image

Backdoor in professionele ip-camera's Sony ontdekt

dinsdag 6 december 2016, 13:41 door Redactie, 12 reacties

In tachtig verschillende ip-camera's van Sony is een backdoor ontdekt waardoor een aanvaller kan meekijken, beelden kan manipuleren of het apparaat voor verdere aanvallen op het netwerk kan gebruiken. Daarvoor waarschuwt beveiligingsbedrijf Sec Consult in een advisory.

De problemen bevinden zich in de Sony IPELA Engine ip-camera's, die voornamelijk door bedrijven en overheden worden gebruikt. Onderzoekers ontdekten dat het voor een aanvaller mogelijk is om op afstand telnet en ssh op de apparaten in te schakelen. Vervolgens blijken de camera's over verschillende backdooraccounts te beschikken die aanvallers kunnen gebruiken om mee in te loggen.

"We hebben Sony een aantal vragen over de aard van de backdoor gevraagd, het beoogde doel, wanneer die was toegevoegd en hoe die is verholpen, maar het bleef stil", aldus de onderzoekers. Sony werd halverwege oktober over de problemen ingelicht. Eind november verscheen er een update voor de kwetsbaarheden. Beheerders van de camera's krijgen het advies die zo snel als mogelijk te installeren. Volgens Sony is de backdoor in 80 cameramodellen aanwezig.

Reacties (12)
06-12-2016, 13:51 door Anoniem
Verbaast me niets. Overal zitten tegenwoordig backdoors in.
06-12-2016, 13:51 door Anoniem
Na een rootkit in 2005 en privacy diefstal via smart TV's in 2014, nu backdoors.

Ze zijn druk bezig alle securityfaal hokjes aan te vinken.
06-12-2016, 13:54 door Anoniem
06-12-2016, 14:29 door Anoniem
Uiteindelijk komt dit soort dingen altijd uit (bijvoorbeeld de Samsung Smart TVs eerder) omdat er op een gegeven moment altijd iemand op het idee komt om een packet sniffer te gebruiken om het in en uitgaande verkeer eens goed te bekijken.
06-12-2016, 14:33 door Anoniem
Sony en backdoors of rootkits gaan al jaren hand in hand.
06-12-2016, 14:44 door Anoniem
Misschien heeft men een Sony protected audioCD via een externe CDdrive op de camera af proberen te spelen...
06-12-2016, 15:41 door Anoniem
"We have asked Sony some questions regarding the nature of the backdoor, intended purpose, when it was introduced and how it was fixed, but they did not answer."

Ziet er duidelijk uit als een backdoor, anders reageert de fabrikant lijkt mij wel ^^
06-12-2016, 16:27 door Anoniem
Door Anoniem: "We have asked Sony some questions regarding the nature of the backdoor, intended purpose, when it was introduced and how it was fixed, but they did not answer."

Ziet er duidelijk uit als een backdoor, anders reageert de fabrikant lijkt mij wel ^^

Als je wat werk ervaring hebt in een enterprise omgeving (of uberhaupt wat ervaring) trek je deze conclusie niet zo snel .

Van de corporate woordvoering, naar de business unit waar het product onder valt, het uitzoeken van de feitelijke realiteit binnen die BU , en alle communicatie naar buiten via Legal duurt wel even. Nog meer als componenten ingekocht zijn van derde partijen , want dan gaat datzelfde proces daar ook spelen.

Elke formele uitspraak van het bedrijf _kan_ juridische/product aansprakelijkheids kosten met zich meebrengen .
Ook als de realiteit (en het statement) is "foutje van developer die de "debug" optie in de build aan liet staan" - is dat feitelijk het erkennen van een product defect .

De traagheid zit er gewoon in, en is an sich nog geen teken van een kwaad geweten.
06-12-2016, 19:44 door ph-cofi
... an sich nog geen teken van een kwaad geweten.
Nou... ik denk dat de Legal Department al is ingeschakeld bij Sony om zich te wapenen tegen rechtzaken? En heeft gezegd "geef maar even geen antwoord". Aanklacht: Uw apparatuur is te makkelijk tot spionage-apparatuur te maken.
Een beetje onderneming segmenteert het netwerk voor dit soort camera's, denk ik?
Nou is de vraag hoe het met Bosch en Axis zit.
06-12-2016, 20:27 door Anoniem
Door ph-cofi:
... an sich nog geen teken van een kwaad geweten.
Nou... ik denk dat de Legal Department al is ingeschakeld bij Sony om zich te wapenen tegen rechtzaken? En heeft gezegd "geef maar even geen antwoord". Aanklacht: Uw apparatuur is te makkelijk tot spionage-apparatuur te maken.

Als de vraag vanuit de ingang herkend is als 'mijnenveld' zal Legal zeker ingeschakeld zijn. En gegarandeerd is hun positie niets zeggen totdat we uberhaupt weten waar we staan en waar we voor aansprakelijk worden als we dingen zeggen.

Afhankelijk van hoe de remote toegang eruit ziet en wat naar de klant toe beloofd wordt is je voorgestelde aanklacht totaal kansloos.

Als er niks heel hard beloofd is qua security, en het ding voldoet aan z'n primaire functie (beelden maken), bevat geen loodhoudende verf of loodsoldeer, en kan niet onverwachts losraken en op iemands hoofd vallen , dan zit je als fabrikant qua product aansprakelijkheid al snel goed.

"Is te makkelijk te hacken" is een statement waar de wetgever weinig mee kan of doet.

Eigenlijk gok ik dat min of het omgekeerde zal gelden van de wet computercriminaliteit - om strafbaar te zijn moet je enigerlei beveiliging doorbreken. Ik vermoed (ianal) dus dat omgekeerd, als er enigerlei beveiliging aanwezig is de fabrikant al snel voldaan zal hebben aan een impliciete zorgplicht .
Misschien dat de verplichtingen, eisen en verwachtingen hoger liggen bij pure security producten [firewalls, vpn concentrators] , maar zelfs Juniper is niet opgehangen .

M.i. is het leerpunt van Volkswagen en andere diesels : zeggen dat je fout zit kost waanzinnig veel geld. Mond dicht, stellen dat je aan de formele eis voldoet en voldoende politieke dekking regelen is wat je moet doen.


Een beetje onderneming segmenteert het netwerk voor dit soort camera's, denk ik?

Dat is altijd verstandig - ontzettend weinig devices zijn geschikt om rechtstreeks aan een min of meer vijandig netwerk te hangen. En dat geldt nog meer voor appliance-achtige devices die amper te updaten zijn.
Idem voor netwerk printers , PBXen , en zeker kassa's en pin terminals.

Nou is de vraag hoe het met Bosch en Axis zit.

Daar is vast ook wel een hoop te vinden wat niet goed genoeg is.
06-12-2016, 21:05 door Anoniem
Door Anoniem:geen teken van een kwaad geweten.
Als een bedrijf een Legal department heeft wat de externe communicatie stuurt en beperkt dan is dat voor mij wel
een teken van een kwaad geweten hoor. En Sony heeft dat uiteraard, en heeft het ook hard nodig. Sony, daar is VW
niks bij.
07-12-2016, 12:14 door Anoniem
LOL @ iedereen die nu over Sony heen valt...Microsoft brengt maandelijks dergelijke updates uit.
Daarnaast: Sony brengt tenminste een nieuwe firmware uit voor de betreffende apparaten. Dit kun je niet zeggen van de miljoenen wonkytonky merken die de consument thuis heeft. Die brengen niet eens /nauwelijks firmwares uit, want kostenbesparend bezig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.