Security Professionals
- ipfw add deny all from eindgebruikers to any
Foscam onverklaard verkeer
Goedemorgen,
Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.
Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.
Als jullie dit lezen, wat denken jullie dan?
Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.
Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.
Als jullie dit lezen, wat denken jullie dan?
Reacties (18)
Dat je camera gehacked is en nu contact opneemt met de command and control server die iemand heeft ondergebracht
bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
http://foscam.us/forum/foscam-ip-camera-is-sending-data-to-unknown-ip-addresses-t5684.html
Doe eens een 'whois linode.com'.
Kijk eens op linode dot com.
Maakt dat e.e.a. duidelijker? Of juist niet?
Of is wellicht de prefix, die 987-87.members ook weer fake/gespoofed?
Wie zal het zeggen?
Kijk eens op linode dot com.
Maakt dat e.e.a. duidelijker? Of juist niet?
Of is wellicht de prefix, die 987-87.members ook weer fake/gespoofed?
Wie zal het zeggen?
13-10-2017, 10:04 door
CSO.
http://foscam.us/forum/why-is-my-camera-trying-to-contact-some-host-at-linode-org-t4729.html
Als jullie dit lezen, wat denken jullie dan?
Dat ik die camera onmiddelijk offline zou halen tot duidelijk is wat er gaande is. Als de leverancier niet kan vertellen wat dat voor verkeer is dan zou ik ervan uitgaan dat dat ding malware heeft opgelopen en dingen de wereld in stuurt waar jij niet om gevraagd hebt.Hoe zo'n besmetting weer te verwijderen is weet ik niet. Zorg in de toekomst, als je nog eens aan zo'n ding begint, dat je firewalls zo instelt dat ze alleen het verkeer toestaan dat zo'n ding legitiem doet (beelden afleveren, firmware ophalen bij de fabrikant). Bekijk dat soort zaken voor je het aanschaft. Over het algemeen kan je gebruiksaanwijzingen downloaden. Als die niet beschikbaar zijn of als dit soort informatie er niet duidelijk in staat, zoek dan verder naar iets beters.
Soortgelijke vragen:
http://foscam.us/forum/foscam-ip-camera-is-sending-data-to-unknown-ip-addresses-t5684.html
https://forums.zoneminder.com/viewtopic.php?t=20868
Gebruik een volwaardige packetanalyzer (Wireshark bijvoorbeeld) om te zien wat de inhoud is van het verkeer, welke protocollen er worden gebruikt (bijvoorbeeld DDNS) en waarvandaan geinitieerd wordt. Er is een zendpoort en een ontvangstpoort per packet, het onderscheid is van belang te weten om te kunnen beoordelen wat er gebeurt. Kijk eens of je markers van plaatjes kunt ontdekken in de packets. Bijvoorbeeld JFIF voor jpeg. Als het te klein is voor plaatjes, kijk dan eens wat voor verkeer er is met of vanaf de camera na een herstart. Misschien zie je een DNS packet langs komen waaruit je de naam van het IP adres kunt halen.
Sowieso kun je er beter voor zorgen dat niemand vanaf Internet bij je camera kan behalve je eigen IP's. Als het verkeer van buiten kan komen zou het kunnen dat de camera direct op Internet is aangesloten. Dat is gevaarlijk.
Het is bekend dat Foscam camera's die niet up-to-date zijn gehackt kunnen worden. Probeer daarom -na de oorzakelijke tests- om nieuwe firmware te installeren. Dat kan zowel een mogelijk lek als een besmette camera oplossen.
http://foscam.us/forum/foscam-ip-camera-is-sending-data-to-unknown-ip-addresses-t5684.html
https://forums.zoneminder.com/viewtopic.php?t=20868
Gebruik een volwaardige packetanalyzer (Wireshark bijvoorbeeld) om te zien wat de inhoud is van het verkeer, welke protocollen er worden gebruikt (bijvoorbeeld DDNS) en waarvandaan geinitieerd wordt. Er is een zendpoort en een ontvangstpoort per packet, het onderscheid is van belang te weten om te kunnen beoordelen wat er gebeurt. Kijk eens of je markers van plaatjes kunt ontdekken in de packets. Bijvoorbeeld JFIF voor jpeg. Als het te klein is voor plaatjes, kijk dan eens wat voor verkeer er is met of vanaf de camera na een herstart. Misschien zie je een DNS packet langs komen waaruit je de naam van het IP adres kunt halen.
Sowieso kun je er beter voor zorgen dat niemand vanaf Internet bij je camera kan behalve je eigen IP's. Als het verkeer van buiten kan komen zou het kunnen dat de camera direct op Internet is aangesloten. Dat is gevaarlijk.
Het is bekend dat Foscam camera's die niet up-to-date zijn gehackt kunnen worden. Probeer daarom -na de oorzakelijke tests- om nieuwe firmware te installeren. Dat kan zowel een mogelijk lek als een besmette camera oplossen.
13-10-2017, 11:13 door
ph-cofi
Ik denk dat een hack/besmetting niet per se van toepassing is, want de Foscam doet e.e.a. by design:
https://thenewstack.io/snooping-webcam-reveals-security-dangers-internet-things/
http://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/
https://thenewstack.io/snooping-webcam-reveals-security-dangers-internet-things/
http://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/
13-10-2017, 11:21 door
Do
Door Anoniem:
Hoe zo'n besmetting weer te verwijderen is weet ik niet. Zorg in de toekomst, als je nog eens aan zo'n ding begint, dat je firewalls zo instelt dat ze alleen het verkeer toestaan dat zo'n ding legitiem doet (beelden afleveren, firmware ophalen bij de fabrikant). Bekijk dat soort zaken voor je het aanschaft. Over het algemeen kan je gebruiksaanwijzingen downloaden. Als die niet beschikbaar zijn of als dit soort informatie er niet duidelijk in staat, zoek dan verder naar iets beters.
Als jullie dit lezen, wat denken jullie dan?
Dat ik die camera onmiddelijk offline zou halen tot duidelijk is wat er gaande is. Als de leverancier niet kan vertellen wat dat voor verkeer is dan zou ik ervan uitgaan dat dat ding malware heeft opgelopen en dingen de wereld in stuurt waar jij niet om gevraagd hebt.Hoe zo'n besmetting weer te verwijderen is weet ik niet. Zorg in de toekomst, als je nog eens aan zo'n ding begint, dat je firewalls zo instelt dat ze alleen het verkeer toestaan dat zo'n ding legitiem doet (beelden afleveren, firmware ophalen bij de fabrikant). Bekijk dat soort zaken voor je het aanschaft. Over het algemeen kan je gebruiksaanwijzingen downloaden. Als die niet beschikbaar zijn of als dit soort informatie er niet duidelijk in staat, zoek dan verder naar iets beters.
Camera hangt nu in een VLAN die volledig gescheiden is van de rest van mijn netwerk.
Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
Dat die camera een keer gehackt wordt zit er dik in (daarom ook afgescheiden), deze goedkope partijen staan er bekend om dat hun firmware vol zit met vulnerabilities. Security is een lagere prioriteit bij dit soort bedrijven.
Door CSO.: http://foscam.us/forum/why-is-my-camera-trying-to-contact-some-host-at-linode-org-t4729.html
Hier wordt uiteindelijk gemeld dat Firefox via TCP/HTTP een verbinding maakt met een server in het Linode domein.Ik heb het specifiek van een verbinding die wordt geïnitieerd van de Foscam richting dat target over UDP/8081 of 8082.
Door Anoniem: Dat je camera gehacked is en nu contact opneemt met de command and control server die iemand heeft ondergebracht
bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
In die richting dacht ik ook, vraag me dan wel of hoe die software erin is gekomen als dit echt het geval is.bij zo'n fijne virtual server hoster die het weinig kan schelen wat de klanten allemaal uitvreten...
Zou dan vermoeden dat iemand een backdoor in in ieder geval de laatste update heeft geschreven in de originele firmware, i.e. Foscam zou dan gehackt zijn, waarmee iedereen met deze versie dat issue zou hebben. Zou snel opgemerkt worden lijkt me.
13-10-2017, 11:30 door
Do
Door ph-cofi: Ik denk dat een hack/besmetting niet per se van toepassing is, want de Foscam doet e.e.a. by design:
https://thenewstack.io/snooping-webcam-reveals-security-dangers-internet-things/
http://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/
https://thenewstack.io/snooping-webcam-reveals-security-dangers-internet-things/
http://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/
Dat is interessant. Ongeveer het zelfde fenomeen lijkt bij mij plaats te vinden.
Toch zou het absurd zijn als het
a) niet uit te schakelen is, en
b) het verkeer wordt gedropt bij een non-Foscam domein.
Jammer dat in die artikelen de port nummers niet genoemd werden.
Door Do: Goedemorgen,
Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.
Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.
Als jullie dit lezen, wat denken jullie dan?
Gisteren kwam ik er achter dat mijn Foscam FI8953EP IP Camera wat vreemd verkeer initieert.
Het stuur gisteren over UDP/8081, en vandaag over UDP/8082 naar 45.33.37.87 (li987-87.members.linode.com).
Dit gebeurd meerdere malen per minuut.
Via mijn Fortigate een sniffer aangezet, maar van de inhoud van het pakket wordt ik niet veel wijzer.
Foscam zelf maar eens benaderd, zij weten van niets, en kennen het Linode.com domein ook niet.
Als jullie dit lezen, wat denken jullie dan?
Vaak hebben dit soort devices een 'toegang van buiten' optie [bedoeld voor de eigenaar] .
Omdat eindgebruikers dingen als portforwards laten instellen, of hun eigen publieke IP kennen niet werkt, meldt de camera zich aan op een 'centraal punt' , en kunnen gebruikers de camera daar weer terugvinden - en eventueel terugconnecten.
Zo'n UDP pakket kan ook een STUN (nat-detectie) pakket zijn, volgens de RFC of een eigen protocol .
(https://en.wikipedia.org/wiki/STUN )
Door met zo'n pakket een NAT-entry te maken kan retourverkeer ook uitkomen bij de camera.
Ik denk dus dat het verkeer een combinatie van 'aanmelden' en 'NAT traversal' is .
Ik zou *alle* verkeer sniffen, (en de camera even aan en uit zetten) want de kans is erg groot dat dat adres bij linode _ook_ een echte hostnaam heeft , en dat de camera die eerst resolved . Kijk dus naar de DNS lookups van de camera.
Alleen de reverse DNS is dan van de cloud provider.
13-10-2017, 12:13 door
Bitwiper
Door Do: Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
UPNP? Google: foscam upnpBijv. http://foscam.us/forum/please-always-disable-upnp-in-your-camera-here-is-why-t7282.html
13-10-2017, 12:26 door
Briolet
Door Anoniem: Soortgelijke vragen:
https://forums.zoneminder.com/viewtopic.php?t=20868
https://forums.zoneminder.com/viewtopic.php?t=20868
Dat klinkt niet goed bij P2P als die instelling ook blijft werken als het uitgezet wordt. In mijn Foscam heb ik indertijd als eerste de P2P functie uitgezet.
Hier heb ik het IP adres van mijn camera op de blocklist van de router gezet, zodat ik zeker weet (denk te weten) dat hij nooit met de buitenwereld praat. Voor firmware updates is dat geen probleem, want die worden by design, eerst naar de locale PC gedownload en vanaf daar naar de camera gestuurd.
13-10-2017, 14:56 door
evasive
en je weet heel zeker dat het die camera zelf is?
https://support.mozilla.org/en-US/questions/685996
en dan:
https://addons.mozilla.org/en-US/firefox/addon/googlesharing/
heb je die add-on in gebruik?
https://support.mozilla.org/en-US/questions/685996
en dan:
https://addons.mozilla.org/en-US/firefox/addon/googlesharing/
heb je die add-on in gebruik?
13-10-2017, 16:27 door
Do
Door Bitwiper:
Bijv. http://foscam.us/forum/please-always-disable-upnp-in-your-camera-here-is-why-t7282.html
Staat uitgeschakeld, maar zo langzamerhand kom ik erachter dat dit met Foscam überhaupt de vraag is of de cam daar gehoor aan geeft.Door Do: Voor zover ik weet heb ik nooit een NAT uitgevoerd richting de Foscam, waarmee deze afgescheiden zou zijn voor het internet voor inbound sessies.
UPNP? Google: foscam upnpBijv. http://foscam.us/forum/please-always-disable-upnp-in-your-camera-here-is-why-t7282.html
13-10-2017, 16:56 door
Do
Ben achter de oorzaak.
DDNS stond bij mij uitgeschakeld, echter is dit buggy, als deze uitgeschakeld wordt op de GUI, hoeft deze niet daadwerkelijk uitgeschakeld te zijn zo merk ik op.
Echter met een beetje spelen kwam ik uit op het volgende.
Wanneer ik een sniffer draai op mijn Fortigate vind het volgende plaats.
1. DDNS staat uit, en deze ga ik activeren.
2. Eenmaal geactiveerd, stuurt de Foscam een DNS Request naar de DNS server voor dddns.myfoscam.org
3. DNS server (Google in mijn geval) replied terug met een IP uit het Linode domein.
4. Foscam initieert UDP traffic naar dat IP.
Dominics-MacBook-Pro:~ dominic$ ping ddns.myfoscam.org
PING ddns.myfoscam.org (66.175.220.161): 56 data bytes
92 bytes from li515-161.members.linode.com (66.175.220.161)
Maar... dit gebeurd dus ook wanneer DDNS uit staat (dit was bij mij hiervoor het geval).
Vreemd dat Foscam dit stukje documentatie lijkt te verbergen (ik lees dit nergens concreet in terug).
DDNS stond bij mij uitgeschakeld, echter is dit buggy, als deze uitgeschakeld wordt op de GUI, hoeft deze niet daadwerkelijk uitgeschakeld te zijn zo merk ik op.
Echter met een beetje spelen kwam ik uit op het volgende.
Wanneer ik een sniffer draai op mijn Fortigate vind het volgende plaats.
1. DDNS staat uit, en deze ga ik activeren.
2. Eenmaal geactiveerd, stuurt de Foscam een DNS Request naar de DNS server voor dddns.myfoscam.org
3. DNS server (Google in mijn geval) replied terug met een IP uit het Linode domein.
4. Foscam initieert UDP traffic naar dat IP.
Dominics-MacBook-Pro:~ dominic$ ping ddns.myfoscam.org
PING ddns.myfoscam.org (66.175.220.161): 56 data bytes
92 bytes from li515-161.members.linode.com (66.175.220.161)
Maar... dit gebeurd dus ook wanneer DDNS uit staat (dit was bij mij hiervoor het geval).
Vreemd dat Foscam dit stukje documentatie lijkt te verbergen (ik lees dit nergens concreet in terug).
Dag Do,
Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?
Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.
Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?
Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.
13-10-2017, 21:36 door
Briolet
"ddns.myfoscam.org" en "i515-161.members.linode.com" zijn dus twee url's voor hetzelfde IP adres.
Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.
Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.
Door Briolet: "ddns.myfoscam.org" en "i515-161.members.linode.com" zijn dus twee url's voor hetzelfde IP adres.
Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.
Echter, het is wel een ander IP dan in je openingspost. Ik denk dan eerder dat dit een andere dienst van de camera is, die ook bij linode.com ondergebracht is. En dat de ddns dienst wel uit staat als dat ingesteld is.
Dat is niet zo gek dat de URL niet resolved naar hetzelfde IP.
Kan talloze doeleinden voor hebben, bv. niet miljoenen camera's naar 1 IP adres sturen....
Door Anoniem: Dag Do,
Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?
Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.
Firmware al eens geupdated naar de nieuwste versie?
En is het niet camera type FI9853EP in plaats van FI8953EP?
Hier staan wat mogelijke aanvallen in tegen Foscam camera's:
https://rampartssecurity.com/docs/Exploiting-Foscam-IP-Cameras.pdf
Het is dus wel zaak van bedachtzaam omgaan met dat spul.
Klopt inderdaad, is inderdaad de FI9853EP.
Interessante PDF, ik ga 'm eens doornemen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.