Politiek en cybervraagstukken...

Ik las het volgende artikel:
https://solarmagazine.nl/...ng-fabrikant-en-consument

Ik schrik dan wel van de opmerkingen van meerdere politici en ministers:

Alle apparaten die in ons huis aanwezig zijn, zijn in feite al een springplank voor criminelen

De meeste apparaten zijn wel veilig, gebruiken SSL, hebben geen poorten open staan naar buiten e.t.c. dus dat is al een beetje stemmingmakend. Maar het wordt erger:

‘We maken al afspraken met fabrikanten’, stelt minister Yeşilgöz-Zegerius

Ok, je spreekt bepaalde regels af met grote bedrijven als Google en Apple. En alle duizenden Chineze bedrijfjes die alle smart-home/IoT apparaten maken dan? Gaat de overheid afspraken maken met alle zonne-omvormer fabrikanten? Denk het niet, dat plan gaat dus geen oplossing bieden.

Vervolgens is het heel erg belangrijk dat de mensen thuis continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast; dat komt in verschillende debatten van ons altijd terug.

Veiligheid heeft weinig te maken met je passwords wijzigen, sterker nog, een regelmatig wisselend wachtwoord is eerder minder veilig.

Maar nu komt de mooiste van Renske Leijten van SP:

op die slimme meter kan worden ingebroken. Die meter kan die omvormer, die je nodig hebt voor het energiesysteem, laten opblazen en vormt dus een risico.

Euuhhh.... Wat? De slimme meter kan niks, zit een 2g modem in, is niet verbonden met je thuisnetwerk en kan alleen metingen uitvoeren. Wellicht zou je op grote schaal iets kunnen manipuleren door veel huishoudens tegelijk af te sluiten van stroom, maar het kan zeker niet op afstand gehackt worden om welk apparaat dan ook op te blazen.

Wie bedenkt dit, en waarom snapt niemand dat dit onzin is?

Zou je even een blik willen werpen op Actualiteit, Wetenschap & Maatschappij Beleid#topicopenen en aan de hand daarvan de topicstart wat verbeteren? In de huidige vorm is hij vrij mager.

[ Voor 5% gewijzigd door NMH op 03-06-2023 15:07 ]

drooger schreef op vrijdag 2 juni 2023 @ 22:19:
[...]


De meeste zijn veilig totdat er een nieuwe vulnerability gevonden wordt.
Oud voorbeeldje van een geval dat dus niet zo veilig was én verbonden was aan het internet:


[...]


[...]


https://www.theregister.c...ternetofst_hall_of_shame/

Vergeet ook niet dat de gemiddelde gebruiker wellicht niet goed over nadenkt of het apparaat enkel met het thuisnetwerk of ook het internet verbonden is.

Het artikel waar je naar linkt zegt het al he, een http webserver op poort 80. Geen https dus. En blijkbaar open voor de buitenwereld.

CVTTPD2DQ schreef op vrijdag 2 juni 2023 @ 21:45:
Het is juist een interessante discussie.

Omvormers hebben een verwachte levensduur van 20 jaar. Dat zal voor slimme meters niet anders zijn. Het is volstrekt onduidelijk waarom de eerste aan wifi hangen, en zeer onwaarschijnlijk dat fabrikanten twintig jaar lang updates zullen blijven maken voor apparaten die geen geld meer opleveren.

Het citaat van Van Haga is wel mooi, omdat het aangeeft hoe onwetend mensen kunnen zijn over de staat van digitale infrastructuur:


[...]


Dat kun je aannemen, maar dat is natuurlijk niet zo. En verder is jouw slimme vaatwasser natuurlijk een springplank naar andere infrastructuur.

Ik neem aan dat de meeste Tweakers genoeg ervaring hebben vanuit hun werkpraktijk om te weten dat "slimme" apparaten niet zo'n slimme keuze zijn. Maar de gemiddelde Nederlander is zich daar echt nauwelijks van bewust.

Nou ja ten eerste is het wel logisch dat je omvormer aan wifi hangt, je wil zien hoeveel hij opwekt.

Maar wat je zegt klopt dus niet. 1. Er moet dus ergens een kwetsbaarheid zitten.
2. Die kwetsbaarheid wordt blijkbaar niet gepatched door de fabrikant.
3. Die kwetsbaarheid geeft de uitbuiter niet alleen toegang tot dat apparaat maar ook het netwerk er omheen
4. Daarna moet er iets anders in het netwerk zijn wat ook kwetsbaar is
5. Dat apparaat heeft dan een significante waarde, zoals een netwerk Share met je vakantie fotos die te ransomwaren is, of tja... Een camera infiltreren om mee te kijken?

Veel mitsen en maren.

drooger schreef op vrijdag 2 juni 2023 @ 22:41:
[...]


Klopt, maar ik ga er vanuit dat men hier weet dat https ook niet zonder vulnerabilities is.
Dit geval ging overigens over een wasmachine die je eerder in ziekenhuizen ziet en niet in een huishouden.

Het laat vooral zien dat je niet blind kunt varen op betrouwbare merken en enkel de minder-bekende Chinese merken extra moet controleren.

Ok, eens, maar ziekenhuizen zijn bij uitstek plekken die vol hangen met VLANS, gasten netwerken etc.

Ik vraag me af of een ziekenhuis überhaupt de wifi functionaliteit zou gebruiken, en zo wel dan heeft zoiets alleen een internet lijn nodig. Die hang je niet aan je hart monitor VLAN ofzo

CVTTPD2DQ schreef op zaterdag 3 juni 2023 @ 07:13:
[...]


Maar moet dat via wifi? Volgens mij is het zelfs zo dat veel van die apparaten hun informatie naar de website van de fabrikant sturen, waarna je op de website van de fabrikant een overzichtje hebt van je opbrengst. Dat is wederom afhankelijk van hoe lang de fabrikant zo'n website in de lucht houdt (aangenomen dat de fabrikant zelf over twintig jaar nog bestaat.

Hoe anders, met een kabel? Dat is natuurlijk niet praktisch, want mijn huishoudelijke apparatuur staat niet in de buurt van een netwerk poortje. En daarbij maakt het ook geen verschil of het draadloos is.

[...]


En over een periode van 20 jaar is dat bijna zeker. Ik heb een redelijk idee van hoe we twintig jaar geleden servers beveiligden. Als je SSL-verbindingen toestond, deed je het al bovengemiddeld goed. Bij veel protocollen waren alleen de wachtwoorden versleuteld met SASL of CRAM-MD5.

Tegenwoordig is een server die SSL-verbindingen toestaat al een teken dat je admins zitten te slapen.

Ja er is veel veranderd. Er zijn ook vast wel wat risicos, maar niet die genoemd worden door de overheid, dat is namelijk pure onzin.

[...]


Zodra je toegang hebt tot het netwerk heeft de aanvaller inzicht in je netwerkverkeer; ze weten wanneer je thuis bent, welke smartphones en andere devices de leden van je huishouden hebben, etc. Verder is zo'n gehackt apparaat dat altijd aanstaat natuurlijk een ideaal onderdeel voor een botnet waarmee weer aanvallen op anderen kunnen worden ondernomen.

Dit is dus onzin. Als ik nu toegang heb tot jouw netwerk zie ik weinig over jouw netwerkverkeer. Ja ik zie welke apparaten er zijn, nou ja dan zie ik een paar smartphones, een laptop, een paar smart home zaken etc. So what?

En een botnet kan, maar mijn omvormer heeft een erbarmelijk simpel chipje erin zitten die niet capabel genoeg is om custom scripts te draaien en als botnet kan fungeren. En andere apparaten zijn of vrij sloom, of hangen aan wifi met een redelijk verre range, dus echt super apparaten voor een botnet zijn ze niet. En ook dan, is het dan zo erg? Er vliegt nog steeds niet massaal iets in de brand of worden er rekeningen geplunderd o.i.d.