Het grote zuinige server topic - deel 3

RobertMe schreef op donderdag 1 januari 2026 @ 14:34:
[...]

Nja, ik vind het 50/50. Natuurlijk kunnen er naderhand lekken gevonden worden (die als het goed is natuurlijk worden opgelost).
Maar stapje terug: hoe vaak lees je daadwerkelijk over dat IoT spul inderdaad het hele netwerk waar die in geplaatst is binnen lepelt en doorstuurt naar zijn maker? Ik zeer zelden tot nooit.
Vervolgens zorgen "wij" voor een extra beveiligingslaag, door VLANs te gebruiken.

(Disclaimer: ik heb geen OSCE cert.)

Sorry maar... are you kidding? IoT is constant een zwakke schakel! In de VS kun je toegang krijgen tot ANPR camera's (ik heb het kunnen bevestigen met de gebruikelijke tooling) waardoor je realtime 4k mee kunt kijken Flock Exposed Its AI-Powered Cameras to the Internet. We Tracked Ourselves. Zie ook: https://haveibeenflocked.com/

Er staan legio camera's in Nederland waar je ook mee kunt kijken, en de camera's op afstand kunt bedienen (inclusief de microfoon). Die webservers zitten niet achter een reverse proxy...

Bij pentests is het ook met regelmaat zo'n oude Windows XP machine die nog ergens draait ("hij heeft geen netwerkomgeving hoor!" ) waarmee je AD admin wordt xd. Ook via printers ben ik met regelmaat (met toestemming) binnengekomen bij organisaties. Hierdoor kon ik zelfs een keer alle prints en scans (met zeer PII!) plaintext lezen. De aanval was eenvoudig fysiek uit te voeren: 1 van de printers stond letterlijk naast de WC voor gasten.

Onze diensten hebben ons hier recent (2025) op gewezen: nieuws: AIVD benadrukt belang van updaten printers en routers in overheidscam... specieke aanleiding is wellicht de 'recente' CUPS kwetsbaarheid.

Vlak voor COVID crisis was er een Tweakers.net conferentie in Hilversum. Daar had de politie een presentatie: your toaster is snitching on you. Het is nu 2026. Zes jaar later. Een paar dagen geleden was de conferentie 39c3. Daarin de volgende presentaties:

Lightning Talks - Tag 2 (specifiek deze timestamp een talk over Oral B tandenborstels uitlezen (de talk is 5 minuten, leuke voor je podcast @WoutF ). Maar bijvoorbeeld ook een Switchbot Meter Pro. Bluetooth verraad zichzelf, en de data is ook nog eens eenvoudig te sniffen. En dat dit, met alle respect, jochie aan het einde met z'n Flipper Zero het hele publiek spamt toont deels zijn niveau aan, maar aan de andere kant ook hoe onveilig Bluetooth is. Gelukkig deed hij niet ook een deauth op de WLAN AP...

Bluetooth Headphone Jacking: A Key to Your Phone. Deze talk was interessanter (doch niet voor Tweakers redactie...) Hierbij zit PII in Bluetooth verkeer (zoals waar je naar luistert), maar ook allerlei andere zaken, inclusief debugging informatie, of Bluetooth Classic session keys. Er was zelfs een PoC om WhatsApp over te nemen. Hetzelfde zal ook bij smartwatches het geval zijn. Voor de software die ze hebben ontwikkeld om deze aanval mogelijk te maken, zie https://github.com/auracast-research/race-toolkit

Dus wil zo'n apparaat dat echt kwaadaardige bedoelingen heeft (die dus naar mijn idee al extreem zeldzaam zijn) iets uitrichten moet die al door meerdere beveiligingslagen heen. VLANs (+ firewall op de router) geven al een vorm van beveiliging, en zal over het algemeen veilig zijn.

Dat zo'n IoT toestel internettoegang moet hebben is geen given. Waarom zou je printer internettoegang moeten hebben? M.i. is daar Home Assistant voor, en wil je juist niet dat dit soort zaakjes via internet benaderbaar zijn (via de computer van een ander (lees: 'de cloud'). Het is dezelfde logica als reverse proxy: de attack surface verlagen. Bovendien moet je ze ook in een apart VLAN zetten.

En vervolgens heb je nog beveiliging op bv de management interface van de switch, of op bv een PC (in het andere VLAN). Dus zelfs al is de switch lek heb je nog beveiliging op andere plekken (en dat kan zelfs zijn "het kwaadwillende apparaat weet onterecht de management interface van de switch te openen, máár die management interface zal nog steeds beveiligd zijn met een gebruikersnaam en wachtwoord / ... waar dat kwaadwillende apparaat niet doorheen komt").

admin/admin het zal je verbazen hoe vaak het standaard wachtwoord niet eens wordt gewijzigd op dit soort apparatuur. De management interface hoort niet aanspreekbaar te zijn vanaf de IoT VLAN(s) maar ook daar faalt men nog wel eens in. Persoonlijk heb ik ook nul vertrouwen in SSH server op die managed switches (in router mode). Die worden ook vaak niet geupdate waardoor je zelfs je SSH client specifiek voor die connectie moet downgraden naar onveilige standaarden (!!!). Waardoor eigenlijk enkel tijdelijk serieel overblijft, maar dan heb je wel fysieke toegang nodig.

En dan nog acht ik de kans klein dat kwaadwillende apparaten die je al bewust in een aparte / geïsoleerde omgeving zet aangepast gaan worden om ook nog eens actief misbruik te maken van lekken die er zich heel misschien in die omgeving bevinden. Vooral in het geval van IoT spul van een paar euro. Dat ding heeft geen oneindige opslagruimte, RAM, CPU kracht, om actief te kunnen zoeken naar vele (mogelijke / bekende) lekken.

Oneindige opslagruimte, RAM, CPU kracht? Dat hoeft ook niet voor een point of entry. Een netcat reverse shell is daar een voorbeeld van, en ieder apparaat kan dat draaien. Ook het exfiltreren van data is goedkoop. Die devices kunnen dat wel.

Uiteraard gezien vanuit een thuissituatie. Met een "drive by" aanval. Ik denk niet dat ik prive interessant genoeg ben dat iemand wel actief gaat proberen om binnen te dringen op basis van specifieke lekken en er dus "uren mankracht" in steekt met alleen mij als target.

Als je targeted/fysiek te werk gaat is het meestal niet zo moeilijk, maar als je die dingen niet aan het internet hangt (let hierbij ook op IPv6) dan ben je m.i. al substantieel verstandiger bezig. Thuisnetwerken zijn interessant voor criminelen, om meerdere redenen. In de hybride oorlogvoering bijvoorbeeld.

Gooi je nu niet layer 2 en layer 3 switches op een grote hoop? Layer 3 switches zijn inderdaad semi routers omdat die verkeer van het ene VLAN naar het andere VLAN kunnen ]sturen routeren. Maar nog steeds geen NAT zullen kennen. Mogelijk geen firewall hebben? ...

(Of een router NAT kan ja of nee maakt het niet wel of niet een router... persoonlijk wil ik zo min mogelijk NAT, jij niet? Men noemt het ook wel layer 2-3 switches. Ik noem het een router die ook kan switchen.)

Dat is niet hoe je het correct instelt op de managed switch. Op de managed switch zeg je dat alles op een bepaalde port tagged wordt. Want als je zegt ik vertrouw dat de tag die IoT apparaat zegt juist is (wat niet hoeft als er maar 1 VLAN op die poort komt) dan vertrouw je het IoT apparaat onnodig.

Voor specifiek routers heb je dan ook https://github.com/threat9/routersploit Meta zal ik maar niet linken...

Wat mij betreft zul je dit soort factoren mee moeten nemen. Je zou dus best een unmanaged switch kunnen gebruiken, in het voorbeeld dat ik al gaf. Ik van dat ook oprecht een interessante toepassing, maar met 4 ports 100 mbit heb ik er dan wel nog een andere switch bij nodig. En wel een managed switch. Volgens mij kun je dan net zo goed 3x 100 mbit ports op je managed switch nemen.

RobertMe schreef op donderdag 1 januari 2026 @ 15:03:

Als er nu een lek in een Ubiquiti switch, die ik heb, zou zitten en die is alleen theoretisch te misbruiken (lees: nog geen zero-day / bekende exploits in omloop) dan zou ik mij niet direct zorgen maken.

Wel, ik heb al gezegd dat al die MIPS machines geen ASLR hebben, en dat maakt een gevonden bug triviaal om uit te buiten. Al geef ik toe dat ik niet weet wat de impact van LLM's op dit proces is.

Maar dit topic gaat over thuisservers Niet over "groot bedrijf met gevoelige informatie".

Toch werken mensen ook vanuit huis, bijvoorbeeld. En wij zijn ook doelwit van criminelen uit verre landen die geen uitleveringsverdrag met ons hebben.

En je moet je natuurlijk ook afvragen hoeveel onveiliger het geworden is als er een bekend lek in zit.

Het verschil is gigantisch. APTs gaan hun zero days niet zomaar burnen aan random targets (wel mogelijk targeted), terwijl criminelen en statelijke actoren eenvoudig lekke software kunnen vinden via de bekende kanalen.

Om deze reden zijn gehackte telefoons (targeted) van onschatbare waarde voor een organisatie als Citizen Lab. Hierdoor hebben zij al meerdere zero days kunnen vinden, die uiteindelijk zijn opgelost.

Het enige verschil is immers dat het bekend is, niet dat het lek er in zit. Het was dus al "net zo" onveilig. Het enige verschil is dat het feit dat er een lek is, en wellicht een richting van hoe het te misbruiken, bekend is. Dus het risico neemt alleen toe "doordat het bekend is". Maar dat het lek niet bekend is betekend ook niet dat je veilig bent. Want die aanvaller kan het lek alsnog weten en misbruiken. Een zero-day dus.

Een heleboel zero days worden verhandeld op de zwarte markt. Daar zijn exploit brokers actief, die dus actief handelen in zero days. Dat is ook hoe een organisatie als Cellebrite aan hun zero days komt (het leeuwendeel vinden ze niet zelf, die kopen ze in).

Deze exploit brokers zijn wat mij betreft niet 'slechts' criminelen. Ze weten heel goed wat ze doen, en ze zijn moreel failliet. Het argument dat ik hoorde om het goed te praten was bijna letterlijk 'als ik het niet doe, dan doet het ander het wel' . Potentieel faciliteren zij willens en wetens oorlogsmisdadigers (en daarom zitten ze ook niet in landen waar wij een uitleveringsverdrag mee hebben). Daarmee zouden ze ook verantwoordelijk zijn voor misdaden tegen de menselijkheid. Helaas hebben we (Europa) doorgaans niet de ballen ze op te sporen, en als militair doelwit worden ze ook niet aangemerkt. Als we dat wel zouden doen, zouden we minimaal ingaan tegen de belangen van US/IL. Tegenwoordig geen frisse landen, al gaat een Cellebrite regelmatig nog veel verder dan die twee...

Ook hier ligt trouwens een stuk verkenning voor een redactie van een grote tech-website. De grootste en oudste hacker conferentie van respectievelijk Europa en de wereld hebben ze in ieder geval niets over gerapporteerd. Nul, nada. Ik begrijp daar niets van. Ik kan zo twee redacteuren opnoemen die daar wat te zoeken hebben.

En de gevonden lekken waar ik mij in heb verdiept, waren allemaal gerelateerd aan zaken die al bekend waren. Zoals undervolting, hyperthreading, branch prediction, Bluetooth. Ook WLAN is regelmatig een doelwit geweest. Allemaal zaken waar de OpenBSD devs ons al tientallen (NB: niet overdreven) jaren voor waarschuwen. MIPS geen ASLR is ook niets nieuws.

Ook jailbreak gemeenschap blijft graag zitten op zero days. Op zich te begrijpen. Zo was er een talk in 39c3 die er qua titel voor heeft gezorgd dat jailbreak methodes ineens vlak voor publicatie talk spontaan publiek worden. Iets dat ook deels het doel was van de presentator, die hierdoor op het laatste moment zijn aanval compleet kon maken. Meneer was er dusdanig trots op, deed me aan een zekere dienst denken. In ieder geval vond ik de use case van beatsaber eigen muziek wel hilarisch...

De bugbounties worden ook niet altijd netjes en eerlijk afgehandeld, maar dat is wel een manier om legaal geld te verdienen met gevonden kwetsbaarheden. Op de zwarte markt kun je er een veelvoud mee verdienen... denk aan een factor van minstens 10x, en dat is dan nog gedateerde informatie van mijn kant (van voor totale oorlog Rusland - Oekraïne).