Säkerhetsbrist i sakernas internet-enheter orsaken till stor DDoS-attack

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av zeagan:

Att använda sig av standardiserade inloggningar är inte vidare lämpligt när dessa enheter dessutom är skapade för att styras över nätet. Man borde kunna leverera dem liknande som routrar m.m. där de klistrar på en genererad kod på undersidan som man sedan får byta.

Håller absolut med, men det är en merkostnad och finns ingen annan än slutkund som rimligen kan stå för den notan.

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av Cloudstone:

Ny teknik, då händer det sånt här. Helt otroligt vad folk blir emotionella över något som är löst om ett par produkt-generationer.

Det här är ju knappast någon nyhet, bottade routrar har vi dragits med i många år nu, men fortfarande så levereras produkter med factory passwords. Det är snarare ett par generationer av IT-tekniker än produkt generationer vid det här laget, och fortfarande så är det så här enkelt att "knäcka" prylarna.
Och samma sak med alla nya produkter som går att koppla upp, noll säkerhet!

Något att fundera på nästa gång du ser en "ERR_CONNECTION_TIMED_OUT" i din browser

"Dustybridge" 2500K - 32GB RAM - Tac2 - GTX770 - 120hz - vattenkylning - vad mer behöver man veta? ;)

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av Yoshman:

Du tror alltså på alvar att företag väljer att inte följa standarder och att de väljer lansera produkter med minimal testing, men att det inte har något att göra med prispress?

Personligen har jag egenintresse att alla de lagar och böter du föreslår införs, mer pengar till oss som jobbar med detta

Tror också det finns en relativt stor marknad för produkter med högre kvalité, även fast det innebär högre pris (Apple hade ju ett tag runt 50 % av intäkterna för laptops, det med <10 % av marknaden, resten av marknaden verkar köra racet mot absolut botten men det ändrades som tur var för ett par år sedan).

Men i många fall finns det tyvärr en väldigt stor marknad där enda parameter verkar vara lägsta pris.

Så min invändning var inte mot att man kanske måste införa regleringar, den riktades mot att sådana regleringar kommer medföra högre pris mot kund (och tror man något annat är man extremt naiv). Alla extrakostnader i form av mer testning och eventuella böter hamnar alltid på slutkunden, vem skulle annars betala detta???

För IoT skulle man kanske i vissa lägen kunna undvika just det artikeln handlar om genom att välja enklare maskinvara. Även om det absolut går att hacka mikrokontrollers och liknande är dels deras inbördes variation en försvårande egenskap. Men framförallt så blir förödelsen man kan orsaka med en väldigt simpel pryl mindre. För just routers/hemma-gateways är inte denna väg framkomlig och tyvärr är detta en klass enheter som av naturligt skäl sitter i nätverket på ett sätt som gör dem lätta att nå samt önskvärda att ha i botnät.

Det jag tror är att företag inte gärna spenderar pengar "i onödan". Idag finns ingen tillämplig certifiering som kräver hög säkerhet på uppkopplade prylar, därför är säkerhet inte hlg prio för tillverkarna, vilket resulterar i, som vi nyss såg, att viktiga samhällsfunktioner på diverse olika sätt kan slås ut.

Skall man hårddra det så innebär det att de säljer samhällsfarliga produkter, och hur länge får de hålla på med det? Nu när det är bevisat att enheter med dagens icke-tänk kring säkerhet kan användas i botnät för att slå ut DNS-servrar och dylikt lär det inte dröja länge innan det händer igen.

Vem som betalar eller inte är ointressant. För att återigen ta exemplet med routrar, så finns det billiga trådlösa routrar som ändå upofyller krav från FCC och liknande, och kunden köper ju dem så jag tror inte det är pengar som är det största problemet.

Dessutom har ju tillverkarna idag alltid möjlighet att nagga vinstmarginalen i kanten om de nu vill behålla sin marknadsandel. Gör de inte det dyker någon annan upp som inte är främmande fär tanken.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av Ozzed:

Det jag tror är att företag inte gärna spenderar pengar "i onödan". Idag finns ingen tillämplig certifiering som kräver hög säkerhet på uppkopplade prylar, därför är säkerhet inte hlg prio för tillverkarna, vilket resulterar i, som vi nyss såg, att viktiga samhällsfunktioner på diverse olika sätt kan slås ut.

Skall man hårddra det så innebär det att de säljer samhällsfarliga produkter, och hur länge får de hålla på med det? Nu när det är bevisat att enheter med dagens icke-tänk kring säkerhet kan användas i botnät för att slå ut DNS-servrar och dylikt lär det inte dröja länge innan det händer igen.

Vem som betalar eller inte är ointressant. För att återigen ta exemplet med routrar, så finns det billiga trådlösa routrar som ändå upofyller krav från FCC och liknande, och kunden köper ju dem så jag tror inte det är pengar som är det största problemet.

Dessutom har ju tillverkarna idag alltid möjlighet att nagga vinstmarginalen i kanten om de nu vill behålla sin marknadsandel. Gör de inte det dyker någon annan upp som inte är främmande fär tanken.

Du tror inte det skulle gå att tillverka ännu billigare accesspunkter om man struntade i kraven från FCC?

Åter igen: är inte helt emot tanken på mer reglering kring detta, produkterna orsakar faktiskt skada för tredje person när de används för i bot-nät. Personligen har jag inte heller problem att betala lite mer för att dessa krav ska uppfyllas.

Min fråga var mest om den stora allmänheten är beredd att betala extrakostnaden. Om de inte är det (vilket jag tror är fallet) blir ju frågan om reglering i form av tvingande lagar än mer aktuell. Accesspunkter uppfyller idag de krav som ställs kring deras radio, detta då man helt enkelt inte får sälja produkten annars.

Men det går absolut att bygga billigare produkter om man kunde skita i alla krav. Och är övertygad om att dessa billigare produkter skulle sälja i drivor om det inte var olagligt att sälja dem.

Och det är inga större marginaler på de produkter artikeln handlar om. Så går inte riktigt att beskylla tillverkarna för att suga ut kunderna.

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2005
Skrivet av Ozzed:

Men vad tror de när de låter varenda liten pryl bete sig som vilken klient som helst? Klart som korvspad att intresset för att hacka dessa prylar och joina dem i botnät är enormt. Men så är det idag. Man ska ha ut nytt och fräsigt fort som fan.. Säkerheten kan vara lite skit samma... Om ingen märker något räknas varje pryl som Fort Knox... Hårdare regler och hårdare straff till tillverkare som säljer de här prylarna.

Jag tror också du underskattar hur många personer som aldrig någonsin byter ett lösenord på sina enheter.

Folk klagar på säkerhet men folk verkar klaga mer på smidighet och att det ska gå snabbt.

I mitt huvud brukar inte säkerhet och snabbhet gå bra ihop :/

Står det att man bör byta lösenord i manualen kanske det borde göras ^^

What evah! i'll do what i want!

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av Yoshman:

Du tror inte det skulle gå att tillverka ännu billigare accesspunkter om man struntade i kraven från FCC?

Åter igen: är inte helt emot tanken på mer reglering kring detta, produkterna orsakar faktiskt skada för tredje person när de används för i bot-nät. Personligen har jag inte heller problem att betala lite mer för att dessa krav ska uppfyllas.

Min fråga var mest om den stora allmänheten är beredd att betala extrakostnaden. Om de inte är det (vilket jag tror är fallet) blir ju frågan om reglering i form av tvingande lagar än mer aktuell. Accesspunkter uppfyller idag de krav som ställs kring deras radio, detta då man helt enkelt inte får sälja produkten annars.

Men det går absolut att bygga billigare produkter om man kunde skita i alla krav. Och är övertygad om att dessa billigare produkter skulle sälja i drivor om det inte var olagligt att sälja dem.

Och det är inga större marginaler på de produkter artikeln handlar om. Så går inte riktigt att beskylla tillverkarna för att suga ut kunderna.

Jo det är ju det jag säger. Kunderna har inga problem att pröjsa för AP:s, routrar osv, så jag tror inte att det spelar någon roll om priset går upp. Det är bara ofattbart att man låtit det bli vilda västern med det här från början.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Alla konsumentnätverkshårdvara som jag har köpt på senare tid har haft ett eget lösenord och en klisterlapp bak på enheten. dä jag visserligen har hört att detta lösenord inte hellre är det bästa.

Däremot för mer professionellt bruk så är även lösenord en säkerhetsrisk, någon har satt ett lösenord på en pryl som den anser är enkelt som 54321, men detta kan ta rätt så lång tid att komma på detta lösenord och hela produktionen kan vara nere under tiden någon försöker knäcka det.

Jag tror lösningen på problemet kan lösas genom att fler uppmärksammar problemet och tex. recensenter tar upp standardlösenord som en negativ grej för de produkter som nu har det.

Lagar hit och dit blir flummiga, att all hårdvara ska vara lösenordsskyddade går an för de som ej sysslar med hårdvara att säga. Det är lite som att säga att alla knivar ska ligga i ett vapenskåp, ja det går säkert bra för de som aldrig lagar någon mat hemma etc.

Gått över till enbart Google Chromebook på klientsidan.

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av Ceogar:

Jag tror också du underskattar hur många personer som aldrig någonsin byter ett lösenord på sina enheter.

Folk klagar på säkerhet men folk verkar klaga mer på smidighet och att det ska gå snabbt.

I mitt huvud brukar inte säkerhet och snabbhet gå bra ihop :/

Står det att man bör byta lösenord i manualen kanske det borde göras ^^

Till exempel Asus har ju som krav att du måste byta lösenord på admin-användaren samt det trådlösa innan du kommer igång, och standardiserar man någon liknande lösning blir det ju plättlätt för alla att använda.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Finns absolut noll prestige i att ta sig in i enheter med standardlösenord. Dock betyder det nog att fler leverantörer kommer att leverera sina enheter med långa unika lösenord i framtiden, vilket är bra.

Skickades från m.sweclockers.com

Processor: Intel i5 3570K @ 4,5 GHz | Kylare: CM Hyper 212 Evo | Grafikkort: EVGA GTX 970 SSC | Chassi: HAF 922 Svart | Mobo: Asus P8Z77-V | RAM: Corsair Vengeance Low Profile 16 GB (4x4GB) | SSD01: 250GB Samsung 840 EVO | SSD02: 1TB Samsung 850 EVO | Nätagg: Corsair 850 W

Trädvy Permalänk
Medlem
Plats
Halmstad
Registrerad
Okt 2011
Skrivet av StarglowOne:

Som jag ser det år väl användarna till IOT-enheterna som är största problemet, då dom antingen använder standard användarnamn & lösenord, för simpla lösenord eller gud förbjude inget lösenord alls, det kan ju inte tillverkaren hållas ansvarig för.

Skickades från m.sweclockers.com

Inte nog med att det är dåliga användarnamn och lösenord, det räcker att folk klickar på fel länk någon gång under sin dators livstid. Gissa hur många som surfar och klickar på allt möjligt, både ofrivilligt som frivilligt.

Rolig signatur

Trädvy Permalänk
Medlem
Registrerad
Maj 2008
Skrivet av Cloudstone:

Ny teknik, då händer det sånt här. Helt otroligt vad folk blir emotionella över något som är löst om ett par produkt-generationer.

Jo, kameror och annan hårdvara med publikt ip är ju ny teknik. Eller vänta, det är det inte alls.

Skickades från m.sweclockers.com

Intel Core i7 3930K@ 4,7Ghz (Noctua NH-D14) | Asus Rampage IV Formula | Corsair Vengeance DDR3 16GB | MSI GTX 1080Ti Gaming X | Corsair AX 850W |
Ljud: Asus Essence STX -> Audio-GD DAC 19 -> Heed Canamp -> AKG K701

Trädvy Permalänk
Medlem
Plats
Sundbyberg
Registrerad
Nov 2011
Skrivet av Alling:

Vissa översättningar blir bara inte bra, hur man än gör.

Jag hade personligen föredragit IoT-enheter.

Håller med om att "Sakernas Internet-enheter" låter krystat men jag stör mig nog mer på att routrar och webbkameror nu klumpas in i begreppet "sakernas internet".

Min uppfattning är att IoT-branschen som den ser ut idag (dvs efter att "IoT" blev ett buzzword för 2-3 år sedan) lägger stor vikt vid säkerhet, och de jobbar inte med routrar och webbkameror. Snarare olika typer av sensorer som skickar data via Internet till en molnbaserad datacentral vilken innehåller all affärslogik, administration och stödfunktioner.

Routrar borde anses som en del av Internets infrastruktur, snarare än IoT-enheter. Webbkameror är ett gränsfall, men varför inte kalla dem för "Internetuppkopplade konsumentprodukter" istället? Tror det kommer närmare sanningen.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av Yoshman:

Men i många fall finns det tyvärr en väldigt stor marknad där enda parameter verkar vara lägsta pris.

Nog den mest skrämmande sanningen många vägrar inse. Du kan få bättre kvalité, bättre säkerhet, men folk vill aldrig betala. Så enda sättet är ju att tvinga det, och förbjuda allt som inte är det.

Snåleri är vad som kommer döda mänskligheten en dag...

Skrivet av Yoshman:

Tror också det finns en relativt stor marknad för produkter med högre kvalité, även fast det innebär högre pris (Apple hade ju ett tag runt 50 % av intäkterna för laptops, det med <10 % av marknaden, resten av marknaden verkar köra racet mot absolut botten men det ändrades som tur var för ett par år sedan).

Problemet är ju att även i high-end snålas det idag... Titta på så många dyra produkter som bara senaste året haft problem med allt från återkallning till defekta delar osv. Tror att vissa personer är villiga att betala för kvalité, ja, men då måste också det vara riktig kvalité och inget halvdant (som TLC NAND i Apple telefonerna tex). Så tyvärr ser man hela marknaden som helhet rusa mot botten... :=/

Trädvy Permalänk
Entusiast
Testpilot
Plats
Chalmers
Registrerad
Aug 2011
Skrivet av highwaystar:

Håller med om att "Sakernas Internet-enheter" låter krystat men jag stör mig nog mer på att routrar och webbkameror nu klumpas in i begreppet "sakernas internet".

Min uppfattning är att IoT-branschen som den ser ut idag (dvs efter att "IoT" blev ett buzzword för 2-3 år sedan) lägger stor vikt vid säkerhet, och de jobbar inte med routrar och webbkameror. Snarare olika typer av sensorer som skickar data via Internet till en molnbaserad datacentral vilken innehåller all affärslogik, administration och stödfunktioner.

Routrar borde anses som en del av Internets infrastruktur, snarare än IoT-enheter. Webbkameror är ett gränsfall, men varför inte kalla dem för "Internetuppkopplade konsumentprodukter" istället? Tror det kommer närmare sanningen.

Ja, en router/gateway är naturligtvis inte en IoT-enhet, hur man än vrider och vänder på det.

Webbkameror kan jag förstå.

Skrivet med hjälp av Better SweClockers

Trädvy Permalänk
Medlem
Plats
göteborg
Registrerad
Mar 2008

Inte konstigt mitt kylskåp och spis betätt sig mysko sista tiden...

Trädvy Permalänk
Medlem
Registrerad
Nov 2004
Skrivet av Yoshman:

Och du tror att kunderna är beredda att betala betydligt mer för dessa prylar? För ingen tror ändå att det är gratis att utveckla, testa och underhålla prylarna.

Det samma kan man ju säga om CE-märkning och liknande också. Anser du att vi ska skrota alla certifieringar för att kunna köpa prylar några kronor billigare?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av Yoshman:

Du tror inte det skulle gå att tillverka ännu billigare accesspunkter om man struntade i kraven från FCC?

Visst , men då för du vara beredd på att du tappar wifi'n när grannen kör sin microvågsugn, och att det knastrar i bluetooth lurarna så fort någonting händer på mobilen. Har mormor pacemaker,, tja vill inte tänka på det. bara för att nämna några troliga exempel.
Folk skulle nog vara beredda på att betala för FCC certade routrar för att slippa de bekymren på de enheter dom har, och är nog ganska glada att grannen inte sitter och kör på billiga kina-kopior som är ocertifierade.

I framtiden så skulle iallafall jag vara glad om jag visste att min router/modem/webcamera/microvågsugn/vardagsrumslampa är någelunda säkrade mot botnät. Något som idag skulle kräva att man bygger en egen router av en dator och kopplar upp mellan internet/router för att skanna av trafiken med. Inte precis något min morsa skulle klara av. Så är exempelvis routern bottad,, tja då har man ingen aning om det, förutom att det kanske går lite slött ibland.

Detta handlar dock om mer än bara din personliga säkerhet, botnät hotar hela sämhället. Något att fundera på nästa gång en website inte går att nå.

"Dustybridge" 2500K - 32GB RAM - Tac2 - GTX770 - 120hz - vattenkylning - vad mer behöver man veta? ;)

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av Gramner:

Det samma kan man ju säga om CE-märkning och liknande också. Anser du att vi ska skrota alla certifieringar för att kunna köpa prylar några kronor billigare?

Skrivet av Lordsqueak:

Visst , men då för du vara beredd på att du tappar wifi'n när grannen kör sin microvågsugn, och att det knastrar i bluetooth lurarna så fort någonting händer på mobilen. Har mormor pacemaker,, tja vill inte tänka på det. bara för att nämna några troliga exempel.
Folk skulle nog vara beredda på att betala för FCC certade routrar för att slippa de bekymren på de enheter dom har, och är nog ganska glada att grannen inte sitter och kör på billiga kina-kopior som är ocertifierade.

I framtiden så skulle iallafall jag vara glad om jag visste att min router/modem/webcamera/microvågsugn/vardagsrumslampa är någelunda säkrade mot botnät. Något som idag skulle kräva att man bygger en egen router av en dator och kopplar upp mellan internet/router för att skanna av trafiken med. Inte precis något min morsa skulle klara av. Så är exempelvis routern bottad,, tja då har man ingen aning om det, förutom att det kanske går lite slött ibland.

Detta handlar dock om mer än bara din personliga säkerhet, botnät hotar hela sämhället. Något att fundera på nästa gång en website inte går att nå.

?

Vad jag pekar på är att om det saknas tvingande regler kommer en väldigt stor andel av köparna välja det billigaste, oavsett om det potentiellt orsakar skada.

Första posten kanske var otydlig, men ville peka på att det kommer kosta mer att tillverka produkter som saknar dessa svagheter och den kostnaden kommer hamna på slutkunderna. Att tro något annat är naivt.

Kan själv mycket väl tänka mig någon form av säkerhets/robusthets-certifiering av internetanslutna enheter. En sådan certifiering kommer höja priset på produkterna och enda sättet att i praktiken få någon relevans av en sådan certifiering är att förbjuda försäljning av produkter som saknar den, precis som med CE och FCC märkningarna.

Gjorde den anmärkningen då väldigt många är snabba att kräva saker men de är absolut inte beredd att själva stå för merkostnaden.

Skrivet av Ozzed:

Jo det är ju det jag säger. Kunderna har inga problem att pröjsa för AP:s, routrar osv, så jag tror inte att det spelar någon roll om priset går upp. Det är bara ofattbart att man låtit det bli vilda västern med det här från början.

Vi verkar ändå rätt överens. Enda eventuella skiljelinjen är att jag är tvärsäker på att en väldigt stor del av marknaden absolut inte är beredd att ta en extrakostnad så länge det finns "likvärdiga" produkter med lägre prislapp. D.v.s. det behövs något likt FCC/CE och det måste vara otillåtet att sälja produkter som saknar märkningen.

Man kommer sälja väldigt få AP på "svårare att hacka, det är värt 500 kr extra, vi lovar". Även om utsaga är sann kommer tyvärr många köpa produkterna som kostar några hundralappar mindre, trots att de är osäkrare.

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Plats
Mark
Registrerad
Dec 2010

@Frux:

Skrivet av Frux:

Lika coolt som att slå sönder en busskur.

Man kan inte sälja en bot arme som slår sönder busskurer för flertalet miljoner.
Det hade varit svårt om en DDoS attack mot det Amerikanska valets sidor kom från Ryssland eller om Netflix blev attackerat från Comcast servrar, men om det bara är en grupp ungar som busar så kan man inte bevisa något.

Intel 2500K . Radeon 6950 2Gb . Fractial Design R3 . Vengeance 8GB 1600Mhz . Kingston SSDnow 120GB
4TB . Fractial Design 500W

Trädvy Permalänk
Medlem
Registrerad
Nov 2010

Har bara gått och väntat på att just något sådant här ska hända. Bara för att du har "smarta" enheter så behöver dom inte vara kopplade mot ett "moln" så som annars Google, Microsoft, osv, osv osv, tycker.

Nybörjare på Linux? Se hit! #15665841
Google är inte din vän. www.donttrack.us
Skaffa säker epost med ProtonMail! #14698306
Spela Supreme Commander! www.faforever.com

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av Yoshman:

?

Vad jag pekar på är att om det saknas tvingande regler kommer en väldigt stor andel av köparna välja det billigaste, oavsett om det potentiellt orsakar skada.

Första posten kanske var otydlig, men ville peka på att det kommer kosta mer att tillverka produkter som saknar dessa svagheter och den kostnaden kommer hamna på slutkunderna. Att tro något annat är naivt.

Kan själv mycket väl tänka mig någon form av säkerhets/robusthets-certifiering av internetanslutna enheter. En sådan certifiering kommer höja priset på produkterna och enda sättet att i praktiken få någon relevans av en sådan certifiering är att förbjuda försäljning av produkter som saknar den, precis som med CE och FCC märkningarna.

Gjorde den anmärkningen då väldigt många är snabba att kräva saker men de är absolut inte beredd att själva stå för merkostnaden.

Vi verkar ändå rätt överens. Enda eventuella skiljelinjen är att jag är tvärsäker på att en väldigt stor del av marknaden absolut inte är beredd att ta en extrakostnad så länge det finns "likvärdiga" produkter med lägre prislapp. D.v.s. det behövs något likt FCC/CE och det måste vara otillåtet att sälja produkter som saknar märkningen.

Man kommer sälja väldigt få AP på "svårare att hacka, det är värt 500 kr extra, vi lovar". Även om utsaga är sann kommer tyvärr många köpa produkterna som kostar några hundralappar mindre, trots att de är osäkrare.

Då missuppfattade du nog mig från början. Jag menade från första inlägget att det borde vara tvingande regler med böter om de inte följs. Att köpa icke-certifierade produkter skall inte ens vara en möjlighet för kund.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Avstängd
Plats
Oslo, Norge
Registrerad
Aug 2008

Internett's infrastruktur og standardisering (eller mangelen på dette) virker katastrofalt dårlig.

• Statsmakter har over et tiår med forsprang på spionasje mot alle og enhver (spionasje saboterer forhandlingsmuligheter for bedrifter/org.)
• Et skred av katastrofale feil i protokoller og i kode i forskjellig type programvare.
• Et internett styrt av land og som av meg like godt kan kalles politistater (USA, Storbritannia, og antagelig norge og Sverige.
• Elendig sikkerhet og dårlig praksis på mobiltelefoniområdet
• TLS = overvåkningsmekanikk for statsmakter og organisasjoner? (Er ingen ende-til-ende kryptering)
• Selv ikke Apple's poentsielle bruk av hardware security module hjelper på tilliten til Apple, hvis dette i tur kan brukes til å gjemme bort bevis på samarbeid mellom Apple og stater/politi, noe som i seg selv kan benyttes som argument av en stat for å implementere skult overvåkning (pga. nær idiotsikker sikkerhet).
• Ingen generell ende-til-ende kryptering
• Staters, organisasjoners og bedrifters "Krig" mot privatliv
• Statlig overvåkning og forfølgelse (tenk parallel konstruksjon)
•Trussel mot ytringsfrihet (krav om idendifisering, på f.eks Aftenpostens nettside, en riskdekkende avis)
• Selv ikke Linux frister så alt for mye. Stoler ikke på Linus Torvals, etter at han tydeligvis fleipet en del år tilbake, når han fikk stilt spørsmål om mulig press fra myndighetene, og hvor Linus svarte nei og nikket samtidig. Ikke en person man kan ta alvorlig vil jeg si med slik oppførsel.

Jeg tror verden bør gjøre DDos'ing så å si lovlig, slik at ikke resten av verden bare kan la ting fortsette på samme dårlige måte som før, men slik at de må gidde å forbedre hvordan internettet fungerer.

Trädvy Permalänk
Inaktiv
Registrerad
Maj 2016
Skrivet av Osten87:

Lite lagstiffting runt krav på IT säkerhet hade inte suttit fel. EU to the rescue?

Det tycker jag känns mer än rimligt. Allt annat ska ju lagstiftas in i minsta detalj, så varför inte något så enkelt som att en enhet måste konfigureras med ett unikt lösenord när den startas för första gången?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av Yoshman:

Kan själv mycket väl tänka mig någon form av säkerhets/robusthets-certifiering av internetanslutna enheter. En sådan certifiering kommer höja priset på produkterna och enda sättet att i praktiken få någon relevans av en sådan certifiering är att förbjuda försäljning av produkter som saknar den, precis som med CE och FCC märkningarna.

Gjorde den anmärkningen då väldigt många är snabba att kräva saker men de är absolut inte beredd att själva stå för merkostnaden.

Vi verkar ändå rätt överens. Enda eventuella skiljelinjen är att jag är tvärsäker på att en väldigt stor del av marknaden absolut inte är beredd att ta en extrakostnad så länge det finns "likvärdiga" produkter med lägre prislapp. D.v.s. det behövs något likt FCC/CE och det måste vara otillåtet att sälja produkter som saknar märkningen.

Man kommer sälja väldigt få AP på "svårare att hacka, det är värt 500 kr extra, vi lovar". Även om utsaga är sann kommer tyvärr många köpa produkterna som kostar några hundralappar mindre, trots att de är osäkrare.

Problemet är egentligen inte att det kommer kosta "mer" för säkrare enheter, utan att ens mindre säkra ens får lov att säljas, utan att användaren hålls ansvarig för det. Lite som att sända radiosignaler där du faktiskt kan få straff för om du sänder på olovlig frekvens/styrka. Du måste betala för godkända sändare, annars får du straffet.

Mao... kravet borde varit där för 10 år sedan, inte något man måste "nu lägga till". Då hade inte dessa "billiga" enheter kanske hackats så enkelt och orsakat skada för mångmiljonbelopp som dessa lätt kan göra. Är lite som att säga... jag behöver inte bra bromsar på min bil, för jag bromsar alltid i god tid. Men smäller det är du ändå ansvarig, vilket jag tycker dessa enheter också ska hållas som.

Håller med dig dock att marknaden inte vill betala för det. Men vi kan skicka notan till dem när Internet överlastas istället... så kanske de fattar poängen. Valet ska mao inte finnas.

Problemet...
Det kommer ta lååång tid att ordna detta. Så det är redan försent för alla "IoT" eller vad man vill kalla dem. De kommer att skrotas eller orsaka enorm skada innan man får rätta på detta som man egentligen borde ha rättat till för länge sedan.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2005

Intressant namn de har. Jag gissar att deras mantra är "hack as thou wilt shall be the whole of the law".

Vi kommer bara få se fler och fler bisarra kulturyttringar framöver. Men alla kommer säga att det är gott. Det är lättast. Ingen vill vara den som är tråkig och säger ifrån.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011

Varför inte istället ta detta som ett varningens finger till alla uppkopplade prylar? Jag ser allt som är uppkopplat mot internet som säkerhetshål. Också alla trådlösa tekniker. Se bara hur ett säkerhetshål i kärnan Linux uppdagades nytt som funnits i närmre 10 år. Så alla routrar, mobiler, datorer, servrar med en så gammal kärna har detta säkerhetshål. Detta inkluderar flesta IoT för dom kör i stort sett alltid Linux i grunden.

Se bara dagens bilar som är uppkopplade. Volvos nya bilar är alltid uppkopplade och har garanterat bakdörrar inbakade "för rikets säkerhet", och sedan säkerhetshål. Kommer Volvo uppdatera mjukvaran i 20 år gamla bilar eller kommer det vara inprogramerat i mjukvaran att bilarna skall gå sönder eller gå sämre så kunder tröttnar på problem köper en ny bil? Alla andra tillverkare har troligen liknande funktioner i sina bilar.

Vanliga konsumtionsprodukter har inbyggda dödsfunktioner och tekniker för att ställa till med problem för kunder. Se vissa bläckskrivare som vägrar skriva ut i svart även om en färg saknas. Måste konsumera... Sedan har flesta skrivare idag spårningsprickar på sig som syns under UV-ljus. Skrivarens ID, datum vid utskrift för att kunna spåra. Detta går inte att stänga av. Därför skrivare gnäller då någon färg saknas för den kan då inte markera pappret med trackinginformationen?

Allt med elektronik och proprietär mjukvara idag kommer skapa helvetes massa problem. Denna attack är bara början. Bilar kommer kunna hackas på distans och tas över. Kriminella maffiaorganisationer kommer inte använda vapen att ta död på varandra utan "singelolyckor" med bilar på distans. Dra åt säkerhetsbältet så offret inte kommer loss, lås dörrar, stäng av bromsar, plattan i botten och ta över ratten. Allt via datorn på distans.

Welcome to the new world of internet of things.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Nov 2008
Skrivet av philipborg:

Vad många glömmer är att även om bortser från tillverkarnas säkerhet så har vi fortfarande ett enormt problem, lösenord. Kommer inte ihåg killens namn (white-hat) men han skriver lösenords knäckar program och tittade på Adobe's (har för mig att det var adobe) läckta lösenord. Om jag minns rätt så var 80-90% utav alla användarnas lösenord med på top 1000. (Kan varit 10 000, men det är fortfarande rysligt liten nivå. Kan ha varit så att han nämnde två procentvärden, ett för 1000 och ett för 10 000. Var ett år sedan jag såg hans presentation så tag det med en nypa salt.) Då får man även tänka på att Adobe's produkter är ingenting Ingrid 65 år troligen använder, men Ingrid kan mycket väl ha några IoT prylar med antingen standard lösenord eller hundens namn.

Absolut, den absoluta majoriteten av användarna har horribel lösenordssäkerhet. Tror det beror mycket på okunskap. Har försökt med att få farföräldrarna att bli bättre, men i deras värld blir dem hackade när någon manuellt gissar deras lösen, så de tar ett "svårgissat" (för en människa). Att det egentligen är en dator som gissar på massor av användares lösen samtidigt med en hastighet av runt 10^6-10^8 gissningar per sekund förstås inte.

Men det löser inte allt här, botnätverket som stod bakom denna attack består till stor del av kameror och DVR enheter tillverkade av ett kinesiskt företag. Detta företag tillverkar produkter åt andra företag som säljer dem till slutkonsumenten. Det som gör dessa enheter så extremt sårbara förklaras av Brian Krebs

Citat:

That’s because while many of these devices allow users to change the default usernames and passwords on a Web-based administration panel that ships with the products, those machines can still be reached via more obscure, less user-friendly communications services called “Telnet” and “SSH.”

Telnet and SSH are command-line, text-based interfaces that are typically accessed via a command prompt (e.g., in Microsoft Windows, a user could click Start, and in the search box type “cmd.exe” to launch a command prompt, and then type “telnet” to reach a username and password prompt at the target host).

“The issue with these particular devices is that a user cannot feasibly change this password,” Flashpoint’s Zach Wikholm told KrebsOnSecurity. “The password is hardcoded into the firmware, and the tools necessary to disable it are not present. Even worse, the web interface is not aware that these credentials even exist.”

Du som användare kan alltså INTE byta dessa lösen. Enda sättet att skydda dem är att gömma dem bakom en brandvägg, som inte använder upnp (då gör dem en port-forward automatiskt). Gör du det måste du konfigurera brandväggen själv för att det skall fungera, vilket är svårt för dem flesta.

Lite goda nyheter är dock att företaget har gjort ett recall på hela sin produktlinje, men sannolikheten att enheter faktiskt kommer återkallas från konsumenter ser jag som liten tyvärr.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2007

Snart kommer folk att hacka bilar och låta dom attackera människor fysiskt istället. Ska bli roligt att se lastbilar och bilar jaga människor. En tidig variant utav "Rise of the Machines".

Grundregel för felsökning: Bryt och begränsa.

Trädvy Permalänk
Medlem
Registrerad
Sep 2014
Skrivet av Yoshman:

Och du tror att kunderna är beredda att betala betydligt mer för dessa prylar? För ingen tror ändå att det är gratis att utveckla, testa och underhålla prylarna.

Skickades från m.sweclockers.com

Det kan bli ännu dyrare om du blir utsatt för intrång, så vissa användare skulle nog se värde i bättre säkerhet. Tex professionella användare