Groep plaatst uit protest lijsten met kwetsbare Asus-routers online

Een onbekende groep heeft een lijst met meer dan tienduizend ip-adressen gepubliceerd van Asus-routers met een kwetsbare ftp-client. Ook de logins van de AirCloud-inlogdienst zijn vrijgegeven. De publicatie zou zijn gedaan om Asus onder druk te zetten de gaten snel te dichten.

Volgens de groep, die bestaat uit acht anonieme internetgebruikers, bevatten diverse routermodellen uit de RT-serie van Asus een aantal beveiligingsgaten en standaardinstellingen die bij de fabrikant al lange tijd bekend zijn maar nog steeds niet zijn gedicht. Daarbij wordt verwezen naar een posting van SecurityFocus in juni waarin diverse kwetsbaarheden worden aangekaart. Zo schakelt Asus bij de optie voor ftp-toegang standaard anonieme toegang in, waardoor iedere internetgebruiker eenvoudig de inhoud van bijvoorbeeld een aangesloten harde schijf kan uitlezen. Een tweede fout is dat de AirCloud-server de benodigde gebruikersnamen en wachtwoord wegschrijft in een onversleuteld tekstbestand dat bovendien is te downloaden.

Omdat Asus volgens de groep deze problemen nog niet tot nauwelijks zou hebben opgelost is er uit protest een torrentbestand online geplaatst met gevoelige data, waaronder bijna 13.000 ip-adressen die naar een kwetsbare Asus-router verwijzen. Ook zijn er directorylijsten te vinden die zijn opgevraagd via de anonieme ftp-toegang van de routerfirmware, evenals logindata voor AiCloud.

Hoewel de groep erkent dat met de publicatie van deze gegevens onschuldigen getroffen kunnen worden, stellen zij dat het doel de middelen heiligt: dit zou de enige manier zijn om bedrijven voldoende wakker te schudden om de beveiligingskwesties daadwerkelijk te verhelpen en de beveiliging van producten die hun klanten afnemen serieus te nemen. Asus heeft voor een aantal routermodellen echter al wel firmware-updates uitgebracht die de aangehaalde beveiligingsproblemen zouden verhelpen. De gebruiker dient echter wel zelf de nodige stappen te zetten om de update uit te voeren.

Reacties (75)

Verwijderd 5 februari 2014 18:03

Ondanks dat ik prima het doel van deze gasten begrijp, snap ik niet dat ze het maar open en bloot op het net zetten..

Hoeveel van deze 13.000 routers staan bij bijvoorbeeld ouderen die absoluut niet weten dat je de firmware kan/moet updaten?

freaky @Verwijderd • 5 februari 2014 18:09

Eens.

Aan de andere kant, blijkbaar zijn voor veel modellen na 8 maanden de gaten nog niet gedicht.

Brak zijn ze toch al - alleen iets makkelijker te benaderen nu.

huntedjohan @freaky • 5 februari 2014 18:29

ook al zou asus het slechte bedrijf op aarde zijn, dan nog horen groeperingen helemaal nooit dit soort gegevens openbaar te maken. hiermee pakken ze asus niet, maar de bezitters van deze routers. als ze dan een statement willen maken gaan ze lekker voor het hek bij asus liggen en eisen ze een update.

ik vind dit persoonlijk echt actie's die vele male crimineler zijn als het feit dat asus op zich laat wachten met updaten.

CoranOrange @huntedjohan • 5 februari 2014 18:58

Denk wel dat asus gepakt word. Dit noem ik nu niet positieve publiciteit. De volgende keer dat ik een router koop word het denk ik geen asus.

Van mij part hadden ze wel eerst kunnen dreigen met de gegevens online zetten en het daarna echt doen. (Weet niet of dat gebeurt is? Staat zo niet in het artikel.) Als ze dit wel gedaan hebben zeg ik tjah wat moet je anders dan? Asus is van zichzelf schijnbaar niet genoeg geïnteresseerd in veiligheid of klantenservice om het zonder een stok achter de deur te doen.

huntedjohan @CoranOrange • 5 februari 2014 19:06

Als ze dit wel gedaan hebben zeg ik tjah wat moet je anders dan? Asus is van zichzelf schijnbaar niet genoeg geïnteresseerd in veiligheid of klantenservice om het zonder een stok achter de deur te doen.

in ieder geval niet onschuldige burgers opzadelen met dit probleem. ga protesteren bij asus zelf, niet bij de burgers die er alleen maar de dupe van worden, en er niets aan kunnen doen, of veranderen.

geekeep @huntedjohan • 5 februari 2014 20:12

Helaas is het tegenwoordig blijkbaar nodig om bedrijven aan de publieke schandpaal te hangen via fora, social media of tv-programma's voordat ze adequaat reageren, gezien de vele gevallen de afgelopen jaren... Denk aan Wehkamp, Otto, zowat alle mobiele providers, menig zorgverzekeraar, overheden, gemeentes, banken (etc, etc, etc) die pas op klachten van 'klanten' ingaan nadat iemand de openbaarheid opzoekt.

huntedjohan @geekeep • 5 februari 2014 20:25

is dit een bedrijf publiekelijk aan de schandpaal nagelen? of is dit prive gebruikers publiekelijk in het nauw te drijven? het lijkt wel alsof met dit soort dingen elk middel is toegestaan om een bedrijf tot inzicht te brengen, maar dat mag toch niet ten koste gaan van onschuldige en vaak ontwetende burgers?

CoranOrange @huntedjohan • 6 februari 2014 12:29

Als je een router erbij koopt. Naast degene die je van de provider koopt ben je waarschijnlijk niet zo'n onwetende burger.
Vergeet niet dat Asus zelf al deze volgens jou onwetende burger "in het nauw drijft" omdat ze weigeren een al bekende beveiligingslek te fixen.

Deze beste mensen hebben zoals in het artikel staat 7 maand geleden al geklaagd over dit lek. Zelfs tot in de puntjes duidelijk gemaakt wat het probleem is wat het zoeken van een oplossing erg moet versnellen maar Asus heeft hier niets mee gedaan.

Nu word Asus tenminste gedwongen om wat te doen en staan die mensen nog even langer open voor vijandigheden in plaats van nog veel langer openstaan voor vijandigheden.

Vergeet niet dat dit groepje behulpzame hackers deze mensen heeft weten te vinden en dat er nog duizenden meer hackers actief zijn die hetzelfde weten en kunnen. Deze hackers zijn prima in staat om hetzelfde te doen en hebben dat waarschijnlijk ook al 7 maanden lang gedaan. Enige verschil is dat de lijst nu bekend is bij het grotere publiek in plaats van alleen bij alle hackers.

Als dit groepje het tegenkomt komen kwaadaardige hackers dat ook. De vijand is niet zo dom als jij denkt. Het enige wat nu veranderd is dat sommige mensen met die routers het nu weten en dat het gehele publiek weet dat Asus lak heeft aan dat jij gehacked word.

Floor @huntedjohan • 5 februari 2014 20:47

Tja, Asus doet dus niks. De burgers hebben al reeds problemen dus wat wil je nu zeggen?
Wie niet luisteren wil moet maar voelen. Dat het werkt zuur je wel bij bijvoorbeeld Sony.
Ze hebben 8 maanden de tijd gehad...

Zer0 @Floor • 5 februari 2014 20:55

Wie niet luisteren wil moet maar voelen.

Maar waarom moeten de gebruikers het voelen?
Wat is het volgende? Als je een probleem hebt met de bakker buiten zijn klanten opwachten en in elkaar slaan?

freaky @huntedjohan • 6 februari 2014 10:15

Ze zadelen onschuldige burgers niet op met het probleem - dat hadden ze al - al meer dan 8 maanden overigens het is pas 8 maanden in een wat grotere groep bekend.

Zoals gemeld houden de meeste mensen met intenties om bij je in te breken dergelijke mailing lijsten ook wel in de gaten - dus ook die waren al lang op de hoogte.

Die burger zelf echter nog niet.

Het enige dat verandert is, is dat er nu een lijstje met IP adressen is. Beetje hacker had die zelf al lang vergaart met een scannertje her en der. Zelfs een scriptkiddie kan dat. Kan het waarschijnlijk de gemiddelde 12 jarige nog uitleggen als het moet.

Sterker nog, las laatst iets over een poortscanner die het hele internet in 3 minuten indexeert (nou ja goed - die had wel meerdere 10GBe links

).

Het was in ieder geval lang niet zo geheim als jij wilt doen geloven - verre van. Asus was al meermaals geattendeerd. Wellicht dat die kwetsbare burger nu ook weet dat ie kwetsbaar is, zodat ie, minstens 8 maanden te laat weliswaar, iets van actie kan ondernemen.

Hoe dan ook - die gebruiker was al niet veilig.

Caelestis @CoranOrange • 6 februari 2014 06:33

Ach als je ook eerst even een seconde langer gaat nadenken dan valt het allemaal nog wel mee.

Het eerste "lek" is niet eens een lek maar een ontwerp keuze als je de FTP toegang voor het eerst inschakelt. Als je daarna zelf niet in staat bent om het in te stellen zoals je dat zelf wilt waarom dan uberhaupt eraan beginnen???

En de AI cloud tja is een beetje jammer dat het onversleuteld is maar je komt er niet op zonder in het netwerk zelf te zitten. Het is geen functie wat van buiten af beschikbaar is dus als iemand in je AIcloud zit te neuzen dan is de hacker allang je gehele netwerk binnen gedrongen en heb je andere problemen.

David Mulder @freaky • 5 februari 2014 18:16

Dat heb ik ook wel een beetje, het is niet alsof ze iets publiceren wat niet al op internet stond. Want die wachtwoorden stonden gewoon op het internet... wat ze vooral hebben gedaan is het nu bijelkaar verzameld. Mijn gut feeling is dat wat ze doen zwaar onetisch is, maar om dat te berationaliseren heb ik toch wel wat moeite mee... want een gerichte aanval is hiermee niet makkelijk geworden... als iets dan ligt het probleem in het feit dat ze deze hack nu ook onder de publieke aandacht hebben gebracht.

freaky @David Mulder • 5 februari 2014 18:23

De mensen die zich in die circuits bezig houden, houden secfocus ook wel in de gaten (dat doe ik ook - en ik hack niet eens (maar patch graag tijdig - of schakel het uit in dit soort gevallen)) en waren al wel op de hoogte dus sinds juni.

Die mensen kunnen al 8 maanden hun gang gaan zonder dat iemand ze een stro breed in de weg ligt.

Het is een lastig ethisch verhaal inderdaad, maar het is eigenlijk al te bezopen voor woorden dat dit soort groeperingen zich genoodzaakt voelen om tot dergelijke acties over te gaan omdat de fabrikant anders gewoon weigert iets te doen. Vind 8 maanden wachten niet bepaald een geringe termijn.

freaq @freaky • 5 februari 2014 18:15

niet alleen dat, als je echt interesse had dit te doen dan had je prima zelf al uit kunnen vinden hoe het moet, dit genereert alleen de publieke opinie dat dit echt belangrijk is. het was al belangrijk maar het publiek was er zich alleen niet van bewust.

SgtElPotato @Verwijderd • 5 februari 2014 18:05

Ik denk vrij weinig, aangezien die in 99% van de gevallen gewoon de standaard router van hun provider in gebruik hebben.

Toch jammer dat het op deze manier moet, zo te zien heeft Asus zijn haar klanten niet erg hoog in hun vaandel staan.

[Reactie gewijzigd door SgtElPotato op 23 juli 2024 05:08]

Z_God @SgtElPotato • 5 februari 2014 20:34

Er zijn aardig wat ISPs die standaard juist ASUS-routers leveren. Iig http://www.volia.com doet dat.

Verwijderd @Verwijderd • 5 februari 2014 18:29

Asus support zijn harware slecht en laat klanten met serieuze klachten vaak in de kou staan dus heel mooi dat wat mensen dat nu net even niet slikken van de "Heart of Techology"

Op deze manier komt er vanzelf een kleine benodige hart transpantatie.

xFeverr @Verwijderd • 5 februari 2014 23:39

Dat is onzin... Ik heb zelf ooit eens een brief gehad van asus over een foutje met de oplader (die stak te ver uit) en er zat een tooltje bijgevoegd waarmee ik het Kon oplossen... Vind ik zeer netjes!

waarom moet hier een update voor uitkomen? Ftp staat per default niet eens aan, dus je moet deze zelf hebben aangezet. Dat de anonieme login per default aanstaat kan je zelf toch ook wel zien en dan uitzetten... Je zet immers de ftp ook al aan.

nu staat er een lijst op internet met mensen die zelf niet dat knopje op uit hebben gezet en krijg asus de schuld? Vreemd... Heel overdreven dit allemaal hoor.

Verwijderd @xFeverr • 6 februari 2014 02:02

Jij baseert je conlusie over support met een ervaring en dat is statistisch gezien zo goed als een factor 0, ik zal het maar niet gelijk onzin noemen.

Gezien mijn vakgebied heb ik talloze ervaringen met ASUS support vandaar de iets meer op aantal gebaseerde conclusie en niet van 1 ervaring hebbend.

Allovich @Verwijderd • 5 februari 2014 18:11

Denk niet dat ze dan ftp gebruiken... geloof me, ouderen komen vaak niet verder dan het gebruik van http(s) en weten niet eens wat dat is. De computer is het meestgebruikte apparaat waar de gebruiker doorgaans niet weet hoe ze ermee om moeten gaan en dat brengt op zich al een enorm veiligheidsrisico met zich mee.

Naast browsen, soms skype en e-mailen houdt het wel weer op bij de 'ouderen' waar jij naar refereert... de rest moet een ander ze uit komen leggen en hebben ze vast geen behoefte aan.

mcDavid @Verwijderd • 5 februari 2014 18:16

Deze gegevens zijn niet moeilijk verkrijgbaar of geheim. Iedereen met een heel klein beetje verstand van techniek en een internetverbinding, kan zo'n lijst zo samenstellen. Als mensen kwaad in de zin hebben gaan ze echt niet zitten wachten op zo'n lijstje. Terwijl het publiceren van deze lijst wel het gewenste shock-effect heeft en Asus hopelijk eindelijk eens wakker geschud wordt, en zo niet iig een hoop Asus-router eigenaren zich even achter de oren krabben.

Kortom, uiteindelijk is iedereen hierbij gebaat.

sotiri @Verwijderd • 5 februari 2014 18:18

inderdaad want hackers kunnen hier nu misbruik van gaan maken...

Trommelrem @Verwijderd • 5 februari 2014 18:31

Ze hadden ook gewoon delen van wachtwoorden kunnen posten, zodat je er nog niets aan hebt, maar wel kunt verifieren dat het echte wachtwoorden zijn.

Verwijderd @Verwijderd • 5 februari 2014 18:39

Denk je nu echt dat ouderen een extra router kopen? Antwoord nee die maken gewoon gebruik van de standaard router functionaliteit in de modem/router die je krijgt van de internetaanbieder. Als ze wel al een router kopen dan kiezen ze eerder voor een goedkoop model.

laptopsheerlen @Verwijderd • 5 februari 2014 19:00

Precies waar ik ook aan dacht. Er zijn genoeg mensen die alleen maar het plug n play principe hanteren. Dit kun je ze ook eigenlijk niet kwalijk nemen want je verwacht dat een fabrikant een zo veilig mogelijk product verkoopt.

Verwijderd @Verwijderd • 5 februari 2014 20:35

Zelf heb ik de RT-AC66U als je een update doet via de web interface, wat denk ik veel gebruikers doen, krijg je The router's current firmware is the latest version. Als je vervolgens via de Asus site kijkt zijn er al weer 2 nieuwe updates beschikbaar. Voor de meeste gebruikers denk ik beetje ingewikkeld en daardoor ook onveilig.

Asus laat hier behoorlijk wat steken vallen.

kipppertje @Verwijderd • 5 februari 2014 21:01

Beter was het om Asus een laatste ultimatum te geven: als er binnen 48 uur geen oplossing is gooien we de 13.000 ip adressen online.
Overigens is de kreet "het doel heiligt de middelen" een rare uitspraak: het zou hetzelfde zijn als Sea Shepherd walvissen zou afslachten uit protest tegen het afslachten van walvissen. Of zoiets. Het is raar om de groep die je wil beschermen uit protest bewust in gevaar te brengen.

_Thanatos_ @Verwijderd • 6 februari 2014 01:09

Hoeveel van deze 13.000 routers staan bij bijvoorbeeld ouderen die absoluut niet weten dat je de firmware kan/moet updaten?

Of jongeren die absoluut niet weten dat je de firmware kan/moet updaten.

geedsen 5 februari 2014 19:16

Twee weken geleden een bug ontdekt in de router's mediaserver. In eerste instantie was support heel behulpzaam. Ging erom dat als een MP3 bepaalde teksten had in het 'comment' veld, de gegenereerde DIDL (UPNP) XML foutief was waardoor clients die MP3's nooit konden 'zien'.
In eerste instantie de foutieve XML opgestuurd, daarna op hun verzoek een MP3 waarmee ze de fout konden reproduceren.

Krijg ik als reactie, dat ze inderdaad de fout kunnen reproduceren maar dat het alleen met deze MP3 optreedt, niet met andere MP3's die zij hebben (logisch, alleen mijn MP3 heeft de problem tekst in het comment). Dus volgens R&D in Taiwan ligt het aan de MP3 en niet aan de mediaserver, en moet ik de comments maar wijzigen....

Z_God @geedsen • 5 februari 2014 20:35

Was dat ook bij ASUS?

Verwijderd 5 februari 2014 18:08

Ik heb heel vaak mijn auto niet op slot. Is er ook een anonieme groep te vinden die mijn locaties online wil zetten? Dank u.

Erg onverantwoord om onschuldige slachtoffers te maken. Veel mensen hebben geen idee.

rijsd052 @Verwijderd • 5 februari 2014 18:37

Dat is een te slecht voorbeeld dat je nu geeft aangezien dit niet gaat om mensen die zelf hun router hebben opengezet maar de fabrikant.

Als je de vergelijking wilt maken is het dat jou auto merk en type wel een slot heeft maar iedere sleutel kan hem open maken en er mee kan wegrijden.

en de fabrikant is hier van op de hoogte maar neemt
1 geen contact op met de klanten van het type auto (iets wat voor Asus wel iets moeilijker is dan voor een autofabrikant)
2. Zorgt er niet voor dat de sloten worden vervangen (in dit geval heeft Asus het makkelijker want ze hoeven alleen maar een update uit te brengen).

In het kort als jij een nieuwe auto koopt wil je toch geen universeel slot er standaard op hebben.

Verwijderd @rijsd052 • 5 februari 2014 19:56

Dat is een te slecht voorbeeld dat je nu geeft aangezien dit niet gaat om mensen die zelf hun router hebben opengezet maar de fabrikant.

Ahhh maar er zijn bestanden online die met redelijk goedkope hardware AUDI's bijvoorbeeld openen. Die files zijn nu alleen voor dieven die er heel veel geld voor over hebben maar jij zou het geen punt vinden als die files op TPB zouden staan? Dat zal AUDI leren!!!!

Maar de mensen die dit online hebben gezet zijn zoals zo vaak zonder naam want ze weten dat ze (net als ASUS) verantwoordelijk zijn voor misbruik. Persoonlijk beschouw ik ze als helers die dieven vertellen waar ze moeten inbreken.

Overigens heeft mijn buurman zijn sleutel in dat namaak vogelnestje dat links van de voordeur hangt. Als je binnen komt meteen linksaf want in zijn kantoor zijn twee laptops en aan iPad te vinden. De hond is 17 jaat oud en doof. Doe me een lol en neem de grasmaaier niet mee want die is van mij.

Rossman @Verwijderd • 6 februari 2014 17:22

Bovendien heb ik in mijn auto een instelling dat als ik wil de auto zich automatisch sluit als ik het vergeet met de sleutel te doen. Of dus niet. Het feit dat die optie er is in het kader van functionaliteit (1 keer vergeten je sleutels uit de auto te halen) is de fabrikant toch niet aan te rekenen? Heeft iemand een gebruiksaanwijzing van die routers bij de hand? Staat daarin iets als "pas op, het wordt aangeraden een wachtwoord te gebruiken bij die verbinding?". Net zo als dat je wachtwoord van je router zelf moet veranderen in plaats van password of 12345?
Je koopt een product met een zekere functionaliteit. Dan moet je het ook goed gebruiken. Normale mensen weten niet eens wat een script kiddie is (is dat een nieuw soort koekje? Heb ik laatste een reclame van gezien,,,). Die moeten dan ook niet blindelings een router kopen zonder zich ervan op de hoogte te stellen wat dat ding nou allemaal kan doen....

SuperDre @rijsd052 • 5 februari 2014 20:47

Dat is een te slecht voorbeeld dat je nu geeft aangezien dit niet gaat om mensen die zelf hun router hebben opengezet maar de fabrikant.

Nee, de fabrikant heeft een product geleverd waarbij je zelf kunt bepalen of je iets open en dicht wil hebben, zij hebben als default dat ding open gezet, maar uiteindelijk is het de consument zelf die verantwoordelijk is voor de inrichting van de router zelf.. Dat het misschien beter is om de optie standaard uit te zetten is een ander verhaal.

En als jij een auto koopt, dan loop je toch ook alles eerst na voordat je de auto in gebruik neemt, waarom zou dat bij een router anders moeten zijn.. Als de ftp poort nu naast standaard open te staan ook niet dicht te zetten is (door een fout in de firmware), DAN is het een heel ander verhaal..

Verwijderd @rijsd052 • 6 februari 2014 09:23

Ik heb zo'n auto en velen met mij. Slot makkelijk open te breken, enkel glas (tik en weg).

Het gaat erom dat je ook een fatsoensverplichting hebt richting de mensen met zo'n router en ze niet kwetsbaarder moet maken dan ze al zijn. Alleen om je zin door te drammen bij een fabrikant. Ze misbruiken dus nu mensen om te krijgen wat ze willen.

Waarom zou dat bij een router anders moeten zijn? Omdat veel mensen wel wat van auto's weten, maar niets van routers.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:08]

Chopper_Rob 5 februari 2014 18:21

Ik snap niet dat dit soort apparaten nog steeds geen auto update functies hebben, je leest geregeld dat er kwetsbaarheden in routers worden opgelost, echter zullen er maar weinig mensen zijn die de updates daadwerkelijk installeren.

vali @Chopper_Rob • 5 februari 2014 18:26

Ik heb toch liever geen automatische update. Heb nu al twee keer meegemaakt, dat een nieuwe update van mijn drytec router problemen gaven met mijn eigen mail server. Na de update werkte mail vanaf buiten af niet meer, terwijl het met de oude firmware prima ging.

Al kwam er hierna snel een fix hiervoor, zou het totaal niet gewenst vinden als dit allemaal automatisch zou gaan.

[Reactie gewijzigd door vali op 23 juli 2024 05:08]

pickboy @vali • 5 februari 2014 18:55

de autoupdate functie standaard aanzetten en als iemand dat niet wil kan ie hem toch uitschakelen, dat lijkt me een aardig compromis in dit geval.

Armin

Netwerk en systeembeheer

@Chopper_Rob • 5 februari 2014 18:40

Cisco deed het ooit, en werd meteen maandenlang geflamed op consumnenten sites en fora en heeft het daarna met hangende pootjes teruggedraaid

Verwijderd 5 februari 2014 18:08

ASUS is natuurlijk fout. Deze lui zijn echter nog fouter. Lijkt me typisch zo'n actie die men onderneemt om zelf in het nieuws te komen. Ze hadden die lijst ook kunnen publiceren maar dan met het weglaten van de laatste paar cijfers van het IP-adres.

blouweKip @Verwijderd • 5 februari 2014 18:58

Deze data was voor kwaadwillende al langere tijd beschikbaar, ASUS deed daar dus niets tegen en dus is zoiets als dit nodig om publieke aandacht te krijgen.
Persoonlijk hoop ik dat dit ook tot vervolging van Asus leid, bedrijven moeten vaker juridisch aansprakelijk worden gesteld voor dit soort ernstige nalatigheid.

SuperDre @blouweKip • 5 februari 2014 20:41

Onzin, waarom zou er vervolging zijn, omdat de router standaard anonymous ftp aan heeft staan en de wachtwoorden unencrypted op de router opslaat (en eigenlijk alleen een probleem is als anonymous ftp aan blijft staan) wil nog niet zeggen dat de router zelf onveilig is. De gebruiker is immers zelf verantwoordelijk voor het instellen van de router (ongeacht de kennis, je koopt een product en je behoort je dan ook zelf op de hoogte te stellen van de werking ervan, of je laat het instellen ervan over aan een expert).
Het zou een ander verhaal zijn als deze optie aanwezig is en niet uit te schakelen is door een fout.
Mensen leggen tegenwoordig de verantwoordelijkheid wel heel erg snel bij anderen ipv bij zichzelf..
De groep is gewoonweg zoals ChicaneBT zegt 'fouter' als Asus, ze hadden er ook voor kunnen kiezen om alleen maar de fouten ansich publiekelijk te maken en niet de lijst (ongeacht of die al langer beschikbaar zou zijn voor kwaadwillende), want je weet gewoon dat wanneer je de lijst publiceert er ook een hoop scriptkiddies misbruik van gaan maken..

NL-JP 5 februari 2014 18:10

Ik vindt dat de fabrikant (Asus in dit geval) in feite een product heeft geleverd dat ernstige fouten bevat.
Ze zouden bijvoorbeeld eenvoudig een soort van terugroepactie kunnen organiseren voor mensen die niet weten hoe het werkt.

Uiteindelijk gaat deze actie om het feit dat een fabrikant zijn verantwoordelijkheid neemt en niet zijn schouders ophaalt als hij een fout maakt.

Dat dit op deze manier in de openbaarheid komt heeft Asus nu al schade doen oplopen. De consument gaat misschien wel denken: Geen Asus kopen, die apparatuur is niet veilig.

Verwijderd @NL-JP • 5 februari 2014 18:20

Eenvoudig een terugroep actie organiseren? Het is niet zo makkelijk als bij auto's waarbij het voertuig geregistreerd staat. Die routers verdwijnen overal en nergens, en ook bij veel mensen die geen beveiligingsnieuws lezen. Zo eenvoudig is dat dus allemaal niet.

rijsd052 @Verwijderd • 5 februari 2014 18:58

Ze hebben het Asus iniedergeval het iets makkelijker gemaakt door de ip adressen te leveren.

Ik weet niet wat de groep hiervoor heeft gedaan maar ik ben het toch gedeeltelijk met hun actie eens.

Hierbij moet ik wel zeggen dat ik het zelf een beetje anders had gedaan.
Ik zou eerst deze lijst naar Asus hebben gestuurd met de belofte dat als ze binnen 1 maand geen update uitbrengen die de beveiligingslek verhelpt ik de lijst wel openbaar maak.
Waarbij dat ik dan ook hier wel gelijk een bericht online van zet dat Asus onder druk is gezet door het beveiligingslek en contact opneem met de isp providers wereldwijd om hun de ip adressen te geven zodat die de klanten kan informeren van de betredende risico's.

Maar heeft Asus na die maand geen update dan wordt de lijst openbaar.
En aangezien de ISP een maand hebben om hun klanten ook nog eens te waarschuwen waar het ip adres bekend van is deze klanten minder risico lopen gehackt te worden

gabba25 5 februari 2014 18:07

Wei niet luisteren wil moet maar voelen idee? Ik denk wel dat het werkt, of het de juiste manier is, discutabel.

Loller1 @gabba25 • 5 februari 2014 18:16

Alleen zal Asus hier niet zo heel erg veel van voelen, de gebruikers van de RT-reeks daarentegen...

Megamind 5 februari 2014 18:10

Wel beetje vreemd, als mijn IP erbij zou staan dan heb ik er nog niets aan, ik kan immers niet updaten omdat de firmware nog niet uit is. Enige wat ik kan doen is FTP uitschakelen en AI niet meer gebruiken.

SuperDre @Megamind • 5 februari 2014 20:48

Maar als je de anonymous optie uitschakeld (en je login daarna wijzigt) heb je ook helemaal geen update nodig...

nimmer

5 februari 2014 21:06

Blij dat ik customfirmware op mijn Asus router heb draaien.

https://code.google.com/p/rt-n56u/ deze is voor de ASUS RT-N56U/N65U/N14U.

Ik gebruik het al jaren en ben zeer tevreden.

Megamind @nimmer • 5 februari 2014 21:10

Alleen de N56 is dus niet vunreable.

Verwijderd 5 februari 2014 18:10

Asus heeft voor een aantal routermodellen echter al wel firmware-updates uitgebracht die de aangehaalde beveiligingsproblemen zouden verhelpen. De gebruiker dient echter wel zelf de nodige stappen te zetten om de update uit te voeren.

Zouden verhelpen? Iets verhelpt het probleem wel of niet of deels dat kan ook nog. Dat kan de redactie toch wel even uitzoeken. Dit is weer van dat net niet nieuws. Iemand in de comments zal het vast wel weten

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:08]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (75)

Sorteer op:

Weergave: