'Een kwart van Internet of Things-apparaten is lek’
Het aansluiten van Internet of Things-apparaten in huis, is als het spelen van Russisch roulette. Bijna een op de vier ‘connected’ apparaten voor thuisgebruik is niet goed beveiligd. Of er zitten fouten in de firmware, of de webportal om toegang tot het toestel te krijgen is niet veilig genoeg. Dat is de conclusie van onderzoekers van het Franse Eurecom en de Ruhr University in het Duitse Bochum. Zij hebben de firmware onderzocht van routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten die via internet kunnen worden beheerd.
Geprobeerd werd om de beveiliging te ondermijnen door de firmware aan te passen met behulp van kwaadaardige software-updates, maar ook door de webportal van de toestellen aan te vallen. De portals werden blootgesteld aan veelvoorkomende aanvallen zoals XSS (cross-site scripting), CSRF (cross-site request forgery), SQL-injectie en RCE (remote code/command execution).
In totaal zijn 1925 firmware images onderzocht van 54 verschillende fabrikanten. Er werden meer dan 9200 kwetsbaarheden aangetroffen in 185 firmware images. Hoewel slechts 8 procent van de firmware php-code bevat in de beheersoftware of de portal, werd in 143 firmware images maar liefst 5000 XSS-lekken aangetroffen.
De studie lijkt te bevestigen wat ook vorige week tijdens Black Hat Europe naar voren kwam. Uit een onderzoek van InformationWeek en Darkreading bleek namelijk dat IT-professionals denken dat over twee jaar de beveiliging van IoT een topprioriteit zal zijn. Nu ligt die prioriteit nog vooral bij de beveiliging van applicaties en eindgebruikers.
Reacties (20)
17-11-2015, 08:21 door
Erik van Straten
Een kwart is aantoonbaar lek. Vroeger of later volgt de rest. Budgetten en soms performance dragen hier flink aan bij.
17-11-2015, 08:48 door
beamer
routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten
IoT devices zijn veel meer "slimme" lampen, deursensoren, thermostaten, deurbellen, enzovoorts. Dus apparaten die voorheen niet aan het Internet gekoppeld waren, worden nu connected en bieden daardoor mogelijkheden voor automatisering.De genoemde apparaten zijn consumer IT. En ja bij beide categorieën is security een probleem :)
Internet of Things, de zoveelste hype die gepushed wordt. Zonder ook maar één moment echt goed na te denken over security.
Door beamer:
Maar de routers, modems etc. zijn wel wat de onderzoekers zelf als voorbeelden noemden van wat ze onderzocht hebben, en daar gaat dit bericht over.routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten
IoT devices zijn veel meer "slimme" lampen, deursensoren, thermostaten, deurbellen, enzovoorts.Dus apparaten die voorheen niet aan het Internet gekoppeld waren, worden nu connected en bieden daardoor mogelijkheden voor automatisering.
Automatisering bestond al voordat het Internet bestond. Een "slim" apparaat is een apparaat met een computer erin, die computer is per definitie programmeerbaar en zit erin om iets te automatiseren. De leverancier heeft al automatisering meegeleverd, dat is het hele punt van "slimme" apparaten. Internet is niet wat automatisering mogelijk maakt, internet maakt het makkelijker om de automatiseringsmogelijkheden te misbruiken.Als deze apparaten IPv6 gaan gebruiken kun je zelfs stellen dat 100% van de IOT apparaten lek zijn..
Door Anoniem: Als deze apparaten IPv6 gaan gebruiken kun je zelfs stellen dat 100% van de IOT apparaten lek zijn..
Zou u dit willen verklaren?
Door Anoniem:
Zou u dit willen verklaren?
Ik denk dat de poster bedoelt: Als deze apparaten IPv6 gaan gebruiken, kun je zelfs stellen dat 100% van de IOT apparaten te hacken zijn.Door Anoniem: Als deze apparaten IPv6 gaan gebruiken kun je zelfs stellen dat 100% van de IOT apparaten lek zijn..
Zou u dit willen verklaren?
Immers, alles dat door mensen kan worden gemaakt, kan door mensen worden gekraakt. Doordat de meeste van deze apparaten nu not IPv4 praten (en dus achter een NAT-router hangen), zijn veel apparaten niet direct benaderbaar vanaf het internet, iets dat met IPv6 wel het geval gaat zijn.
Internet of Things, de zoveelste hype die gepushed wordt. Zonder ook maar één moment echt goed na te denken over security.
Tja, roepen dat bij 'het Internet of Things' geen moment over security na wordt gedacht, is ook niet erg doordacht. Het gaat er daarbij immers maar net om over welk device je hebt, en van welke fabrikant.
De vraag of mensen bij het ontwikkelen van een nieuw produkt wel/niet goed na denken over beveiliging, wordt immers niet gedefinieerd door de vraag of het produkt wat zij ontwikkelen wel/geen IoT device is......
IoT (Internet of Things) is "a cure looking for a desease"; het lost geen enkel echt probleem op en zorgt ervoor dat we meer problemen krijgen. Het grote geluk is dat we zelf kunnen beslissen om eraan mee te doen of niet.
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
Door Anoniem: IoT (Internet of Things) is "a cure looking for a desease"; het lost geen enkel echt probleem op en zorgt ervoor dat we meer problemen krijgen. Het grote geluk is dat we zelf kunnen beslissen om eraan mee te doen of niet.
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
En mocht je in het ziekenhuis terecht komen wees dan maar blij dat alle apparatuur waarop je aangesloten bent niet gehakt wordt.
De geweldige electronische sloten voor de autos kunnen gemakkelijk gehackt worden; de SW die de emissie regelt is sowieso een farce (zie VW, BMW en vele anderen).
En mocht dat alles nog niet genoeg zijn, windt je dan maar op over MS en de updates en spying in Win10.
Mijn oplossing:
Ik stook hout, timmer mijn voordeur dicht, gebruik petroleum licht en zorg dat ik voldoende ammo heb voor mijn AK45
Je bent sarcastisch neem ik aan? Lijkt me geen goed idee om met z'n allen terug naar de steentijd te gaan. Ontwikkelingen op het gebied van automatisering zullen hoe dan ook blijven doorgaan. Zaak is om daar zo goed mogelijk mee om te gaan en op in te spelen. Het IoT gaat er zeker komen en lost misschien niet een concreet probleem op.. maar dat deed een dienst als Facebook ook niet, terwijl het nu toch een van de grootste internet diensten ter wereld is.
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
Dat jij de voordelen niet wil zien, maakt nog niet dat een apparaat ''een ding des duivels is''.
Ik zie genoeg voordelen aan de slimme meter (bespaar er nu ook geld door). Wat ik echter wel zou willen zien is dat je zelf gewoon zo'n apparaat kan aanschaffen bij de Blokker ofzo, waarbij derden (zoals energie leverancier en overheid) geen toegang tot het apparaat kunnen krijgen.
Leg jij maar eens uit wat er zo ''duivels'' is aan de slimme meter, wanneer die meter jouw eigen bezit is, zonder toegang tot het apparaat voor derden (en zonder internet verbinding, tenzij je daar zelf bewust voor kiest).
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
17-11-2015, 15:47 door
softwaregeek
Door Anoniem: Maakt mij niks uit. Ik heb niks te verbergen.
Daarom log je ook in als 'anoniem'?Door Anoniem: Maakt mij niks uit. Ik heb niks te verbergen.
Ik neem aan dat ook dit sarcastisch bedoelt is.
17-11-2015, 18:31 door
Spiff
Off-topic:
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/rookengezondheid
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/persbericht-onderzoek-naar-overlast-door-houtrook
http://www.binnenlandsbestuur.nl/ruimte-en-milieu/nieuws/gemeenten-vragen-strengere-regels-tegen-houtrook.9498378.lynkx
Toch per se hout stoken?
Ga dan vrijstaand wonen, ten minste een paar honderd meter van je buren vandaan.
Door Anoniem, 13:23 uur:
Ik stook hout [...]
Je buren en buurtgenoten maak je daar niet blij mee.Ik stook hout [...]
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/rookengezondheid
http://ggd.groningen.nl/milieu-gezondheid/houtkachels/persbericht-onderzoek-naar-overlast-door-houtrook
http://www.binnenlandsbestuur.nl/ruimte-en-milieu/nieuws/gemeenten-vragen-strengere-regels-tegen-houtrook.9498378.lynkx
Toch per se hout stoken?
Ga dan vrijstaand wonen, ten minste een paar honderd meter van je buren vandaan.
Door Anoniem:
Dat jij de voordelen niet wil zien, maakt nog niet dat een apparaat ''een ding des duivels is''.
Ik zie genoeg voordelen aan de slimme meter (bespaar er nu ook geld door). Wat ik echter wel zou willen zien is dat je zelf gewoon zo'n apparaat kan aanschaffen bij de Blokker ofzo, waarbij derden (zoals energie leverancier en overheid) geen toegang tot het apparaat kunnen krijgen.
Leg jij maar eens uit wat er zo ''duivels'' is aan de slimme meter, wanneer die meter jouw eigen bezit is, zonder toegang tot het apparaat voor derden (en zonder internet verbinding, tenzij je daar zelf bewust voor kiest).
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
Dat jij de voordelen niet wil zien, maakt nog niet dat een apparaat ''een ding des duivels is''.
Ik zie genoeg voordelen aan de slimme meter (bespaar er nu ook geld door). Wat ik echter wel zou willen zien is dat je zelf gewoon zo'n apparaat kan aanschaffen bij de Blokker ofzo, waarbij derden (zoals energie leverancier en overheid) geen toegang tot het apparaat kunnen krijgen.
Leg jij maar eens uit wat er zo ''duivels'' is aan de slimme meter, wanneer die meter jouw eigen bezit is, zonder toegang tot het apparaat voor derden (en zonder internet verbinding, tenzij je daar zelf bewust voor kiest).
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
Geen straling.
18-11-2015, 14:27 door
Rstandard
Door Anoniem:
Immers, alles dat door mensen kan worden gemaakt, kan door mensen worden gekraakt. Doordat de meeste van deze apparaten nu not IPv4 praten (en dus achter een NAT-router hangen), zijn veel apparaten niet direct benaderbaar vanaf het internet, iets dat met IPv6 wel het geval gaat zijn.
Per definitie heb je gelijk dat met IPv6 inderdaad alles direct benaderbaar wordt.Door Anoniem:
Zou u dit willen verklaren?
Ik denk dat de poster bedoelt: Als deze apparaten IPv6 gaan gebruiken, kun je zelfs stellen dat 100% van de IOT apparaten te hacken zijn.Door Anoniem: Als deze apparaten IPv6 gaan gebruiken kun je zelfs stellen dat 100% van de IOT apparaten lek zijn..
Zou u dit willen verklaren?
Immers, alles dat door mensen kan worden gemaakt, kan door mensen worden gekraakt. Doordat de meeste van deze apparaten nu not IPv4 praten (en dus achter een NAT-router hangen), zijn veel apparaten niet direct benaderbaar vanaf het internet, iets dat met IPv6 wel het geval gaat zijn.
Maar ik denk (en hoop) zodra IPv6 algemeen gebruikt wordt, dat leveranciers van modems e.d. een Deny All regel op hun apparaten zetten zodat NAT beveiliging wordt nagebootst
Door Anoniem:
Tja, roepen dat bij 'het Internet of Things' geen moment over security na wordt gedacht, is ook niet erg doordacht. Het gaat er daarbij immers maar net om over welk device je hebt, en van welke fabrikant.
De vraag of mensen bij het ontwikkelen van een nieuw produkt wel/niet goed na denken over beveiliging, wordt immers niet gedefinieerd door de vraag of het produkt wat zij ontwikkelen wel/geen IoT device is......
Internet of Things, de zoveelste hype die gepushed wordt. Zonder ook maar één moment echt goed na te denken over security.
Tja, roepen dat bij 'het Internet of Things' geen moment over security na wordt gedacht, is ook niet erg doordacht. Het gaat er daarbij immers maar net om over welk device je hebt, en van welke fabrikant.
De vraag of mensen bij het ontwikkelen van een nieuw produkt wel/niet goed na denken over beveiliging, wordt immers niet gedefinieerd door de vraag of het produkt wat zij ontwikkelen wel/geen IoT device is......
Jammer genoeg denken de meeste mensen bij het aankopen van een nieuw product ook niet na over de beveiliging zodat de markt niet bij gaat sturen en we weer afhankelijk zijn van regelgeving en dat duurt allemaal zo lang en de fabrikanten hebben er zoveel invloed op...
Door Anoniem:
<knip>
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
De "slimme meter" voor electriciteit en eventueel gas is een "ding des duivels" en geeft de consument geen enkel voordeel tot dusver bekend.
<knip>
Welk voordeel had je met de domme meter, welke je niet hebt met een (eigen) slimme meter ?
Dat hij terug draait als mijn zonnepanelen stroom aan het net leveren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Local Information Security Officer
Zorg jij ervoor dat we veilig met onze data omgaan? We zijn op zoek naar een security officer met aandacht voor informatie-beveiliging. Je zorgt voor opzet, monitoring en uitdragen van beleid op vlak van informatiebeveiliging. Dit doe je vanuit IT security en IT compliance perspectief voor de organisatie DFM N.V.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?