Mijn opa zag het nut niet in van een automobiel, mijn oma zag het nut niet in van een telefoon, mijn vrouw zag het nut niet in van een Smartphone, mijn zoon ziet het nut niet in van een veilige telefoon.

7 miljard mensen en even zoveel wensen.

Wil je wel alles aan het net knopen, neem de risico's voor lief, wil je dat niet doe je het niet.


En ik ben het helemaal met je eens, mijn smart-TV is altijd dom gebleven.

Je kunt in die tweakers thread de use cases lezen waarom het (voor sommige mensen in sommige scenario's) dus handig kan zijn om een Internet connected oven te hebben.

Hoeveel routes staan er in Nederland? Dus hoeveel procent is gehackt?

Tja nou kunnen alle researchertjes die een piepklein lekje hadden gevonden waardoor het in onwaarschijnlijke omstandigheden wellicht mogelijk was om mee te kijken met het IoT verkeer van het apparaat weer tevreden zijn want hun lekje (wat ze alleen gezocht hadden om weer op de kaart te komen te staan voor een nieuw budget) is opgelost, en de oven is niet meer bruikbaar.

Het wordt tijd dat de wereld zich eens realiseert wat een ellende die researchertjes over ons afroepen!
Met hun "MD5 is onveilig" enzo. Bullshit. Allemaal bullshit.

WTF ?

Je denkt dat die ovens van buitenaf gebricked zijn ?

Dat staat nergens - gewoon een fuckup van de fabrikant .

Gezien het gedrag - presenteert zich als stoomoven en vergeet magnetron te zijn - de firmware of firmware updater heeft een model check niet goed gedaan, en firmware voor een stoomoven geinstalleerd op een combi magnetron apparaat .

Ongeveer net zoiets als een BIOS image voor een net even ander moederboard flashen .

Met de meldingen dat Wifi ook uit staat - nu moeten de engineers even heel diep nadenken of ze nog een voodoo truuk paraat hebben om er toch andere firmware op te krijgen zonder een service engineer te moeten sturen .

Ik ben geen oude knar, maar begrijp het ook niet, hoor :-)
De echte handicap zijn de mensen die denken te weten hoe het werkt en interessant proberen te doen met hun gadgets. Heb er ook zo eentje in de familie: op leeftijd en claimt heel technisch te zijn, maar heeft werkelijk geen flauw benul van de werking en risico's.
+1

Eigenlijk lachwekkend, hè? Iedereen had je vroeger voor gek verklaard als je gezegd had dat je oven via internet bereikbaar moet zijn en via diezelfde weg gesaboteerd kan worden. Why change a winning team?

Zie alle komische sketches al voor me:
2 neanderthalers die een vuurtje proberen te maken met hout en vuurstenen, maar moeten stoppen ze "smart"-stenen gebruiken en ze via internet gehackt zijn waardoor hun stenen onbruikbaar zijn ^_^

Nou begrijpend lezen is wel moeilijk he?
Ik denk dat de ovens een update gehad hebben wegens een of ander "veiligheidsprobleem" wat alleen puur
theoretisch van aard was en wat in de praktijk nooit een probleem zou zijn, en dat de fabrikant onder deze druk
een foutje gemaakt heeft. Zonder die druk van "we hebben een lek en als je niks doet binnen de door ons gestelde
termijn gaan we het aan de grote klok hangen!" was dit nooit gebeurd.

Mooie dikke duim heb je om je stokpaardje te berijden.

Wat geeft je het idee dat ze het gedaan hebben vanwege een security probleem ?

De normale reden voor updates zijn bugfixes , en soms feature updates .

Voor wat het ding allemaal moet doen zeker te verwachten dat er allerlei bugfixes nodig zijn - of andersom , een update voor een _ander_ (nieuw?) model oven waarbij de check niet goed alle andere modellen weigerde en dus verkeerd geinstalleerd werd.

Als de tv smart zou zijn zou die weten dat ik geen 'smart' zooi in huis wil hebben... ;)

--HaSo

HahhahhaHAAAAAHHHAHHAHAA! Hij is leuk! Zulke naieve figuren kom je niet vaak tegen.
Nee ECHT, dat gaat een fabrikant echt niet doen in dat soort apparatuur.

Betreft het deel "Voor wat het ding allemaal moet doen":
Het is een combimagnetron, dus moet moet eten verwarmen, meer niet :-)

Maakt het nog uit of mijn router door de nederlandse of de russische overheid gehacked word?

Data CD's of DVD's vernietegen, ook ideaal.

Als ze gewoon fatsoenlijke software hadden geschreven ook niet.

Ik weet wel wie hier moeite heeft met begrijpend lezen. Dat ben je nml zelf en niet degene die je beschuldigd. Je verzint er nml van alles bij dat niet in het stuk vermeld wordt. De update kan ook te maken gehad hebben met nieuwe recepten en bijhorende bereidingstijden.

In elk geval heeft dit niets te maken met het internet. Dit had 20 jaar geleden ook kunnen gebeuren met een update via een floppy.

Je bent simpel ?

Het is toch echt een feit DAT er een firmware update gepushed is.

Er is iemand die gelooft dat die gepushed is om een of andere vage security bug te patchen.
DAT is best naief .

Ik vind het heel wat aannemelijker dat er een update gepushed is voor een bug/feature update die wel zichtbaar was voor gebruikers - en daarbij op de verkeerde ovens gekomen is.

Er zullen heel wat meer klagers zijn voor " ik heb geen beeld op mijn bladroid 11.5 telefoon" of "ik kreeg geen push notification dat de oven klaar is op IOS15" dan zeurnerds over een TLS ciphersuite .

Dus - die update _is_ gemaakt - en dan kun je geloven dat het is voor een zichtbare bug (cq feature update), of geloven dat het is voor een onzichtbaar security probleem wat 04-03 17:35 doet .

Het probleem is tegenwoordig dat wat vandaag fatsoenlijke software is, morgen door een of andere zielepoot in een
lab in een universiteit "gehacked" kan worden (hij bedoelt dat er een super theoretische kans is dat er misschien ooit
eens iemand een niet encrypted packet te zien zou krijgen, en hij doet dat alleen om op te vallen en een budget te
krijgen voor onderzoek in het komende jaar).
Dan is je "fatsoenlijke software" ineens weer voorzien van een CVE en MOET je updaten anders ga je aan de schandpaal.

Dit soort "fouten" zit vaak niet eens in de software die de fabrikant schrijft, maar in libraries of zelfs in standaards.
De fabrikant treft dan geen blaam.

Ik kan me niet herinneren dat eenvoudige gebruikersapparatuur destijds updates nodig hadden.

Nou en of dit alles te maken heeft met internet: het ging om een automatische update.

De kans daarop is zeer veel kleiner om in elk geval de volgende redenen:

1) Veel mensen updaten devices nooit als zij daar iets voor moeten doen.

2) De meeste mensen (in elk geval ik) zullen apparaten, die niet aan internet hangen, hooguit updaten indien daar een reden voor bestaat waar zij kennis van hebben genomen. In elk geval ik kijk niet elke dag (lees: nooit) op sites of er updates zijn voor apparaten die niet aan internet hangen, tenzij een apparaat niet (meer) doet wat ik ervan verwacht.

3) In tegenstelling tot automatische updates via internet gebeuren handmatige updates niet allemaal tegelijkertijd. Zodra, na een handmatige update die tot problemen leidt, uitvoerders daarvan bij de fabrikant klagen, zal die fabrikant (normaal gesproken) de defecte update van hun site halen waardoor een groot aantal slachtoffers kan worden voorkomen.

4) Als op de website staat dat een specifieke update bedoeld is voor stoomoven X en niet voor combimagnetron Y, is de kans op verwisseling klein. Wel kan de fabrikant handmatig downloadable updates op de site verwisselen, maar dan kom je weer bij punt 3.

Sowieso is het stom als een apparaat een update bedoeld voor een ander apparaat rücksichtslos accepteert. Ik ben benieuwd of en welke integriteits- en authenticiteitschecks AEG-apparaten wel correct uitvoeren (ik heb zo mijn vermoedens).

Elk apparaat, direct of indirect (via NAT/NAPT) aan internet gekoppeld, is een potentieel DoS-kanon en vormt een bedreiging voor SOHO-situaties - zowel voor spionage via ingebouwde sensoren als op netwerkniveau (bijv. om beheertoegang tot niet via internet beheerbare SOHO-routers te verkrijgen). Zelfs op afstand toebrengen van schade (brandstichting) kun je niet uitsluiten.

De afweging die we m.i. zouden moeten maken is of dat (m.i. kleine beetje) gebruiksgemak opweegt tegen de potentiële risico's - voor jezelf en voor derden.

Vooral bij apparaten die gedeeltelijk of niet werken "zonder internet" lijkt het mij verstandig om je af te vragen in welk land de noodzakelijke internetservers staan en door welke landen verbindingen daarmee plaatsvinden of omgeleid kunnen worden. En vooral of je dat soort "smart" apparaten wel moet kopen (daarbij "stupid" apparaten uit de markt drukkend). Wie heeft er nog een kortegolfradio met uitschuifantenne op batterijen in huis?

Vrienden van vandaag hoeven dat morgen niet meer te zijn.

Precies, en dit geeft ook al aan dat het zeer waarschijnlijk een security update was en geen functionaliteits update.
(wat daarboven door een paar mensen met de kop in het zand geroepen wordt)

Immers als het niet om een dringende update gaat zijn de meeste fabrikanten wel zo slim om niet iedereen tegelijk die
update te sturen, maar dit heel langzaam aan te doen zodat als er problemen komen er snel klachten komen en er op
de rem getrapt kan worden.
Meteen een groot aantal devices updaten dat is wat je doet als er een deadline is.

Heb het zelf ook nog weleens gebruikt voor het reflowen van een videokaart van mijn laptop :-)

Als het al om een security-update ging (waar ik tot nu toe geen enkele aanwijzing voor kan vinden) was die update bedoeld voor AEG stoomoven X en niet voor combimagnetron Y.

Ik sluit overigens niet uit dat het om een spoed-update voor stoomoven Y gaat. Maar "spoed" bij ICT-security-updates voor IoT-appraten is schaars.

Als er al sprake was van spoed, vermoed ik eerder een bug die oververhitting kan veroorzaken of een stommiteit waar veel klanten over klagen (en/of die door een tester zoals de Consumentenbond is gevonden en waarvan de baas van AEG wil dat een fix vóór publicatie van een review-artikel beschikbaar is).

Ik denk dat je "de meeste fabrikanten" overschat op dit punt. In mijn ervaring zijn "de meeste fabrikanten" wel zo "slim" om niet veel geld aan personeel en updates (plus het grondig testen daarvan) uit te geven. Vooral als zij moeten concurreren met producenten in lagelonenlanden.

Of als je als verantwoordelijke (ICT'er?) te weinig overzicht op het productenpalet hebt, te veel zelfvertrouwen hebt en/of door je baas wordt opgejaagd en de boel ongetest over de schutting flikkert.

Sowieso interesseert het mij bar weinig wat de reden voor de stoomoven-update was. Duidelijk is dat AEG meerdere fouten heeft gemaakt, en dat bevestigt mijn zorgen over het rap toenemende aantal apparaten dat aan het internet geknoopt wordt. Zie mijn vorige bijdrage (https://security.nl/posting/745561) waarom.

Zo, dan steek ik nu mijn kop weer in het zand.

Nog afgezien van de vragen die ik heb over het hoe en waarom van de update (AEG zwijgt) leek er toch even licht aan het einde van de tunnel. Want AEG liet via de NOS weten dat uiterlijk 21 maart met alle gebruikers contact op zou worden genomen.
Niet dus...
Ik heb de afgelopen weken vier keer contact met hun servicedesk gehad, dus ze kunnen niet zeggen dat ze mijn gegevens niet hebben.

Moraal van dit verhaal: als je hen aan het praten wilt krijgen moet je er blijkbaar de pers op afsturen. Maar daar komen ze blijkbaar weg met een zoethoudertje. Triest verhaal.

Wat een hilarische toestand met zo'n ethenet/wifi magnetron.

Ik vind het uiteraard vervelend voor de bezitters, laat ik dat voorop stellen, maar met mijn +60 leeftijd zie ik het volgende helder voor me:

Als een Tesla - je weet wel: zo'n internetmobiel op 4 wielen - onderweg naar huis rechtsomkeert maakt richting de garage omdat het oliepeil te laag staat en mijn smart oven ondertussen door een mislukte update fix denkt dat 'ie een Tesla is en met rokende ex diepvries paelja een ommetje gaat maken in de keuken.... Wie wil dan nog waarde hechten aan deze compleet over het digitale paard getilde kolderfunctionaliteit die er vertimmerd is in veel hedendaagse huishoudelijke apparatuur?

Nog een 'dingetje':
Moet je voorstellen dat je wasmachine, zoals Windows 10, automatisch gaat updaten tijdens een wasbeurt en daarna 'denkt' een wasdroger te zijn. Zie je dat ook voor je? :-)

Drama queen. Alsof onderzoekers verantwoordelijk zijn, voor de foute update waarover dit artikel gaat.

Link naar het NOS-artikel: https://nos.nl/artikel/2421708-foute-update-combi-magnetrons-wanen-zich-stoomoven

Sinds vanochtend melden bezitters van de betreffende magnetrons dat reparateurs met USB-sticks komen updaten: https://tweakers.net/nieuws/194764/aeg-lost-probleem-op-voor-combimagnetron-die-zich-stoomoven-waande.html

Zo kun je ook wat vinden van smart thermistaten zoals Toon, die zichzelf regelmatig maar inconsistent bricken na een update.
En dan reken ze de klant 150 voor een nieuwe.

Wees blij. Voilgens AEG is je goedkope oven nu ineens ook stoomoven.
Hierdoor kun je vervanging eisen van je oven door een echte stoomoven omdat AEG vergeten is de stoomoptie in te bouwen !

Maar dan moet je wel drie keer per jaar een reparateur met usb-stick binnenlaten. Doe mij maar een mechanische magnetron (geen halve computer), die doet het twintig jaar zonder problemen.

Hierom zijn automatische updates geen goed idee. Zeker niet voor firmware updates.
Het zal niet de eerste keer zijn dat er een apparaat stuk gaat door een niet goed geteste firmware-update of een mislukte flash.
Zelf doe ik ook de software-updates van bijvoorbeeld Windows handmatig. En na een succesvolle update maak ik een image backup zodat ik altijd terug kan naar de oude situatie. Ik heb het regelmatig nodig gehad.

Automatische updates zijn WEL een goed idee. Zeker voor spullen die op andere manier weinig aandacht krijgen.
(zoals een magnetron, weinig mensen zullen in hun agenda hebben staan "check of er updates voor de magnetron zijn")
Ook voor zaken als routers, bewakingscamera's, e.d. geldt dit.

Echter moet het updaten op een gespreide manier plaatsvinden. Dwz over een langere periode gespreid worden de
online devices een voor een van een update voorzien en als er negatieve feedback komt dan wordt de procedure gestopt
zodat dit onderzocht kan worden.

Een magnetron die internet nodig heeft is geen goede magnetron.

Het is juist wel een goed idee. De gemiddelde gebruiker doet namelijk nooit updates of upgrades. Die weet niet eens van het bestaan af. Je leest daar eigenlijk genoeg over op het Internet. Dat men bijvoorbeeld na maanden nog steeds de updates niet geïnstalleerd heeft.

Letterlijk nog nooit een image nodig gehad, sinds 10 jaar eigenlijk en zelfs nergens eigenlijk. Image zou kunnen, maar dan ga ik terug richting 2000 of zo iets?

Bijna goed.. Alle witgoed wat internet nodig heeft is prut.. Zal bij mij nooit de deur binnenkomen.
Nu niet, dan niet, nooit niet.

-HaSo