Cv-ketels van Vaillant bevatten ernstige kwetsbaarheid in webinterface - update

Cv-ketels van Vaillant uit de ecoPower 1.0-serie bevatten een ernstige bug in de webinterface voor het op afstand aansturen van de verwarmingsinstallatie. Hierdoor kunnen kwaadwillenden de cv-ketels op afstand uitschakelen of zelfs beschadigen.

De ecoPower 1.0-installatie van het Duitse Vaillant kan via een webinterface op afstand aangestuurd worden door de eindgebruiker, bijvoorbeeld om nog voor thuiskomst de verwarming alvast in te schakelen. Het blijkt echter dat door een kwetsbaarheid in de firmware het mogelijk blijkt om beheerwachtwoorden die als plain text zijn opgeslagen, te achterhalen. Met deze gegevens kan een aanvaller toegang krijgen tot functies die normaliter bedoeld zijn voor onderhoudsmonteurs. Zo kan de cv-ketel, die ook stroom kan opwekken, op afstand worden uitgeschakeld. In de winter kan dit tot schade leiden als de cv-leidingen bevriezen, terwijl in de zomer de temperatuur hoger gezet kan worden dan de veiligheidslimieten normaliter toelaten. Ook dan kan schade ontstaan.

Vaillant blijkt voor het uitdelen van ip-adressen aan ecoPower-ketels, zodat deze toegankelijk zijn via een applicatie of webbrowser, bovendien een eigen dhcp-server te gebruiken. Door adressen te raden, waarbij door de server eenvoudig te raden adressen worden uitgedeeld, zou het samen met de buitgemaakte inloggegevens relatief eenvoudig zijn om kwetsbare systemen te vinden en aan te vallen.

Het lek in de ecoPower-software, dat is gevonden door een lezer van het Duitse blad BHKW Infothek, is dermate ernstig dat Vaillant gebruikers met kwetsbare cv-ketels adviseert de ecoPower-systemen direct los te koppelen van internet. Pas als een servicemonteur nieuwe firmware heeft geïnstalleerd, zou het probleem zijn verholpen. Verder deelt de ketelfabrikant vpn-boxen uit aan klanten die een servicecontract hebben afgesloten, waardoor de internetverbindingen versleuteld worden.

Update, 18 april 2013: Vaillant laat aan Tweakers weten dat de ecoPower-serie niet in Nederland wordt verkocht.

kwetsbaarheden in ecoPower 1.0 cv-installatie van Vaillant

Lees meer

IT-banen

Reacties (92)

webcamjan 15 april 2013 18:47

Blijkbaar net als de slimme thermostaten kan je er alleen bij via de site van de aanbieder.

En maar promoten hoe makkelijk dat wel niet is, en zie hier de eerste van zovele die nog gaan komen ben ik bang voor.
Dat is dan ook de reden dat ik geen slime -wat heet- thermostaat wil omdat ik niet zelf een ip kan toekennen of dat ding kan benaderen, Ik wil onafhankelijk zijn van een aanbieder of internet verbinding om data in te zien.
Dan zou je dit ook niet hebben omdat je dan zelf gaat bepalen of je extern wil inloggen, wat dan evt ook nog via een alternatieve poort zou kunnen.

Men zou heel wat meer van die dingen kunnen verkopen als men een gewoon zelf benaderbaar systeem neerzet met een webaplicatie met grafieken. Maar nu moet het weer via een "service" en wat zie je weer..... jawel je mag er weer voor betalen, en al is het maar 2.95 p/mnd (voorbeeld bedrag) het is wel weer 2.95 wat 35.40 p/j maakt wat gelijk staat aan 53.6m3 gas. ergo hoezo besparen.

Nou ja de exelsheet werkt prima hier en bijbetalen ivm de koude winter is er niet, kwestie van goede cijfers en inschatten, mijn bedrag zou 1 euro p/mnd lager kunnen, daar kan geen slimme thermostaat tegenop.

Verwijderd @webcamjan • 15 april 2013 19:06

Dit soort apparaten wil ik in mijn eigen netwerk hangen, en inderdaad niet via een of andere aanbieder.
Maar dan heb je weer de beveiliging op huisnetwerk, bij hoeveel mensen is dat op orde? Ik denk bij weinig.
Ik denk dat we binnen afzienbare tijd een golf internet capabele domotica software krijgen, waarbij je inlogs toekent aan de nutsbedrijven of leveranciers. En dat bestuurt dan je tv, nas, geyser, meters, etc.
En dan maar zien welk pakket het handigste en veiligste is.

eXite 16 april 2013 08:47

"Vaillant blijkt voor het uitdelen van ip-adressen aan ecoPower-ketels, bovendien een eigen dns-server te gebruiken."

Aha? Sinds wanneer deel je IP-adressen uit met een DNS-server? Sinds wanneer deelt zo'n apparaat zich überhaupt een publiek IP-adres uit? Vreemd tussenstukje.

kozue @eXite • 16 april 2013 08:57

Als je een eigen ip blok hebt gekocht staat het je natuurlijk vrij die te gebruiken waarvoor je wilt, dus ze kunnen best via een server adressen uitdelen.
Wat dns daarmee te maken heeft zie ik echter ook niet, dns deelt niks uit...

MadEgg @kozue • 16 april 2013 09:14

Dat kan, maar de routering wordt dan wel lastig, aangezien elke CV ketel op een ander adres via een andere provider. Dan zou er dus al een tunnel opgezet moeten worden naar Vaillant zelf maar waarom ze dat zouden doen is mij een raadsel.

Montaner 15 april 2013 18:45

Het ziet eruit alsof Pietje van de infra afdeling riep: heuj, ik ken wel een bietje programmeren.. da's veul goedkoper dan een extern bureau. Security? Wat is dat dan?

Het wordt écht tijd om in de EU regels in te gaan voeren met betrekking tot digitale veiligheid. Op zijn minst een keurmerk waaraan een product moet voldoen voordat hij hier op de markt mag komen op security gebied met apparaten die aan een netwerk gekoppeld kunnen worden. Kwaliteitscontroles zijn er ookal voor het fysieke product zelf. Waarom niet de software?

Caelestis @Montaner • 15 april 2013 20:10

Meer reglementen hebben we niet nodig. Het is absurd dat een CV zijn eigen toegang heeft tot internet en precies voor gevallen als benoemd in het artikel.
Ook al is het software wel "goed" gemaakt is het nog steeds kwetsbaar als je remote toegang toelaat zonder extra beveiligings-middelen.
Maar om nou honderden extra euros uit te geven om alleen maar veilig op afstand je CV te checken of aan/uit te zetten gaat echt te ver.

Ze proberen het wiel opnieuw uit te vinden want ze kunnen ook gewoon gebruik maken van domotica protocollen en van de klant eisen dat als ze die functies willen wel een beveiligd domotica systeem moeten hebben.
Er zijn genoeg andere merken CV's die wel gewoon direct gekoppeld kunnen worden aan huidige en nieuwe domotica systemen.

DoeEensGek @Caelestis • 15 april 2013 23:15

De beste veiligheid die je eigenlijk kan hebben, is het niet weten. Als mensen niet weten wat ik in huis heb, kunnen ze daar ook niet gericht naar zoeken. Je kan het hoogstens tegenkomen.

Dat geldt ook voor alles over internet. Als niemand weet dat ik een thermostaat/cv heb die op afstand te besturen is, zullen hackers ook niet gericht op mijn ip gaan zoeken naar gaten in mijn firewall voor de thermostaat.

Om het gemakkelijk te maken voor de gebruikers/monteurs word het dus geindexeerd (of hoe je het noemen wil) en als er dus een gat in de software gevonden wordt is dit gelijk toepasbaar door de hackers op vele cv's.

Dit geld niet voor alleen cv's en thermostaten, maar nog veel meer producten!

[Reactie gewijzigd door DoeEensGek op 23 juli 2024 05:54]

regmaster @DoeEensGek • 16 april 2013 06:49

Volgens mij weet je niet hoe het werkt, alles wat met internet communiceerd wordt in principe geïndexeerd door zoekmachines. Het maakt hackers echt niet uit of jij een aantal zaken in huis hebt maar als een zoekopdracht een aantal van deze apparaten oplevert en ze zijn daarmee benaderbaar zal het niet lang duren voordat er een exploit voor is en dan worden ook jouw apparaten gewoon gehackt, ongeacht of ze nu bij jou thuis staan of bij de buurman.
De enige goede beveiliging is om die bende niet online te hebben, het heeft ook geen enkel nut behalve dan dat je kan zien wat de status van zoiets is. Gelet op de risico's zou ik geen huishoudelijke zaken online willen hebben. Huishoudelijke devices oinline zijn de natte droom van hackers en scriptkiddies want hoeveel controle over je prive kun je weggeven?

Avathar @Montaner • 15 april 2013 19:09

Zou een keurmerk helpen?

Ik vrees van niet, omdat in een keurmerk minimale eisen worden vastgelegd. Die zullen dan ook snel verouderen. Als een apparaat aan het net wordt gehangen zul je als fabrikant steeds je beveiliging moeten aanscherpen. Zou dat langjarig gebeuren denk je?

Bedrijven zullen conformeren aan de minimale eisen, dus er is dan sprake van iets meer moeite moeten doen om de boel te hacken, maar veilig?

De beste beveiliging is: niet aan het net hangen. voor je wasmachine koelkast enz.

Rey Nemaattori @Avathar • 15 april 2013 21:00

Zou een keurmerk helpen?

Ik vrees van niet, omdat in een keurmerk minimale eisen worden vastgelegd. Die zullen dan ook snel verouderen. Als een apparaat aan het net wordt gehangen zul je als fabrikant steeds je beveiliging moeten aanscherpen. Zou dat langjarig gebeuren denk je?

Bedrijven zullen conformeren aan de minimale eisen, dus er is dan sprake van iets meer moeite moeten doen om de boel te hacken, maar veilig?

De beste beveiliging is: niet aan het net hangen. voor je wasmachine koelkast enz.

Om maar even 't bekende keurmerk tevoorschijn te halen: Denk jij dat de vereisten voor een KEMA-keurmerk op electrische apparaten sinds 't in het leven geroepen is(in 1927) nog nooit zijn aangepast? (En zo nee, waarom zou dat zoiets als interface beveiliging dan niet periodiek bijgewerkt kunnen worden)

Standaarden en certificeringseisen liggen altijd achter op de werkelijke feiten, het is immers een kat en muis spel tussen de mensen die 'm proberen te maken en de mensen die 'm proberen te breken. Any standard is altidj nog beter dan helemaal niets...

mae-t.net @Rey Nemaattori • 15 april 2013 22:31

Die vereisten zijn niet alleen aangepast, maar zelfs geheel vervallen. Nou stonden er ook soms best onzinnige eisen in en werd er soms terecht op onzinnige KEMA-bureaucratie gescholden (vb: dubbegeïsoleerde snoerschakelaars van Frans fabrikaat die hier van de markt gehaald werden omdat ze met nylon schroefjes dichtzaten - veiliger dan voorgeschreven maar strijdig met de een of andere regel die gebaseerd was op metalen schroefjes - er mochten geloof ik geen schroefjes in snoerschakelaars zitten want dat was gevaarlijk)... Maar tegenwoordig is het eisenpakket niet echt uitgebreid en wordt ook niet meer gecontroleerd.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 05:54]

Slechdt 15 april 2013 18:39

Ik kan niet begrijpen dat dit soort fouten nog gemaakt worden. Waarom er blijkbaar zo weinig experts ingehuurd worden voor de beveiliging van dit soort dingen. Laatst ook al bij de vliegtuigen (wat uiteindelijk niet directe commands zouden zijn, maar toch!). Of zijn bedrijven zo naïef dat ze denken, och ons systeem zal vast niet aangevallen worden?

Verwijderd @Slechdt • 15 april 2013 18:53

Het is niet de core-business van de bedrijven. Men is met zaken als beveiliging gewoon totaal niet mee bezig en dit ziet men als vervelende kosten. Scheelt weer een investering denken de directeuren.

Er moet gewoon goed nagedacht worden over de beveiliging bij de ontwikkeling van het product.

Bij dit soort berichten verlang je toch altijd een beetje naar vroeger. Toen alles nog niet online hoefde.

Verwijderd @Verwijderd • 15 april 2013 19:54

Jij denkt dat dit soort beslissing op directieniveau worden genomen? Het zijn gewoon de product managers die bepalen wat er wel en niet in een product komt. En die zitten nog lang niet op directieniveau....

Verwijderd @Verwijderd • 15 april 2013 22:17

Ik gebruikte misschien niet de perfecte benaming, maar ik bedoelde meer te zeggen dat men op managementniveau hier een zootje van maakt (jij hebt een punt wanneer je zegt dat dit soort beslissingen niet genomen worden op directieniveau). Feit blijft dat zaken als beveiliging en support een ondergeschoven kindje blijft bij de ontwikkeling van producten. Wanneer het product allang op de markt staat krijgen we vervolgens dit soort berichten en zit men in de problemen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:54]

christopher72 @Verwijderd • 15 april 2013 23:20

Zaken als security en support hebben ook beleid nodig, en beleid wordt wel degelijk gemaakt op directieniveau.

raphidae @Verwijderd • 15 april 2013 19:15

Ik (electronicus) heb net afgelopen week een oude vaillant ketel gerepareerd, en ik verbaasde me al over het slechte ontwerp van de electronica. Die is namelijk duidelijk als bijzaak ontworpen.

Dit is wat je krijgt als je loodgieters en gasfitters electronica laat ontwerpen

Luukje01 @raphidae • 15 april 2013 19:40

de ontwerper kan vast ook wel mooi en strak een muurtje stucen

Verwijderd @raphidae • 17 april 2013 11:13

nee jij bent lekker noob vonken trekker zielig ventje zeg, je voelt je heel wat of niet

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:54]

TheekAzzaBreek @Verwijderd • 15 april 2013 20:34

Ik denk dat we daar wel tegen een omslag aanzitten. Er is tegenwoordig zoveel publiciteit over dit soort missers, dat de reputatieschade aanzienlijk is. Het mag dan geen core business zijn, als je zo nat gaat tast het wel degelijk je core business aan,

Verwijderd @Verwijderd • 15 april 2013 22:52

Het is ook de taak van de fabrikant om hier iets aan te doen. Zo te zien kon de installateur hier helemaal niets aan doen.

Men zou de aanpak van routers moeten handhaven: bij installatie moet het wachtwoord en gebruikersnaam gewijzigd worden.

themole 15 april 2013 18:47

Als dat apparaat aan het internet hangt, waarom kan het dan ook niet via het internet worden geupdate?

Teijgetje @themole • 15 april 2013 19:25

De firmware wordt doorgaans vanaf een extern geheugen, bijv een usb stick, op een apparaat gezet/geflasht.(behalve bij mijn telefoon, dat een veel complexere computer is dan wat cv functies regelen, maar wel bij alle andere apparaten als mediaspeler, tv, nas etc.)

Bovendien moet hiertoe waarschijnlijk het toestel eerst in de servicemodus gezet worden met het monteurswachtwoord.
Dit wachtwoord hebben gebruikers doorgaans niet omdat ze dat niet nodig hebben, en zo hun cv-apparaat niet kunnen ontregelen.

Het probleem zit hem net in dat servicewachtwoord, dat is doorgaans voor alle ketels gelijk, ter gemak van de onderhoudsmonteur die maar één servicecode nodig heeft voor één type ketel.

De update zal gewoon onder garantie vallen, inclusief mannetje.
Netjes dat ze direct alarm slaan en dit wereldkundig maken, Vaillant is één van de betere ketels.

Hoewel ik wel inzie dat uitzetten bij vorst schade kan opleveren, zie ik niet echt in hoe je softwarematig de beveiligingen bij oververhitting en daardoor te weinig water in het systeem kan overrulen. Die zouden toch standalone moeten werken. ook al loopt dat ook via het programma.
Een foutmelding moet namelijk gereset worden, vóór het toestel weer werkt.
Los je het probleem niet op dan krijg je dezelfde foutmelding weer terug.
Dus ook op afstand resetten moet een ketel niet verder laten opstarten dan zijn foutmelding.

Edit;
Er zijn een paar problemen, met het wachtwoord(en) en met twee verlopen beveiligingscertificaten om toegang te krijgen
Volgens de duitse site kan het apparaat in gebruiker- en servicemodus uitgeschakeld worden, wat in de zomer ongemak kan opleveren doordat de warmwatervoorziening uit is. En bevriezing in de winter.
Andere parameters die veranderd kunnen geven geen gevaar, de belangrijke moeten middels een schakelaar op het toestel bevestigd worden, de ketel kan dus niet stuk gaan..
De watertemperatuur kan wel verhoogd worden naar 80 graden wat kan zorgen voor schade aan bijv vloerverwarming (te heet, barsten), mits daar geen regelthermostaat voor zit. (elke vloerverwarmingsunit heeft dat) en ook bijvoorbeeld warme wanden kunnen schade oplopen (barsten) als deze niet via een unit lopen die de temperatuur in de wand apart regelt zoals een vloerverwarmingunit.
Verder kan de hoogrendementsturing uitgeschakeld worden wat kan resulteren in een hoge(re) elektrarekening, maar zonder gevaar

Het grote gevaar zit in de ontwikkelaarmodus waar ook toegang tot verkregen kan worden, hier hebben ze niet geprobeerd veranderingen aan te brengen en deze modus zou zelfs voor monteurs niet toegankelijk moeten zijn.
Via de CAN bus kunnen hierbij instructies gegeven worden waarbij niet duidelijk was of hierbij ook bevestiging op het apparaat zelf nodig waren dmv de bevestigings-schakelaar. Die werd niet gezien in de software.
Er was dus geen duidelijkheid of hiermee echt grote schade en gevaar aangericht kon worden.

Vaillant heeft middels een team en een beveiligingsbedrijf inmiddels nieuwe software en firmware klaar die alle problemen en veiligheidsrisico`s oplost en die asap uitgerold wordt middels monteurs.
Alle bekende eigenaren/klanten hebben bericht gehad over eea.

De gratis VPN versleutelingkast geldt inderdaad voor klanten met een servicecontract en waarschijnlijk met terugwerkende kracht als je dit afluit en het apparaat jonger dan 12 maanden is.
Andere klanten kunnen zo`n VPN krijgen tegen een nog niet bekende prijs zonder een contract af te hoeven sluiten.

Verder wordt inderdaad aangekaart dat één van de wachtwoordproblemen is dat deze voor monteurs helaas ,zoals momenteel gebruikelijk is in installatietechniek, hetzelfde zijn
Wat hopelijk ook verholpen is.

[Reactie gewijzigd door Teijgetje op 23 juli 2024 05:54]

GMJansen

@Teijgetje • 16 april 2013 01:20

ohja, wat ik me nog bedacht: is die VPN doos zelf wel veilig dan...?

R4gnax @themole • 15 april 2013 20:40

Als dat apparaat aan het internet hangt, waarom kan het dan ook niet via het internet worden geupdate?

De beveiliging is al zo lek als een vergiet. Je oppert nu serieus niet eens meer om met de boormachine de gaatjes in dat vergiet nog wat te verwijden, maar gewoon om met de las brander de bodem er onder uit te snijden...

Zou nogal wat zijn hè? Als iemand zich via internet al dan niet via een gekraakt wachtwoord toegang verschaft tot je CV en er een met rootkit gehackte firmware op zet om het ding als relay te laten dienen voor zaken die het daglicht niet kunnen verdragen. Ga jij maar eens als gewone consument uitvogelen dat er een rootkit op zo'n ding zit (of ga het maar eens aannemelijk maken bij de politie als ze bij je aan komen kloppen...)

[Reactie gewijzigd door R4gnax op 23 juli 2024 05:54]

mae-t.net @R4gnax • 15 april 2013 22:36

Rootkit en functioneel gehackte firmware behoort realistisch gezien niet tot de risico's; er zal vrijwel nooit voldoende geheugenruimte en processorkracht over zijn voor zoiets.

Diverse vormen van sabotage kunnen wel aan de orde zijn.

MPAnnihilator 15 april 2013 18:38

Als we binnen een paar jaar , eens IPv6 ingeburgerd zal zijn , onze cv ketel , onze diepvries , onze internet modem , onze schakelaars , deurklinken, lampen enz enz , allemaal gaan open zetten voor remote beheer op Internet , dan gaan er nog leuke dingen gebeuren !

Veel van die installateurs of fabrikanten neemt application security serieus vrees ik.

mashell @MPAnnihilator • 15 april 2013 21:27

Als we binnen een paar jaar, eens IPv6 ingeburgerd zal zijn

Als wat jij beschrijft waarheid wordt, hebben we nog een heel goede reden om IPv6 maar gewoon te laten zitten. Het kan natuurlijk zijn dat we nu gewoon "in den beginne" zijn en nadat er geleerd is straks al die dingen gewoon een degelijke uniforme en veilige (BSD/linux) als basis hebben en er niets aan de hand is.

Ultraman Moderator VB @mashell • 15 april 2013 22:32

Absoluut niet links laten liggen, implementeren juist! Alle apparaten aan het internet een eigen IP adres is hoe het internet bedoeld is.

De beveiliging zit in de firewall, de firewall in je router. Die is voor IPv6 niet anders dan IPv4, alleen wil je bij IPv6 wel zeker een aantal ICMP boodschappen toestaan, waar dat bij IPv4 niet per se nodig is (en ze door sommige routers met matige firewalls ook gewoon geblokkeerd worden!).

De firewall blokkeert verkeer van buiten voor het subnet wat er achter zit. Mijn apparaten er achter hebben een publiek IP, dat is prima. Ik kan ze pingen, maar als ik verder geen gaatjes in de firewall heb geprikt kan er van buiten niets zomaar bij, want die lopen tegen de firewall aan. Enkel gerelateerde en reeds bestaande connecties worden doorgelaten, zoals dat ook bij IPv4 wordt gedaan.

Wil je diensten draaien achter de router? Dan prik je simpelweg een gaatje in de firewall voor het juiste IP en de juiste poort, zodat het verkeer voor die machine er wel door mag.
Dat is ook net zoals het nu gebeurd, alleen kun je dat verdomde NAT achterwege laten.

MPAnnihilator @Ultraman • 16 april 2013 00:01

Ik hoor het graag , maar als je denkt dat een firewall enkel op layer 3 dient te werken , en dat met tcp en udp poorten open te zetten ( er van uitgaande dat je een default drop rule hebt natuurlijk ) de zaak ook opgelost is , dan mis je de beveiliging op de 4 hogere layers nog

Achter elke poort die jij open zet op de firewall zit een service waarvan je weer dat jij het wil. Klinkt mooi , maar laat nu net die service achter je layer3 only firewall het probleem zijn in deze situaties. Potentieel zijn die zo lek als een zeef. Kijk maar naar SQL injection om het meest simpele voorbeeld te geven. Daar gaat het nut je firewall.

Het Internet is een grote boze wolk !

[Reactie gewijzigd door MPAnnihilator op 23 juli 2024 05:54]

mashell @Ultraman • 15 april 2013 23:24

Zo is het internet in de jaren 70 inderdaad bedoeld. Maar het gelukkig al sinds de jaren 90 al niet meer gebruikt wordt. NAT is een vrijwel probleemloze en veel goedkopere oplossing dan IPv6. Er komt een dag dat je provider je geen echt IP adres meer toe kent maar 1 uit de 10.*.*.* reeks, je zult er net als op een bedrijfsnetwerk eigenlijk niks van merken.

Sfynx @mashell • 16 april 2013 02:28

Zo is het internet in de jaren 70 inderdaad bedoeld. Maar het gelukkig al sinds de jaren 90 al niet meer gebruikt wordt. NAT is een vrijwel probleemloze en veel goedkopere oplossing dan IPv6. Er komt een dag dat je provider je geen echt IP adres meer toe kent maar 1 uit de 10.*.*.* reeks, je zult er net als op een bedrijfsnetwerk eigenlijk niks van merken.

Een 10.0.0.0/8 adres is niet routeerbaar. Dus als je niet zelf controle hebt over een NAT router met routeerbaar publiek adres, dan ben je effectief onzichtbaar voor de rest van het internet. Zo is internet niet bedoeld, vroeger niet en nu niet.

_JGC_ @mashell • 16 april 2013 11:25

NAT is alles behalve probleemloos. Het is gewoon een vieze hack om meerdere apparaten achter 1 publiek IP te verschuilen. Wat als ik 2 webservers wil draaien achter NAT? Dan mag ik met aangepaste poortnummers gaan werken.
Verder is het met virussen en trojans ook een hel. Je krijgt een abuse report voor een extern IP binnen. Mag jij gaan uitvogelen welke van de tig apparaten in je netwerk aan het spammen is.

oliveroms @mashell • 16 april 2013 12:59

Niet nagatief willende klinken hoor, maar dit is toch wel het domste wat ik deze week heb gelezen.

Zoals hieronder al aangegeven is 10.* niet routeerbaar etc. Maar als je ISP 10.* uit zit te delen, zit je dus met alle mede gebruikers in een 'intern 10.*' net. Denk is na wat daar de gevolgen zullen zijn.

Quest33 @Ultraman • 16 april 2013 09:52

Het Nationaal Cyber Security Centrum heeft hierover een factsheet Beveilig apparaten gekoppeld aan internet uitgegeven.

Rey Nemaattori @MPAnnihilator • 15 april 2013 20:54

Als we binnen een paar jaar , eens IPv6 ingeburgerd zal zijn , onze cv ketel , onze diepvries , onze internet modem , onze schakelaars , deurklinken, lampen enz enz , allemaal gaan open zetten voor remote beheer op Internet , dan gaan er nog leuke dingen gebeuren !

Veel van die installateurs of fabrikanten neemt application security serieus vrees ik.

Net zo serieus als router fabrikanten standaard w-lan beveiliging namen in den beginne gok ik?
m.a.w. 't kan nog wel een paar jaar duren voor die dingen serieus beveiligd worden...

Verwijderd @MPAnnihilator • 16 april 2013 09:47

Dit artikel geeft weer eens aan hoe imbeciel we tegenwoordig zijn als mensen in een culturele omgeving, in de samenleving Met alle respect hoor, maar hoe achterlijk moet je zijn als je een cv-ketel aan internet koppelt?

Waar gaat dat nog over. Je kunt je verwarming aan doen als je thuis bent. Als je de cv al aanzet voordat je thuis bent staat dat ding voor niets te stoken.

Ik weet niet of iemand hier ooit gehoord heeft van klimaatverandering, global warming, het opraken van energie voorraden? En dan gaan we zo tekeer? Is dan niets heilig en moet alles opgeofferd worden voor een verwarmd huis op het moment dat je je drempel over gaat?

Ik zie het nut er niet van in. Al zolang er cv is in huizen kunnen mensen het doen zoals we het nu doen. Je komt binnen en DAN zet je hem aan. Dat heeft NIEMAND ooit erg gevonden. Maar nu hebben we 'apps' en dta bekt lekker en internet en een smart phone en ineens moet het huis warm zijn als we binnen komen?

Wel, als het koud is, zeg -5 C, en je komt binnen in een huis van 15C, dan kom je in een omgeving die 20 C warmer is, dat zou toch eerst genoeg moeten zijn.

En als onze andere apparaten ook allemaal online moeten, dan houd ik mijn hart vast. Al die apparaten zullen slecht beveiligd zijn. Maar dat kennen we al wel van de rest, is het niet? Als ICT iets is, dan is het slechte beveiliging.

Wat gaan we dan beleven. Koelkasten die vooraf kouder worden gezet omdat we zin hebben in een ijskoud bier? Vriezers die via internet ontdooid worden als vervelende streek? Stinkt lekker als je na twee weken terug komt van je vakantie. Ha ha ha.

Stereo apparaten aan en uit? En dan vaak genoeg en dan stuk zeker. Blazen we de boxen op van de vervelende buurman?

Misschien kunnen we de douche alvast aanzetten. Dan kunnen we als we thuis komen er zo onder springen met de perfecte temperatuur!

En we gaan uiteraard ook de elektrische deken aanzetten, het koffiezet apparaat zodat als we thuis komen, alles perfect is.

Kill me NOW!

ninjazx9r98 @Verwijderd • 16 april 2013 10:16

De tijd dat we eerst met de hand apparatuur aan moeten zetten als we thuis of uit bed komen ligt al heel wat jaartjes achter ons en dat staat los van het online zijn van apparatuur.
De thermostaat, de koffiezetter, de wasmachine, de vaatwasser, enz allemaal apparatuur die al heel wat jaren verkrijgbaar is inclusief programmeerbare tijdklok.
Online mag dan nieuw zijn, de behoefte om apparatuur aan of uit te schakelen zonder zelf het knopje in te drukken is dat zeer zeker niet en hele volksstammen maken al vele jaren dankbaar gebruik van dergelijke mogelijkheden.

oliveroms @Verwijderd • 16 april 2013 13:04

en je gaat op vakantie en vergeet je verwarming uit te zetten? (of weekend weg, of later thuis dan geplaned?)

Allemaal situaties waar je je verwarming op afstand uit/laag wil zetten.

Als je hem 5 minuten voordat je thuis bent wilt aan zetten is dan ook niet zo ver gezocht en versplit nou niet echt energie (al is in dat opzicht, de verwarming 5 minuten later aanzetten nog beter).

johanvandyck @MPAnnihilator • 16 april 2013 15:05

Wie al zijn apparaten rechtstreeks op het internet zet, verdient niet beter, zo denk ik.

De veiligheid moet je niet aan alle fabrikanten alleen overlaten. Zet al je toeters en bellen achter een firewall en voeg er nog liefst een proxyserver bij. zo moet eerste deze horde al overwonnen worden en pas daarna de beveiliging van de fabrikanten.

Joolee @MPAnnihilator • 15 april 2013 19:19

Lees die reactie nog een keer en herschrijf hem dan even in het Nederlands

Als je IPv6 activeerd op je netwerk krijgt ieder apparaat een eigen publiek IP adres. Het enige dat dit betekend is dat als het apparaat een verbinding maakt met een internet host, deze internet host het unieke adres van het apparaat kan zien waar deze nu het algemene adres van je verbinding kan zien. Bij een IPv6 subnet moet je gewoon gebruik maken van een Firewall, net zoals je dat nu moet doen als je een IPv4 subnet hebt dat groot genoeg is om zonder NAT te gebruiken.

Luukje01 @Joolee • 15 april 2013 19:37

'moet je gebruik maken van je Firewall'

iemand die niet zo veel verstand van IT heeft 'en verschikkelijke lag heeft op z'n netwerk' laat door een handige buurjongen de firewall uitzetten (problem solved). dan hangen wel je deurklinken aan het internet.

Ik blijf voor een eigen intranet voor je eigen huis (liefst ProfiNet met tig HMI's door m'n hele huis

).

Maar dat ik iets aan het internet leg voor 'remote beheren', blijf ik een moeilijke keus vinden. (waar de leken zeggen dat ik niet zo moet zeuren, dit bewijst het tegen deel weer eens).

GMJansen

@Luukje01 • 16 april 2013 00:59

@Luukje01 (en de 2 posters ervoor): Mja, maar zelfs nu, met IPv4, en een default ingerichte dsl/kabelmodem/router is al een risico.
Nu ik dit stukje schrijf, is het probleem nog groter dan ik dacht...

- kan het zijn dat een device in de default stand al via internet benaderbaar is, doordat deze op de router een poortje open zet,
omdat UPnP daarop waarschijnlijk nog steeds aan staat?!
(een router is niet voor niks een black box voor de meesten.)

- kan het zijn dat een device zelf op internet kan en gaat (er is géén consumentenrouter die dat tegenhoudt! *1)
Dit kan de volgende gevolgen hebben:
a) hij publiceert z'n eigen gegevens op de site van de fabrikant, zodat je (en anderen...?) handig je eigen statistieken kunt bekijken.
Mogelijk een probleem dat je dus op afstand kan zien of je op vakantie bent.
en
b) het device haalt zo nu en dan bestanden op van de website van de fabrikant op om taken zelfstandig uit te voeren.
Dit kan natuurlijk een opdracht zijn voor een firmware update, of om iets te gaan uitvoeren.
(Wat de fabrikant in de firmware gebakken heeft, en wellicht misbruikt kan worden, zoals in bovenstaand artikel.

Ja, ik weet dat de CV in het artikel zelf direct benaderd wordt, maar denk maar aan de DDOS attacks, op de banken de afgelopen 2 weken:
de opdrachten tot deze attacks worden door de trojan op de geïnfecteerde pc zelf van een 'tussenserver' gehaald)
Of zoals een CV/Printer 'ik heb onderhoud nodig' of een printer ook tellerstanden naar de fabrikant kan sturen en printopdrachten van internet kan halen om ze af te drukken.
Allemaal voorbeelden van ofwel voor de buitenwereld gesloten routers ofwel default ingestelde routers die bij miljoenen huishoudens staan.

Ohja, en als laatste:
als alles op je router dichtstaat, is er nog 1 mogelijkheid, waardoor iemand er toch nog bij kan komen:
Je router is mogelijk vanaf buiten via SNMP bereikbaar, waardoor de hacker eerst je routerpoorten open zet, en dan de rest van je huis kan besnuffelen.

*1) de bedrijvenversie routers, ofwel firewalls, hebben ACL's/Firewall rules die standaard verkeer naar binnen, maar zeker ook naar buiten 100% blokken.
Dit totdat jij als beheerder openzet dat bijvoorbeeld pc 1 volledig naar buiten mag (wel handig als je wilt surfen en mail ophalen enzo),
CV-ketel 2 geen toegang heeft naar buiten, huisautomatisering3 op poort 443 (https) open zet zodat ie je website van statistieken kan voorzien (ik bedenk maar wat),
en je mailserver poort 53 (dns) en 25 (smtp)mag. enzovoort.

ps. Weet jij wat je, aan je netwerk aangesloten, NAS, SmartTV, MediaPlayer, spelconsole of printer allemaal uitspookt naar en van het internet?
Ohja, gevonden! http://www.nu.nl/gadgets/...arddisks-en-scanners.html

Wil je niet dat een apparaat via internet benaderbaar is, maar wel in je eigen huis?
Dan is er wel degelijk een oplossing, 'redelijk' simpel:
het device kan op internet doordat je router via DHCP een Ip adres, mét default gateway adres tbv internet, uitgeeft.
Wat je dus doet is het device zelf een Ip adres + subnetmasker geven, maar géén default gateway.
Let er wel op dat je een ip adres gebruikt buiten de DHCP reeks, te vinden in ... je router.
En zet uPnP + SNMP in je router UIT,
Maar als je dit al snapt, lukt dat ook nog wel:p

(edit: typo)

[Reactie gewijzigd door GMJansen op 23 juli 2024 05:54]

bbob

Netwerk en systeembeheer

@Luukje01 • 15 april 2013 20:00

Staat er ook ze delen vpn router uit. Dit soort dingen moet ja altijd achter een vpn router hangen.

Verwijderd @Luukje01 • 16 april 2013 11:41

Ik blijf voor een eigen intranet voor je eigen huis (liefst ProfiNet met tig HMI's door m'n hele huis ).

Dat kan ook gewoon prima. Ik snap niet dat iedereen zich zo druk maakt over dat "ipv6 hangt alles aan het internet" verhaal. Dat is helemaal niet waar.

Ook ipv6 heeft niet routeerbare private ranges, die zijn dus nooit via het internet benaderbaar. Klaar, zelfde effect als NAT nu...

Ben het voor de rest wel met je eens: je moet wel kijken of het meerwaarde heeft om iets aan het internet te hangen.

MPAnnihilator @Joolee • 15 april 2013 22:08

Hoe IPv6 principieel te beveiligen valt is evident , alleen zal het in de praktijk zeker hier in Europa voorkomen dat de klanten routers er misschien niet klaar voor zijn , of dat sommige van die software webservertjes een pak vulnerabilities zullen hebben met betrekking tot IPv6.

Ik durf niet te stellen dat IPv6 nu veel fabrikanten tegenhoudt om apparatuur beschikbaar te maken via Internet , maar eens IPv6 in Europa ingeburgerd zal zijn , zal er wel 1 belemmering wegvallen en heeft iedereen zijn /32 thuis. Dat biedt een hoop mogelijkheden.

Het probleem aan IPv6 is weten wat er allemaal overloopt , in veel bedrijfsomgevingen staat IPv6 gewoon nog ingeschakeld ( Vista of nieuwer ) , ondanks het hier niet nodig is. Gezien bijna geen enkele thuisfirewall, of firewall in router overweg kan met IPv6, weten vele mensen ook niet wat er over de kabel aan IPv6 verkeer gaat.

Ik vernoem IPv6 gewoon omdat ik vermoed dat het zeker niet gaat helpen , gezien de huidige mentaliteit bij IPv4.

[Reactie gewijzigd door MPAnnihilator op 23 juli 2024 05:54]

Da Mad CoWw @Joolee • 16 april 2013 09:13

effe off topic: als we het dan toch over Nederlands hebben : activeerd -> activeert, betekend -> betekent

lowlow @Joolee • 16 april 2013 12:19

"je activeerd" is anders ook geen Nederlands.... Hoe komen jullie toch altijd op dat soort triestige fouten....

Verwijderd @Joolee • 16 april 2013 16:18

Lees die reactie nog een keer en herschrijf hem dan even in het Nederlands

Er is buiten een kleine fout in de laatste zin niets mis met die post. Gewoon Vlaams leren!

alexbl69 15 april 2013 18:42

Hoop dat dit soort berichten een snelle dood van al die always-online waanzin van allerlei huishoudelijke apparatuur inluidt. Het voegt nagenoeg niks toe, en brengt enkel hogere kosten en beveiligingsrisico's met zich mee.

Heb ook zo'n wasmachine die je met je smartphone kunt bedienen. Leuke gadget hoor. Maar praktisch nut? Nul. Er zit al een timer op en je weet toch altijd bij benadering wel hoe laat je thuiskomt.

Stukfruit @alexbl69 • 15 april 2013 18:58

Het is juist enorm handig om van een afstand te kunnen zien wat de status van je wasmachine is. Denk dan niet alleen aan wanneer de was klaar is, maar meer aan dingen zoals of het water goed kan worden afgevoerd en of de slangen of bakjes niet verstopt zitten.

Misschien heb je het nog nooit meegemaakt, maar ik zou in zulke gevallen maar wat graag een mailtje of smsje ontvangen met die informatie, zodat ik tijdig kan reageren en dingen zoals waterschade (niet alleen bij mij, maar ook bv. bij de onderburen) zoveel mogelijk kan voorkomen.

Cerulean @Stukfruit • 15 april 2013 19:06

Als er al sensoren in die bakjes en slangen zouden zitten die dit zouden kunnen meten, dan zou ik toch liever hebben dat de machine gewoon direct uitgeschakeld wordt ipv eerst een mailtje te sturen. Er zijn overigens al lang dit soort beveiligingen tegen waterschade .

Seal64 @Stukfruit • 15 april 2013 20:33

Het is juist enorm handig om van een afstand te kunnen zien wat de status van je wasmachine is. Denk dan niet alleen aan wanneer de was klaar is, maar meer aan dingen zoals of het water goed kan worden afgevoerd en of de slangen of bakjes niet verstopt zitten.

Misschien heb je het nog nooit meegemaakt, maar ik zou in zulke gevallen maar wat graag een mailtje of smsje ontvangen met die informatie, zodat ik tijdig kan reageren en dingen zoals waterschade (niet alleen bij mij, maar ook bv. bij de onderburen) zoveel mogelijk kan voorkomen.

Ja, want dat is inderdaad heel handig. Loop je op zaterdagmiddag over de woonboulevard, krijg je een melding dat je wasmachineslang eraf geklapt is. Knappe jongen die dat via remote oplost, dus moet je met een rotgang naar huis waar, tegen de tijd dat je aankomt, de vloerbedekking en je bonte was van de trap af komt drijven.

Koop gewoon voor vijf euro bij de bouwmarkt een waterslot, dan kan je badkamer niet blank komen staan. Lekbak eronder voor de eventuele overloop. Dat je was klaar is kun je zelf ook wel nagaan (programma's hebben vaste tijden). Leg me dan nog eens uit waarom mijn wasmachine op het internet zou moeten worden aangesloten?

webcamjan @Stukfruit • 15 april 2013 19:37

Ik heb dat nog nooit meegemaakt idd. en waarom.?

Omdat ik nooit ga wassen zonder er niet bij te zijn. Een misser kan altijd gebeuren maar van alle dingen die je leest op fora van dergelijke zaken blijkt altijd dat men er niet in de buurt was. Niet thuis dus.

En wat heb je eraan of je een mailtje krijgt, de boel lekt, oeps. snel naar huis om het te stoppen.
* springt in de auto, shit vandaag met de trein, en gaat snel naar huis. aldaar 2 uur later aangekomen is de boel nat... ik bedoel je bent hoe dan ook te laat, als je thuis was geweest had je erger kunnen voorkomen.

Maar dat gemak he, daar gaat het om. Dan hebben we meer tijd over. Maar voor wat dan.?

Maar het meest gekke is altijd dat mensen de stekkers eruit halen als ze een weekend weg zijn want er kan wel eens brand onstaan is hun reden, maar ze starten wel vrolijk een was en gaan weg, want dan is de was klaar als ik thuiskom.
En de statestieken -uit de losse pols- zullen laten zien dat er meer branden zijn onstaan in een wasmachine dan een computer ik noem eens wat.

RobIII @webcamjan • 15 april 2013 19:48

Lekbak? Check.
Waterslot? Check.
Regelmatig onderhoud / controle wasmachine (& droger & C.V. etc.)? Check.
Thuis? Check -> 1 verdieping lager dan de wasmachine.

En opeens hoor je een geluid alsof 't regent... en ga je in je badkamer kijken...

Pleuris uitgebroken? Check. Dubbelcheck.

Dat jij het nog nooit hebt meegemaakt wil niet zeggen dat 't nooit iemand overkomt.

[Reactie gewijzigd door RobIII op 23 juli 2024 05:54]

webcamjan @RobIII • 15 april 2013 20:50

Niet om de discussie maar.:

Lekbak.: heb ik niet staat gewoon op laminaat in de keuken al 6 jaar.
Waterslot.: heb ik niet direct aan de kraan en kraan sluiten nagebruik.
Onderhoud.: elk half jaar basis ondehoud, trommel en balans.

En ik zei ook wat je veel leest op fora...... voor mezelf heb ik het nog nooit meegemaakt in dit huis en mijn oudershuis en dan praten we al over ruim 40jaar.
Die werkwijze heb ik gewoon overgenomen van ons moeder.

Trouwens zonder gekheid, de was die draaide is nu net klaar tijdens dit bericht, dus ik ben even de was ophangen. was eruit, deurtje op een kier, kraan sluiten, machine uit en dan ophangen..

Aanvulling.: in de douche plaatsen van een machine brengt meer storingen door de hoeveelheid condens vocht, daar zou die bij mij ook moeten staan maar ik heb hem weer naar de orginele bedachte plek in dit huis teruggeplaatst inc aansluitingen en dat is in de keuken. Levensduur oude machine in oudershuis ruim 25 jaar.!!!
In de douche mag de zooi spatten is er nog niets aan de hand omdat de vloer geheel nat mag worden en een afvoer heeft.

[Reactie gewijzigd door webcamjan op 23 juli 2024 05:54]

Verwijderd @Stukfruit • 16 april 2013 09:55

Doe effe normaal man. Op afstand zien of je bakjes verstopt zitten? Ik lach je in je gezicht uit. Hoe vaak komt dat nou voor man.

De waterschade die ik ooit had van een bovenbuurman was niet de wasmachine, maar van de stortbak van de wc. Gaan we ook electronika in de stortbak plaatsen? Of op de vloer, van zodra die nat wordt krijgen we een berichtje?

Onze samenleving stinkt van angst. Wat kan er allemaal mis gaan. We moeten van alles op de hoogte blijven. Wat als...!

Hoe zit het met vertrouwen en geestelijke rust? Moet ik constant waar ik ook ben alert zijn en bang dat mijn wasmachine gaat lekken? Wat een hysterie!

De samenleving is nog steeds niet ten on der gegaan aan lekkende wasmachines, kapotte stortbakken en dat soort pech. Dus van mens tot mens, doe effe normaal man.

MadEgg @alexbl69 • 15 april 2013 19:44

Helemaal mee eens. Wie bedacht heeft dat alles maar aan internet moet mag wat mij betreft worden opgesloten.

Ik heb een hele mooie thermostaatklok die niet met internet verbonden is maar wel zorgt dat 's ochtends vroeg het huis warm is, het water en het huis niet opwarmt tijdens mijn vakantie maar wel zorgt dat alles weer klaar is bij thuiskomst. Met een klein beetje plannen kan je echt wel uit de voeten en loop je tenminste niet het risico dat bedrijven meegluren of hackers je huis op de kop kunnen zetten.

Mijn CV ketel en mijn thermostaat hoeven echt niet aan internet. Net zo min als mijn wasmachine, magnetron, koelkast of kurkentrekker.

[Reactie gewijzigd door MadEgg op 23 juli 2024 05:54]

Verwijderd @alexbl69 • 17 april 2013 11:19

Waarom betaal jij dan extra geld voor een duurdere type wasmachine, terwijl je ook een goedkopere versie zou kunnen aanschaffen zonder al die luxe, er zijn veel mensen die wel die luxe willen gebruiken en laat ze dat zeker doen $_/-\o_$

Kruiwagen 15 april 2013 19:54

Ketels met een webinterface is vragen om problemen. Laat zoiets toch handbediend

To_Tall

@Kruiwagen • 16 april 2013 00:02

Zolang de consument er om vraagt zal het gebouwd worden.. Ik zou het ook wel willen maar dan wel via mn eigen netwerk het internet laten betreden.. Allow outbound. Inbound alleen via bepaalde IP adressen van de leverancier b.v. of disalow inbound.. dan zal dat veel problemen verhelpen..

BTW....

NO WAY dat ik als IPv6 uitkomt al mijn apparaten IN DMZ zet ;-)

To_Tall

15 april 2013 18:49

Ach op zee schepen zitten VDR (Voyage Data Recorders) zogenaamde Black BOX. Waar alle scheeps data in kan worden opgeslagen zoals deuren open dicht, GPS, enz enz.. echt alles kan er aan gekopeld worden en mocht et schip zinken kan je de data uit de black box halen.

Laatste wat ik heb gehoord is dat deze systemen mogelijk ook aan het internet gehangen gaan worden.. En laat de interface van deze aparaten nou een simple PHP website bevatten met minimale beveiliging ook een plain text username en wachtwoord..

Echt kinder spel om die data dadelijk te beinvloeden via het internet. en ook mogelijk om de brug af te luisteren. enz

Teijgetje @To_Tall • 15 april 2013 19:52

Kwestie van een echte BlackBOX aanschaffen en verder niets bedraad te hebben.

Kost wat maar knappe jongen die producten van hen kraakt.

[Reactie gewijzigd door Teijgetje op 23 juli 2024 05:54]

To_Tall

@Teijgetje • 15 april 2013 23:58

Probleem is alleen dat Er in die branch weinig tot geen aandacht nog is voor beveiliging.. PC's zitten vol virussen. De scheeps computers zelf zijn nog niet gekoppeld vaak aan de VDR, maar de planning is dat wel te doen zodat werven de schepen vanaf afstand niet alleen de locatie weten maar ook hoe het met de lading staat en eventueel koeling enz.

Als die regeling er komt dat het verplicht wordt om data van de scheeps computers te koppelen zou theoretisch deuren, balast e.d. vanaf afstand aangepast kunnen worden..

GPS systemen draaien op normale zelf bouw systemen van de GPS bouwer. Op windows 2000

updates hebben ze nog nooit van gehoord. Systeem wat ik toen gezien had dat eventueel aan een VDR gekoppeld zou worden Was een versie waar gewoon de orginele CD in gedaan is voor windows en update's niet geïnstalleerd... Als de VDR dan ook aan het internet komt te hangen zonder goede beveiliging. Dan zou je dus gewoon een schip kunnen laten zinken. GPS omzeep helpen zonder dat de bediener het in de gaten heeft. Deuren open zetten. Balast aanpassen.

Ik heb er voor gewaarschuwd. Maar het wordt gewoon teniet gedaan door te zeggen wie zou er nou een schip op zo'n manier willen aanvallen??

4play 15 april 2013 18:55

Daarom nog even geen internet cv ketel voor mij...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: