KRO reportage: Zo lek als een mandje

[Jan_B]

Een vrij leuke reportage over gegevens die onbewust vrij te raadplegen zijn op het internet (een beetje sensationalistisch, maar ja) : http://reporter.kro.nl/seizoenen/2012/a ... 07-12-2012

[on4bam]

Voor de UBers is dit een lachtertje maar voor de "doorsnee" internetgebruiker moet dit wel een schok zijn.
Ik stel me echter wel wat vragen bij deze reportage, Wie achter een router zit moet normaal toch portforwarding instellen zodat een apparaat van buitenaf beschikbaar is, hoe hebben ze dan de Iomega NAS "zo maar" kunnen bereiken? Mogelijk zit de installatiesoft er voor iets tussen maar ik vond dat er toch gaten in de reportage zaten.

De uitspraak van de MM medewerker was wel goed, "de NAS bundelt al je hardware"

[Dima_2005]

In België is dat heel raar. Maar in Nederland, is het goed mogelijk. Bijna alle poorten zijn bij hun open. Ook poort 80 (standaardpoort van een NAS)...

Aangezien veel routers (en modems) automatische port-forwarding doen dmv UPnP, is de device dan 100% open, ja... Of mensen die geen router zelfs hebben steken, en pak maar rechstreeks op een modem hangen.

In ieder geval, is het belachelijk, maar volgens mij treft de fabrikant geen schuld hierin. Wat ik wel opvallend vond is de printer-interface. Hoewel dat handig is, kan het potentieel heel erg gevaarlijk en ambetant zijn. Maar ik wist al een paar jaar dat die printers zo lek waren als het maar kan. Voor de grap heb ik bij een kennis van mij 100 lege pagina's afgedrukt, terwijl die met mij aan het chatten was. Juist voor de grap, en eigenlijk om hem te zeggen dat hij dat eigenlijk best zou uitzetten (het was geen ePrint, maar wel een printer die met het lokale netwerk verbonden is)

[karp_p]

ach ja, ik sluit mij aan bij die die enen mens in de reportage, mensen zijn nu eenmaal dom en lui.
Voor alles in de wereld moet je een opleiding volgen of een "specialist" inschakelen, behalve voor computers en randapparaten die moeten zodanig werken dat iedereen er alles mee kan doen.

[ubremoved_539]

Voor zover ik kan zien zou er geen enkel issue geweest zijn moesten deze toestellen gewoon achter een NAT-router (dan spreek ik zelfs nog niet van een firewall) hebben gezeten. In alle gevallen bleek men gewoon de standaard web interface van de toestellen op poort 80 aan te spreken.

Ik heb trouwens een Brother netwerk printer staan (met default paswoord nog steeds) maar die is absoluut niet te bereiken vanop het internet. Hetzelfde met diverse andere devices zoals m'n switch, firewall web interface, IP camera webserver, .... los van het feit of deze een paswoord hebben of niet (behalve m'n printer hebben ze trouwens allemaal een paswoord).

Feit blijft echter dat het opvoeding is van de klant... en zelfs als men die gaat uitleggen dat security belangrijk is dan vrees ik nog dat hij ze gewoon gaat uitschakelen omdat het vervelend is (zoals vaak mensen - en zelfs multinationals ! - doen in Windows met UAC). Hoe vaak hebben we hier trouwens op UB al de vraag gezien hoe men z'n NAS op internet kan hangen... en waarbij men gewoon de raad voor een deftige VPN connectie niet ernstig neemt.

Misschien is daarom de aanpak van Telenet om alle poorten onder 1024 gewoon dicht te zetten wel niet slecht (al is het dan even absurd dat ze wel voor alle Telenetter's openstaan)... al is het dan weer een belemmering voor mensen die er wel verantwoordelijk mee omgaan.

Globaal gezien zou het echter niet slecht zijn alle fabrikanten te verplichten hun toestellen standaard met security AAN uit te leveren, en hierbij het paswoord op bv. het serienummer van het toestel in te stellen (een generiek admin user/paswoord is inderdaad hetzelfde als geen paswoord).

[mailracer]

Het is allemaal begonnen met draadloze netwerken die in het begin onbeveiligd waren. Nu dat NAS een nieuwe hype word voor de gewone thuisgebruiker moet deze groep er mee leren omgaan. Maar de producenten moeten de klanten hier wel op wijzen. De stappen die iomega onderneemt zijn dan ook correct, maar misschien al te laat.

Een tijd geleden heb ik een openbaar draadloos netwerk opgezet thuis. (Router ondersteund twee SSID's ) en op niet minder dan een dag had denk ik elke buur hierop access genomen. Zelf toegang nemen tot hun gegevens was op mijn beurt dan ook een peulschil. De SSID noemde "gratis_internet" overigens.

[Sub Zero]

Voor de grap heb ik bij een kennis van mij 100 lege pagina's afgedrukt, terwijl die met mij aan het chatten was. Juist voor de grap, en eigenlijk om hem te zeggen dat hij dat eigenlijk best zou uitzetten (het was geen ePrint, maar wel een printer die met het lokale netwerk verbonden is)

'k Heb ooit op een Filipijn zijn printer 'I know where you live' afgeprint omdat hij op IRC al 15 minuten aan 't zagen was dat ik zijn nickname gestolen had. Ongeveer 3 seconden later was hij offline. De HP print service draaide op zijn computer die rechtstreeks op 't internet hing zonder firewall

[honda4life]

We klagen allemaal wel eens over Belgacom of Telenet, maar als het goed is mag het ook gezegd worden.
Ik ben blij dat ze NAT gebruiken.

Achja wat onschuldige grapjes uithalen met onbeveiligde netwerken zoals de SSID veranderen (geen gratis internet maar iets anders gratis als je hem kan vinden enzo)

[gunmaster]

@ karp_p

Cru gezegd is het wel correct...
Mensen willen gewoon dat het werkt, en als het werkt is het goed, maar hun mond valt open van verbazing dat als dan blijkt dat hun stuff op straat ligt en iemand hun ermee confronteerd.
Zeer die security camera's zijn erg... Wat wil je meer als inbreker?

Het ergste dannog zijn bedrijfen die het default op onbeveiligd laten. Admin, admin toegang tja, das logisch, geen kwaad woord tegen, mensen moeten dat idd maar zelf beveiligen, hier wordt tenminste de impuls gegeven van, er is beveiliging!


Zelf host en verkoop ik wat vps'en die worden gebruikt voor gameservers, met name vooral minecraft.
Ik doe dit vooral om ervaring op te doen, omdat het leuk is en om als minderjarige een leuk extra zakcentje te verdienen
Mensen krijgen op hun vps meestal een windows of linux os, via dingen als remote desktop kunnen ze ermee verbinden, het wachtwoord is in het geval voor windows gewoon het wachtwoord van het useraccount, out of the box is dit iets in de aard van 123456789. In de mail die ik stuur staat daarbij, we raden aan dat u dit veranderd (zo en zo...). Bij een willekeurige steekproef zie ik dat 70% na een maand nog achter dat default passwoord zit. Nu heeft een gameserver niet dezelfde waarde als een stel documenten over een interpol netwerk maar het risico is wel hoger, gameservers zien namelijk vaker hack pogingen, gewoon van kwade spelers ed. Ik vind dan persoonlijk dat ik er dan nog alles aan gedaan heb om de klant te wijzen op de beveiliging, gelukkig tot op heden nog nooit van echte inbraken gehoord op mijn servers

Overigens, op de grotere hacker schaal, ooit is een onofficiële bron van 1 of ander Amerikaans staats apparaat gelezen, waarin verklaard werd dat dagelijks de VS 1 miljard aan intellectueel erfgoed verliest door Oosterse hackers.

Kijk is naar dit van Panorama, zeer interessant, iets schokkender dan de reportage van de TS.
http://www.canvas.be/programmas/panoram ... 61%3A-6fa4

[MClaeys]

Het standaardwachtwoord moet enorm moeilijk en random zijn, gebruikers zullen het dan wel veranderen. Waarschijnlijk wel naar iets eenvoudiger wat ook niet goed is, maar dan treft de fabrikant toch al een pak minder blaam.

[Goztow]

Ik ben blij dat BGC het admin paswoord van hun router op de serial heeft gebracht...

Update: ik heb net de reportage bekeken en vond het echt goed uitgelegd.

[fredo66]

Tja, duidelijke reportage. Maar over de eerste stap toonden ze niets. Hoe komen ze aan al die ip adressen van bv. die iomega nastoestellen ?

[FunkStar]

Waarschijnlijk een crawler die alle IP adressen (of een bepaalde range) en bepaalde poorten afschuimt.

[Dima_2005]

Ik weetniet van hoe lang geleden ze die reportage gemaakt hebben, maar vroeger kon Google perfect zoeken op copyright meldingen die onderaan de pagina staan. Tegenwoordig worden veel resultaten geblokkerd, mogelijk net vanwege de veiligheidsissue.

Maar een crawler kan even goed natuurlijk.

[ubremoved_539]

Google gaat normaal niet zomaar IP-adressen indexeren... dus dat lijkt me niet de methode.

Is gewoon een pure scan van IP-ranges en op basis van de headers zal men kijken wat toestel het is.

Zo krijg je bijvoorbeeld volgende info bij een GET request (naar http://www.microsoft.com)...

HTTP/1.1 200 OK =>
Cache-Control => no-cache
Content-Type => text/html
Last-Modified => Mon, 16 Mar 2009 20:35:26 GMT
Accept-Ranges => bytes
ETag => "67991fbd76a6c91:0"
Server => Microsoft-IIS/8.0
X-Powered-By => ASP.NET
Date => Tue, 08 Jan 2013 11:27:24 GMT
Connection => close
Content-Length => 1020

... waarbij het dus om de "Server" string te doen is (vermoedelijk krijg je bij zo'n NAS hier een specifieke string).

Via tools zoals nmap is dit kinderspel.

[joriz]

Enkele jaren geleden was ik bezig met opzoekwerk over een bep. type netwerk switch via Google. Raar maar waar stond er in de zoekresultaten links naar de web interfaces van switchen van een Belgisch hosting bedrijf. Pas 9 dagen na melding stond dit dicht...