. Het vaakst bleek dit te lukken bij Linksys-routers, waar 45 procent van de 2729 routers toegankelijk bleek te zijn. De onderzoekers schatten dat er wereldwijd zes miljoen apparaten aan internet hangen, die nog met het default-password uitgerust zijn.

Hackers AheadVolgens onderzoeksleider Salvatore Stolfo kunnen kwaadwillenden de firmware van de toestellen flashen en er iedere software op zetten die ze maar willen. Hij verwacht dat hackers kwetsbare routers zullen gaan gebruiken om er botnets mee op te zetten. Voip-toestellen zouden kunnen worden geprogrammeerd om er gesprekken mee af te luisteren. De onderzoekers hebben overigens niet daadwerkelijk geprobeerd om de apparaten te herprogrammeren; wanneer zij de commandoprompt te zien kregen, verbraken zij de verbinding.

Volgens Stolfo hebben mensen de neiging een nieuw apparaat in te pluggen en er verder niet meer naar om te kijken. Hij beschouwt echter de fabrikanten als voornaamste schuldigen. Volgens Stolfo zou bij nieuwe apparaten de admin-interface standaard uit moeten staan, zodat een gebruiker die hier niet naar omkijkt, tenminste niet kwetsbaar is voor hackers. De onderzoekers hebben de providers op de hoogte gesteld van de resultaten, in de hoop dat de isp's de boodschap doorgeven aan de gebruikers. Ze zijn van plan om later nog eens te kijken om te zien of de situatie verbeterd is.

Moderatie-faq Wijzig weergave

Reacties (174)

En wat geeft die onderzoekers het recht om in te loggen op een router met default wachtwoord? Dit is volgens mij illegaal, onderzoeker of niet.
Tja, dat is discutabel..
Webcam kun je voorbeeld zeggen dat het de bedoeling als je er vanbuiten af aan kunt..
en als daar standaard wachtwoord opgebruikt wordt.. Is het wel uw eigen fout hoor..

't is niet leuk maar ik vind het tegenwoordig wel erg dat ze al de verantwoordelijkheid maar proberen af te schuiven.. een beetje plichtverzuim zou ik het zelfs durven noemen..
Het lijkt mij helemaal niet discutabel. Er probeert gewoon iemand een slot open te maken met een generieke sleutel. Probeer jij maar eens met een aantal generieke sleutels op een grote parkeerplaats alle sloten uit van de auto's die daar geparkeerd staan. Vertel de agent, en later de rechter, vooral dat je met een onderzoek bezig bent naar het percentage open autoportieren. Veel success met je nieuwe cariere achter de tralies en laat vooral je zeepje niet vallen.

Het is gewoon verboden om een (digitaal) slot te openen, ook al is de username, password combinatie redelijk voor de hand liggend. Gaan we vervolgens ook controleren hoe sterk de wachtwoorden zijn met andere voor de hand liggende combinaties zoals de namen van de kinderen, huisdieren, etc?

Vergeet niet dat als de universiteit dit mag, dat iedereen dit mag. Immers de universiteit staat niet boven de wet. En als iedereen dit mag doen, en de onderzoeksresultaten zijn legaal verkregen dan mag je die resultaten uiteraard ook verkopen. Toch?
Vrijwel elk security onderzoek wat een beetje iets probeert voor te stellen is per definitie 'illegaal' bezig. Zonder een grijs petje kom je nergens en dit vind ook niemand erg.
Vrijwel elk security onderzoek wat een beetje iets probeert voor te stellen is per definitie 'illegaal' bezig.
Dat hoeft helemaal niet. Je kunt namelijk prima met een "target" overeenkomen wat wel en wat niet mag tijdens een onderzoek. Koppel hier een Non disclosure agreement aan vast en je hebt , mits goed uitgevoerd, een prima legaal beveiligingsonderzoek. Of denk je dat de beveiligingspenetratie tests door consultancy bedrijven etc ook aan de grijze kant der wet worden uitgevoerd?
Het slachtoffer moet aangifte doen van computervredebreuk, pas dan kunnen ze vervolgt worden.
Dus om dat een wet dat ergens zegt gebeurt het niet? Jij hebt dus geen slot op je deur.. :)
Ook al is het verboden, het gebeurt wel, maar je zult niet snel een inbreker luidkeels horen verkodigen dat hij bij jou en je buren is binnengelopen... Feitelijk doen deze onderzoekers dat wel. Ze doen iets illegaals ("for the greater good" ongetwijfeld) en bekennen dat ook nog.
Ik vind het vreemd dat de admin-interface van dergelijke routers vanaf de WAN-kant bereikbaar is. Meestal staat dat gewoon uit, waarom zou een doorsnee user dat nodig hebben?

Hoe dan ook, volgens mij is er niet echt iets nieuws onder de zon. Hetzelfde geldt ook al tijden voor draadloze netwerken, die niet beveiligd zijn. Gelukkig is de nieuwste generatie access points / wireless routers voorzien van WPS (Wireless Protected Set-up) :)
Of dus nog een stap verder, wie heeft er een webcam (of ip-camera) aangesloten op zijn directe internetverbinding? Ik neem aan dat alle apparaten achter een router niet te bereiken zijn..
Of dus nog een stap verder, wie heeft er een webcam (of ip-camera) aangesloten op zijn directe internetverbinding?
Ik denk heel erg veel mensen omdat de standaard consument er of niet bij nadenkt of de risico's niet goed kan inschatten. Wat te denken van bv een cam voor opa en oma waar zij kunnen zien hoe lief kleinzoon of kleindochter ligt te slapen? Dit is slechts een voorbeeld, je staat soms te kijken hoe makkelijk je dergelijke camera's oppikt.

Ter illustratie: tijden lang kon je hier in de straat in de huiskamer bij een van de buren kijken die een draadloze camera van niet al te beste kwaliteit in de huiskamer hadden staan gericht op de wieg. Deze camera kon je met de standaard draadloze AV transceivers oppikken. In dit voorbeeld was het systeem niet eens met internet verbonden.

[Reactie gewijzigd door Bor op 25 oktober 2009 21:33]

Met een normale wekkerradio en een antenne kan ik ook de babyfoon van buren ontvangen. Nou en, daar gaat echt niemand actief achteraan met oneerlijke bedoelingen. Hetzelfde met webcams.
Of standaard voorzien van een WPA2 code zoals alle sitecom routers
Dat was ook het eerste wat bij mij opkwam... Wie heeft die functie aanstaan :? ? Als je niets weet van default passwords veranderen waarom zou je dan het benaderen van een router van buitenaf aan zetten? (Of zijn er routers waarbij dat standaard aanstaat? Alle routers die ik ken in ieder geval niet!)
Toch wel aanlokkelijke berichten voor hackers hé.. :D
Even lekker aangeven hoe gemakkelijk het niet is de boel plat te leggen en te saboteren.
De hackers die hierin geïnteresseerd zijn, zijn toch al van deze flaw op de hoogte.

Gelukkig worden nieuwe routers die door ISP's worden uitgedeeld steeds vaker uitgerust met veiligere instellingen. SSID verbergen, sterke WPA2-sleutel, en een admin-wachtwoord waar de gebruikersnaam van de aansluiting in is verwerkt.
Klopt ja, bij mijn vorige ISP (KPN toen) was de wireless modem/router al ingesteld met WPA2 sleutel etcetera. Voor mij niet zo erg nodig, maar voor mijn ouders bijvoorbeeld is het prettig als men ze dit uit handen neemt. In de handleiding staat netjes waar ze het wachtwoord kunnen vinden (sticker onder het apparaat) dus het kost even iets meer moeite, maar dan hebben ze wel een beveiligde verbinding.

Wel gevoelig voor social engineering overigens, iemand hoeft natuurlijk maar te bellen, doen alsof hij van de ISP is en te vragen of ze "even kunnen controleren wat er op de sticker staat" omdat ze "het idee hebben dat de verbinding niet helemaal stabiel is". (weten zij veel ;))
Maar ja, het is veiliger dan geen beveiliding zullen we maar zeggen...
Het grote "gevaar" zit of gewoon over internet, het hacken van routers via remote management, of via wardriving. Een thuisrouter is nog niet echt interresant genoeg (voldoende onbeveiligd aanbod), om aan moeilijk gedoe als social engineering te gaan doen.
Op zich heb je gelijk, maar een directeur van een groot bedrijf komt ook af en toe thuis. Daar heeft hij geen IT'er die het netwerk heeft ingesteld, maar hij neemt ongetwijfeld zijn laptop wel eens mee naar huis. Op die laptop staan weer presentaties/mail/etc. Dus kan zo iemand op deze manier toch weer net wat makkelijker doelwit worden van "bedrijfsspionage" e.d..
Sterke WPA2 sleutel heb je alsnog weinig aan als het een hash is van jouw SSID...
SSID verbergen is schijnveiligheid.
Dit is wel heel oud nieuws voor hackers hoor. Meerdere merken waren zijn gevoelig hiervoor.

Erger is het dat mensen hun WiFi netwerk niet netjes beveiligen met WPA2 maar kiezen voor het eenvoudig kraakbare WEP of zelfs helemaal geen beveiliging. Tien tegen een dat het default password voor de router niet is gewijzigd. Je fietst dus zo binnen.
Alleen al hier in nederland vond ik.. ehm, ik bedoel, zijn er 'erg veel' open apparaten op internet..
Kwam een keer een draadloos netwerk tegen genaamd: "Wlan Verboden toegang" zonder WEP/WPA(2) wat dan ook.
Zelfs het password op de admin interface was standard, hernoemd naar "Wlan Heeft Beveiliging Nodig".
Twee weken later had het nog steeds dezelfde naam.. :+

Ze zouden bij de winkel iets van een informatie boekje moeten meegeven imo.
Hier zit ook al een AP (Tele2) in de buurt die al weken een andere naam heeft :)
Niet al deze open APs zitten in dit onderzoek omdat niet allen vanaf internet zijn te benaderen.
Zo'n informatie boekje zit erbij.. de handleiding..
Ja, maar daar staat niet bij wat de gevaren zijn van een onbeveiligde router.
Vast wel, er zit alleen geen grote sticker op van "Lees mij, of uw netwerk loopt gevaar". En als die er wel op zou zidden, zou alsnog de helft 'm niet lezen.
De standaard handleiding (indien uberhaubt meegeleverd, in veel gevallen een (soms downloadbare) PDF) beschrijft doorgaans niet veel meer dan hoe het apparaat van stroom te voorzien en hoe bv de instellingen voor de bekende providers in te stellen. Ik moet de eerste handleiding nog tegen komen die een goede weergave geeft van de risico's van WLAN.
Het is ook belachelijk dat de gebruiker een boekje zou moeten lezen omdat de fabrikant te incompetent is om de standaardinstellingen fatsoenlijk te regelen.
Jezus wat een gelul weer over het feit dat je als consument geen verantwoordelijkheid moet nemen.
Misschien zouhet beter zijn om de computerwereld om eens iets gebruikersvriendelijk te maken en niet verkopen met ( snel met uw vrienden chatten of mailen, koop een Core i7 computer met ....................) met prachtige demo's in de winkel en personeel dat je een computer aanpraat alsof de Ultime Utopie werkelijkheid gaat worden.
Ja gek he? Toen ik op Tell Sell die oven zag met Mister T, en ik kocht hem, kwam er geen 3 sterren eten uit, maar een soort van groen-bruine derrie: wat een schande!

En dat wasmiddel ook, wat ik kocht die Ariel met 15 graden schoon. Nou die chocoladevlek zit er ook nog steeds in.
Maar o wee als het fout gaat (en dat gaat het honderden wat zeg ik duizenden keren) dan is er opeens niemand meer thuis en zit oma met de gebakken peren, want oma's wonen meestal niet in ICT wijken of wijken waar tientallen ICT buren zitten die ook nog eens zo vriendelijk zijn om te helpen.
BIj elke NL ISP levert een installatie service en een helpdesk. Toegegeven, ze zijn niet top of the bill, maar basic problemen die je oma tegenkomt, kunnen ze (geblinddoekt)tackelen.
Zolang computer apparatuur nog gammel is en er niet voor niets Duizenden technische forums zijn van allerlei lieden die dagelijks in de problemen zitten op hun jonge leeftijden, moet jij niet gaan verwachten dat oma en opa en miljoenen anderen het even snappen
Dat is het hele issue niet, ik verwacht niet dat een oma van in de 80 een computer kan installeren, wat ik wél verwacht is dat als ze dat dus niet weet, iemand fixt die het wel snapt.
want op het technische forum alhier, zie ik tienduizen vragen en nog veel meer non oplossingen van mensen die er ook ondanks hun technische kennis er geen bal van snappen (anders had je tweakernet niet nodig als iedereen manuals las en fouten kon opsporen) Want het aantal keren dat ik lees op het forum dat mensen hun handleidingen niet lezen dat is niet op de handen van 100.000 mensen te tellen.
Ja tuurlijk, en daarom is T.net de grootste tech community van NL, waar genoeg werknemers van grote internationale spelers hier zitten, omdat het mensen zijn die er geen bal van snappen. Besides, de vragen die hier vaak langs komen komen op GoT, kun je niet in een handleiding gooien, omdat ze specialistisch zijn.

Punt is dat mensen het vertikken om de eigen verantwoordelijkheid te nemen, als je het niet snapt, RTFM en anders fix je iemand die er wel verstand van heeft.

Je gaat ook niet autorijden zonder rijles te hebben gehad (althans de meeste mensen dan) en een auto is wat je ook redelijk ingeburgerd is.

Het gebruiken van dingen vergt kennis en inzet/wil om die kennis op te doen. Ik ga als totale klus nitwit toch ook niet naar de bouwmarkt, haal daar een dremel en ga vervolgens miepen dat ik mezelf heb bezeerd of niet het gewenste resultaat krijg omdat ik me er niet in heb verdiept. Doe ik dat wel, dan lacht iedereen me vierkant uit.

Je hebt als je je computer aan het internet knoopt een bepaalde verantwoordelijkheid om dat correct te doen. Waarom? Omdat je met een computer de hele wereld plat kan leggen (al dan niet in een botnet geknoopt.

Je zal maar een bedrijf zijn, dat zijn hele netwerk geddossed krijgt. Er is idd iemand die deze aanval uitvoert, maar dat wordt mede mogelijk gemaakt door mensen die te lui zijn om de handleiding te lezen en overal maar op "ja" klikken.
Je hebt als je je computer aan het internet knoopt een bepaalde verantwoordelijkheid om dat correct te doen. Waarom? Omdat je met een computer de hele wereld plat kan leggen (al dan niet in een botnet geknoopt.
Als je een mobieltje koopt hoef je hier ook geen rekening mee te houden. Waarom, omdat de fabrikant en de mobiele aanbieder hier al voor gezorgd heeft.

Of bij een dect telefoon hoef ook niet met lastige passwords en dergelijke te werken. Nu pas beginnen ze dit soort mechanismen te gebruiken voor wifi apparaten.

In de IT worden heel veel zaken op de markt gegooid die helemaal niet af zijn. Zoals bijvoorbeeld wifi wat inherent insecure is. Omdat Cisco en consorten zeggen dat het veilig is wordt het zelfs binnen bedrijfsnetwerken ingezet, zelfs zonder radius.
Ja, vergelijk een IP-netwerk waar elk protocol overheen kan wat je kunt bedenken anders even met een telefonie-netwerk wat maar voor 1 doel gemaakt is.

Beetje appels en peren vergelijken.

Waarom mag wel iedereen met een fiets de straat op, maar moet je voor een auto een rijbewijs hebben? Omdat de risico's groter zijn, en je een groter potentieel gevaar voor jezelf en anderen bent.
Tja is dit verrassend dan?
De meeste mensen zijn al blij als de internetverbinding werkt en het wachtwoord veranderen "doen we straks wel".
Wat dus meestal vergeten word.
Inderdaad rijd maar door een gemiddelde woonwijk en probeer maar een onbeveiligde draadloze netwerken te vinden.

Het barst ervan. En waarschijnlijk zal niet beveiligd ook wel betekenen dat de remote control niet is afgezet.
Valt nog wel goed mee vind ik. Had eerlijk gezegd gedacht dat het er meer waren. Volgens mij zijn exploits en misconfiguraties in routers van ISP's nog een groter risico. Neem nu bijvoorbeeld de bijna 300.000 Belgacom routers die al 2 jaar lang kwetsbaar waren door een gekende exploit.
Ik vind 21000 van de 300.000, 7 %, een hele aardige score. Niet dat het niet beter moet, maar ik dacht dat het eerder in de buurt van de 30-40% zou zitten.
Ik vind die standaard wachtwoorden wel handig als je iets moet repareren voor iemand. "Wat is het wachtwoord van uw router?". "Router?". "Oh ik zoek het wel even op". Elk nadeel heb ze voordeel?
Maar aan de andere kant, als ze dus zouden weten wat een Router is en de handleiding hebben gelezen dan zouden ze ook weten waar je het over zou hebben en zouden ze ook het wachtwoord weten of deze ergens opgeschreven hebben.
Gewoon op een sticker op de onderkant van het apparaat, de enige die dan je wachtwoord kunnen achterhalen is visite, en die kan je wel vertrouwen lijkt me.
Zozo, ik wist niet dat het tegenwoordig al toegestaan was om onder het mom van 'onderzoek' zonder goedkeuring van de eigenaar, een scan op zijn ip uit te voeren, en dan ook nog even te testen of de aangetroffen apparaten toegankelijk zijn met het standaard wachtwoord? Het lijkt me niet dat een provider goedkeuring voor een dergelijke actie op zijn netwerk uit naam van de klant mag geven... Overigens vind ik de resultaten ook niet geheel verbazend of vernieuwend...
Ze zijn hun eigen provider. En portscans zijn niet altijd duidelijk portscans (ook al duren ze dan langer).

Nessus heeft bij mij een redelijk lange lijst met IP's op z'n naam staan. Geen provider die het merkt. Misschien dat ze alleen windows hebben bij de isp's.. (met default wachtwoorden, of geen service packs, of geen licentie..)
21.000 op de 300.000, kleine wijziging :P

Dan gaat het nog niet echt over hele grote getallen: zeven procent van de apparaten die aan het internet hangen (die op afstand kunnen worden beheerd) hebben het standaard wachtwoord.

En bij de schatting van 6 miljoen apparaten zijn er 85.7 miljoen op afstand beheerbare apparaten. Dit zijn dus niet alleen routers maar ook webcams, voip-toestellen, robots http://tweakers.net/nieuw...n-beveiligingsrisico.html etc.

[Reactie gewijzigd door Lothlorien67 op 25 oktober 2009 17:09]

Hoezo? Ze hebben 130 miljoen ip adressen gescand toch?
ja, meer dan 130 miljoen zelfs, maar aan die 130 miljoen adressen hangen 300.000 apparaten die op afstand kunnen worden beheerd. En daarvan zijn er 21.000 dus niet beveiligd.
En dat is een significant deel, 7%

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True