Firmware in veel breedbandrouters oud en onveilig
De firmware in veel breedbandrouters is jaren oud en bevat allerlei kwetsbaarheden, zo blijkt uit onderzoek van onderzoekers van de Edith Cowan University. De onderzoekers analyseerden de firmware van 37 breedbandrouters, de software die het hart van het apparaat is.
Van de firmware werden het besturingssysteem, softwarebibliotheken en uitvoerbare bestanden onderzocht. Met deze gegevens konden de onderzoekers een database van apparaten, softwareversies en bekende kwetsbaarheden aanleggen. Ze ontdekten dat 90% van de onderzochte onderdelen meer dan 6 jaar oud is. In elke firmware werd verouderde software met bekende beveiligingsproblemen aangetroffen, ongeacht fabrikant of de datum dat de router op de markt verscheen.
"Oude software lijkt misschien niet zo belangrijk, maar beveiligingsexperts zijn het erover eens dat ontwikkelaars met een solide basis moeten beginnen, en er met softwareonderdelen moet worden gewerkt die worden ondersteund en up-to-date zijn", aldus de onderzoekers. Toch bleken 7 breedbandrouters een versie van OpenSSL te gebruiken met kwetsbaarheden die uit 2005 stammen. Beveiligingsproblemen in verouderde software zijn vaak zo bekend, dat er allerlei 'hackprogramma's' zijn die hier eenvoudig misbruik van kunnen maken. "Oude ifrmware-onderdelen zijn dus een groot probleem", zo waarschuwen de onderzoekers.
Ze adviseren consumenten om firmware-updates tijdig te installeren, maar merken op dat het probleem uiteindelijk alleen door fabrikanten kan worden opgelost. "Consumenten en IT-professionals moeten betere veiligheid eisen, maar zonder onafhankelijk onderzoek van apparaten zullen voor veel mensen de beveiligingsproblemen of gevolgen onduidelijk zijn. Dit is een gebied dat meer aandacht vereist", zo laten de onderzoekers weten. Om het probleem aan te pakken stellen ze onder andere een beoordelingssysteem voor waarbij routers afhankelijk van de veiligheid een aantal sterren krijgen.
Wetgeving zal de enige oplossing zijn. De "markt" beweegt niet uit zichzelf en heeft zelfs een financieel voordeel bij het sneller moeten vervangen van producten die onveilig zijn (zie ook Android telefoons). Het is maar weer wachten op 1 of andere politicus die hier brood in ziet en het ellendig lange traject van wetgeving creeren wil inslaan. Tot die tijd zijn we overgeleverd aan de zogenaamd "zelfregulerende" markt-ideologie van de liberalen....
Dat is niet altijd mogelijk, en vaak als er in optie is om dat te doen, blijft het toch gewoon actief en benaderbaar. Vaak is alleen het remote management via https uit te schakelen terwijl management via tr069 gewoon enabled blijft.
Met andere woorden je kan beter die router bij het afval gooien en iets fatsoendelijks aanschaffen of bouwen. En management alleen via een specifiek lokaal poortje mogelijk maken waar niets op aangesloten zit. Dan maakt het zoveelste ssl lek ook niet zoveel meer uit.
Lekker gemakkelijk altijd, dat remote management... :|
Welke backdoor heb jij het over? TR069 is nou niet echt een backdoor te noemen, bovendien kun je dit bij de meeste door ISP geleverde modems niet uitschakelen. (Ja misschien als je er een andere firmware in hackt)
Een geschiedenisles die keer op keer geleerd moet worden.
Een eeuw of wat geleden in de auto industrie (af en toe een dode klant is voor ons goedkoper dan veiligheidsgordels en dergelijke inbouwen).
De smog in beginnend industrieel London.
Lood in brandstoffen.
Kwik in vullingen.
Zelfregulatie boven onafhankelijke veiligheidsinspecties met tanden.
Pas na 6 doodgereden kinderen eindelijk straatverlichting plaatsen voor een donkere, druk bereden, weg door gemeente X.
Enzovoorts.
De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.
Juist niet!! De ISP de firmware te laten updaten is de enige in de praktijk werkbare manier om te zorgen dat routers
uptodate blijven. Je kunt echt niet verwachten dat de gebruikers dat zelf gaan regelen.
De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.
Nu wijzen hier naar het routertje (dat goedkope bakje) dat thuis neergezet wordt. Makkelijk het is is zichtbaar. Dat routertje maakt verbinding met het netwerk (de echte wereld waar het gebeurt) van je ISP provider. Wat daar gebeurt zie je niet maar is veel wezenlijker voor al het dataverkeer. Dat is de voordeur voor je gegevens waar je je zorgen over moet maken.
Een geschiedenisles die keer op keer geleerd moet worden.
Een eeuw of wat geleden in de auto industrie (af en toe een dode klant is voor ons goedkoper dan veiligheidsgordels en dergelijke inbouwen).
De smog in beginnend industrieel London.
Lood in brandstoffen.
Kwik in vullingen.
Zelfregulatie boven onafhankelijke veiligheidsinspecties met tanden.
Pas na 6 doodgereden kinderen eindelijk straatverlichting plaatsen voor een donkere, druk bereden, weg door gemeente X.
Enzovoorts.
De praktijk leert dat eerst een paar commercieel belanghebbenden winnen, en pas veel later het gezond verstand waar het algemeen belang mee gediend is. En dan nog enkel door schade en schande. Als het echt niet meer te ontkennen valt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.