Hoe kun je via een apparaat gehackt woden?

als het apparaat het internet op kan kan je via dat apparaat weer naar binnen.

Ik heb zelf een 'TailScale' draaien dat device (VM in dit geval) kan je voor veilige VPN toegang tot je netwerk gebruiken zonder dat je een poort op de firewall hoeft open te zetten, het device zet de verbinding naar buiten op en via het pakketje terug 'lift' je als je ware mee terug. (via hun control plane die de zaken coördineert) zo kan een hacker dus ook binnenkomen via diensten waarop zo'n camera dan weer connectie maakt.

zo werkt dat met die IoT zaken ook en daarom wil je zo ook in een apart VLAN met rules ertussen dat je geen verkeer toestaat van IoT naar LAN.

Er zijn twee mogelijke openingen in apparatuur.
De eerste is als jij het device bereikbaar maakt vanaf het internet via bijvoorbeeld port forwarding.
Dat moet je dus gewoon niet doen.
Als je vanaf het internet met bijvoorbeeld je telefoon bij je eigen netwerk wilt komen gebruik je een VPN server op je netwerk en een Vpn client op je telefoon .

De tweede is als je devices hebt die zelf verbinding maken met bijvoorbeeld cloud services van de leverancier.
Die verbinding kan gebruikt worden op op jouw netwerk te komen, ofwel van/via de leverancier of het onderscheppen van die verbinding (man in the middle attack).

Als je zeker wilt zijn dat zoiets niet gebeurd koop je devices die dat niet doen of gebruik je een firewall om het tegen te houden.
Bedenk dat er apparatuur is die niet functioneert als ze niet met hun cloud server kunnen communiceren.

PS.
En iot device in een apart netwerk zetten is schijn veiligheid, subnetten is voor hacker geen echte belemmering.
Je zult dan tussen die subnetten een firewall moeten plaatsen.

In plaats van subnetten kun je ook met VLAN's gaan werken, wanneer je apparatuur dat ondersteunt tenminste.

Theoretisch zou je dan in kunnen stellen dat de VLAN waar de camera op draait geen toegang tot internet mag hebben. De VLAN waar je PC's in draaien kun je wél toegang geven tot het VLAN van de camera. Daardoor is is de camera alleen via interne apparaten te benaderen.

Is het niet simpeler om een camera te nemen die geen cloud dienst nodig heeft om te functioneren?

Als je dan vervolgens een eigen VPN thuis hebt kun je overal thuis op je eigen netwerk komen en als de camera alleen intern op het netwerk mag, ook bij de camera komen.
Ik heb dan wel geen camera maar kan met mijn VPN client op mijn mobiel wel thuis bij mijn data op het lokale netwerk komen.
Uiteraard wel er voor zorgen dat de camera zelf niet op het internet kan komen.

[ Voor 12% gewijzigd door route99 op 22-07-2023 10:43 ]

JukeboxBill schreef op zaterdag 22 juli 2023 @ 10:32:
Is het niet simpeler om een camera te nemen die geen cloud dienst nodig heeft om te functioneren?

Dan kan deze in theorie nog steeds verbinding maken naar buiten. En via die verbinding kan ook iemand weer naar binnen. Denk dat veel mensen dit als risico zien bij de goedkope Chinese camera’s.

Dat kun je voorkomen door iets in je router te regelen. Een geïsoleerd VLAN of gewoon wat simpele regels in de firewall die verkeer van de camera naar het internet blokkeren.

Andere optie is een camera van een meer betrouwbare (Europese) leverancier te kopen.

[ Voor 8% gewijzigd door Sethro op 22-07-2023 10:54 ]

PS.
En iot device in een apart netwerk zetten is schijn veiligheid, subnetten is voor hacker geen echte belemmering.
Je zult dan tussen die subnetten een firewall moeten plaatsen.

ik draai mijn iot op een volledig gescheiden netwerk, lees mijn oude wifi router die nog wifi N ondersteunt krijgt op 1 kanaal 10mhz (geloof ik), om een 150mbit netwerkje te doen voor een paar lampen en een camera... dit netwerk had evengoed op een extra radio (wifi usb-stick) op een gewone router gekunnen maar in dat geval was dit een handige oplossing. nu draait het nog met met nat-achter nat maar in de toekomst wil ik deze wifi oplossing fysiek aan een port op mijn homeserver hangen die is verbonden met home-asistant (dus zonder internet-togang voor mijn devices).

ik vraag me dan ook af hoe jij erbij komt dat het fysiek scheiden van netwerken 'schijnveiligheid' is of bedoel je hiermee zaken als gast-netwerken die op sommige devices gewoon heel brak worden geïmplementeerd?

Aan de andere kant is het natuurlijk ook maar net wat je verder in je netwerk hebt draaien en hoe dat beveiligt is. Kortom het is niet zo simpel, als je alleen telefoons en een paar laptops hebt die up to date zijn en je installeert een camera en een paar lampen moet je je serieus afvragen of een apart Vlan geen overkill is.
Kortom bedenk eerst wat je risico's zijn en wat er buit gemaakt kan worden.
Bedenk dus ook aan de andere kant wat valt er voor een hacker te halen, die camera buiten of die camera in je slaapkamer. Hoeveel moeite moet hij doen voor wat?

@Frogmen Voor sommigen is het de kunst om ergens binnen te komen en een briefje achter te laten dat ze er geweest zijn (txt bestandje ergens). Anderen installeren graag even een keylogger en nog wat foute software die zich vanzelf in jouw netwerkapparaten verspreidt, of op je werk wanneer je je laptop meeneemt.

Vanuit een keylogger is er genoeg te halen. Alle inloggegevens die men zo kan krijgen zijn verhandelbaar.

sypie schreef op zaterdag 22 juli 2023 @ 19:42:
@Frogmen Voor sommigen is het de kunst om ergens binnen te komen en een briefje achter te laten dat ze er geweest zijn (txt bestandje ergens). Anderen installeren graag even een keylogger en nog wat foute software die zich vanzelf in jouw netwerkapparaten verspreidt, of op je werk wanneer je je laptop meeneemt.

Vanuit een keylogger is er genoeg te halen. Alle inloggegevens die men zo kan krijgen zijn verhandelbaar.

Misschien moet je die even uitleggen hoe ze dat doen via een camera waar verder geen poorten naartoe open staan. Leg even uit wat ze moeten doen en wat er eigenlijk dan ook mis is op je laptop waar je dan zomaar even die keylogger kan installeren.
Ik wil niet beweren dat het onmogelijk is maar schrijf alsjeblieft ook even op wat ervoor moet gebeuren om dit voor elkaar te krijgen en wat dan de mogelijke winst is.

Als ik het wist had ik het (je) gezegd. Ik weet alleen dat dergelijke zaken mogelijk zijn. Hoe dat tegen te houden is? Geen idee. VLAN’s zijn een optie maar of dat genoeg is?

Het probleem in de security industrie is dat problemen vaak niet goed genoeg onderzocht worden maar oplossingen worden toegepast die niet aansluiten.
Ik zie de oplossing voor vlans bij Iot hier wekelijks voorbij komen terwijl dat infecteren binnen een particulier netwerk een weinig gebruikte pad voor aanvallers is…tegelijk complex en duur

Om antwoord te geven op je vraag: die cameras bouwen vaak een soort vpn naar buiten. Beste is internet toegang ontzeggen voor ip camera en lokaal naar een nvr laten streamen

laurens0619 schreef op zondag 23 juli 2023 @ 23:43:

Om antwoord te geven op je vraag: die cameras bouwen vaak een soort vpn naar buiten. Beste is internet toegang ontzeggen voor ip camera en lokaal naar een nvr laten streamen

Exact!
VLAN's is net zo'n schijnveiligheid. In zijn algemeenheid wordt dezelfde PC/laptop gebruikt als waar tweakers mee wordt bezocht.

JukeboxBill schreef op zaterdag 22 juli 2023 @ 10:32:
Is het niet simpeler om een camera te nemen die geen cloud dienst nodig heeft om te functioneren?

Het aantal camera's wat geen enkele cloud functionaliteit heeft neemt hard af, zeker in het goedkopere segment. Kies je daar voor dan zal je de infra om de beelden op te slaan etc ook zelf moeten aanleggen en onderhouden.

laurens0619 schreef op zondag 23 juli 2023 @ 23:43:
Het probleem in de security industrie is dat problemen vaak niet goed genoeg onderzocht worden maar oplossingen worden toegepast die niet aansluiten.
Ik zie de oplossing voor vlans bij Iot hier wekelijks voorbij komen terwijl dat infecteren binnen een particulier netwerk een weinig gebruikte pad voor aanvallers is…tegelijk complex en duur

Om antwoord te geven op je vraag: die cameras bouwen vaak een soort vpn naar buiten. Beste is internet toegang ontzeggen voor ip camera en lokaal naar een nvr laten streamen

Helemaal mee eens, als je niet wilt dat je camera naar buiten communiceert geef het een vast IP adres zonder gateway, is dat opgelost, alleen die handige app etc werken niet meer.
Overigens stel eerst jezelf de vraag waarvoor heb ik die camera nodig en wat verwacht ik ervan. Om misdragingen van bekenden vast te leggen prima, maar een onbekende herkennen wordt al veel moeilijker. Vraag je dus vooraf af wat verwacht je en is het nodig. Hetzelfde geld dus ook voor alle vlan, vpn en andere oplossingen. Als prive persoon ben je toch een ander target dan een bank of een multi national. Net zoals je geen rijke voetballer bent. (Althans de meeste hier niet)

jadjong schreef op maandag 24 juli 2023 @ 11:27:
[...]

Een vlan maakt het wel makkelijk om alle camera's internettoegang te ontzeggen. Je hoeft alleen dat ene vlan te blokkeren in de router, of helemaal geen router interface aanmaken.

Dat is waar, maar hoe wordt een machine gehackt? 80% Van de tijd komt dat omdat iemand op een linkje clickt. Dat is dezelfde PC die wordt gebruikt om te internetten. 20% Van de tijd komt dat omdat er een port staat geforward in de router. (Of de management interface van d router staat beschikbaar aan de internet kant)

Dat zijn dezelfde mensen die zeggen: "Huuu ik wordt gehackt." of "Huuu ik ben gehackt."
Dat zijn dezelfde mensen die een port forwarden in hun router, nadat ze om hulp hebben gevraagd.