Duizenden computers met VNC wagenwijd open
Duizenden computers op het internet staan wagenwijd open doordat ze het programma VNC draaien zonder dat dit van een wachtwoord is voorzien, waardoor een onderzoeker onlangs bij allerlei mensen live kon meekijken. VNC is software om op afstand toegang tot computers te krijgen.
Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Tijdens de afgelopen Defcon conferentie in Las Vegas gaf beveiligingsonderzoeker Paul McMillan een demonstratie waarbij hij naar onbeveiligde en open VNC-installaties zocht. In minder dan een uur vond McMillan duizenden computers waar hij direct op kon inloggen. Het totale aantal ligt waarschijnlijk boven de 30.000. De onderzoeker schreef ook een programma dat automatisch op de computers inlogde en een screenshot maakte van wat mensen aan het doen waren.
Op de screenshots was te zien dat mensen op Facebook zaten, spelletjes speelden, Ender's Game keken, Reddit lazen, Skypten, surveillancecamera's vergeleken, op Amazon winkelden, e-mail lazen, rekeningen en prijslijsten aanpasten en porno bekeken. Naast consumenten stonden de VNC-installaties ook open bij bedrijven en organisaties, zoals apotheken, kassasystemen, energiebedrijven, benzinestations, technische- en mediabedrijven, een bedrijf dat vee volgt en honderden taxi's in Zuid-Korea, zo meldt Forbes.
"Het is belangrijk om te weten dat deze scan alleen het topje van de ijsberg laat zien. Vanwege juridische redenen kunnen we niet op wachtwoorden scannen, maar ik weet zeker dat als we dit zouden doen de resultaten nog vele malen erger zouden zijn", aldus McMillan. Hij stelt dat steeds meer apparaten met het internet verbonden zijn en mensen weten niet altijd weten hoe ze die moeten beveiligen.
Het lijkt me dat als je in staat bent handmatig een poort open te zetten, je ook een wachtwoord op je VNC kan zetten.
http://www.multidesk.be/artikels/artikel/226/VNC:-installatie-configuratie-gebruik-en-veiligheid.html
Leuk dat'ie met dit praatje zijn conferentietoegang wist te betalen maar meer ook niet echt.
Dus in je router uPnP uitzetten, is veiliger.
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
https://www.grc.com/port_1900.htm
https://www.grc.com/port_5000.htm
En er is de Rapid7 UPnP router scan:
http://upnp-check.rapid7.com/
Dit hackten we zo lang geleden al aan de lopende band.
Wel erg retro dit bericht.
Begin security steeds minder te waarderen door alle berichten met nieuwswaarde 0.00000
De enige uPnP-test (tot nu toe dan) deed het niet lekker en dat is die van Rapid7.com. Die blijft maar doordraaien bij mij.... Zou dat wellicht komen doordat dat hele uPnP, wat nooit uitgevonden had moeten worden (imho), hier uitgeschakeld is?
Dacht op grc.com, daar kon je voor uPnP de poort testen of je niet open staat naar het internet, zoals veel nassen open staan.
https://www.grc.com/port_1900.htm
https://www.grc.com/port_5000.htm
En er is de Rapid7 UPnP router scan:
http://upnp-check.rapid7.com/
dank je wel, die grc.com gebruikte ik al eerder, maar wist niet dat je ook per poort kon checken.
VNC kan maar op 1 wijze redelijk veilig werken op een windows computer:
1. VNC service staat standaard uit
2. Bij gebruik eerst de VNC service starten
3. Vervolgens inloggen met wachtwoord
Dan aanvullend:
Niet oneindig open laten staan
Niet vergeten na gebruik VNC Service uit te schakelen
Echter deze methode heeft 1 nadeel: je moet ook toegang van buiten voor de services open zetten.
Eigenlijk is het raadzaam om VNC helemaal niet te gebruiken...
De enige uPnP-test (tot nu toe dan) deed het niet lekker en dat is die van Rapid7.com.
Die blijft maar doordraaien bij mij....
die kun je minutenlang laten draaien, maar er gebeurt verder nix.
bij mij ook niet..
die Rapid7 UPnP router scan die werkt om een of andere reden niet meer.
Toen die Rapid7 UPnP router scan net uitgebracht was waren er ook al problemen mee (misschien door overbelasting?), daarna werkte die scan prima, maar inmiddels werkt het dus weer niet meer. (Of zitten de Security.NL gebruikers nou met z'n allen full-time die test te doen en 'm te overbelasten? Kom op lui ;-)
Hmm .. Ik had die Rapid7 UPnP router scan natuurlijk even opnieuw moeten proberen voordat ik 'm tipte, sorry :-\
Geen of slecht wachtwoord in combinatie met UPnP is natuurlijk vragen om moeilijkheden.
Maar als je een VNC-host draait wil je er natuurlijk wel bij kunnen. Dus zul je iets van
port-forwarding in je router moeten regelen. Of daar UPnP nu wel of niet aan staat maakt
dan niets uit. Je enige bescherming is dan nog een niet standaard gebruikersnaam met een
voldoende sterk wachtwoord.
Ja, jullie hebben gelijk,
[...]
Hmm .. Ik had die Rapid7 UPnP router scan natuurlijk even opnieuw moeten proberen voordat ik 'm tipte, sorry :-\
Geen probleem, kan iedereen gebeuren. Ben allang blij dat ik niet de enige was met het 'oneindigheidsprobleem' van de uPnP scanner van Rapid7 ;)
Overigens, ik maak ikzelf gebruik van RemoteAdministrator (RAdmin) voor een aantal Windows-machines. Werkt prima en inderdaad, zoals Anoniem om 15:28 al aangaf, geen uPnP gebruiken en login-credentials goed configureren of er zelfs een apart account per machine voor aanmaken, en geen standaard ingestelde po(o)rt(en) forwarden en persoonlijk kies ik altijd (een) po(o)rt(en) in de hogere ranges. Is misschien iets meer werk maar dat vinden we toch geen probleem, toch?
Sommige routers of alternatieve firmwares voor je router geven vaak ook de mogelijkheid om een ipadres (+ netmask) op te geven waar vanaf wel mag worden verbonden wanneer je een port gaat forwarden. Zo hou je een groot deel van buiten af komende ellende ook een beetje buiten je deur. Alleen een beetje lastig instellen als je eigen ipadres dynamisch maar ook daar zou vast wel een mouw aan zijn te passen, lijkt mij.
Het lijkt me dat als je in staat bent handmatig een poort open te zetten, je ook een wachtwoord op je VNC kan zetten.
Maar versleuteling van het protocol is ook geen standaardonderdeel van VNC. Dat is ook niet erg als je het over een versleutelde verbinding (SSH bijvoorbeeld) tunnelt. VNC is daarmee in mijn ogen geen totaaloplossing voor op afstand werken maar onderdeel van een oplossing voor mensen die voldoende overzien wat ze doen. Het probleem met die duizenden computers die wagenwijd openstaan zou wel eens kunnen zijn dat VNC enthousiast is ingezet door mensen die niet voldoende overzien wat ze doen (en het lastige is dat mensen over het algemeen slecht kunnen beoordelen hoe gebrekkig hun eigen kennis en inzicht is, daar heb je die kennis en inzicht nou juist bij nodig). Dat levert zoiets op als met elektriciteit knutselen zonder in de gaten te hebben dat je isolatie nodig hebt om ongelukken te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.