Hacker ontdekt backdoor in D-Link-routers

Een hacker heeft in de firmware van een aantal D-Link-routers een backdoor gevonden. Hierdoor is het mogelijk om zonder wachtwoord de admin-interface te benaderen en routerinstellingen te wijzigen.

Een hacker met de naam Craig beschrijft op zijn blog hoe hij firmwareversie 1.13 van zijn D-Link DIR-100 analyseert. In de code duikt een 'alpha_auth_check'-functie op die kwetsbaar blijkt te zijn. Door in een browser de useragent 'xmlset_roodkcableoj28840ybtide' te gebruiken bij het benaderen van de router blijkt het volgens de hacker mogelijk om de logincheck te omzeilen. Via de backdoor is vervolgens volledige toegang tot de admin-interface beschikbaar en kunnen alle instellingen worden veranderd.

Volgens Craig is niet alleen de DIR-100 van D-Link kwetsbaar, maar ook de DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ en de TM-G5240. Ook twee routermodellen van de firma Planex zouden kwetsbaar zijn. Onduidelijk is nog of D-Link de backdoor zal dichten; het bedrijf heeft nog niet gereageerd op de bevindingen van de hacker.

user-agent controle in firmwarecode

Reacties (125)

bouncy 13 oktober 2013 14:12

Door in een browser de useragent 'xmlset_roodkcableoj28840ybtide' te gebruiken bij het benaderen van de router blijkt het volgens de hacker mogelijk om de logincheck te omzeilen.

"edit by (04882) joel backdoor"

hostname @bouncy • 13 oktober 2013 16:18

Sailliant detail is dat de CTO van AlphaNetworks, het dochterbedrijf van D-Link welke de software heeft gemaakt, Joel Liu heet.

[Reactie gewijzigd door hostname op 22 juli 2024 13:36]

Durandal @hostname • 13 oktober 2013 17:32

Dan de 04882 nog. Een of ander (NSA) personeelsnummer?

Jasper Janssen @Durandal • 14 oktober 2013 20:28

Gewoon het D-Link personeelsnummer van de medewerker die het erin geprogd heeft voor de CTO. Dat doet ie echt niet zelf.

Tonko Boekhoud @bouncy • 13 oktober 2013 14:49

+! "edit by (04882) joel backdoor" is de useragent van rechts naar links

rob12424 @Tonko Boekhoud • 13 oktober 2013 18:28

ja maar dat is het niet! en nee dit is niet de NSA. Dit is de CIA. Het is idd een backdoor. Waarom je dat kunt zien. Simpel: in de hackers gemeenschap is het code woord voor de CIA Joe Black. Ze zeggen ook wel eens: Meet Joe Black

Het is al enige jaren bekend dat distributeurs van Routers van de CIA backdoors in moesten bouwen (het was ook zeer opvallend dat Cisco ineens vollop opensource firmware ging promoten en ondersteunen maar het niet in eigen beheer nam (1x raden waarom)

Overigens grappig dat de programeur het er duidelijk niet mee eens was en deze anocrym heeft gebruikt.

Let er dus op het is waarschijnlijk dat een soortgelijke backdoor in meerdere routers zit!

bluegoaindian @rob12424 • 13 oktober 2013 23:06

De WPS backdoor in een lnksys router......

blorf @bouncy • 13 oktober 2013 15:29

En ik maar denken dat het iets met een rooie kabel te maken had

Verwijderd 13 oktober 2013 14:57

Achterdeuren zijn onderhand common practice bij routers. Zo is er een bijvoorbeeld in backdoor in een aantal TP-Link routers:

http://192.168.1.1/userRp...525557/linux_cmdline.html

User:osteam
Password:5up

DropjesLover @Verwijderd • 13 oktober 2013 15:58

Werkt gelukkig niet op de mijne (TL-WDR3600 N600)...
Vreemde combinatie overigens ook van user en pw?

kimborntobewild @DropjesLover • 17 oktober 2013 07:33

Waarom is dat een vreemde combo?

kodak @Verwijderd • 13 oktober 2013 16:16

Als dat een achterdeur is dan zit die aan de binnenkant. Dat is natuurlijk ook niet de bedoeling, maar het grootste risico zit in backdoors in de voorkant/Internetzijde.

jeroenvtec @Verwijderd • 14 oktober 2013 09:34

fun ik heb wel een pagina op dat adres met een wr1043nd, maar blijft promte voor username/password.

anyway ik zie liever geen devices met backdoors in mijn huis

stunrock 13 oktober 2013 21:59

Tip voor d-link bezitters

Als je nieuwere updates wilt, dan check het Duitse supportgedeelte.
Dat wordt beter bijgehouden, dan het nederlandse gedeelte.

Mijn Dir-825 bijvoorbeeld, heeft nu versie 2.09 terwijl in NL nog de versie 2.06 op de site staat.

wica @stunrock • 13 oktober 2013 23:11

En in deze 2.09 zit geen "backdoor"?
Ik weet niet meer welke gesloten firmware ik nog kan vertrouwen. Sterker nog welke HW is nog te vertrouwen?

Met de berichtgeving van de laatste tijd, lijkt het eerder regel dan uit zondering dat er iets in gebouwd is om "gemakkelijk" toegang te kunnen verkrijgen.

PirateStef @wica • 14 oktober 2013 00:32

Zodra je een pc met het internet verbind loopt het gevaar. dus voor 100% veilig moet je geen internet verbinding hebben. de grote vraag is hoe veel mensen zulle deze back-doors gebruiken?

stunrock @wica • 14 oktober 2013 07:45

En in deze 2.09 zit geen "backdoor"?

dat weet ik niet, maar als er een update komt, zal deze waarschijnlijk op de Duitse site eerder verschijnen, dan op de Nederlandse site.

Q 13 oktober 2013 15:58

Vulnerabilities in off-the-shelf routers (ik kijk naar jou Linksys) zijn schering en inslag. Je krijgt waar je voor betaalt.

Als je security wilt, kun je beter dit soort kastjes niet kopen. Overigens: het is niet zo dat je meteen 'echt' kwetsbaar bent, want tenzij je zo (ik zeg het maar hardop) dom bent om je management interface aan het internet te knopen, moet iemand al in je netwerk zitten om hier misbruik van te maken.

Als je security wilt kun je beter een 'professionele' firewall kopen waarbij de kans op fouten kleiner is, of je sleutelt zelf wat in elkaar met iptables ofzo.

kodak @Q • 13 oktober 2013 16:22

Wish full thinking: gebruikers hebben verstand van IT-beveiliging, genoeg geld en nemen een router/modem in gebruik zonder services aan de buitenkant.

En ondertussen kun je je afvragen of zelfs de meest gerenomeere leverancier weet welke code er allemaal in zn firmware zit en of iemand anders die gaat vinden als je er zelf geen zicht op hebt...

Het probleem is dat mainstream consumentenmarkt fabrikanten nog massaal producten op de markt zetten met onnodige services actief aan de Internet zijde.
Het probleem is dat gebruikers zich niet bewust zijn wat goede beveiliging is.
Het probleem is dat gebruikers via hun ISPs opgezadelt worden met apparatuur waar ze zelf geen invloed op hebben.
Het probleem is dat zelfs leveranciers niet altijd weten wat er in hun code zit.

Met andere woorden: je krijgt niet enkel waar je voor betaald, je krijgt gewoon iets in je strot gedrukt en moet door je beperkingen maar hopen dat het goed zit. We werken nu eenmaal op basis van vertrouwen en hoop.

[Reactie gewijzigd door kodak op 22 juli 2024 13:36]

kimborntobewild @kodak • 17 oktober 2013 08:01

Het probleem is dat gebruikers zich niet bewust zijn wat goede beveiliging is.

Dat is niet het probleem.
Je kan helemaal en sowieso niet van alle gebruikers verwachten dat ze weten wat goede beveiliging is. Precies zoals je een automobilist niet kan verwachten dat ze weten welke autoreparateur goed is.
Etc. Oneindig veel voorbeelden.

EQJim 13 oktober 2013 14:12

Goed dat de 'hacker' in kwestie dit meldt. Nu maar hopen dat er adequate actie wordt ondernomen door de fabrikant. Het doet een mens zich afvragen hoevaak er backdoors in (netwerk)apparatuur zit ingebouwd...

Verwijderd @EQJim • 13 oktober 2013 14:39

De fabrikant zal dit expres hebben ingebouwd. Daar zal wel geen update voor komen, of een symbolische, en dan bouwen ze een nieuwe in.

Verwijderd @Verwijderd • 13 oktober 2013 15:10

Geloof je dat zelf? Denk aan de imagoschade. Geen een zichzelf respecterende computerwinkel zal zich branden aan de verkoop van deze hardware.

Wat moet de verkoper dan zeggen? "Ja, er zit een backdoor in, maar het werkt wel goed hoor. Uw gegevens zijn veilig..."

En mochten ze werkelijk in de toekomst hetzelfde geintje uithalen en het wordt ontdekt, dan zorgen de nieuwssites er wel voor dat dit nieuws de mensen bereikt.

actionInvoke @Verwijderd • 13 oktober 2013 15:37

Ehm, afgelopen tijd onder een steen geleefd? Het is uitgelekt dat de NSA actief bedrijven forceert backdoors in te bouwen in hun software.

blorf @actionInvoke • 13 oktober 2013 15:56

Welke bedrijven?
Backdoors die gebruikt worden zijn altijd zichtbaar. Zeker een die in de router firmware zit. Hang een "monitoring" computer achter de router en je kan alles zien wat er voorbij komt. Tenzij de fabrikanten van alle hardware die je daarbij gebruikt in het complot zitten.

RGAT @blorf • 13 oktober 2013 16:36

Tja, als je Cisco (US) modem van Ziggo (betrokken met US) aan je Windows (US) pc hangt.........
Tussendoor: US kan vervangen worden met NL, BE, VK en een hoop anderen...
Een goede backdoor is niet zichtbaar, het verkeer ervan wel maar denk je werkelijk dat je in Wireshark ineens een packet langs ziet komen wat 'Windows 7 Backdoor Information Dump' heet?
<alu-hoedje>
De echt serieuze backdoors welke volgens velen door de NSA (o.a.) worden gedwongen in te bouwen worden dus door 1 instantie georganiseerd, dus daar is zeker de mogelijkheid een algemeen protocol te gebruiken wat niet opvalt of zelfs verborgen wordt.
</alu-hoedje>...

blorf @RGAT • 13 oktober 2013 18:41

Tussen je Windows-computer en je modem zit een gewone TCP/IP-verbinding waarop alles zichtbaar wordt na een paar eenvoudige maatregelen. Als daar duistere data overheen gaat is dat gewoon te zien. Zelfs als het data is die gecamoufleerd tussen een in gebruik zijnd protocol en poort zit kan je al je eigen communicatie verifieren en uitsluiten en alsnog constateren dat er iets in het geniep gebeurt om dat vervolgens te gaan analyseren. Een grootschalig complot waarbij alle betrokken partijen meewerken aan de wil van een NSA/Prism zou volgens mij zeer snel door de mand vallen. Maar het is ook niet nodig. Als ik het goed heb zijn o.a. Android en iOS al dirty gebleken, iig mbt het verzamelen van persoons- en verkeersdata en die worden nog steeds door miljoenen gekocht.

[Reactie gewijzigd door blorf op 22 juli 2024 13:36]

RGAT @blorf • 13 oktober 2013 19:32

Android uploadt alles naar Google servers, welke dankzij Prism open staan voor de NSA.
Microsoft doet ook mee met Prism, volgens Microsoft niet, maar volgens de documenten van de NSA wel...
Toegegeven, er is nog niet hard bewijs gevonden van een daadwerkelijke backdoor in Windows, enkel een paar aanwijzingen zoals verdachte keys, maar om nou te denken dat de NSA niet stiekem data over netwerken kan vervoeren is toch wel naief, gezien de toch wel erg schokkende energie (geld) de NSA steekt in gigantische spionage- en afluisterprojecten.
Maar wat houdt je tegen? Wireshark draaien of een profesioneel packet log systeem aanschaffen, zolang de oorsprong ervan maar niet is van een land waar de inlichtingendienst mogelijk backdoors afdwingt.....

mashell @blorf • 13 oktober 2013 20:34

een gewone TCP/IP-verbinding waarop alles zichtbaar wordt na een paar eenvoudige maatregelen. Als daar duistere data overheen gaat is dat gewoon te zien.

Klopt. Maar het gaat hier om een backdoor. En dat is engels voor achterdeur. Dat kun je letterlijk nemen, je kunt het gebruik van een achterdeur met een sniffer alleen opmerken als die achterdeur op dat moment actief gebruikt wordt. Dat is natuurlijk meestal niet het geval. Een backdoor is een methode van toegang, een alternatieve login. De achterdeur gebruiker kan eventjes inloggen om settings veranderen, waarschijnlijk ook geheime settings waar jij geen weet van hebt. Pas als de geheime setting "stuur een kopie van alle data naar de NSA" ook echt aan staat (en daar zijn wij natuurlijk helemaal niet interessant genoeg voor) kun je dat met je sniffer merken.

Madshark @blorf • 13 oktober 2013 20:21

Je kunt nog wel bijwijze van spreken op de modem gaan zitten, als men data uit je huis wil sneaken dan lukt dat toch wel.

Bijvoorbeeld, je Windows PC (microsoft, prism lid) maakt verbinding met de Microsoft Update server (microsoft, prism lid), met het downloaden van een laatste update, kan de 'oogst' prima, in kleine stukjes verzonden worden in de ACK pakketjes die teruggezonden worden om de download te laten plaatsvinden.

Ja, je zou nu je ACK pakketjes kunnen loggen en bekijken, maar als je het niet weet, laat je ze gewoon ongemoeid.
Dit is 1 van de 1000den voorbeelden die je zelf wel kunt bedenken om iets uit je netwerk te smokkelen.

XthinkZ @blorf • 13 oktober 2013 21:40

Ik kan me voorstellen dat als je er een overheidsinstantie aka CIA ertegenaan gooit met een miljoenen project ala onvindbaar zijn voor een datasniffer, het ze zullen lukken ook.

Iets creeren, en continu door een sniffer halen, om het zo aan te passen dat je er uiteindelijk ongemerkt mee weg kan komen..

http://nl.wikipedia.org/wiki/Flame_(malware)

Dit virus had ongemerkt een hele database server draaien op de besmette computer had ik gelezen.

http://rt.com/news/flame-virus-cyber-war-536/

Jasper Janssen @blorf • 14 oktober 2013 20:21

Een backdoor in de router firmware is nu juist *niet* zichtbaar, want die loopt alleen tussen het internet en de router. *Achter* de router zie je er per definitie helemaal niets van. Ook niet met een sniffer.

Je provider kan het wel zien, of als je een sniffer tussen de router en het modem hangt, maarja, dan gebruiken ze wel de backdoor in het modem...

Verwijderd @actionInvoke • 13 oktober 2013 16:31

Ehm, afgelopen tijd onder een steen geleefd? Het is uitgelekt dat de NSA actief bedrijven forceert backdoors in te bouwen in hun software.

Link aub. En liefst een van een "vertrouwde" bron en ook waar duidelijk wordt vermeld dat ze dit forceren.

-- Edit --

Iemand kan dit bericht wel -1 geven, prima niks mis mee. Maar ik heb nog geen antwoord gekregen van @actionInvoke waarin hij mij beschuldigde onder een steen te hebben geleefd.

Het probleem is, en dat maakt het eigenlijk nog veel erger, dat de NSA bedrijven niet forceert om het te doen, het gaan om commerciëel gewin. De NSA betaalt ze namelijk. En ze gaan heel geraffineerd hiermee om. Kijk maar op de blog van Bruce Schneier, in een artikel heeft hij dit duidelijk uitgelegd.

Maar als @actionInvoke mij tegenbewijs levert, prima, daar leer ik van.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:36]

Verwijderd @Verwijderd • 14 oktober 2013 09:10

Nu spreek je jezelf wel heel erg tegen. Je zegt in je eerste bericht dat ze er geen backdoors in doen vanwege de imagoschade. Dan zegt iemand dat ze er toe geforceerd worden en nu zeg je dat ze dat zelf doen...

Als bedrijven er vrijwillig een backdoor in maken lijkt mij dat meer imago schade...

Verwijderd @Verwijderd • 14 oktober 2013 09:22

> De fabrikant zal dit expres hebben ingebouwd. Daar zal wel geen
> update voor komen, of een symbolische, en dan bouwen ze een
> nieuwe in.

> Geloof je dat zelf?

Ik refereerde naar de tweede zin. Niet naar de eerste. Natuurlijk hebben ze het zelf ingebouwd. En bewust. Maar nu dit bekent is geworden, is het aan D-Link om te reageren hierop. Ik denk dat als ze een nieuwe backdoor in de toekomst in gaan bouwen zoals @Automark hier zei, dat ze dat niet meer verkocht krijgen, simpelweg omdat er nu tegenwoordig zoveel reviews zijn en iedereen de reviews leest voordat hij/zij iets koopt.

Bergen @Verwijderd • 14 oktober 2013 22:36

...simpelweg omdat er nu tegenwoordig zoveel reviews zijn en iedereen de reviews leest voordat hij/zij iets koopt.

De gemiddelde consument gaat naar de mediamarkt en pakt een router uit het schap, eventueel door de verkoper geadviseerd. Het grootste deel van de consumenten leest geen enkele review voor het aanschaffen van hardware of software. De gemiddelde tweaker-bezoeker is zeker geen gemiddelde consument.

mashell @Verwijderd • 13 oktober 2013 20:30

Je snapt toch ook wel dat elke link naar een internet pagina zoals elke andere internet pagina, in het bijzonder over dit onderwerp, onbetrouwbaar geacht dient te worden. En dat de NSA een geheime dienst is en de door jou gevraagd informatie dus ehh geheim is. Natuurlijk betaalt de NSA, een compensatie voor het verleende werk dat is gebruikelijk als de overheid het bedrijfsleven om een gunst vraagt. Zonder in de paranoia te schieten kun je op basis van wat we wel over de NSA weten deduceren dat ze zich van dit soort methoden (backdoors afdwingen) bedienen.

unglaublich @actionInvoke • 13 oktober 2013 22:35

En dan is de grote vraag de la vraag: wie is er dan eigenlijk de slechterik? Hopelijk realiseren we ons snel genoeg dat alle grootmachten even slecht zijn, daarom zijn ze ook zo groot geworden. Aardig zijn voor elkaar werkt alleen op kleine schaal. Maar dat mag de pret niet drukken!

FreshMaker @Verwijderd • 13 oktober 2013 17:51

Geloof je dat zelf? Denk aan de imagoschade. Geen een zichzelf respecterende computerwinkel zal zich branden aan de verkoop van deze hardware.

Wat moet de verkoper dan zeggen? "Ja, er zit een backdoor in, maar het werkt wel goed hoor. Uw gegevens zijn veilig..."

De enige die dit zal opvallen zijn de 'gevorderde' gebruikers.
Heb je enig idee hoeveel kwetsbare speedtouch adsl routers er nog rondzwerven, alleen in NL al ?
De gebruiker interesseert dit soort nieuws pas iets als er bij staat "achterdeur stuurt whatsapp berichten te laat door naar ontvanger'
En dan nog ligt het aan de provider, niet aan de hardware.

Verwijderd @FreshMaker • 13 oktober 2013 18:14

Nu jij weet dat D-Link routers backdoors kunnen bevatten, ga jij dan nog producten van hun aanschaffen?

Niemand koopt tegenwoordig nog producten zonder de reviews te bekijken. Als in zo'n review ergens staat dat er een backdoor in zit, is het vertrouwen weg. En vertrouwen, daar draait alles om. Denk maar aan de DSB bank. Die was binnen 2 weken failliet toen werd aangespoort om je geld snel op te nemen ivm foute beleggingen.

Dus ik denk dat dit een best grote impact kan hebben. Het hangt ook af van hoe D-Link gaat reageren.

RGAT @Verwijderd • 13 oktober 2013 19:39

Ik denk niet dat dit heel veel mensen intereseert, toegegeven mij zie je geen D-Link kopen (vooral omdat ik niks met het merk heb...) maar is Cisco nou zo'n goed alternatief?
De meeste mensen zullen dit soort nieuws niet krijgen of niet lezen, ze willen internet en telefonie en 'dat kastje aan de muur' doet dat, degene die wel zo min mogelijk backdoors en privacyschending willen zullen minder snel een D-Link kopen, maar volgens de Amerikanen zijn Huawei en ZTE ook niet te vertrouwen en volgens de documenten van de NSA en volgens China/Japan is Cisco weer niet te vertrouwen.

Als je het dan even doortrekt lees je dat Intel's CPU's een unit hebben die random nummers berekent voor encryptie, waarin de NSA schijnbaar een backdoor heeft, als de NSA dan toegang heeft tot de CPU's, kunnen ze vast ook wel bij de netwerk chips.
<alu-hoedje much?>
Het is allemaal speculatie, dus om nou te zeggen dat D-Link helemaal niet meer te vertrouwen is...

bluegoaindian @RGAT • 13 oktober 2013 23:04

"Als je het dan even doortrekt lees je dat Intel's CPU's een unit hebben die random nummers berekent voor encryptie, waarin de NSA schijnbaar een backdoor heeft, als de NSA dan toegang heeft tot de CPU's, kunnen ze vast ook wel bij de netwerk chips.

dit kan je voorkomen door een eigen routine te maken , die een ander device gebruikt om rendom data te verkrijgen zoals het netwerk device 3 senconde data opnemen xor met de crc van de 4 paketjes erna en je bent redelijk random.

RGAT @bluegoaindian • 13 oktober 2013 23:26

Oke dan los je dus een stukje op, maar mijn punt was meer dat aangezien ze volgens sommigen blijkbaar bij de CPU's kunnen de NSA vrij waarschijnlijk ook de netwerk chips van Intel (en andere bedrijven) kan beinvloeden waardoor veel meer routers, switches en modems beinvloed zouden kunnen worden.
Om weer terug te komen op mijn standpunt; dat het niet alleen D-Link is en een boycot van D-Link nou misschien wel overdreven is.

Verwijderd @Verwijderd • 13 oktober 2013 18:24

Echt heel breed zal dit niet in het nieuws komen, en zelfs dan is 'de gewone consument' het over een paar weken al lang vergeten. Wellicht een paar van de hier voorbij komende Tweakers zullen in het geval dat ze om advies worden gevraagd deze info nog in het achterhoofd hebben.

FreshMaker @Verwijderd • 13 oktober 2013 19:36

Nu jij weet dat D-Link routers backdoors kunnen bevatten, ga jij dan nog producten van hun aanschaffen?

Niemand koopt tegenwoordig nog producten zonder de reviews te bekijken. Als in zo'n review ergens staat dat er een backdoor in zit, is het vertrouwen weg. En vertrouwen, daar draait alles om. Denk maar aan de DSB bank. Die was binnen 2 weken failliet toen werd aangespoort om je geld snel op te nemen ivm foute beleggingen.

Dus ik denk dat dit een best grote impact kan hebben. Het hangt ook af van hoe D-Link gaat reageren.

Ik ben sowieso al geen fan van d-Link, maar dat is persoonlijk qua ervaringen, backdoors of niet.

En DSB is geen goed voorbeeld, mensen bang maken met hun eigen geld ( en dus toekomst ) is iets heel anders dan een elektronische / programmeer "fout"
( want zo wordt het door de consument gezien )
DSB is genaaid door een oplichter, die zelf ook niet een heel schoon dossier had, en een héél eigen agenda erop nahield.

Verwijderd @FreshMaker • 13 oktober 2013 19:51

Een backdoor is GEEN programmeerfout, maar een BEWUST ingebouwde feature. In deze is D-Link dus ook FOUT. En ze hebben heel wat uit te leggen.

Vanuit dat oogpunt lijkt me de analogie met DSB wel relevant. Maar het ging me over vertrouwen.

Jasper Janssen @Verwijderd • 14 oktober 2013 20:26

Een backdoor is niet per definitie een bewust ingebouwde feature. 9 van de 10 keer gaat het om dingen die niet verwijderd zijn uit de final nadat ze gebruikt zijn tijdens het development/test proces.

-Tom @Verwijderd • 13 oktober 2013 17:51

Ondanks alle media-aandacht die onder andere aan de NSA is besteedt, heb ik nog niet bepaald het vermoeden dat imagoschade een heel groot probleem is als het aankomt op beveiligingslekken. Een groot deel van de mensen lijkt -ondanks alle berichtgeving- geen enkel benul te hebben waar de NSA (e.a.) eigenlijk allemaal toe in staat is.

Verwijderd @-Tom • 13 oktober 2013 17:55

Het is geen beveiligingslek, het is een backdoor.

RGAT @Verwijderd • 13 oktober 2013 19:34

Een backdoor is een beveiligingslek...
Een hack is dat ook, maar een beveiligingslek is niet per se een hack of backdoor...

Verwijderd @RGAT • 13 oktober 2013 19:46

Een backdoor is een BEWUST ingebouwde feature. Een beveiligingslek is meestal onbewust.

D-Link heeft dus BEWUST dit ingebouwd en hebben daardoor dus heel wat uit te leggen.

Maar koop gewoon producten van D-Link hoor.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:36]

RGAT @Verwijderd • 13 oktober 2013 23:23

Wie zegt dat ik producten van D-Link wil kopen?
Een beveiligingslek is 'iets' waardoor de beveiliging niet meer gegarandeerd is, of dat nou een hackersaanval, backdoor, oude software of een onwetende gebruiker is doet niets af aan het feit dat het een lek is in de beveiliging, anders ook wel beveiligingslek genoemd...

Jasper Janssen @Verwijderd • 14 oktober 2013 20:25

Je zegt het al. Een beveiligingslek is meestal onbewust. In dit geval is hij mogelijk bewust ingebouwd, hoewel er geen enkel bewijs is dat hij bewust in het wild is losgelaten. Een backdoor die bijvoorbeeld voor de NSA specifiek was ingebouwd was wel obfuscated. Dat had de ontdekker dus niet met deze technieken gevonden.

Either way: een backdoor is gewoon een beveiligingslek. Niet ieder beveiligingslek is een backdoor.

Verwijderd @Verwijderd • 13 oktober 2013 16:45

Dit is niet echt een programmeer fout -althans niet volgens mij-. Als je iets inbouwt dat de useragent checkt, en dat een user vervolgens bij een bepaalde useragent niet hoeft in te loggen, dat lijkt mij idd specifiek ingebouwd en geen bug.

Verwijderd @Verwijderd • 13 oktober 2013 17:43

Natuurlijk is dat zo. Dat staat ook de titel van het artikel.

Jasper Janssen @Verwijderd • 14 oktober 2013 20:22

De betreffende useragent string heeft als component "joel backdoor" erin zitten (achterste voren zonder spatie).

Het is kortom een backdoortje dat door ene Joel is ingebouwd ergens in het test proces en die nooit is verwijderd. Foutje.

Verwijderd @EQJim • 13 oktober 2013 14:18

Het is niet voor niks dat bedrijven die grote datacenters beheren de hardware op maat laten maken in taiwan/china en eigen of opensource software gebruiken.

Hatsjoe @Verwijderd • 13 oktober 2013 17:28

Die gebruiken gewoon kant en klare systemen van Cisco, HP en Juniper hoor...

Maar ik vraag me af waarom die backdoor er überhaupt in zit. Heeft totaal geen nut, en levert enkel beveiligingsrisico's op. Als je je wachtwoord vergeten bent, kan je gemakkelijk fysiek de router resetten, om zo er weer in te kunnen.

En voor overheden is het ook niet nodig, die kunnen gewoon een tap op je internet verbinding laten aanleggen door de ISP.

Verwijderd @Hatsjoe • 13 oktober 2013 20:23

Misschien hebben ze die backdoor ingebouwd voor testdoeleinden en hebben ze het daarna vergeten te disablen? Heb ik vaker gezien dat bepaalde functionaliteit die specifiek voor testen was bedoeld niet was verwijderd.

Nas T @Verwijderd • 14 oktober 2013 04:58

Ja, menselijke fouten bestaan nog steeds. Het is niet per definitie goed dat dit wordt gemeld, eerst moet de fabrikant op de hoogte worden gesteld. Blijft actie (te lang) uit, dan voer je de druk op door het de wereld te melden.

theBazz @Nas T • 14 oktober 2013 11:27

Misschien heeft deze hacker dit ook gedaan? Wordt voor mij niet duidelijk uit de tekst

offtopic: Over de fabrikant gesproken:
Grappig trouwens dat Tweakers meteen (automatisch) reclame voor de D-link router naast het artikel plaatst. In dit geval misschien minder effectief als reclame?

Icingdeath @Hatsjoe • 13 oktober 2013 22:45

Ik denk dat (id)init hierop doelt Google, Microsoft, and others buy networking gear directly from Asia

[Reactie gewijzigd door Icingdeath op 22 juli 2024 13:36]

jopie @Verwijderd • 13 oktober 2013 17:54

Waardoor je nog niet weet of er toch een backdoor in zit.

Conzales @jopie • 14 oktober 2013 00:53

Daarom is het altijd goed om op je 'Fisher-Price'-router een fatsoenlijk systeem te zetten zoals DD-WRT of OpenWRT (of afgeleiden). Dan hoef je je niet af te vragen of er nog ergens een backdoor is blijven hangen, oftewel ingebouwd voor 'ondersteuning'. Bovendien ben je meteen van die meuk af, lees interfaces, wat de fabrikant een besturingssysteem noemt. Het beste is een router met een chipset/SOC van Atheros. Dan ben je vrijwel verzekerd van ondersteuning voor alternatieve firmware. Broadcom levert betere prestaties, maar is niet altijd even open helaas.

[Reactie gewijzigd door Conzales op 22 juli 2024 13:36]

evangael @Verwijderd • 13 oktober 2013 22:24

Grote datacenters gebruiken grote merken zoals Cisco, Juniper, Brocade etc. Dewelke ook hun deel van fouten bevatten. Enkel big players zoals Google maken hun eigen switchen en netwerkapparatuur.

Nog nooit heb ik gehoord van datacentra's die hardware op maat laten maken...

Jasper Janssen @evangael • 14 oktober 2013 20:18

Je noemt er zelf al een: Google. Ook Facebook heeft bekend gemaakt op welke manier ze custom hardware direct bij de OEMs laten maken. Ook Microsoft en Amazon (2 grote cloud providers) doen dit soort dingen, al laten ze er niets over los.

Hij had het dan ook over "partijen die grote datacentra beheren", niet over "partijen die een colocatie faciliteit aanbieden".

dasiro @EQJim • 13 oktober 2013 17:53

maakt niet veel uit, tenzij de routers een auto-update functie hebben die standaard aan staat, zal 99% van de eigenaars die toch nooit installeren en zal de backdoor op 99.999% van de routers toch nooit misbruikt worden

Joseph 13 oktober 2013 14:16

Dit is nog maar het topje van de ijsberg. Ik wacht op het moment dat ook bij andere fabrikanten soortgelijke dingen worden ontdekt. Zelf Linus is gevraagd een backdoor in de Linux-kernel in te bouwen.

sypie @Joseph • 13 oktober 2013 14:27

Dat hij daarvoor gevraagd is, of zelfs onder druk is gezet, is niet zo erg. Het gaat om de reactie die gegeven is. Is Linus er wél of niet op ingegaan.

Pb Pomper @sypie • 13 oktober 2013 16:50

Hoezo is het niet erg dat hij onder druk is gezet? Ik vind het behoorlijk kwalijk. Begrijpelijk? Ja. Niet erg? Nee.

kodak @Joseph • 13 oktober 2013 15:03

Joseph, of het het topje van de ijsberg is waag ik te betwijfelen. Al decenia lang vinden onderzoekers met enige regelmaat dit soort verborgen toegangswegen in apparatuur. Vaak zit het er in omdat ontwikkelaars makkelijk toegang wilden en er onvoldoende kwaliteitscontrole op de firmware is. Kijk maar terug naar 15/20 jaar geleden tot op heden.

Dat van Linus was een geintje - hij had alleen niet door hoe sommige so-called journalisten zijn mening omzetten in een halve waarheid. Het is nu weer even populair: geheime organisaties willen alles weten en zullen vast overal toegang toe hebben door geheime afspraken. En ja, ze zullen het vast proberen, maar het is niet slim om het zo aan te pakken: hi wij zijn van de NSA en willen toegang en hou je mond erover. Er zijn duizenden personen bij betrokken waar je geen invloed op hebt, de kans is dan veel te groot dat het word ontdekt en de NSA zn hand verspeelt. (Daarbij, er zijn nog een paar honderd andere organisaties die hetzelfde willen en echt niet heel goed of graag met elkaar samenwerken - wat verwacht je dan 50 backdoors in iedere firmware?)

actionInvoke @kodak • 13 oktober 2013 15:42

Ehm, gat in je stelling is dat er wel degelijk mensen zijn die gelekt hebben. Wat zij zeggen toont aan wat de meeste al lang vermoeden. Daarnaast doen de meesten hun mond niet open omdat daar extreme/onredelijke straffen op staan en je alleen een schijn proces krijgt. En als je denkt dat je in het buitenland veilig bent dan heb je het mooi fout, die amerikanen hebben compleet geen respect voor de soevereiniteit van andere landen.

kodak @actionInvoke • 13 oktober 2013 16:13

Mensen doen wel degelijk hun mond open, ongeacht wetten en mogelijke straffen. De een praat namelijk perongeluk zn mond voorbij. De ander doet het in vertrouwen anoniem aan een collega van een concurrent. Weer een ander geeft hints weg al dan niet met opzet.

Hoe groter de verspreiding onder verschillende producenten of zelfs producten van 'verplichte' backdoors, hoe groter de kans dat de hele omvang duidelijk is. En dat wil een geheimedienst x uit de USA, y uit Verweggistan, of z uit een EU-land etc. echt niet.

arbraxas @kodak • 13 oktober 2013 17:45

Oh, vandaar dat PRISM voor Snowden een algemeen bekend feit was.
Daar hebben hooguit een man of 2 aan geprogrammeerd, wat kleine bedrijfjes als Google, MS, Apple en Facebook meegedaan. Ach waar hebben we het over? Een man of 10?

En Snowden gaat tot aan zijn kist vervolgd worden, alleen al om een voorbeeld te stellen. Dus dat 99,99% het niet in zijn hoofd haalt om uit de school te klappen snap ik wel.
Voor veiligheidsdiensten is het internet een godsgeschenk, De hele wereld beschikbaar via een datalijntje. (Dat is iets te simpel, ik weet het). Dat er backdoors in soft- en hardware zit werd allang vermoed, nu komen langzamerhand de bewijzen ook.

Dit specifiek geval vind ik dan nog geen keihard bewijs, maar een logincode die alles omzeilt vind ik op zijn minst enigzins verdacht.

Verwijderd @arbraxas • 14 oktober 2013 07:30

PRISM is geen backdoor.

Lees je eens in.
Tip: De naam PRIMS verklapt al heel veel in combinatie met glasnetwerken

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:36]

StGermain 13 oktober 2013 14:50

Op Ricoh printers heb je ook zoiets, als je het admin paswoord niet kent kan je dat resetten of een extra accountje bij maken door in te loggen met account supervisor en een blanco password...

styno @StGermain • 13 oktober 2013 15:22

... uit een KRO documentaire waarin ook printers van HP zonder wachtwoord vanaf het internet benaderd kunnen worden en NAS apparaten van IOmega die open staan voor iedereen.

http://www.youtube.com/watch?v=okhfDsKmAoY

Verwijderd @styno • 14 oktober 2013 07:26

Wat dacht je van complete scada netwerken die vaak over het gewone internet gaan via een VPN? Soms als ik die zaken zie waar ik mee werk denk ik... ohw ohw ohw. Als dit maar niet bekend zal worden. Dan kunnen mensen met gemak de hele installatie plat leggen.

gise 13 oktober 2013 17:40

Mocht er vanuit D-Link een firmware update beschikbaar komen om deze specifieke backdoor te dichten, hoeveel consumenten zullen daadwerkelijk deze update installeren? Denk dat meeste mensen nieteens het merk van hun modem/router weet.

Verwijderd @gise • 13 oktober 2013 18:27

Hoeveel mensen zullen hem uberhaupt hebben? Veruit de meeste mensen krijgen zo'n dichtgehamerd ISP ding en kijken er niet meer naar om want het werkt. Hier in NL althans.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:36]

TheMe 13 oktober 2013 17:59

Heeft D-Link de admin paginas standaard toegankelijk of kun je deze backdoor alleen gebruiken als het al toegang hebt tot het wifi netwerk.?
Of werkt de backdoor juist voor extern toegang tot de router?

Petervanakelyen @TheMe • 13 oktober 2013 19:55

Met deze backdoor kom je vanuit het lokale netwerk rechtstreeks en zonder authenticatie op de webinterface terecht. Voor remote access werkt de backdoor even goed, maar de gebruiker moet wel expliciet remote administration hebben aangezet.

TheMe @Petervanakelyen • 13 oktober 2013 20:08

Check.
Dus simpel wardriven en vanaf straat de backdoor misbruiken is niet praktisch. Vanuit een LAN/WLAN situatie is er wel van alles mogelijk.

bahamapleister 13 oktober 2013 15:30

2010?
http://forum.codenet.ru/q...5%D1%82?s=0#answer_311624

?

t1mmy @bahamapleister • 13 oktober 2013 17:10

Via google translate: http://translate.google.c...-%2Bдайте%2Bсовет%3Fs%3D0

I_Alone @t1mmy • 13 oktober 2013 19:06

Dus de rus had de string gevonden maar (nog) niet dat het gebruikt werd voor een user-agent check en als back door kon dienen. Hoewel hij het wel achteruit had gelezen en de hint hem zeer waarschijnlijk niet was ontgaan. :-)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (125)

Sorteer op:

Weergave: