Zendamateur.COM

Agentschap Telecom krijgt er een extra taak bij:
Gaat slimme apparaten controleren en testen. Er komen namelijk Europese regels aan waardoor alle slimme apparaten ook cyberveilig moeten zijn.

https://www.rtlnieuws.nl/economie/tv/vi ... het-getest

Persoonlijk vind ik het wel bijzonder omdat dit toch echt ICT gerelateerde vakkennis vraagt en ik me afvraag of die kennis daar wel aanwezig is.
Aan de andere kant is Telecom wel een breed begrip, slimme apparaten communiceren ook.

In ieder geval gaan ze het een stuk drukker krijgen

Bijzondere keuze idd... ik zou zeggen dat bijv. de zonnepaneeltransmitters een hogere prioriteit had...

pe1pal schreef: ↑24 jun 2022, 07:59 Bijzondere keuze idd... ik zou zeggen dat bijv. de zonnepaneeltransmitters een hogere prioriteit had...

Volgens mij zijn ze daar anders heel druk mee bezig geweest en niet zonder succes!
Zie viewtopic.php?p=268214#p268214

Ik had vorige maand een QRL matig overleg met AT en ze gaan een geheel ander en breed taken pakket er bij krijgen. Zelfs niet uitgesloten dat de naam veranderd

Frankyboy schreef: ↑24 jun 2022, 07:06 Persoonlijk vind ik het wel bijzonder omdat dit toch echt ICT gerelateerde vakkennis vraagt en ik me afvraag of die kennis daar wel aanwezig is.

Och het 'Ministerie van Economische Zaken en Klimaat' kan dit er ook nog wel bij hebben... Ik denk niet dat we veel verschil gaan merken.

Ik ben benieuwd of de "reden om te testen" anders zal zijn als RF testen.

Zoals we weten voldoet veel van de goedkope spullen van aliexpress en bijvoorbeeld action niet aan de eisen. Of het spul heeft geen CE-keurmerk, of het keurmerk is er wel maar aan de eisen wordt niet voldaan. Zou het spul wat per container binnenkomt in Rotterdam 100% getest worden, dan zou een heleboel ervan direct de plomp in kunnen. Het is lastig en kostbaar om spullen die niet aan de eisen voldoen, uit de markt te halen: verwijderen uit de schappen, terughalen van de klant, enzovoort.

100% pro-actief testen van deze spullen is lastig. Het zou prettig zijn als het gebeurde, maar een CE-verklaring is alleen maar een verklaring en als de zeecontainer leeg is als de klachten binnenkomen bij het Agentschap heeft handhaven geen zin. Een volgende zeecontainer heeft dan apparaten die "anders" zijn en het spel begint opnieuw.

Is dit bij "cybertesten" anders? Gebeurt dit testen wel 100% vooraf? Hoe en waarom? En waarom het onderscheid met RF-testen?

Let wel: ik verwijs het AT-EZ niets. Ik verwijt wel de mensen die AT-EZ de opdrachten geven die ze niet uit kunnen voeren.

Geert Jan

Het gaat inderdaad om het cybertesten. De vage firmware van vele toestellen met (nutteloze) wifi of bluetooth of Lora b.v. wordt als een serieus gevaar en probleem gezien om de maatschappij mee te kunnen ontwrichten. Denk maar dat al deze dingen potentieel b.v. als bot ingezet kunnen worden om de boel te ontregelen.
Alle gadgets met internet en firmware zijn per definitie aangemerkt als verdacht. Zolang je dat niet zorgvuldig gaat onderzoeken weet je het dus niet.

Het gaat dus niet primair om HF.

Agentschap telecom ging al langer niet meer over HF, maar hun gevecht tegen solar storing duurt onverminderd voort, helaas zijn we al te ver doorgeschoten in het markttechnische veld, dat er nauwelijks nog handhaving mogelijk is.

Een slimme professor zei jaren geleden al dat de bedreiging niet van buiten komt, maar van binnenuit ons eigen huis. B.v. Doordat er "iets" binnenshuis verbinding maakt met de grote boze wereld en een instructie krijgt om alle gegevens van zijn binnen netwerk door te spelen naar buiten.
Als je dat thuis hebt is dat hooguit vervelend, maar als dat bij een waterschap, luchthaven, drinwater bedrijf etc. gebeurd........

Ook daar zijn ze best een beetje laat mee als ze dat nu nog helemaal op moeten gaan zetten.



Verder hangen overal al deurbellen die constant beelden van al onze straten naar datacenters weet-ik-waar sturen. Om niet te spreken over systemen die wereldwijd kunnen zien wie er wel en niet thuis is, aan bijvoorbeeld slimme meters, kooktoestellen, lampen en wat dies meer zij. Goud voor het inbrekersgilde.

Kortom, een nieuwe "dweilen met de kraan open" taak erbij voor het AT.

Laatst had ik een BBQ thermometer gekocht, Bluetooth. Tikje overbodig, maar beperkt handig: je kan bij het voorbereiden binnen zien of de bbq al warm is. En met alarmpjes of je vlees gaar is. Dus toch maar pairen.

Wat denk je? De app heeft GPS "nodig" om te pairen, maar denk maar niet dat ze eerlijk vermelden dat dat dient om hun gebruikers in kaart te brengen. Nee, het is "nodig" om te koppelen. Ja daag. Lang verhaal kort, mijn BBQ staat volgens de leverancier dus nu midden op de A4 ergens in de file

Gelukkig vraagt ie GPS alleen eenmalig bij het koppelen en kun je hem daarna met ingetrokken GPS toegang gewoon gebruiken.

even offtopic:
Ik heb op mijn android foon een firewall. Als je ziet hoe belachelijk veel apps locatie toegang willen (en nooit krijgen ). Niemand weet waarvoor.
Het zelfde geld voor apps die niets met internet doen, maar die wel even aankloppen bij de firewall.

Firewall scheelt 99.9% advertenties en bespaard veel data en batterij

On topic maar weer....

PA1AIS schreef: ↑25 jun 2022, 10:23 .. maar als dat bij een waterschap, luchthaven, drinwater bedrijf etc. gebeurd........

Belangrijke infra hang je ook nooit aan het internet natuurlijk. En als je al locaties wilt koppelen doe je dat via een VPN.
En je splitst je netwerk natuurlijk liefst in VLAN's om de zaken gescheiden te houden.

Op je PC/Telefoon zet je de firewall aan. ( opvallend trouwens dat Windows de uitgaande firewall standaard uit heeft staan .. ).
Voor thuis kun je prima routertjes kopen met alle professionele mogelijkheden voor onder de 75 euro. En voor dat geld doen ze het beter dan
de doorsneu meuk die je van je provider krijgt. En met een beheerbare firewall.

Het probleem is dat daar ook kennis van zaken voor nodig is. Je kunt niet van een gebruiker verwachten dat
ie dat allemaal gaat leren. Dus staat alles open, want dan werkt het meteen. Ook voor ongewenste gebruikers.
De clou is dus dat het voor een consument bruikbaar moet zijn, en dat betekent dat je een stukje veiligheid in moet leveren.

Hoe het AP dat straks gaat controleren is me trouwens een raadsel. Want dan zouden ze de firmware van ieder apparaat moeten decompileren op zoek naar
verborgen stukjes software/achterdeurtjes. Een zich verder normaal gedragende slimme lamp die zijn instructies van buiten ontvangt kan immers best een geheim stuurcommando hebben die extra functies activeert. Daar kom je bij het eerste gebruik niet achter.

Thuis heb ik daarom ook de ultieme beveiliging, een wandschakelaar. Zit naast de voordeur en werkt pas als ik er bij ben ! En ik kom er toch al langs als ik thuis kom of wegga.

PA3CQN schreef: ↑26 jun 2022, 11:58 Hoe het AP dat straks gaat controleren is me trouwens een raadsel. Want dan zouden ze de firmware van ieder apparaat moeten decompileren op zoek naar verborgen stukjes software/achterdeurtjes. Een zich verder normaal gedragende slimme lamp die zijn instructies van buiten ontvangt kan immers best een geheim stuurcommando hebben die extra functies activeert. Daar kom je bij het eerste gebruik niet achter.

Typisch doe je NMAP op zo'n ding om te zien welke poorten openstaan. Je controleert hoe het zit met credentials, bijvoorbeeld of ieder apparaat bij default een verschillend wachtwoord heeft in plaats van admin/admin.

Mocht het apparaat toegang hebben met verschillende privileges dan probeer je als gewone gebruiker een command uit te voeren wat alleen een beheerder mag (soms worden die commando's afgedekt in een web-pagina, maar werken ze wel!). Je controleert of een gebruiker zonder credentials de commando's niet uit kunt voeren.

En dat is het wel zo'n beetje. Lukt het om het ding te reverse-engineeren dan ga je verder. Dat heb ik wel gedaan, maar dat zal bij een test ten behoeve van certificering niet gebeuren.

Zaken als SSL-certificaten kun je vergeten. Wel eens Lets Encrypt geprobeerd te draaien op een lamp?

Zoals je ziet is 't niet spannend allemaal. Het griezelige is dat er heel veel spul is wat zelfs al niet aan deze banale eisen voldoet. Heel veel PLC-spul bijvoorbeeld werkt zonder authenticatie. Prima voor een industrieel project waar je drie kastjes met ethernet (binnen een schakelkast) koppelt. Koppel je dit naar buiten ("gemakkelijk") dan ben je de sjaak.

Achtergrond: https://owasp.org/www-project-top-ten/. Dit is meer bedoeld voor web-pagina's maar het geeft inzicht (en ook met web-apps is veel mis!)

Het griezelige van de vele aankondigingen is dat er allerlei high-profile aankondigingen zijn, lachende mensen op de foto maar bijvoorbeeld geen gepubliceerde lijst van eisen. Ik heb van het AT geen technische lijst van eisen gezien, en die hebben we wel voor RF ("xx V/m, yy dBm zendvermogen, zz dB harmonischenonderdrukking"). Voor "smart apps" nog niets kunnen vinden. Dat zegt me dat er vooral niet-techneuten zich hier druk om maken, want die snappen de techische eisen niet. Er is goed geld in te verdienen.

Ikzelf zat vele jaren geleden ook in deze business. Doe tegenwoordig andere dingen die ik veel leuker vind. En deze "smart appliances", tja. Je kunt besluiten om ze niet te gebruiken, maar dat lukt maar ten dele. Hoe lang denken mensen nog "vrijwillige smart meters" buiten de deur te kunnen houden met de huidige energieschaarste bijvoorbeeld?

Geert Jan

pe1hzg schreef: ↑26 jun 2022, 14:36 Hoe lang denken mensen nog "vrijwillige smart meters" buiten de deur te kunnen houden met de huidige energieschaarste bijvoorbeeld?

Geert Jan

Ik.
Er gaat en zit bij mij vrijwel niks aan internet.
Alleen de laptops. (en noodgedwongen de smartfones)
De TV ook niet, als ik TV wil kijken via uitzending gemist koppel ik het ding aan de laptop.

pe1hzg schreef: ↑26 jun 2022, 14:36Het griezelige is ... nog "vrijwillige smart meters" buiten de deur te kunnen houden met de huidige energieschaarste bijvoorbeeld?

Die dan op commando van de overheid de zaak dichtgooien als je teveel gebruikt? Volgens mij kunnen de huidige meters dat niet eens.
Ik denk eerder dat ze dan voor het betaalmodel kiezen: meer dan 2000 kWh is gewoon 4 x de prijs. Dan gaan mensen vanzelf zuinig doen.


Maar verder bedoel ik eigenlijk niet zozeer de hackmogelijkheid maar de ingebouwde spionagemogelijkheden. Dan kan een apparaat op het oog aan alle eisen voldoen, maar nog steeds onveilig zijn. Krijg een lamp normaal aan/uit commando's maar reageert ie ook op het commando 'jnvbetehfgmghf4634yr1254'.
Om dan via dezelfde verbinding gegevens te sturen over bv in het netwerk hangende spullen. Dan moet je wel heel lang monitoren om dat te onderscheppen.
Eigenlijk oeroude trucjes natuurlijk. Net als een specifieke volgorde van toetsjes indrukken op een controller die zogenaamd dicht zit voor de gebruiker. Maar ik verwacht niet dat het AT dat in kaart kan brengen.

Iedereen kan wel gelijk over elkaar heen vallen hoe het moet en wat je nooit doet. Toch wordt er vele miljoenen (miljarden) besteed aan dit soort veiligheidszaken, ondanks dat we precies weten hoe het wel moet en wat niet moet.

Als dat allemaal niet nodig is omdat we doen wat er hierboven staat, scheelt dat erg veel geld.

Cyberveiligheid bestaat niet, je kan het hooguit vertragen of beperken.

Welterusten....