Volgens mij gaat het nu wel heel erg offtopic. Maar toch even een
korte reactie.
edit:
reactie is iets langer geworden dan gepland was
Ik zeg niet dat IOT geen zwakke schakel is. Maar dat IOT nu geen/veel minder een "trojan horse" is. Wat je hier aanhaalt zijn zaken die gewoon niet aan het internet moeten hangen, en (andere) beveiliging mist.
Waar ik op doelde is dat ik een of ander IOT apparaat koop en dat vervolgens bv network shares gaat lopen scannen en doorsturen naar zijn maker. Daartegen kun je je beschermen door VLANs te scheiden (en dat apparaat geen internet toegang te geven!). Of zonder internet bv een IOT apparaat als cryptolocker dienst doet en documenten op shares lockt. Dat is waar ik mee doelde hardware die je "aanvalt".
Bij pentests is het ook met regelmaat zo'n oude Windows XP machine die nog ergens draait ("hij heeft geen netwerkomgeving hoor!"
) waarmee je AD admin wordt xd. Ook via printers ben ik met regelmaat (met toestemming) binnengekomen bij organisaties. Hierdoor kon ik zelfs een keer alle prints en scans (met zeer PII!) plaintext lezen. De aanval was eenvoudig fysiek uit te voeren: 1 van de printers stond letterlijk naast de WC voor gasten.
Ook een totaal andere aanval dan waar het hier over ging. Met fysieke toegang oude prints/scans terughalen uit een printer heeft niks te maken met het up to date houden van firmware op een switch.
Routers, uiteraard, die hangen rechtstreeks aan internet (en kun je geen internet toegang ontzeggen
).
Lightning Talks - Tag 2 (specifiek deze timestamp een talk over Oral B tandenborstels uitlezen (de talk is 5 minuten, leuke voor je podcast @
WoutF ). Maar bijvoorbeeld ook een Switchbot Meter Pro. Bluetooth verraad zichzelf, en de data is ook nog eens eenvoudig te sniffen. En dat dit, met alle respect, jochie aan het einde met z'n Flipper Zero het hele publiek spamt toont deels zijn niveau aan, maar aan de andere kant ook hoe onveilig Bluetooth is. Gelukkig deed hij niet ook een deauth op de WLAN AP...
Bluetooth, dus irrelevant v.w.b. waar het over ging. Totaal andere techniek en "plaatje". En van die Oral-B tandenborstel zal vast zijn dat het gewoon publiek verstuurd wordt (niet handig! En een bekend "lek" als je het product koopt, geen firmware fix gaat dit oplossen want het is een feature voor die displays die Oral-B heeft). Wel een leuke feature dat je in Home Assistant kunt zien hoe lang de buren de tanden hebben gepoetst
(Want dat HA die tandenborstels kan "uitlezen" weet ik al langer, en dat er zijn die dus de tandenborstel van de buren "zien" ook).
En in de context van wat ik in mijm eerdere bericht schreef is dit dus ook geen "trojan horse" / .... Het is gewoon een product met zeer domme design keuzes waardoor zijn eigen gegevens "op straat" liggen. Het is niet iets dat jouw netwerk / omgeving "scant" en iets met die data doet. Het zijn "alleen" de gegevens van de tandenborstel zelf.
[...]
Dat zo'n IoT toestel internettoegang moet hebben is geen given. Waarom zou je printer internettoegang moeten hebben? M.i. is daar Home Assistant voor, en wil je juist niet dat dit soort zaakjes via internet benaderbaar zijn (via de computer van een ander (lees: 'de cloud'). Het is dezelfde logica als reverse proxy: de attack surface verlagen. Bovendien moet je ze ook in een apart VLAN zetten.
Eens!
En mijn wasmachine hangt wel in HA maar niet aan het internet
. Home Connect heeft zelfs de optie om de cloud verbinding uit te schakelen en alleen lokaal te babbelen. Enige nadeel is dat je via de cloud (eenmalig) moet registreren. Waarna zowel de officiële app als HA over het LAN kunnen verbinden. En ik meen dat voor de communicatie ook een (unieke) encryption key nodig is. Dus andere apparaten, in mijn IOT VLAN, kunnen ook niet met de wasmachine verbinden want die kennen de encryptiesleutel niet.
En voor de rest ben ik sowieso huiverig voor wifi, en (Matter over) Thread! spul. Omdat die dus mogelijk naar huis willen bellen. Op te lossen met blokkeren internettoegang (mijn default op het IOT VLAN en dat is dus ook weer het geval voor de wasmachine los van de instelling van het apparaat zelf), maar het kan net zo goed zijn dat het apparaat (nu of later) internet vereist voor een correcte werking. En zeker dan heb je geen controle over wat er over de lijn gaat (want je moet de lijn open zetten voor de correcte werking).
[...]
admin/admin
het zal je verbazen hoe vaak het standaard wachtwoord niet eens wordt gewijzigd op dit soort apparatuur.
Uiteraard. Maar het aanpassen van default wachtwoorden hoort (en is bij mij) een standaard maatregel. Dat is gewoon een van de vele "lagen" qua beveiliging. Dat is wat ik ook bedoelde met op meerdere (/"alle") lagen correct beveiligen. Als die managed switch lek is waardoor de management interface wagenwijd open staat (vanaf alle VLANs) is er in ieder geval nog de login nodig. (Die uiteraard ook lek kan zijn, maar in mijn geval in ieder geval geen default credentials gebruikt).
Persoonlijk heb ik ook nul vertrouwen in SSH server op die managed switches (in router mode). Die worden ook vaak niet geupdate waardoor je zelfs je SSH client specifiek voor die connectie moet downgraden naar onveilige standaarden (!!!).
Die ervaring heb ik gelukkig niet, met Ubiquiti spul. (UniFi switches, UniFi APs, de nu EOL Security Gateway (router), en EdgeRouter).
Waardoor eigenlijk enkel tijdelijk serieel overblijft, maar dan heb je wel fysieke toegang nodig.
Je kunt er vast een serieel naar ethernet apparaat aan hangen. O.a. de JetKVM kan dat (maar een volledig IP KVM voor alleen serieel is wel overkill
)
[...]
Oneindige opslagruimte, RAM, CPU kracht? Dat hoeft ook niet voor een point of entry. Een netcat reverse shell is daar een voorbeeld van, en ieder apparaat kan dat draaien. Ook het exfiltreren van data is goedkoop. Die devices kunnen dat wel.
En daarom krijgen IOT apparaten bij mij geen internet toegang. Leuk dat een kwaadaardig apparaat (/"trojan horse") dan remote gevoed kan worden (/slechts een gateway naar het LAN is). Maar de eigenaar / "control server" komt er al niet in.
[...]
Als je targeted/fysiek te werk gaat is het meestal niet zo moeilijk, maar als je die dingen niet aan het internet hangt (let hierbij ook op IPv6) dan ben je m.i. al substantieel verstandiger bezig.
Uiteraard en uiteraard. Daarom ben ik ook van de UniFi Security Gateway afgestapt (intussen hebben ze wel een zone based firewall). Geen fatsoenlijke firewall v.w.b. IPv6. Alles IP based wat het ondoenlijk maakt, zeker gezien de VLAN subnets dan door de ISP worden opgelegd (DHCP PD). Mijn eigen router (plain Debian, nftables als firewall) werkt gewoon zone based "verkeer vanaf deze (VLAN) interface mag niet naar de WAN interface" (in het geval van IOT uberhaupt naar geen enkele ander VLAN. Hoogstens antwoorden op verbindingen opgezet vanaf het prive VLAN. En hetzelfde voor het "management" VLAN).
[...]
(Of een router NAT kan ja of nee maakt het niet wel of niet een router... persoonlijk wil ik zo min mogelijk NAT, jij niet? Men noemt het ook wel layer 2-3 switches. Ik noem het een router die ook kan switchen.)
Een echte router kan niet switchen. De USG kan het niet, de EdgeRouter kan het niet, en mijn TopTon doos kan het niet. Die hebben gewoon 3 of 4 zelfstandige netwerkpoorten. Aan elkaar knopen kan alleen in software (bridge) en is traag.
Consumenten routers met 4, 5 poorten zit gewoon een (layer 2, managed) netwerk switch chip in. Zie je ook in OpenWRT waar je de poorten kunt / moet taggen. (En zelfs met de standaard firmware is de WAN poort vaak gewoon een extra "ingang" / poort op de switch chip waar ook de 4 LAN poorten op zitten. Alleen wordt het verkeer vanaf de LAN poort getagged zodat het OS die de routing doet, het verkeer kan onderscheiden).
En in beide gevallen (met of zonder switch chip) wordt routing, NAT, ... dus ergens anders afgehandeld. Of softwarematig en dus "gewoon" op de CPU, of de SOC heeft hier extra offloading opties voor. Dus zelfs dan zijn het dus twee dingen, gescheiden. Layer 2 switching gebeurt door de switch chip (de ene keer zit exact die chip in een managed layer 2 switch, de andere keer in een (consumenten) router). Layer 3, routing, NAT, firewall, ..., gebeurt in een ander stuk hardware (of dedicated hardware, of softwarematig gewoon op de CPU).
Dat is niet hoe je het correct instelt op de managed switch. Op de managed switch zeg je dat alles op een bepaalde port tagged wordt. Want als je zegt ik vertrouw dat de tag die IoT apparaat zegt juist is (wat niet hoeft als er maar 1 VLAN op die poort komt) dan vertrouw je het IoT apparaat onnodig.
Uiteraard zet je op de switch dan de poort op untagged IOT en de rest zet je "uit" (UniFi noemt het zelfs "Block all"). Waarbij het eerder dus ging over of er uberhaupt ooit lekken hierin zijn geweest. Kan een kwaadwillend apparaat een (ander) VLAN ID sturen dan dat de switch port toestaat en vervolgens of dat verkeer er doorheen krijgen (laten switchen dus) of potentieel zelfs het management VLAN ID gebruiken én de management interface openen. Dát zou dan wel een serieuze kwetsbaarheid zijn waar ik een firmware update voor wil hebben.
Maar dan nog acht ik de kans klein dat een kwaadwillend apparaat daar gebruik van weet te maken. Binnen de hardware constraints die zo'n apparaat vaak zal hebben. En dan zou het netwerk an zich ook in kaart gebracht moeten zijn om te weten welk VLAN ID "opties" geeft en welke IP adressen daarbij horen. En ja, als dat apparaat van op afstand "gevoed" wordt, en het dus puur een gateway apparaat voor de aanvaller zou dat wel kunnen. Maar als dat apparaat geen internet toegang heeft kan die ook niet verbinden met de remote control server en kan die aanvaller het dus ook niet als gateway gebruiken.
/i/2001956557.png?f=thumbmini)
:fill(white):strip_exif()/i/2003651740.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2004128246.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002969402.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002260801.jpeg?f=thumbmini)
:strip_exif()/i/2005045402.png?f=thumbmini)
:strip_exif()/i/2005045404.png?f=thumbmini)
:fill(white):strip_exif()/i/2003189184.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1292332052.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1292332069.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2005073818.jpeg?f=thumbmini)
/u/216161/crop5daf72732a011.png?f=community)
:strip_icc():strip_exif()/u/16567/my_avatar2.jpg?f=community){kind=avatar}
/u/217510/crop660db19c1cf7b_cropped.png?f=community)
. Potentieel faciliteren zij willens en wetens oorlogsmisdadigers (en daarom zitten ze ook niet in landen waar wij een uitleveringsverdrag mee hebben). Daarmee zouden ze ook verantwoordelijk zijn voor misdaden tegen de menselijkheid. Helaas hebben we (Europa) doorgaans niet de ballen ze op te sporen, en als militair doelwit worden ze ook niet aangemerkt. Als we dat wel zouden doen, zouden we minimaal ingaan tegen de belangen van US/IL. Tegenwoordig geen frisse landen, al gaat een Cellebrite regelmatig nog veel verder dan die twee...:strip_icc():strip_exif()/u/94045/crop66c1b4250e8a2_cropped.jpg?f=community)
:strip_exif()/u/429000/crop66ae0499be487.webp?f=community)
. Daarnaast komen er waarschijnlijk nog 3 HDD's in, in een ZFS pool, die ben ik nog aan het uitzoeken.:no_upscale():strip_icc():strip_exif()/f/image/yDpK0VVFaY2jnx45ep9hyK3K.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/UjveSeYXLDtlTkdg5KEUww9z.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/FDUZilbV622EPgajd1W6EyqF.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/B8q97pCUTh70413Uxc9PQkLf.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/0eT73RMJMhMAnycsl3uKnPmM.jpg?f=user_large)
:strip_exif()/u/206557/captain-obvious.gif?f=community)
:strip_exif()/f/image/dtZQylCpbuNq5h2IL5x12ATN.png?f=user_large)
:strip_icc():strip_exif()/u/107049/Spoor12B%2520-%2520cropped4.jpg?f=community)
/u/280170/shadylog-transparent-60.png?f=community){kind=spacer}
:strip_exif()/f/image/QsWgokdhO6dqWdGpN4KW9Lem.png?f=user_large)
:strip_exif()/f/image/ABEwYJnpFdZK48aVX7fT2DcQ.png?f=user_large)
:strip_exif()/f/image/7TkXnRlTrKaRMSZndB7Fi8Da.png?f=user_large)
:strip_exif()/f/image/D62UO5qHXy9H88PBP4TIgELm.png?f=user_large){kind=link}