RT2600ac als slechtste getest op gebied van veiligheid

[bartmans99]

https://www.nu.nl/tech/6171332/veel-bekende-routers-bevatten-beveiligingslekken.html

Onverwacht, ik dacht met de Synology een veilig(er), uptodate router in huis te halen. Wat zijn jullie gedachten?

[stapper]

Het is jammer dat ze niet een modem/router van een provider erbij namen in de test.
Durf te wedden dat dit dan helemaal gatenkazen zijn 

[Briolet]

Alleen jammer dat ze steeds doorverwijzen voor de resultaten. En die verwijzen ook door. Uiteindelijk kom je bij het tijdschrift "CHIP Magazin 12/21" uit, waar de resultaten gepubliceerd zijn.

Eerder deze week publiceerde security.nl al uit dit onderzoek. Maar ook daar vind je niet om welke lekken het gaat, maar zij linken wel naar een site waar de hele test als pdf staat. (Hier)

[Briolet]

Maar ook in dat artikel staat niet welke problemen gevonden zijn. Het enige wat ze over de Synology zeggen is:

Synology: Synology geht die von uns genannten Probleme mit einem großen Up- date für den Linux-Kernel an. BusyBox und PHP erhalten ein Update auf neue Versionen und bei den Zertifikaten will Synology demnächst aufräumen. Davon profitieren übrigens nicht nur die Router, sondern auch andere Synology-Geräte.

Blijkbaar een verouderde versie van BusyBox en PHP. Alleen vraag ik me af waarom dat zo gevaarlijk is, want daar kom je alleen bij als je de inlogpagina of SSH vanaf het internet toegankelijk maakt. En dan ben te toch al fout bezig.

[Babylonia]

Inderdaad de voorwaarden waaronder is beoordeeld staan er niet bij.
Men noemt o.a. het niet automatisch omzetten van een "admin" gebruiksnaam naar een andere naam als een "fout".
Bij Synology wordt dat wel bij de NAS gevraagd, maar dacht niet bij de router?
(Net weer even te lang geleden dat ik een volledig systeem herstel heb gedaan en dan vul ik al direct een andere naam in).

Maar is inmiddels een publiek geheim om NIET de admin account naam te gebruiken voor inlog op admin niveau.

Verder kun je ook bedenken dat hoe je het draait of keert er altijd een "eerste, tweede..... en laatste" zal zijn.
Het is interessanter om te zien dat 6 van de 9 routers met 25 punten of meer scoren op het aantal kwetsbaarheden.
En 8 van 9 routers met 20 punten of meer.  (Het maximum was 32 gevonden kwetsbaarheden).

"Het grootste gevaar, naast kwetsbaarheden die de fabrikant introduceert,
is het gebruik van een IoT-apparaat onder het motto 'plug, play and forget'  "

Daarvoor komt er nu net een update naar SRM 1.3   waarbij je al je IoT apparaatjes in een apart gescheiden netwerk kunt zetten.   

En is die stelling ook in tegenspraak, met een andere voorwaarde om automatische updates standaard ingeschakeld te hebben.
Want dan introduceer je juist de gedachte / methode 'plug, play and forget'.
(Verder is een update nog geen garantie dat alles erna wel goed functioneert, vaak genoeg gezien).

Verder zag ik laatst "heel kort" een bericht op het KPN forum van iemand die ook schreef over een behoorlijk veiligheidslek van de door KPN geleverde Experia Box modem/routers.   Dat bericht is "weg gecensureerd".
Ik was namelijk met een reactie bezig, en kon het niet meer versturen. De link naar het originele bericht was in "quarantaine" gezet.

[Babylonia]

Inmiddels heeft Synology een < officieel statement uitgegeven > over de vermeende veiligheidsproblemen.

Een meer < uitgebreid PDF-bestand > met per punt de zaken opgehelderd.

De meeste van de eerder gevonden problemen, zijn dus helemaal geen veiligheidsproblemen.

Blijkbaar een verouderde versie van BusyBox en PHP. Alleen vraag ik me af waarom dat zo gevaarlijk is, want daar kom je alleen bij als je de inlogpagina of SSH vanaf het internet toegankelijk maakt. En dan ben te toch al fout bezig.

Dat is een vergelijkbare visie met wat ze bij Synology er ook van vinden.