Foscam IP-Kameras sollen Sicherheitslücken haben

[justasimpleguy]

Hier ein aktueller Artikel in dem (mal wieder) über Sicherheitslücken von Foscam-Kameras berichtet wird. Nur als Hinweis für Besitzer der Kameras oder Leute, die kurz vor einer Kaufentscheidung stehen.

http://stadt-bremerhaven.de/foscam-ip-ka...ken-haben/

[smith007]

Hier gibt es noch einen detaillierteren Bericht von Heise mit Bezug auf eine älteren Ausgabe aus 4/2016.
https://www.heise.de/ct/ausgabe/2016-4-P...88868.html

Ursprung:
https://www.heise.de/newsticker/meldung/...39735.html

Schon erschreckend zu lesen, was da im Hintergrund abgeht.
Das Verhalten ist auch teilweise bei anderen Herstellern aus Fernost zu beobachten,
wie ich mal lesen durfte. Ich habe auch 2 von den Dingern im Einsatz aber nur rein LAN gebunden
und komplett vom Internet abgekoppelt. WLAN ist da nicht aktiv.
Man echt nix und niemanden mehr trauen.


Gruß Christian

[funkistnichtalles]

Der primäre Zustand des "nachhause" pingens ist doch die Maßgabe, das jeder Nichttechniker das Zeug in Betrieb nehmen können soll, um es in Massen auf den Markt schmeißen zu können.
Wer hatte den vor 5 Jahren Videokameras am Haus hängen. Fast keiner.
An Gewerbebetrieben schon eher, aber die hatten ihr Fachpersonal, ob es die ITler oder Facherrichter waren, ist erstmal egal.
Diese Leute wussten aber, wie man die Sache Händeln muss.
Da war nix mit offenen Ports, Standartpasswörtern, UDP und automatischen Routinen, dass jeder mit m Smartphone da drauf können muss.

Somit ist dieser Zustand hausgemacht und selbst verschuldet.
Gerade die Billigheimer und die Elektroschrottheimer profitieren massiv davon.
Natürlich haben sie kein INteresse, ihre Firmware anzupassen und weiterzuentwickeln. Warum auch? Es war doch billig. Mehr ist da nicht zu erwarten.
Da gebe ich denen vollkommen recht.

Nimm mal einen professionellen Hersteller, da sieht die Sache schon vollkommen anders aus. Allein die Einstellmöglichkeiten geben die entsprechende Antwort.
Man muss halt wissen, wie und wo man hinfasst.

Jeder ist der Meister seines Fachs.
Unbenommen ist der Anspruch des Menschen, vieles selbst machen zu wollen.
In Bayern sagen wir: wer ko, der ko.

Ich habe eine Foscam bei mir im Showroom an einem IPVG und auch am zweiten Gateway, da fummelt sich nichts nach Hause.

Das heißt eben auch eine Firewall, die ihren Namen verdient.

[smith007]

Du hast schon Recht.
Nun, wenn das Teil nur pingen würde aber das macht ja noch etliches mehr ;-)

Das was der Markt aktuell fordert, ist das alles per App von überall her zu steuern ist und das geht leider
zwangsläufig nur über das Internet. Wenn du das mit hausgemacht meinst, hast du vollkommen recht.
Du kennst ja die Fragen wenn es um Emas geht "kann man das auch über deine App steuern?".

Um es auch DIY fähig zu machen ohne den DIYler mit der Firewall zu überfordern kommen dann
halt solche Techniken zum Einsatz wie UPNP, die dann selber die Ports aufmachen oder halt wie im Beitrag beschrieben
UDP Tunneltechniken von innen heraus.
Und der deutliche Drang in richtig Cloud verschärft das Ganze noch.

Das dann nur um des funktionierens willens die Sache meist "schlampig " umgesetzt wird, bleibt die Sicherheit auf der Strecke.
Warum auch ändern, wenn es funktioniert und der Absatz da ist.
Man muss mal bedenken das der ursprüngliche Bericht von April 2016 ist.

Und wie du schon richtig sagst, bei den professionellen muss man halt tiefer in die Tasche greifen.
Aber der Mehrpreis hat auch seinen Sinn. Technik, Qualität und Sicherheit.

Aber halt jeder wie er mag. Das Prekäre daran ist, es weiß nicht jeder,
was er sich sicherheitstechnisch bei den Chinachrachern für Löcher aufreißen kann.
Da macht sich ja ein unbedarfter so keine Gedanken,
weil er sich dessen ja auch u.U. gar nicht bewusst ist was da machbar sein kann.

Ja wer weis mit einer Firewall umzugehen kann dem zum Glück einen Riegel vorschieben.
Aber wie ich schon sagte, wenn man UPnP aktiv hat was einige bekannte Router ja unterstützen,
hebelt das natürlich das Konzept u.U wieder aus.

Sowas hat meine zum Glück nicht.
Wäre bei Fortigate auch ein Unding. ;-)

Jeder ist halt seines Glückes Schmied.
Hier im Ruhrpott würde man sagen: Wat nich passt wird passend gemacht. ;-)

In diesem Sinne allen noch einen angenehmen Sonntag.

Gruß Christian

[mcm23]

(11-06-2017 11:40)smith007 schrieb:  ...Jeder ist halt seines Glückes Schmied...

... aber nicht jeder Schmied hat Glück!

Ich glaube es wird nicht mehr lange dauern und dann wird man seitens der Judikative auch mal die Frage der „Zustandshaftung“ im Rahmen des „IoT“ aufwerfen...
Dann wird die Frage gestellt „Was haben Sie getan, um das zu verhindern?“

[smith007]

Du meinst die Mitstörerhaftung.
Ja nu, man sieht ja die Diskussionen bei Freifunk / offenes WLAN.
Da ist noch eine Menge Rechtsunsicherheit drin.

Aber im Falle IoT und wenn die Dinger durch Virenbefall ein Eigenleben führen
was willst du einem "unwissenden " da abverlangen?
Mit unwissend meine ich hier übrigens einen normalen Anwender keinen Itler.
Da ist dann schon der Hersteller gefragt aber dann drehen wir uns nur wieder im Kreis.
Frag mal Alexa oder Siri ;-)

Was helfen wird ist Aufklärung. Damit meine ich, das man hier über Risiken aufklären muss.
Das fängt schon bei den hiesigen Cloud-Applikationen an und geht weiter zu den Dingen die man unbedingt über das Internet steuern muss.
Das löst zwar nicht das eigentliche Problem aber es sensibilisiert schon, wenn man im Hinterkopf hat was passieren könnte.

Da sollte man sich schon dreimal überlegen, ob man sich mal eben einen Chinakracher WLAN-CAM für ein paar Euro kauft.
Das kann natürlich auch mit anderen Marken passieren aber das Risiko ist bei den Fernostprodukten halt wesentlich höher.
Tatsache ist, dass leider die Risikobereitschaft mit sinkendem Preis des Objektes steigt.

Aber mal abgesehen davon steckt ja überall schon IoT drin sei es der Smart-TV das Smartphone, Alexa, FireTV, SmartHome etc..
Das wird noch echt lustig werden. Ransomware hat ja schon so einige SmartTV von LG lahmgelegt.

Prinzipiell ist das ja auch eine gute Sache das Problem dabei ist die Anbindung nach draußen.
Wenn das ganze autark in einem separaten Netz laufen würde hätte man erheblich weniger Probleme
aber das geht ja nicht überall und würde auch einigen Geräten die Basisfunktionen entziehen.

Schauen wir mal wie sich das ganze so weiterentwickeln wird.

Gruß Christian

[Hanswurst]

Gibt es denn eine Möglichkeit dies zu verhindern ? (Das Abfragen des Passwortes von ihren Servern etc.)

Ich habe eine Fi9900p in Betrieb , letzte Woche habe ich nun diesen Artikel gelesen und war schockiert .

Nun bin ich auf der Suche nach einer Möglichkeit diese Kamera noch sicher betreiben zu können .

Ich habe Foscam auch schon angeschrieben , das dies ja nicht in ihrem Sinne sein kann , sicherheitstechnick zu produzieren die dann das genaue Gegenteil bewirkt . (Datenklau und Ausspionieren ) Mir wurde nur angeraten das neue Firmwarepaket aufzuspielen . Mehr kam von ihrer Seite nicht .

Kann ich noch etwas anderes tun ? (zb. wenn ich in dem Kameramenü , keine Wireless einstellung eingebe , heisst SSID und Passwort hilft mir das auch nicht viel weiter oder ? , da die cam via Kabel und router mit ihren servern kommuniziert oder ? )


MFG

[evertech]

Die ET-Trojaner werden mit Sicherheit immer aggressiver. Bei IP Cams kenne ich nur zwei Möglichkeiten um das wirklich zu unterbinden.

1. Du baust ein separates Kabelnetz für die Kameraüberwachung auf und lässt die Auswertung und den Zugriff nur über einen internen Server laufen. Der muss aber mindestens zwei Lanbuchsen haben. Eine für das Kameranetzwerk und die Andere für den Lanzugang. Synology DS716+2 zum Beispiel. VLan wäre auch noch ein Kompromiss bei nur einer Lanbuchse hier, nur brauchst für Cams sowiso einen Leistungsfähigeren Server und die haben dann mindestens zwei Buchsen von Haus aus. Dann können die Kameras dann hinpingen wo sie wollen. Es geht halt nix weil kein Entkommen aus dem Netzwerk-Käfig.

2. Wenn separates Netzwerk nicht möglich dann wenigstens über eine Hardware Firewall explizit die ET Nachhausetelefonnumer-IP inkl. Port unterbinden und auch gleich noch mit einem managed Switch per VLans den Zugang, Port - oder besser per Macadresse kontrolliert, einschränken. Hat aber wie überall wenn es um Sicherheit geht auch seinen Preis.
...
Nur bei den Herstellern brauchst nicht betteln. Wenn keine Open Source Firmware angeboten wird dann musst immer selbst handeln. Wer weis was da noch für Masterlocks und Backdoors vorhanden sind und da sind andere Geräte im Heim nicht ausgenommen.

...
Wie läuft es bei mir?
Separates Camnetzwerk mit Synology Server. IP Cop als Hardware Firewall und hier dem Server eine extra Schnittstelle gegeben. Von aussen her alle Ports geschlossen und Zugang nur per VPN möglich. Von innen nach aussen ebenfalls alles zu und nur die Geräte zugelassen die dafür gelistet sind und hier wiederum auch nur die erlaubten Ports inkl. wenn nötig auch Ziel IPs. Apple kann dich da mit seinen Updateservern echt nerven. Also selbstständig macht sich da jetzt gar nix mehr aber angeklopft wird pro Tag ca. 2500 mal an meine Firewall. Und was da alles an Ports probiert wird, echt sagenhaft.

[Hanswurst]

klingt irgendwie recht kompliziert .
was ich erstmal verstanden habe ist ein Nas kaufen mit 2 lanbuchsen

[smith007]

Nun es in der Tat nicht einfach und gewissen Kenntnisse sind da schon vorausgesetzt.

Wie evtertech schon schrieb, gibt da mehrere Möglichkeiten.
Einmal das komplette Kamera-Netz abschotten entweder über ein eigenes Subnetz oder VLAN
oder man hat eine Firewall bei der man den ausgehenden Netzwerkverkehr für die Cams komplett sperrt.

Ich habe bei mir letzteres weil das einfacher zu realisieren war.
Die Firewall ist auch gleichzeitig der Zeitserver so das die Cams sich von da ihr Zeitnormal holen.

Das Feature WLAN bei den Cams ist dann aber Tabu, weil das wieder ein Sicherheitsloch aufreißt,
welches man mit den o.g. Mitteln nicht mehr absichern kann.

Aber mal abgesehen davon sind es ja nicht nur die Cams alleine.
Denk mal an die Smart-TV, Alexa etc... die Internet wollen und andere lustige kleine Spielereien die
so langsam Einzug in die Haushalte erlangen. Glaube nicht nur weil du jetzt die Cams abschottest, das du
generell auf der sicheren Seite bist. Das mit den Cams ist ja auch nur aufgeflogen weil es so offensichtlich war.
Bei den anderen Sachen wissen wir es nicht und können nur hoffen das die Entwickler da ihre Sache auch richtig machen.

Nuja gibt so viele Dinge wo es noch arg klemmt da rennt man nur noch hinterher und dichtet ab wo es reinregnet. ;-)

Gruß Christian

[Hanswurst]

Ja natürlich da geb ich dir recht , das zuviel internetfähige geräte im Haushalt sind , ich habe kein Alexa , genau aus dem grund unter anderen , da Ich denke das man auf jedenfall damit Überwacht wird .

Ich bin ehrlich , ich bin da leihe dafür .
Wie ich das jetzt verstehe :

Nas System kaufen --> dort via firewall die ports für die kamera sperren . (wie bekomme ich raus welche ports benutzt werden ? )

Sodass dann nur über Kabel Kommuniziert wird .

Via FTP bekomme ich ja noch ein Fernzugriff darauf oder ?

MFG

[mcm23]

(08-07-2017 23:05)smith007 schrieb:  Du meinst die Mitstörerhaftung.

Nein, ich meine die Zustandshaftung...
In diesem Sinne haftet jeder „Besitzer“ für den „Zustand“ seines Eigentums und ist verpflichtet „Einrichtungen“ sicher zu betreiben...

(08-07-2017 23:05)smith007 schrieb:  ...Aber im Falle IoT und wenn die Dinger durch Virenbefall ein Eigenleben führen
was willst du einem "unwissenden " da abverlangen?...

Wenn Dein Auto aufgrund eines durch mangelnde technische Wartung entstandenen Mangels einen Unfall verursacht interessiert sich auch niemand dafür, ob Du selbst Kfz-Mechaniker bist (nicht einmal ob Du letzte Woche erst erfolgreich bei der HU warst)...
Du bist eben für den Zustand von von Dir betriebenen technischen Einrichtungen verantwortlich >>> haftbar...

(08-07-2017 23:05)smith007 schrieb:  Was helfen wird ist Aufklärung. Damit meine ich, das man hier über Risiken aufklären muss....

Hier stimme ich vorbehaltlos zu, deshalb mein Beitrag...

(08-07-2017 23:05)smith007 schrieb:  ...Da sollte man sich schon dreimal überlegen, ob man sich mal eben einen Chinakracher WLAN-CAM für ein paar Euro kauft.
Das kann natürlich auch mit anderen Marken passieren aber das Risiko ist bei den Fernostprodukten halt wesentlich höher.
Tatsache ist, dass leider die Risikobereitschaft mit sinkendem Preis des Objektes steigt...

Leider zutreffend...

[smith007]

(16-07-2017 13:32)Hanswurst schrieb:  Ja natürlich da geb ich dir recht , das zuviel internetfähige geräte im Haushalt sind , ich habe kein Alexa , genau aus dem grund unter anderen , da Ich denke das man auf jedenfall damit Überwacht wird .

Ich bin ehrlich , ich bin da leihe dafür .
Wie ich das jetzt verstehe :

Nas System kaufen --> dort via firewall die ports für die kamera sperren . (wie bekomme ich raus welche ports benutzt werden ? )

Sodass dann nur über Kabel Kommuniziert wird .

Via FTP bekomme ich ja noch ein Fernzugriff darauf oder ?

MFG

Nun man kann auch nicht alles wissen.
Man kann halt nur nach bestem Wissen und Gewissen handeln.

Das mit der Firewall macht nicht die NAS sondern dein Router der dich ins Internet bringt.
Hier sperrt man auch nicht die Ports sondern die komplette IP für den Netzverkehr nach draußen.
Da geht dann für die Cam garnix raus auch nicht über irgendwelche Ports.
Wie man das macht ist/sollte in der Dokumentation des verwendetem Routers stehen.
Notfalls kannst du auch gerne hier mal nachfragen.

Die Sperre betrifft auch wie oben schon genannt nur den Netzverkehr ins Internet (von innen nach außen) bezogen auf die Cam selber.
Den Zugriff auf die NAS per Fernzugriff solltest du dir besser überlegen.
Wenn du da was falsch einstellst, bist du nicht der einzige der dann da FTP auf deiner NAS macht.

Am besten macht man sowas via VPN-Tunnel. Das ist bisher die einzig sicherste Verbindung um
Zugriff auf dein internes Netz von außen herzustellen. Ports für den Zugriff von außen für Dienste wie FTP etc...
zu öffnen ist tunlichst zu vermeiden.
Ich will jetzt nicht sagen verboten aber geht in die Richtung. ;-)
Ist nur meine Empfehlung.

Gruß Christian

[dane2909]

Guten Morgen,

möchte mich dieser Diskussion gerne noch anschließen, da ich von den selben Problemen betroffen bin.
Was haltet ihr denn jetzt als Fazit von der „Lösung“ wie bei Heise beschrieben?
Sollte das wirklich die Probleme der Foscam aufheben?
Benutzer und Passwörter sollten dann doch wohl auch geändert werden, oder?

Eine weitere Überlegung die mir im Kopf umher schwirrt, wäre ein zweiter Router mit anderer IP.
Ähnlich wie bei der Diskstation, einfach einen zweiten Router vor die Kameras.
Und angenommen ich ändere diesmal aber nichts, sondern lasse die Kameras Funken wie sie wollen, dann sollte doch mein Heimnetzwerk trotzdem sicher sein, oder?
Funkt die Kamera weiter wild nach China, so könnten Sie z.B. „nur“ sehen, was meine Kamera sieht?!?

Viele Grüße!
Dane