image

"Providers hadden veiligheid routers moeten controleren"

woensdag 7 december 2016, 16:59 door Redactie, 17 reacties

De recente problemen met aanvallen op routers, waardoor onder andere 900.000 klanten van Deutsche Telekom met storingen te maken kregen, hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.

Dat zegt Joe Bursell van het Britse beveiligingsbedrijf Pen Test Partners. Naast Deutsche Telekom kregen ook internetproviders in Groot-Brittannië, Ierland en andere landen met aanvallen te maken. Wereldwijd zijn mogelijk miljoenen routers kwetsbaar voor de malware die achter de aanvallen zit. De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Providers gebruiken de protocollen om routers op afstand te beheren. Bij sommige modems en routers zijn de protocollen niet voor het internet afgeschermd en zijn de apparaten voor kwaadwillenden via het protocol toegankelijk.

Op de vraag hoe dit kon gebeuren wijst Bursell naar de internetproviders. "Het is een lang verhaal, maar we denken dat providers de veiligheid niet goed hebben gecontroleerd van de routers die ze aan klanten geven." De software van de routerfabrikanten zou het TR-064-configuratieprotocol niet goed beveiligen. "De providers hadden beter de routers moeten controleren voordat ze die naar klanten stuurden. De fabrikanten hadden in de eerste plaats veilige software moeten schrijven."

Volgens Bursell is het probleem van TR-064 al enige tijd bekend. "Maar tot voor kort beseften maar weinigen hoe ernstig het was. Totdat iemand een botnet begon te bouwen en de routers van mensen stopten met werkten, namen maar weinig mensen dit serieus." Pen Test Partners liet eerder deze week weten dat de malware de router niet alleen infecteert, maar ook het wifi-wachtwoord steelt. Getroffen gebruikers krijgen dan ook het advies om hun router te updaten en hun wifi-wachtwoord te wijzigen, hoewel Bursell hoopt dat providers bij hun abonnees de routers gaan vervangen.

Reacties (17)
07-12-2016, 17:41 door Anoniem
Dit slaat nergens op. Het gebeurd al jaren!
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.

Weet nog dat mijn modem (Zyxel) met de firmware van mijn provider(telfort) ook een aantal problemen had. Zoals CPE dat open stond en er was een command waarmee je de gateway kon offline halen. Dat is niet eens alles, er zat ook een XSS in.
Dus ik heb dat toen eens gepost op hun forum, blijkbaar zat in hun forum CMS ook een XSS bug.

Good game!
07-12-2016, 18:03 door Anoniem
Ach ja Ziggo bleef ook ontkennen dat hun modem/routers onveilig waren toen de Wi-Fi Reaver Attacks hoogtij waren, sterker ze ontkende dat er ook maar één modem gehackt was terwijl op IRC genoeg mensen waren die hun halve buurt aan het hacken waren. Sterker er zijn nog genoeg verouderde modems van oa KPN in omloop die gevoelig zijn voor de WPS hack. Mja....
07-12-2016, 21:48 door Anoniem
Of Xs4all met hun remote access dat zogenaamd massaal misbruikt werd door een "bug" in de firmware van AVM. Of VOIP logins die op mysterieuze wijze gestolen worden, toevallig allemaal Fritzbox gebruikers...

Leuk tr064 en tr069 afschermen van het internet, maar bij een inbraak bij de provider heeft een aanvaller alsnog toegang tot de router EN het lokale netwerk van klanten.

Veel te gevaarlijk dus. Deze protocollen kunnen het best samen met IPv6 de prullenbak in. Het effect van deze protocollen is onbeheersbaar.
07-12-2016, 22:40 door Briolet
hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.

Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.
07-12-2016, 22:57 door Anoniem
Dit moet je in de medische wereld eens proberen: als leverancier je voordoen als expert op medisch gebied en dan de publiciteit zoeken om te vertellen wat medici fout doen zonder bewijs te hebben of het klopt wat je zegt. Als je expert die belang heeft in verkoop aan medici of hun patienten een antwoord geeft in de vorm van "we denken dat de chirurgen niet goed hebben gecontroleerd of de patient afdiende was gehecht" zou de geloofwaardigheid al snel in het geding zijn. De journalist zou waarschijnlijk doorvragen om te controleren of het verhaal van zijn expert klopt en geen eindredacteur die er serieus over nadenkt om het bericht zonder factcheck te publiceren. Maar bij een zelfde soort antwoord op gebied van IT beveilig trekt een journalist of eindredactie niet in twijfel of die werkelijk een expert voor zich heeft, of iemand die eigenlijk antwoord geeft omdat het eigen bedrijf dan publiciteit krijgt.
07-12-2016, 23:13 door Anoniem
Door Briolet:
hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.

Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.

Pentesters kun je inhuren, en het is altijd goed om een leverancier niet op z'n woord en contract te moeten geloven.
Ik weet niet of de ISP iets van een pen test gedaan heeft (zelf, of ingehuurd ), maar ook pentesters kunnen dingen missen.
08-12-2016, 06:50 door Anoniem
Het had ook voorkomen worden door de fabrikant. Begin daar maar eens boetes op te leggen. Daarna bedrijven welke beveiliging niet op orde hebben en ten slotte de consument.
08-12-2016, 07:07 door Anoniem
Door Briolet: Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.
Een ISP hoeft niet alle kennis in huis te hebben om die routers zelf te kunnen bouwen, maar ze hebben wel voldoende kennis van zaken nodig om eisen te kunnen stellen aan wat ze inkopen en om te controleren of het aan hun eisen voldoet. Als ze dat overslaan doen ze hun eigen werk niet goed.
08-12-2016, 07:13 door Anoniem
Door Anoniem: Dit slaat nergens op. Het gebeurd al jaren!
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.
Nee, ze moeten het niet nu opeens gaan controleren, ze hadden het allang moeten doen. Het is geen nieuws dat dat niet altijd goed is, het nieuws op dit moment is de kritiek die Joe Bursell levert. En zolang dit soort dingen niet goed geregeld zijn is het maar goed ook dat er steeds opnieuw kritiek op wordt geuit en er steeds opnieuw over bericht wordt, dat levert druk op om het wel goed te regelen.

Dus wat voegt "dit is geen nieuws" precies toe?
08-12-2016, 08:08 door Anoniem
Ben zo blij dat mijn provider (ziggo) me niet meer levert dan een modem.
Gewoon omdat mijn router geen docsis spreekt en geen F-Connector heeft om de tv-kabel in te duwen.

Ze hebben me wel een paar keer een nieuwe gestuurd, met wifi etc. maar ik hou liever mijn oude vertrouwde modem en mijn eigen router....

Maar als je als provider de router levert en meent te beheren (wat klanten denken) duw er dan ook even updates heen.
Gros van de klanten kijkt nooit om naar dat ding.
08-12-2016, 08:30 door Anoniem
Zelf bij Xs4all slipt er wel eens een reeks modems door welke niet genoeg getest zijn zoals de splinternieuwe Fritz!box 7581 van AVM. Als men de quickwizard gebruikte en Xs4all als provider aangaf resette het modem zich weer.

Als zulke basis instellingen al niet goed gaan wat is er dan nog mis wat de consument niet bemerkt of pas als het te laat is.
08-12-2016, 08:38 door potshot
dus autodealers moeten ook botsproeven uitvoeren,software testen, en nog meer van die onzin ?
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
08-12-2016, 08:53 door Anoniem
Door potshot: dus autodealers moeten ook botsproeven uitvoeren,software testen, en nog meer van die onzin ?
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..

Welkom, dit is het probleem van closed source firmware en software.
Ze hebben een houdbaarheid datum zeg maar. Het is slechts een kwestie van tijd voordat de problemen door hobbyisten of professionals ontdekt zal worden. En dan maar hopen dan de fabrikant zo mooi is en er nog geld in wilt stoppen om een firmware update uit te brengen..
08-12-2016, 09:20 door buttonius
Door potshot: dus autodealers moeten ook botsproeven uitvoeren,software testen, en nog meer van die onzin ?
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
Geen goede vergelijking. Auto's mogen alleen in Nederland geïmporteerd en verkocht worden als daar een type goedkeuring voor is. Als iemand 1 auto importeert waar geen Nederlandse type goedkeuring voor bestaat moet die auto eerst bij de RDW worden gekeurd. Zonder een van die keuringen ga je geen kenteken voor de auto krijgen.
Voor kabel- en DSL-modems geldt zo'n eis niet.
08-12-2016, 09:41 door Anoniem
Door potshot: dus autodealers moeten ook botsproeven uitvoeren,software testen, en nog meer van die onzin ?
de fabrikant moet voor veilige producten zorgen en niet de verkopers.
fabrikanten kunnen dus rotzooi verkopen want de verkoper is aansprakelijk..
De verkoper is werkelijk aansprakelijk voor wat hij jou verkoopt. Dat hij vervolgens weer bij de fabrikant kan aankloppen als er iets niet deugt neemt niet weg dat hij tegenover zijn klanten aansprakelijk is voor wat hij levert. Als je tussen de klant en de fabrikant gaat zitten neem je verantwoordelijkheid tegenover die klant. Dat is geen onzin, dat is hoe bij ons consumentenrecht werkt.

Auto's moeten door RDW goedgekeurd worden voor ze de weg op mogen, voor routers is er niet zo'n strenge keuring. Informatietechnologie is sowieso nogal een wildwest-verhaal qua kwaliteit (van software/firmware vooral), het is nog zo nieuw dat nog lang niet zo uitgekristalliseerd is wat voor eisen je er eigenlijk aan mag stellen als op veel andere terreinen, en het is duidelijk dat heel wat fabrikanten en andere partijen de nodige steken laten vallen. En dus kan een ISP die beweert kwaliteit te leveren (en welke doet dat niet) niet zo blind op de kwaliteit van de toeleveranciers vertrouwen als een afnemer van een autofabrikant dat kan. Of eigenlijk kan die ISP dat wel, maar dan valt hij wel door de mand voor wat betreft die pretentie van kwaliteit als er iets mis mee gaat. En zolang het grote publiek amper een idee heeft waar het over gaat komen ze er nog mee weg ook.
08-12-2016, 11:07 door Anoniem
Door Anoniem: Ben zo blij dat mijn provider (ziggo) me niet meer levert dan een modem.
Gewoon omdat mijn router geen docsis spreekt en geen F-Connector heeft om de tv-kabel in te duwen.

Ze hebben me wel een paar keer een nieuwe gestuurd, met wifi etc. maar ik hou liever mijn oude vertrouwde modem en mijn eigen router....

Maar als je als provider de router levert en meent te beheren (wat klanten denken) duw er dan ook even updates heen.
Gros van de klanten kijkt nooit om naar dat ding.

Je kan de routers van ziggo in "Bridge" mode plaatsen en je eigen router aansluiten...
09-12-2016, 11:29 door Anoniem
Door Anoniem: Dit slaat nergens op. Het gebeurd al jaren!
EN nu opeens moeten ze dit gaan controleren. Snap wel dat het belangrijk is, maar dit is geen nieuws.

Je hebt gelijk dat het geen nieuws is. Ze horen dat al jaren te doen.

Door Briolet:
hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.

Ik vraag me af of een ISP wel de kennis in huis heeft om dat te testen. Zij kopen de routers vaak incl software bij een routerfabrikant. Bij die fabrikanten behoort de kennis te zitten om dit deugdelijk te testen.

Het gaat er in de meeste gevallen op dat je bij de controle van de router het standaard wachtwoord wijzigt en de firewall zo instelt dat niet de hele wereld, maar alleen je eigen beheernetwerk, bij de router kan.

Ik heb een aantal jaren toezicht gehouden op de security maatregelen bij een ISP. Het probleem uitleggen was voldoende om hen ervoor te laten zorgen dat er geen router naar een klant ging zonder dat die veilig geconfigureerd was.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.