Hackers op je netwerk!

Door fvdberg op maandag 16 april 2018 17:20 - Reacties (10)
Categorie: -, Views: 5.635

Mijn blog behandeld de laatste tijd te vaak politieke of sociale zaken, en hoewel ook daar veel aan te tweaken is wil ik weer eens terug naar de oorsprong:

Howto's

Wel merk ik dat ik het schrijven leuk vind. Ik wil dus de howto's iets minder algemeen maken, en meer projecten plaatsen die Algemene, Sociale of door de politiek veroorzaakte (privacy) problemen oplossen. Een goede start daarbij lijkt me IoT wat echt een onderschat veiligheidsrisico is. Daarbij wil ik beginnen met het probleem eerst te bespreken in dit blog en daar later een leuke oplossing uitwerken d.m.v. Howto's die steeds iets dieper gaan binnen de focus. Dus ja ook darknets, VPN's en zaken als TOR komen aan bod.

Daarnaast wil ik in een aparte reeks een stapje in de richting van de ontwikkelaars gaan:
Hoe kan je voorkomen dat je apparatuur misbruikt wordt, Hoe kan je voorkomen dat anderen meekijken met wat jij doet maar ook gedachten delen over de inrichting van dergelijke systemen. Als ontwikkelaars hebben we de verantwoordelijkheid om vele issues op klant niveau op te lossen die ons tegelijkertijd ook extra voordelen opleveren. Welke? Daar kom ik later op terug.

Ik hoor graag hoe jullie hier over denken.

Als eerste wil ik beginnen met IoT.

Internet of Things

Een koppeling met het internet wordt door veel leveranciers als iets standaard gezien maar vrijwel nergens wordt iets over de impact gemeld die dit kan hebben. Er zijn steeds meer nieuws artikelen te vinden over actief misbruik van lekken in deze categorie. Ik trek deze categorie echter iets breder als enkel koelkasten... het eerste wat men als IoT ziet dankzij de media. Ik denk dan ook dat we dit probleem echt in een veel breder spectrum als IoT moeten zien.

Hoe breed?

Zo breed als mogelijk. We gaan eerst even helemaal terug naar de basis.De meeste huis tuin en keuken netwerken hebben routers/modems die niet actief beheerd kunnen worden of beheerd worden door de internet providers. Inzage in het daadwerkelijke verkeer is niet mogelijk. Laat staan filteren of blokkeren. Je weet nooit wat er precies gebeurt als je de mogelijkheden en de middelen niet hebt om actief te beheren. Dit in combinatie met functionaliteiten die de gebruikers ontlasten zo als automatische configuratie van de benodigde in en uitgaande poorten via UPNP betekend het dat je gratis een flink lek erbij hebt gekregen.

Weet je echt zeker dat niemand in je netwerk kan?

Een mooi voorbeeld is een IP camera van een prijsstunter die redelijk simpel overgenomen kan worden. Daarbij kan er meegekeken worden, maar ook terug gepraat worden. Je kind zal maar zo'n camera op de kamer hebben.... Wanneer dit een camera is in een openbare kleedkamer wordt er moord en brand geschreeuwt... zelfs als het een gesloten circuit is zonder connectie met internet. Dit is een van de ergste vormen van privacy schending... ze zullen je maar opnemen in je blote lus... of erger... Maar je zet wel die webcam van die prijsstunter neer zonder er over na te denken...
De afgelopen tijd zijn er echt veel leuke voorbeelden geweest van IP-Camera's die openbaar aan het internet hangen.

Als voorbeeld: http://www.insecam.org/

Maar het gaat nog verder...

Apparaten waar je het niet van verwacht kunnen volledige toegang tot je netwerk geven. Met de huidige trend van het automatiseren is er een nieuw probleem: slimme thermostaten
In Amerika is er een casino gehacked via een thermometer de in een vertrouwd netwerk is gehangen.

Zie http://frontpage.fok.nl/n...ackt-via-thermometer.html

Verder hebben we ook nog de Ransomware attacks als Wannacry, Petya en NotPetya.
https://internetofbusiness.com/petya-notpetya-iot-security/

Het volgende target wordt bijna zeker "IoT"

Je moet eerst een bitcoin betalen voor je bij je magnetron maaltijd mag!
"Even" een apparaat ondoordacht in je netwerk hangen is niet slim en kan zelfs gevaarlijk zijn en verregaande gevolgen hebben voor zover dat nu al niet zo is. Het belang van een actief beheer van toegang op het netwerk is enkel alleen om die reden al gewenst.

Actief beheer gaat veel verder als een pakket als Kaspersky Total Internet Security, Ziggo Safe Online of KPN Veilig (beide F-Secure) op je laptop installeren. Dat is verreweg onvoldoende omdat dit alleen de daadwerkelijke PC waar het op staat beschermt en je feitelijk nog steeds vertrouwt op het werk van anderen.
Het gaat dus niets doen voor je smart tv of thermostaat. Als jou thermostaat als "man in the middle" gebruikt zou kunnen worden moet jij dus ook een "man in the middle" in je netwerk hebben die letterlijk inzage heeft en geeft in met wie er gecommuniceerd wordt en op welke poort. En eigenlijk zpu je ook exact willen weten wat al is dat weer een privacy gevoelig iets.
Al is het alleen maar om te voorkomen dat je thermostaat met een ander als de fabrikant of jezelf communiceert. Een thermostaat heeft echt niet meer toegang nodig, dus waarom zouden we hem dit geven? En UPNP... super handig vanuit de gedachte dat je gebruikers niet op moet zadelen met technische handelingen, maar als er met security verder niks gedaan wordt is het gewoon een lek. En dat is iets wat we bij veel IoT apparatuur zien. Er worden via UPNP niet standaard poorten open gezet zonder dat bekend is waarom.
Vaak is er een Linux achtige terminal aanwezig die als ie al versleuteld is met SSL toegankelijk is met niet al te sterke (vaak standaard) wachtwoorden. Net als een webinterface op poort 80 met als gebruikersnaam en wachtwoord admin en admin. Over het algemeen is er totaal niet over de veiligheid nagedacht of zijn er van fabriekswege al issues in de firmware aanwezig. Vervolgens is er door het karakter van IoT (Internet of Things) vrij lastig te definieren is welk verkeer mag of niet. En ja ook je router van je provider heeft dit issue. Deze kan je enkel als DMZ (De-Militarized Zone) gebruiken. Oftewel wanneer je je internet verkeer beheert op je systeem met een pakket als de F-Secure Ziggo/KPN pakketten is het relatief veilig. Nog steeds onvoldoende in mijn ogen... maar beter als niets doen. Een slimme thermostaat? No way! Die wil ik nooit in een DMZ zien! De reden weet je. Toch doe je het. En stiekem vaker als je denkt! Niet alleen met thermostaten.

We moeten dus als we IoT apparatuur willen gebruiken ook een beveiliging/structuur aanbrengen in ons thuisnetwerk maar om nu gelijk een "Barracuda" op te hangen... Dat gaat wat ver. Nog buiten dat het slechts een merk is met een oplossing ipv een oplossing. Toch wil ik die meuk niet direct in mijn netwerk hebben,
Ook wil ik zeker weten dat die meuk communiceert en met wie. Dit zodat ik uit kan sluiten dat het met zaken communiceert waarvan ik absoluut niet wil dat het communiceert. Aangezien die zooi allemaal op wifi werkt tegenwoordig wil ik daar een apart V-Lan / SSID voor maken. Dat geeft ons een iets gerichtere focus. Maar we willen er natuurlijk wel gewoon als vanouds bij kunnen vanuit het interne netwerk. We zullen een oplossing moeten vinden..

Ook op een laag budget zijn er mogelijkheden! De kosten van bijvoorbeeld de Mikrotik Routerboard producten en daarbij een Raspberry Pi Zero met pi-hole als DNS maken wel dat we voor relatief weinig geld iets kunnen configureren waarmee we in elk geval de controle terug kunnen krijgen. Ik wil voor deze blogserie een budget van maximaal 50 euro pakken. We gaan in het volgende blogje beginnen met een stukje introductie en basis configuratie van een simpele Mikrotik HAP Lite van minder als 30 euro. Later pakken we een raspberry pi zero van minder als een 10 tje.

Ik heb er zin in en jullie?

Volgende: Mikrotik HAP Lite - Deel 1 17-04 Mikrotik HAP Lite - Deel 1
Volgende: Sleepwet Referendum - Waarom tegen stemmen 14-03 Sleepwet Referendum - Waarom tegen stemmen

Reacties


Door Tweakers user Nightsight, maandag 16 april 2018 19:36

Tof, ik kijk uit naar de volgende post!

Door Tweakers user masauri, maandag 16 april 2018 20:16

Mooie intro, smaakt naar meer!

Door Tweakers user fvdberg, maandag 16 april 2018 23:08

Spoiler: Morgen Krijg je meer!

[Reactie gewijzigd op maandag 16 april 2018 23:08]


Door Tweakers user S0epkip, dinsdag 17 april 2018 08:32

Clickbait titel, helaas nog geen echte inhoud.

Door Tweakers user fvdberg, dinsdag 17 april 2018 14:47

S0epkip schreef op dinsdag 17 april 2018 @ 08:32:
Clickbait titel, helaas nog geen echte inhoud.
Het doel van een titel is altijd om aan te geven waar het over gaat, en daarmee te verleiden tot klikken, maar is het daamee Clickbait?

Nee.

Het blogje bevat voorbeelden van ongewenste zaken op je netwerk door apparatuur die niet goed ontworpen is.

Het doel van het blogje is bewustzijn creŽren en een oplossing aandragen in een blog serie die je kan volgen.

Oftewel De titel is in lijn met het blogje.

Dat het een interessepeiling is... ja natuurlijk, want wat voor zin heeft het voor mij om tijd en moeite te steken in iets wat niet gelezen gaat worden? Al lezen maar 2 man het... daar doe ik het voor.

[Reactie gewijzigd op dinsdag 17 april 2018 14:52]


Door Tweakers user DBND, woensdag 18 april 2018 14:41

Yep, zeer geintereseerd.
Ben zelf van denken en dan doen, met als gevolg dat het met het thuis netwerk niet echt wil vlotten. Juist vanwege dit onderwerp!

Door Tweakers user MdBruin, woensdag 18 april 2018 15:37

Ik ga even meelezen, voor mijn idee heb ik het al behoorlijk goed geregeld. Maar kan natuurlijk wel een aspect over het hoofd gezien hebben.

Ik snap dat een RaspberryPi zero beter in het budget valt, maar is voor een pi-hole doel niet een normale met een vaste netwerk aansluiting een verstandigere keuze?

[Reactie gewijzigd op woensdag 18 april 2018 16:47]


Door Tweakers user sebastius, woensdag 18 april 2018 17:28

Hackers op je netwerk: daar word je beter van. Criminelen op je netwerk: dat wil je niet!

Door Tweakers user fvdberg, woensdag 18 april 2018 17:35

Ja absoluut. Bedraad is altijd beter. Alleen doordat we toch wifi hebben kunnen we net zo goed daar de zero in hangen. Qua performance is de zero meer dan voldoende. En wil je er meer aan uit geven? Gewoon doen. Uiteindelijk komt de pi toch in de dmz te hangen

[Reactie gewijzigd op woensdag 18 april 2018 17:37]


Door Tweakers user ShellGhost, donderdag 19 april 2018 10:53

Alles staat en valt met updates, updates en nog eens updates.
Je kan wel een mikrotic in je netwerk opnemen, maar die zijn onlangs ook te grazen genomen...
Dus als je die niet update heb je nog steeds niks. Heb je een wat oudere router/modem staan die geen updates meer krijgt? Heb je weer een extra gat.
Zit je met je telefoon op je netwerk waarop je apps hebt geinstalleerd die niet de appstore zijn gegaan? Heb je weer een risico op je netwerk.

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier ťťn aanmaken.