Acties:
  • 0 Henk 'm!

  • geerttttt
  • Registratie: Oktober 2006
  • Laatst online: 26-09 05:45

geerttttt

Manisch positief

Topicstarter
Ik las het volgende artikel:
https://solarmagazine.nl/...ng-fabrikant-en-consument

Ik schrik dan wel van de opmerkingen van meerdere politici en ministers:
Alle apparaten die in ons huis aanwezig zijn, zijn in feite al een springplank voor criminelen
De meeste apparaten zijn wel veilig, gebruiken SSL, hebben geen poorten open staan naar buiten e.t.c. dus dat is al een beetje stemmingmakend. Maar het wordt erger:
‘We maken al afspraken met fabrikanten’, stelt minister Yeşilgöz-Zegerius
Ok, je spreekt bepaalde regels af met grote bedrijven als Google en Apple. En alle duizenden Chineze bedrijfjes die alle smart-home/IoT apparaten maken dan? Gaat de overheid afspraken maken met alle zonne-omvormer fabrikanten? Denk het niet, dat plan gaat dus geen oplossing bieden.
Vervolgens is het heel erg belangrijk dat de mensen thuis continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast; dat komt in verschillende debatten van ons altijd terug.
Veiligheid heeft weinig te maken met je passwords wijzigen, sterker nog, een regelmatig wisselend wachtwoord is eerder minder veilig.

Maar nu komt de mooiste van Renske Leijten van SP:
op die slimme meter kan worden ingebroken. Die meter kan die omvormer, die je nodig hebt voor het energiesysteem, laten opblazen en vormt dus een risico.
Euuhhh.... Wat? De slimme meter kan niks, zit een 2g modem in, is niet verbonden met je thuisnetwerk en kan alleen metingen uitvoeren. Wellicht zou je op grote schaal iets kunnen manipuleren door veel huishoudens tegelijk af te sluiten van stroom, maar het kan zeker niet op afstand gehackt worden om welk apparaat dan ook op te blazen.

Wie bedenkt dit, en waarom snapt niemand dat dit onzin is? :O

Zou je even een blik willen werpen op Actualiteit, Wetenschap & Maatschappij Beleid#topicopenen en aan de hand daarvan de topicstart wat verbeteren? In de huidige vorm is hij vrij mager.

[ Voor 5% gewijzigd door NMH op 03-06-2023 15:07 ]

Oost west, 127.0.0.1 best!


Acties:
  • 0 Henk 'm!

  • CVTTPD2DQ
  • Registratie: Augustus 2019
  • Laatst online: 23:49
Het is juist een interessante discussie.

Omvormers hebben een verwachte levensduur van 20 jaar. Dat zal voor slimme meters niet anders zijn. Het is volstrekt onduidelijk waarom de eerste aan wifi hangen, en zeer onwaarschijnlijk dat fabrikanten twintig jaar lang updates zullen blijven maken voor apparaten die geen geld meer opleveren.

Het citaat van Van Haga is wel mooi, omdat het aangeeft hoe onwetend mensen kunnen zijn over de staat van digitale infrastructuur:
‘Ik vraag mij af of wij onszelf niet veel te bang aan het maken zijn. Als de Chinezen mijn omvormer willen uitzetten, be my guest. Als ze mijn vaatwasser willen hacken, be my guest. Ik neem aan dat de professionele grote installaties in Nederland goed beveiligd zijn.
Dat kun je aannemen, maar dat is natuurlijk niet zo. En verder is jouw slimme vaatwasser natuurlijk een springplank naar andere infrastructuur.

Ik neem aan dat de meeste Tweakers genoeg ervaring hebben vanuit hun werkpraktijk om te weten dat "slimme" apparaten niet zo'n slimme keuze zijn. Maar de gemiddelde Nederlander is zich daar echt nauwelijks van bewust.

Acties:
  • 0 Henk 'm!

  • drooger
  • Registratie: Augustus 2005
  • Laatst online: 23:56

drooger

Falen is ook een kunst.

geerttttt schreef op vrijdag 2 juni 2023 @ 14:54:
[...]

De meeste apparaten zijn wel veilig, gebruiken SSL, hebben geen poorten open staan naar buiten e.t.c. dus dat is al een beetje stemmingmakend. Maar het wordt erger:
De meeste zijn veilig totdat er een nieuwe vulnerability gevonden wordt.
Oud voorbeeldje van een geval dat dus niet zo veilig was én verbonden was aan het internet:
Don't say you weren't warned: Miele went full Internet-of-Things with a network-connected dishwasher, gave it a web server, and now finds itself on the wrong end of a security bug report – and it's accused of ignoring the warning.

The utterly predictable vulnerability advisory on the Full Disclosure mailing list details CVE-2017-7240 – aka "Miele Professional PG 8528 - Web Server Directory Traversal.” This is the builtin web server that's used to remotely control the glassware-cleaning machine from a browser.

“The corresponding embedded Web server 'PST10 WebServer' typically listens to port 80 and is prone to a directory traversal attack, therefore an unauthenticated attacker may be able to exploit this issue to access sensitive information to aide in subsequent attacks,” reads the notice, dated Friday.
And because Miele is an appliance company and not a pure-play IT company, it doesn't have a process for reporting or fixing security bugs. The researcher who noticed the dishwasher's web server vuln – Jens Regel of German company Schneider-Wulf – complains that Miele never responded when he contacted the biz with his findings; he says his first contact was made in November 2016.
https://www.theregister.c...ternetofst_hall_of_shame/

Vergeet ook niet dat de gemiddelde gebruiker wellicht niet goed over nadenkt of het apparaat enkel met het thuisnetwerk of ook het internet verbonden is.

“A single person acting without integrity could stain the whole cause and damage everything we hope to achieve.” ― The Precipice


Acties:
  • 0 Henk 'm!

  • geerttttt
  • Registratie: Oktober 2006
  • Laatst online: 26-09 05:45

geerttttt

Manisch positief

Topicstarter
drooger schreef op vrijdag 2 juni 2023 @ 22:19:
[...]


De meeste zijn veilig totdat er een nieuwe vulnerability gevonden wordt.
Oud voorbeeldje van een geval dat dus niet zo veilig was én verbonden was aan het internet:


[...]


[...]


https://www.theregister.c...ternetofst_hall_of_shame/

Vergeet ook niet dat de gemiddelde gebruiker wellicht niet goed over nadenkt of het apparaat enkel met het thuisnetwerk of ook het internet verbonden is.
Het artikel waar je naar linkt zegt het al he, een http webserver op poort 80. Geen https dus. En blijkbaar open voor de buitenwereld.

Oost west, 127.0.0.1 best!


Acties:
  • 0 Henk 'm!

  • drooger
  • Registratie: Augustus 2005
  • Laatst online: 23:56

drooger

Falen is ook een kunst.

geerttttt schreef op vrijdag 2 juni 2023 @ 22:34:
[...]

Het artikel waar je naar linkt zegt het al he, een http webserver op poort 80. Geen https dus. En blijkbaar open voor de buitenwereld.
Klopt, maar ik ga er vanuit dat men hier weet dat https ook niet zonder vulnerabilities is.
Dit geval ging overigens over een wasmachine die je eerder in ziekenhuizen ziet en niet in een huishouden.

Het laat vooral zien dat je niet blind kunt varen op betrouwbare merken en enkel de minder-bekende Chinese merken extra moet controleren.

“A single person acting without integrity could stain the whole cause and damage everything we hope to achieve.” ― The Precipice


Acties:
  • 0 Henk 'm!

  • geerttttt
  • Registratie: Oktober 2006
  • Laatst online: 26-09 05:45

geerttttt

Manisch positief

Topicstarter
CVTTPD2DQ schreef op vrijdag 2 juni 2023 @ 21:45:
Het is juist een interessante discussie.

Omvormers hebben een verwachte levensduur van 20 jaar. Dat zal voor slimme meters niet anders zijn. Het is volstrekt onduidelijk waarom de eerste aan wifi hangen, en zeer onwaarschijnlijk dat fabrikanten twintig jaar lang updates zullen blijven maken voor apparaten die geen geld meer opleveren.

Het citaat van Van Haga is wel mooi, omdat het aangeeft hoe onwetend mensen kunnen zijn over de staat van digitale infrastructuur:


[...]


Dat kun je aannemen, maar dat is natuurlijk niet zo. En verder is jouw slimme vaatwasser natuurlijk een springplank naar andere infrastructuur.

Ik neem aan dat de meeste Tweakers genoeg ervaring hebben vanuit hun werkpraktijk om te weten dat "slimme" apparaten niet zo'n slimme keuze zijn. Maar de gemiddelde Nederlander is zich daar echt nauwelijks van bewust.
Nou ja ten eerste is het wel logisch dat je omvormer aan wifi hangt, je wil zien hoeveel hij opwekt.

Maar wat je zegt klopt dus niet. 1. Er moet dus ergens een kwetsbaarheid zitten.
2. Die kwetsbaarheid wordt blijkbaar niet gepatched door de fabrikant.
3. Die kwetsbaarheid geeft de uitbuiter niet alleen toegang tot dat apparaat maar ook het netwerk er omheen
4. Daarna moet er iets anders in het netwerk zijn wat ook kwetsbaar is
5. Dat apparaat heeft dan een significante waarde, zoals een netwerk Share met je vakantie fotos die te ransomwaren is, of tja... Een camera infiltreren om mee te kijken?

Veel mitsen en maren.

Oost west, 127.0.0.1 best!


Acties:
  • 0 Henk 'm!

  • De_Bastaard
  • Registratie: Oktober 2001
  • Laatst online: 00:38
Dit is echt een gat in de markt voor figuren als Rian van rijbroek.

Het is net alsof alle politici blind zijn en de eerste de beste met iets van kennis meteen koning is.

Acties:
  • 0 Henk 'm!

  • geerttttt
  • Registratie: Oktober 2006
  • Laatst online: 26-09 05:45

geerttttt

Manisch positief

Topicstarter
drooger schreef op vrijdag 2 juni 2023 @ 22:41:
[...]


Klopt, maar ik ga er vanuit dat men hier weet dat https ook niet zonder vulnerabilities is.
Dit geval ging overigens over een wasmachine die je eerder in ziekenhuizen ziet en niet in een huishouden.

Het laat vooral zien dat je niet blind kunt varen op betrouwbare merken en enkel de minder-bekende Chinese merken extra moet controleren.
Ok, eens, maar ziekenhuizen zijn bij uitstek plekken die vol hangen met VLANS, gasten netwerken etc.

Ik vraag me af of een ziekenhuis überhaupt de wifi functionaliteit zou gebruiken, en zo wel dan heeft zoiets alleen een internet lijn nodig. Die hang je niet aan je hart monitor VLAN ofzo

Oost west, 127.0.0.1 best!


Acties:
  • 0 Henk 'm!

  • CVTTPD2DQ
  • Registratie: Augustus 2019
  • Laatst online: 23:49
geerttttt schreef op vrijdag 2 juni 2023 @ 22:46:
Nou ja ten eerste is het wel logisch dat je omvormer aan wifi hangt, je wil zien hoeveel hij opwekt.
Maar moet dat via wifi? Volgens mij is het zelfs zo dat veel van die apparaten hun informatie naar de website van de fabrikant sturen, waarna je op de website van de fabrikant een overzichtje hebt van je opbrengst. Dat is wederom afhankelijk van hoe lang de fabrikant zo'n website in de lucht houdt (aangenomen dat de fabrikant zelf over twintig jaar nog bestaat.
geerttttt schreef op vrijdag 2 juni 2023 @ 22:46:
Maar wat je zegt klopt dus niet.
1. Er moet dus ergens een kwetsbaarheid zitten.
2. Die kwetsbaarheid wordt blijkbaar niet gepatched door de fabrikant.
3. Die kwetsbaarheid geeft de uitbuiter niet alleen toegang tot dat apparaat maar ook het netwerk er omheen
En over een periode van 20 jaar is dat bijna zeker. Ik heb een redelijk idee van hoe we twintig jaar geleden servers beveiligden. Als je SSL-verbindingen toestond, deed je het al bovengemiddeld goed. Bij veel protocollen waren alleen de wachtwoorden versleuteld met SASL of CRAM-MD5.

Tegenwoordig is een server die SSL-verbindingen toestaat al een teken dat je admins zitten te slapen.
geerttttt schreef op vrijdag 2 juni 2023 @ 22:46:
4. Daarna moet er iets anders in het netwerk zijn wat ook kwetsbaar is
5. Dat apparaat heeft dan een significante waarde, zoals een netwerk Share met je vakantie fotos die te ransomwaren is, of tja... Een camera infiltreren om mee te kijken?
Zodra je toegang hebt tot het netwerk heeft de aanvaller inzicht in je netwerkverkeer; ze weten wanneer je thuis bent, welke smartphones en andere devices de leden van je huishouden hebben, etc. Verder is zo'n gehackt apparaat dat altijd aanstaat natuurlijk een ideaal onderdeel voor een botnet waarmee weer aanvallen op anderen kunnen worden ondernomen.

Acties:
  • +1 Henk 'm!

  • RemcoDelft
  • Registratie: April 2002
  • Laatst online: 03-05 10:30
De kennis van politiek en internet kan je mooi samenvatten in de cookiewet: ik klik nog steeds tientallen popups per dag weg, voor iets wat tien jaar geleden volledig automatisch door mijn browser geregeld werd.

Het gebrek aan kennis bij politici zit natuurlijk niet alleen bij cybervraagstukken, maar bij alles. Bij Corona zag je heel duidelijk dat exponentiele groei totaal onbekend is, en ik durf wel te stellen dat ze meer op een idee dan op kennis stemmen.

Acties:
  • 0 Henk 'm!

  • CVTTPD2DQ
  • Registratie: Augustus 2019
  • Laatst online: 23:49
RemcoDelft schreef op zaterdag 3 juni 2023 @ 07:20:
De kennis van politiek en internet kan je mooi samenvatten in de cookiewet: ik klik nog steeds tientallen popups per dag weg, voor iets wat tien jaar geleden volledig automatisch door mijn browser geregeld werd.
offtopic:
Ach, er staat nergens in de e-Privacy directive of GDPR dat er een cookiebanner getoond moet worden. Wel dat je er niet vanuit kunt gaan dat mensen akkoord gaan met tracking. Een poging om dit automatisch te regelen is destijds door de advertentie-industrie getorpedeerd, omdat er geen wettelijke verplichting achter zat. Nu die wettelijke verplichting er is, is het natuurlijk ook niet goed.

In de tussentijd is er Consent-O-Matic

Acties:
  • 0 Henk 'm!

  • geerttttt
  • Registratie: Oktober 2006
  • Laatst online: 26-09 05:45

geerttttt

Manisch positief

Topicstarter
CVTTPD2DQ schreef op zaterdag 3 juni 2023 @ 07:13:
[...]


Maar moet dat via wifi? Volgens mij is het zelfs zo dat veel van die apparaten hun informatie naar de website van de fabrikant sturen, waarna je op de website van de fabrikant een overzichtje hebt van je opbrengst. Dat is wederom afhankelijk van hoe lang de fabrikant zo'n website in de lucht houdt (aangenomen dat de fabrikant zelf over twintig jaar nog bestaat.
Hoe anders, met een kabel? Dat is natuurlijk niet praktisch, want mijn huishoudelijke apparatuur staat niet in de buurt van een netwerk poortje. En daarbij maakt het ook geen verschil of het draadloos is.
[...]


En over een periode van 20 jaar is dat bijna zeker. Ik heb een redelijk idee van hoe we twintig jaar geleden servers beveiligden. Als je SSL-verbindingen toestond, deed je het al bovengemiddeld goed. Bij veel protocollen waren alleen de wachtwoorden versleuteld met SASL of CRAM-MD5.

Tegenwoordig is een server die SSL-verbindingen toestaat al een teken dat je admins zitten te slapen.
Ja er is veel veranderd. Er zijn ook vast wel wat risicos, maar niet die genoemd worden door de overheid, dat is namelijk pure onzin.
[...]


Zodra je toegang hebt tot het netwerk heeft de aanvaller inzicht in je netwerkverkeer; ze weten wanneer je thuis bent, welke smartphones en andere devices de leden van je huishouden hebben, etc. Verder is zo'n gehackt apparaat dat altijd aanstaat natuurlijk een ideaal onderdeel voor een botnet waarmee weer aanvallen op anderen kunnen worden ondernomen.
Dit is dus onzin. Als ik nu toegang heb tot jouw netwerk zie ik weinig over jouw netwerkverkeer. Ja ik zie welke apparaten er zijn, nou ja dan zie ik een paar smartphones, een laptop, een paar smart home zaken etc. So what?

En een botnet kan, maar mijn omvormer heeft een erbarmelijk simpel chipje erin zitten die niet capabel genoeg is om custom scripts te draaien en als botnet kan fungeren. En andere apparaten zijn of vrij sloom, of hangen aan wifi met een redelijk verre range, dus echt super apparaten voor een botnet zijn ze niet. En ook dan, is het dan zo erg? Er vliegt nog steeds niet massaal iets in de brand of worden er rekeningen geplunderd o.i.d.

Oost west, 127.0.0.1 best!

Pagina: 1