"Internet of Things-apparaten kwetsbaar vanwege Linux"
Internet of Things-apparaten worden aangevallen omdat ze voornamelijk op Linux zijn gebaseerd, zo stelt de Chinese fabrikant Hangzhou Xiongmai Technology. Gehackte IoT-apparaten van het bedrijf, zoals ip-camera's en digitale videorecorders, waren betrokken bij ddos-aanvallen tegen dns-aanbieder Dyn.
De apparaten waren besmet door de Mirai-malware. Deze malware weet apparaten waar het standaard wachtwoord niet van is gewijzigd te infecteren en onderdeel van een botnet te maken. Hangzhou Xiongmai liet eerder weten dat het verschillende producten die het in de Verenigde Staten verkocht, en kwetsbaar voor de Mirai-malware zijn, zal terugroepen. Tegenover de Associated Press verklaarde het bedrijf dat het om 4 miljoen ip-camera's zou gaan, maar tegen Reuters wordt een getal van onder de 10.000 camera's genoemd.
De fabrikant heeft zich ook uitgelaten over de oorzaak van de aanvallen. Naast het leggen van de schuld bij gebruikers die het standaard wachtwoord niet wijzigen krijgt ook Linux een veeg uit de pan. "Internet of Things-apparaten zijn het doelwit van cyberaanvallen omdat ze voornamelijk op het Linux-opensourcesysteem zijn gebaseerd", aldus het bedrijf. "Onze r&d-afdeling kijkt sinds vorig jaar naar het ontwikkelen van producten gebaseerd op andere systemen en is van plan dit in de toekomst vaker te doen." Dit zou voor veiligere apparaten moeten zorgen, zo stelt de woordvoerder.
Hij heeft ook een verklaring voor de aanvallen in de Verenigde Staten. "De reden dat er zo'n gigantische aanval in de Verenigde Staten was en dit waarschijnlijk niet in China zal plaatsvinden is dat de meeste van onze producten in China industriële apparaten zijn die alleen in gesloten intranet-omgevingen worden gebruikt. In de Verenigde Staten gaat het om consumentenapparaten die in het publieke domein zijn te vinden."
Van de standaard gebruiker hoef je niet te verwachten dat zij weten wat voor gevaar dat hun device loopt, daarvoor geven ze niet genoeg om hun privacy of hebben niet door wat voor implicaties het heeft.
extra risico. Ze zouden zelf wel wat kunnen doen door geen telnet en andere shell services aan te bieden, maar een
wat geavanceerdere gebruiker vindt dit soort dingen vaak juist wel grappig of interessant.
Met een op embedded gebruik gericht OS of alleen gebruik van de Linux kernel en geen telnet service en busybox
op de machine zal de situatie zeker verbeteren.
Zolang het EmbeddedOS 1) niet standaard om een nieuw wachtwoord vraagt 2) niet toestaat om het admin username aan te passen 3) het aantal pogingen op onbeperkt heeft staan zonder verrtraging 4) verborgen wachtwoorden bevat 5) gevoelige diensten zoals uPnP, WPS en telnet standaard heeft aanstaan 6) niet kan worden bijgewerkt met updates 7) ........, dan moet de FABRIKANT verantwoordelijk worden gesteld.
XiongmaiOS met de bovenstaande fouten is net zo gemakkelijk te hacken als elk ander OS
extra risico. Ze zouden zelf wel wat kunnen doen door geen telnet en andere shell services aan te bieden, maar een
wat geavanceerdere gebruiker vindt dit soort dingen vaak juist wel grappig of interessant.
Met een op embedded gebruik gericht OS of alleen gebruik van de Linux kernel en geen telnet service en busybox
op de machine zal de situatie zeker verbeteren.
Ze hebben een punt, maar als ze dat punt ook toepassen zouden ze al snel ontdekken dat degene die de keuze voor dat generieke os genaakt heeft ... juist, pure afschuiverij.
Het is nog puurdere onzin dan beweren dat osx het veiligste os is, enkel en alleen omdat er relatief weinig virussen voor zijn.
Het echte issue is het negeren van de secùrity bij het ontwerp van het geheel. Als het maar goedkoop en snel op de markt is.
De houding van merk verslaafden/haters helpt bij dat negeren van een veilig ontwerp. Hoe ga je dat veranderen?
Dat is meer dan enkel wijzen naar Telnet en onveilige user passwords als de oplossing voor alles. Er is geen silver bullet.
Achter een nat klinkt leuk als ze als optie hebben als babyfoon te bsnaderen buiten je eigen huis dan gaat het door je nat heen naar buiten. Hoe zijn de ito's gehackt?
Een geisoleerd lokaal ip netwerk zonder netwerk connectie naar buiten is de eis die je er aan wilt stellen.
De woordvoerder heeft een punt. 20 Jaar geleden heeft ene heer Torvalds gekozen voor een monolitische kernel. Dat ontwerp leid ook tot monolitische appliaties.
Een microkernel-architectuur leidt tot een veel meer gesplitst systeem waarbij een fout in een subsysteem niet gelijk een security-risico inhoudt. Zou de woordwoerder soms http://genode.org in gedachten hebben?
Het echte issue is het negeren van de secùrity bij het ontwerp van het geheel. Als het maar goedkoop en snel op de markt is.
De houding van merk verslaafden/haters helpt bij dat negeren van een veilig ontwerp. Hoe ga je dat veranderen?
Dat is meer dan enkel wijzen naar Telnet en onveilige user passwords als de oplossing voor alles. Er is geen silver bullet.
Ik kan het niet beter kunnen verwoorden. Linux != 'de mens' .. De 60 gebruikte logins/pw voor Mirai (malware die gebruikt is voor de DDOS aanval) laten geen spaan heel van de menselijke logica en onderstrepen alleen maar weer hoe stupide developers zijn bij het kieze van 'root' wachtwoorden (en die via reverse engineering) uitstekend uit Firmware te halen zijn..
Met IPv6 is de noodzaak voor NAT komen te vervallen, niet de mogelijkheid. Een fatsoenlijke router kan IPv6 prima firewallen voor de achterliggende devices.
Waarschijnlijk om het OS meer kost dan dat de huidige device kost?
Daarnaast, al neem je zo'n OS wat je noemt..... Als de applicatie brak is, kan je het meest veilige OS wat er bestaat neer zetten. Dit maakt helemaal niets uit, als je applicatie zo open is als een draai deur.
OS is niet relevant. Het gaat om de applicatie die er op draait.
1. Neem een Windows computer
2. Zet een netwerk op
3. Schakel de Firewall en de virusscanner uit
4. Wacht verder af.
Binnen 20 minuten of minder is uw mooie machine overgenomen.
Schuld van Windows? Of kwam het doordat de beveiliging was uitgeschakeld?
Herhaal de proef met uw woning.
1. Ga naar uw woning
2. Doe al uw ramen en deuren open
3. Wacht verder af.
Wedden dat na een paar dagen uw huis volledig is leeggehaald?
Schuld van de woning? Of kwam het doordat de beveiliging was uitgeschakeld?
Er is geen fabrikant die zegt dat je iets niet mag met Linux. Je kan het zelf uitbreiden, je kan de kernel bouwen zoals je zelf wil. Je kan userland tools installeren of niet.
Als je zelf geen tijd/moeite steekt in het kiezen/bouwen van een juiste install en alles met standaard login uitlevert dan is het te verwachten dat het mogelijk is om toegang te nemen.
En morgen? De ISP's zeker, omdat ze poort 23 toestaan?
Einde discussie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.