image

Fabrikant dreigt media wegens berichten over router-lekken

donderdag 13 augustus 2015, 11:48 door Redactie, 10 reacties

De Zuid-Koreaanse netwerkfabrikant Zioncom heeft media met juridische stappen gedreigd als ze schrijven over beveiligingslekken in de Totolink-routers van het bedrijf. Beveiligingsonderzoeker Pierre Kim had een groot aantal kwetsbaarheden in de Totolink-routers gevonden waardoor aanvallers op afstand de apparaten volledig kunnen overnemen.

Totolink-routers hebben in Zuid-Korea op de markt voor consumenten en MKB een marktaandeel van 80%. Daarnaast worden de apparaten wereldwijd verkocht. Kim besloot de fabrikant over zijn bevindingen niet in te lichten en publiceerde zijn onderzoek vorige maand op verschillende mailinglists en zijn eigen weblog. In een reactie zegt Zioncom dat berichtgeving over de kwetsbaarheden onverantwoord is en het om ongeverifieerde informatie gaat, waardoor de reputatie van het bedrijf in het geding is.

De netwerkfabrikant stelt vervolgens dat het de privacy en veiligheid van gebruikers niet in gevaar brengt en juridische stappen kan nemen tegen media die verkeerde informatie verspreiden en de reputatie van het bedrijf en de producten schaden. Wat betreft het standaardwachtwoord op de apparaten, één van de problemen die Kim ontdekte, krijgen gebruikers het advies die te wijzigen. Ook is er nieuwe firmware verschenen om de problemen te verhelpen. Kim analyseerde de firmware en stelt dat de backdoor die hij ontdekte nog steeds aanwezig is, alleen niet meer tijdens het opstarten wordt geladen. Daarnaast zou het probleem bij sommige modellen niet zijn verholpen.

Reacties (10)
13-08-2015, 12:12 door johanw
Gezien de reactie van de fabrikant heel verstandig om dit eerst te publiceren in plaats van eerst de fabrikant de kans te geven de boodschapper monddood te maken.
13-08-2015, 12:56 door Anoniem
Gezien het grote aantal rapportages van lekken, zal het gezegde "zo lek als een mandje" waarschijnlijk binnenkort worden vervangen door een nieuw gezegde dat meer van deze tijd is. ;-)

Men twijfelt alleen nog wat het moet worden.
"Zo lek als een mag-ik-niet-publiceren?"
Of: "zo lek als 13 stukken software in een dozijn?"...

Goeroehoedjes
13-08-2015, 13:12 door User2048
Door johanw: Gezien de reactie van de fabrikant heel verstandig om dit eerst te publiceren in plaats van eerst de fabrikant de kans te geven de boodschapper monddood te maken.
Ik heb daar een andere mening over. Door de kwetsbaarheden meteen openbaar te maken krijgt de fabrikant geen kans om deze aan te pakken. Doordat de kwetsbaarheden nu openbaar zijn kunnen ze aangevallen worden. De onderzoeker heeft dus een minder veilige situatie gecreëerd.

Responsible disclosure houdt in dat je de fabrikant eerst op de hoogte stelt en een redelijke termijn gunt om met een oplossing te komen. Als de fabrikant medewerking weigert kun je altijd nog in de openbaarheid treden.
13-08-2015, 13:53 door spatieman
wie zegt ons dat de fabrikant het niet wist, vooral dat stukje over de backdoor.
13-08-2015, 14:00 door Anoniem
Door Anoniem: Gezien het grote aantal rapportages van lekken, zal het gezegde "zo lek als een mandje" waarschijnlijk binnenkort worden vervangen door een nieuw gezegde dat meer van deze tijd is. ;-)

Men twijfelt alleen nog wat het moet worden.
"Zo lek als een mag-ik-niet-publiceren?"
Of: "zo lek als 13 stukken software in een dozijn?"...

Goeroehoedjes

Of "Zo lek als een Totolink-router"

Dan krijg je pas gratis reclame als leverancier. :-)
13-08-2015, 14:47 door Shagrath
Door Anoniem:
Door Anoniem: Gezien het grote aantal rapportages van lekken, zal het gezegde "zo lek als een mandje" waarschijnlijk binnenkort worden vervangen door een nieuw gezegde dat meer van deze tijd is. ;-)

Men twijfelt alleen nog wat het moet worden.
"Zo lek als een mag-ik-niet-publiceren?"
Of: "zo lek als 13 stukken software in een dozijn?"...

Goeroehoedjes

Of "Zo lek als een Totolink-router"

Dan krijg je pas gratis reclame als leverancier. :-)

Zal hij niet zo positief vinden. Ben benieuwd wanneer de dagvaarding op de mat ligt bij je ;)
Het is niet voor niets dat de voorganger "Zo lek als een mag-ik-niet-publiceren" zei :D
13-08-2015, 19:19 door Anoniem
Door Shagrath:
Door Anoniem:
Door Anoniem: Gezien het grote aantal rapportages van lekken, zal het gezegde "zo lek als een mandje" waarschijnlijk binnenkort worden vervangen door een nieuw gezegde dat meer van deze tijd is. ;-)

Men twijfelt alleen nog wat het moet worden.
"Zo lek als een mag-ik-niet-publiceren?"
Of: "zo lek als 13 stukken software in een dozijn?"...

Goeroehoedjes

Of "Zo lek als een Totolink-router"

Dan krijg je pas gratis reclame als leverancier. :-)

Zal hij niet zo positief vinden. Ben benieuwd wanneer de dagvaarding op de mat ligt bij je ;)
Het is niet voor niets dat de voorganger "Zo lek als een mag-ik-niet-publiceren" zei :D

Dat zal zo'n vaart niet lopen.
We hebben in Nederland nog zo iets vaags als vrijheid van meningsuiting.
Maar misschien dat die fabrikant daar nog niet zo bekend mee is.
13-08-2015, 19:33 door johanw
Door User2048:Responsible disclosure houdt in dat je de fabrikant eerst op de hoogte stelt en een redelijke termijn gunt om met een oplossing te komen. Als de fabrikant medewerking weigert kun je altijd nog in de openbaarheid treden.
Normaal gesproken ben ik het met je eens, maar fabrikanten die meteen gaan dreigen met juridische stappen hebben zulk gedrag helaas zelf uitgelokt.
14-08-2015, 08:15 door Anoniem
Responsible disclosure houdt in dat je de fabrikant eerst op de hoogte stelt en een redelijke termijn gunt om met een oplossing te komen. Als de fabrikant medewerking weigert kun je altijd nog in de openbaarheid treden.

Als er al een patch is geweest die vooral doet alsóf die het probleem pakt, denk ik dat de redelijke termijn is verstreken. Kijk maar naar de rest van de achterbakse houding en de stand van zaken is wel erg duidelijk... anders had de hosting nooit dúrven spreken van verkeerde informatie versprijden, dat laat nog het meest duidelijk zien wie de plank falikant misslaat.
14-08-2015, 13:50 door Overcome
Door johanw:
Door User2048:Responsible disclosure houdt in dat je de fabrikant eerst op de hoogte stelt en een redelijke termijn gunt om met een oplossing te komen. Als de fabrikant medewerking weigert kun je altijd nog in de openbaarheid treden.
Normaal gesproken ben ik het met je eens, maar fabrikanten die meteen gaan dreigen met juridische stappen hebben zulk gedrag helaas zelf uitgelokt.

De juridische dreiging kwam pas nadat Kim de publiciteit had opgezocht, niet daarvoor. Het is een voorbarige actie van Kim (waarbij het er wel naar uitziet dat Totolink wat uit te leggen heeft, maar dat is een ander verhaal).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.