Oh, dát was mijn password dus… (DCS-930L)

IP cameraIk was het admin-wachtwoord van mijn IP-camera vergeten, ik had het ook niet opgeschreven, dus een firmware upgrade was even niet mogelijk.
Maar zo lang het blijft werken, werkt het, toch?

In een vorige blog schreef ik: „Tijdens de setup moet je een wachtwoord instellen. Tip: noteer dit wachtwoord, want je moet alles opnieuw configureren als je dit ooit later niet meer weet”. Inderdaad: dat advies was gebaseerd op eigen ervaring.

Omdat ik mijn wachtwoord vergeten was, kon ik de firmware van de camera niet upgraden. Maar is het wel nodig, zo’n softwareupgrade? Als software veilig is, dan wordt die toch niet ineens onveilig door slijtage? Bovendien had ik van de camera alleen poort 80 opengezet naar internet, want meer is niet nodig om plaatjes te bekijken. Wat kan er nou mis gaan?

Vulnerability

Als je mijn blog volgt, dan weet je dat ik sinds een paar maanden een nieuwe IP camera aan het onderzoeken ben. Vandaag dacht ik: laat ik eens op internet zoeken naar een „vulnerability” van mijn oude camera.

Vrij snel vond ik, dat er al medio 2012 een kwetsbaarheid ontdekt was in D-Link camera’s…

Het blijkt dat je bij firmware versie 1.04 en ouder –en ik gebruikte zo’n oude versie– het complete configuratiebestand kunt opvragen. Gewoon via http (poort 80) en zonder dat je daarvoor een wachtwoord van de camera hoeft te weten! Dit was wel heel erg gemakkelijk hacken, dus ik heb het meteen uitgeprobeerd. De camera gaf me een bestand met de naam Config.CFG, dat ik kon ontsleutelen met een simpel scriptje dat op internet te vinden is. Even later stond ik weer oog in oog met mijn vergeten wachtwoord. En bijvoorbeeld ook het WiFi wachtwoord, dat ik in de IP-camera had ingevoerd, was gewoon leesbaar.

Tijdens mijn zoektocht ontdekte ik dat je met het admin-wachtwoord ook kunt inloggen op de camera en dat bleek ook echt te werken: via telnet krijg je root-toegang met dit wachtwoord. Als poort 23 open was geweest voor internet, dan had een hacker deze camera kunnen gebruiken om andere apparaten op mijn beveiligde netwerk te hacken, bijvoorbeeld de router.

Oplossing

nmap voor en na de upgrade
nmap voor en na de upgrade

Gelukkig heeft de fabrikant van deze camera, dat is D-Link, een oplossing geproduceerd. Op hun website zijn firmware upgrades beschikbaar en omdat ik nu mijn admin wachtwoord terug heb, kan ik die installeren.

De softwareversie van mijn camera ging daardoor omhoog van 1.04 naar 1.14. Niet alleen de nare kwetsbaarheid is verdwenen, maar ook de ingebouwde telnet en ftp servers zijn nu weg.

Voorkomen is beter dan genezen

Wat mij overkomen is, toont aan dat veiligheid niet iets is wat je eenmalig regelt en wat daarna vanzelf blijft bestaan. Hoe meer internet-apparaten je in huis hebt, hoe gevaarlijker het is om ze ook daadwerkelijk op het internet aan te sluiten. En IPv6, dat is natuurlijk al helemaal vragen om problemen.

Wil je je IP-camera wel zelf via internet kunnen benaderen, maar hem tegelijk beschermen tegen manipulatie door hackers, dan zijn er enkele technische oplossingen om uit te kiezen:

  • firewall
    Als je camera op internet aangesloten moet blijven dan kan je een firewall gaan gebruiken, maar dit is alleen effectief alleen als je deze heel strict instelt: poort 80 is alleen veilig als je de letterlijke URLs vastlegt, die opgevraagd mogen worden, want anders zou een kwetsbaarheid zoals mijn camera had niet gestopt worden;
  • VPN of SSH
    Wil je de camera op je eigen thuisnetwerk houden, dan zou je hem zelf alsnog via VPN of SSH veilig over internet kunnen benaderen. In dit geval hoef je alleen de apparaten op je eigen netwerk te vertrouwen. Beveiliging via een VPN noemde ik een paar weken geleden al even kort in een van de video’s over de nieuwe mini IP-camera.
    Binnenkort maak ik een video waarin ik de SSH oplossing laat zien;
  • proxy script
    Alle communicatie tussen internet en de camera loopt via een goed beveiligde computer, die de communicatie beter controleert dan een firewall.
    Ook hierover later meer op mijn blog.
Advertenties

2 gedachtes over “Oh, dát was mijn password dus… (DCS-930L)

  1. D-link belooft deze maand een nieuwe firmwareupgrade voor de DCS-930L. Reden? Er is een nieuwe kwetsbaarheid ontdekt in meer dan 120 D-Link producten. Via poort 5978, die nodig is voor de „cloud service” van D-Link, kan een hacker het admin-wachtwoord van je camera veranderen.

    Op het plaatje hierboven zie je dat bij mijn camera deze poort niet open staat, maar dat hoeft ook niet want ik gebruik de cloud service niet.

    Zie: Code reuse exposes over 120 D-Link devices models to hacking

Vertel jouw mening

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s