Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Botnetworm infecteert modems en routers

Botnetworm infecteert modems en routers

Door Arie Jan Stapel, dinsdag 24 maart 2009 10:46, views: 30.416

Beveiligingsonderzoekers hebben een wormprogramma ontdekt dat zich niet richt op pc's, maar op modems en routers. Volgens de onderzoekers is het de eerste keer dat er malware is aangetroffen die zich op deze apparaten richt.

Onderzoekers van DroneBL, dat zich bezighoudt met het opsporen van geïnfecteerde computers, kwamen het programma op het spoor toen ze zelf werden getroffen door een ddos-aanval. 'Psyb0t', zoals de worm is genoemd, richt zich op routers en modems die mipsel-Linux gebruiken en via telnet, ssh of http geconfigureerd kunnen worden. De worm probeert een lijst met veelgebruikte wachtwoorden uit om shell-toegang te krijgen. Is dit eenmaal gelukt, dan kopieert hij zichzelf naar het apparaat en sluit vervolgens de toegang tot de configuratie-interface af.

De worm kan ddos-aanvallen uitvoeren, zoeken naar kwetsbare phpMyAdmin-scripts en MySQL-databases en wachtwoorden achterhalen via deep packet inspection. Omdat de meeste gebruikers er niets van zullen merken dat hun router of modem besmet is geraakt, beschouwen de onderzoekers de worm als zeer gevaarlijk. Ze verwachten in de toekomst meer malware die zich op routers richt. Het verwijderen van de worm uit een geïnfecteerd apparaat is volgens DroneBL overigens eenvoudig: kortstondig de stroom afsluiten moet volstaan. Om nieuwe besmettingen te voorkomen, wordt aanbevolen om de laatste firmware-updates van de fabrikant te installeren en veilige wachtwoorden te kiezen.

 

Hacker

 

Volgende 11:15 TomTom wordt lid van Linux-patentgroep
Vorige 10:24 Nieuwe iPhone krijgt mogelijk videocamera en 1,2GHz-processor
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 107 reacties zichtbaar1070 Off-topic / Irrelevant: 103 reacties zichtbaar103+1 On-topic: 29 reacties zichtbaar29+2 Informatief: 7 reacties zichtbaar7+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  »

Door poepkop, dinsdag 24 maart 2009 10:50

Score: 0
Ik zou het bijna een logische stap noemen, nu je toch merkt dat besturingssystemen veiliger zijn en mensen iets meer aware.

Door Exorcist, dinsdag 24 maart 2009 10:52

Score: 0
Als mensen meer "aware" zouden zijn, zou er ook een degelijk password op de desbetreffende modem/router staan. Scheelt al weer heel wat namelijk.

Door kmf, dinsdag 24 maart 2009 11:04

Score: 1
Bij elke (automatische) firmware upgrade van de Livebox van orange/wanadoo wordt de password weer gereset. Ik heb het na xx aantal keren opgegeven om een eigen password op te geven.

Door Exorcist, dinsdag 24 maart 2009 11:05

Score: 0
Dan noem je één provider/router, maar voor de meesten geldt dit niet.

Door Seth_Chaos, dinsdag 24 maart 2009 11:24

Score: 0
Tele2 anders ook. Ik moest iedere maand mijn wireless opnieuw configureren omdat die klojo's mijn modem flashen. Ik heb het ook opgegeven en er een router achter gehangen. (je mag je router niet vervangen door een andere ook weer zoiets belachelijks).

Door Mar2zz, dinsdag 24 maart 2009 11:57

Score: 2
Ik zit bij telfort, voorheen speedlinq. Ik ben zelf verantwoordelijk voor firmwareupgrades. Sterker nog, de aangeraden firmware is lager dan de huidige firmware beschikbaar voor mijn modem. (6.1.7.2 vs 6.2.2.x ofzo). Ik heb overijverig laatst de nieuwste firmware van de site van de fabrikant gepakt en geflashed, toen ik mijn wireless aan het tweaken was voor beter bereik.

Dan ben je ineens aan je lot overgeleverd. de abonnementconfiguratietools die telfort/speedlinq beschikbaar heeft zijn voor die oudere firmwareversie. Dus moet je een handmatige setup doen. En ik kon dat met wat speurwerk wel voor elkaar krijgen, maar het is verdomd lastig.

Het is dus zeker geen rare stap dat er zo een worm komt, er zullen genoeg verouderde modems aan het net hangen.

Door metroappelsap, dinsdag 24 maart 2009 12:07

Score: 0
Goed punt! Ik heb ook Telfort en die zeggen expliciet op hun site dat ze liever niet hebben dat je de firmware flasht met een nieuwe versie, omdat zij een aangepaste versie op hun modems zetten.

Dan zal er wel wat tijd overheen gaan, mocht er een bugfix moeten plaatsvinden...

Door Devrim, dinsdag 24 maart 2009 17:43

Score: 0
Ik heb ook een Tele2 router en ik heb echt nooi mijn wireless opnieuw hoeven te configureren en ik werk er al meer dan 2 jaar mee. (en alle Tele2 routers draaien dezelfde software)
Ik zou dus ff de helpdesk bellen als ik jou was ;)

Door styno, dinsdag 24 maart 2009 11:25

Score: 0
Maar die kun je standaard van buitenaf toch niet beheren hoop ik? Zolang er geen poorten als telnet, SSH en HTTP naar buiten toe openstaan kan zo'n worm niks uithalen...

Door elmuerte, dinsdag 24 maart 2009 11:29

Score: 0
De worm werkt vanaf een backend systeem, waar de telnet, SSH, etc porter wel open staan. Dus als jij je backend schoon houdt zou de worm niet je router kunnen infecteren.

Door Koopmans, dinsdag 24 maart 2009 12:57

Score: 0
Bij mij is dit de afgelopen 2 jaar niet 1 keer voorgekomen. Heb bij de installatie het password gewijzigd en verder was dit nooit meer nodig.
Kan ook zijn dat mijn livebox de afgelopen 2 jaar niet is geupdate natuurlijk. ;)

Door Filip Maurits, woensdag 25 maart 2009 18:43

Score: 0
Als je je configuratie opslaat (sommige modem/routers doen dat bij elke aanpassing, bij andere moet je het expliciet opslaan) zou dat op de "nvram" moeten staan, en die wordt over het algemeen niet overschreven bij een normale firmware upgrade.

Door Niemand_Anders, dinsdag 24 maart 2009 11:25

Score: 1
De router fabrikanten kunnen zelf ook voor meer veiligheid kunnen zorgen. Zet bijvoorbeeld (default settings) alles uit. En zolang het standaard wachtwoord niet is aangepast gewoon geen verbinding opbouwen.

Een aantal hele simpele oplossingen en die voorkomen zo ontzettend veel problemen zoals onbeveiligde WiFi verbindingen, gebruik van standaard wachtwoorden, admin remote bereikbaar, etc.

Daarnaast vind ik ook dat een gebruiker mag van zijn provider verwachten (misschien zelfs eisen) dat deze een modem/router krijgt welke correct is ingesteld en zonder verdere configuratie veilig is.

Door To_Tall, dinsdag 24 maart 2009 12:55

Score: 0
Probleem is dat de modems zo gebruiks vriendelijk moeten zijn. Als je standaard alles uit zet zoals UPnP kunen veel normale gebruikers niets meer doen dan alleen internetten.

Meest betrouwbare zal een hardwarematige beveiliging zijn. een schakelaar die bepaalde lijnen uitschakeld zodat alleen de rom gelezen kan worden maar niet beschreven.

het lijntje tussen gebruiks vriendelijk en niet is zo dun.

Door three2five, dinsdag 24 maart 2009 13:52

Score: 0
Het is zeer gebruiksvriendelijk om in ieder geval bij het aansluiten van een router alle verzoeken voor alle webpagina's te laten verwijzen naar de router met een 'Welkom en gefeliciteerd met uw aanschaf. Wilt u even uw wachtwoord instellen zodat u veilig kunt surfen?'-pagina. Dan is al een heel groot gedeelte van dit probleem geeliminieerd.

Door Dreamvoid, dinsdag 24 maart 2009 13:56

Score: 1
UPnP zou standaard juist aan moeten staan, als je dat uitzet krijg je gebruikers die hardcoded ports openzetten, en dat wil je echt niet. UPnP is een stuk veiliger (poorten alleen open als apps binnen het LAN dat willen)

Door nsa1984, dinsdag 24 maart 2009 14:50

Score: 1
Tjah in eerste instantie waar, maar wat nu met een stukje spyware annex andere rotzooi, wat zelf wel even via upnp een poortje opent? Het heeft daar immers de rechten toe, want het komt van lokaal.

upnp is dus een optie die hier altijd uit gaat. Poorten zet ik zelf wel open, en als ik de poort open heb staan maar er hangt geen applicatie achter dan krijg je vanzelf een time-out.

Door CAPSLOCK2000, dinsdag 24 maart 2009 20:22

Score: 1
Verklaar je nader, waarom is UPnP veiliger?
Zodra een applicatie dat wil gaat er een poort open, en ik heb geen enkele controle over welk programma dat aanvraagt. Een virus kan dat net zo goed doen als een normale applicatie.

De kans dat er toevallig een ander onveilig programma zit achter een poort die ik handmatig heb opengezet is echt minimaal.

Door LuCarD, dinsdag 24 maart 2009 10:50

Score: 1
De meeste gebruikers weten niet eens dat het mogelijk is om iets te installeren op een modem of router. En die zullen dan het gevaar ook niet zien. Verder weten de meeste mensen niet eens hoe ze een router moeten updaten.

Ik zou het zelf niet eens weten of er een update voor mijn standaard provider router bestaat.

Nu ik dit net gepost heb realiseer ik me dat, mijn router meerdere malen is geupdate door de provider. Inclusief 1 keer zonder dat ik er vanaf wist. Wie is er nu verantwoordelijk als mijn router word gehackt?

[Reactie gewijzigd door LuCarD op dinsdag 24 maart 2009 10:53]

Door Xenan, dinsdag 24 maart 2009 11:32

Score: 0
Dat modem van mijn huur ik van de KPN, en die update hem soms ook. Dus KPN is verantwoordelijk.

Door dgompie, dinsdag 24 maart 2009 15:29

Score: 0
Sterker nog, ik ben een redelijke expert, en ik wist het niet eens. Uiteraard, ik wist dat sommige op een Linux kernel draaien, dus het was te verwachten.

Door loetje6, woensdag 25 maart 2009 01:29

Score: 0
hoezo, was te verwachten? De linux kernel is een van de meest veilige stukjes software in dit uiversum...... of wou je soms dat al die routers op Billware gingen draaien. Dan hadden we nu geen internet meer gehad,

Door High-Voltage2, dinsdag 24 maart 2009 22:13

Score: 1
De meeste gebruikers weten niet eens dat het mogelijk is om iets te installeren op een modem of router.
Sterker nog: de meeste mensen weten niet eens *wat* een router of modem of switch of access point is... Als je hen zegt "trek de stekker van de router eens uit" dan moet je er 9/10 bijzeggen "dat kastje voor het internet".
De filosofie is: het maakt mij nie uit hoe het werkt of wat het is, zolang het maar werkt. En als je dan "kastjes" van je ISP krijgt die default werken, dan gaat men daar ook niets aan veranderen en dan blijft alles op default staan (dus geen pass, encryptie van WLAN etc).

Door Drexz, dinsdag 24 maart 2009 10:52

Score: 2
Is er al een lijst bekend van modems/routers die vatbaar zijn voor deze worm?

Volgens de bron:
Vulnerable devices

* any linux mipsel routing device that has the router administration interface or sshd or telnetd in a DMZ, which has weak username/passwords (including openwrt/dd-wrt devices).
* possibly other
en dit stond op wikipedia:
MIPS implementations are currently primarily used in many embedded systems such as the Series2 TiVo, Windows CE devices, Cisco routers, residential gateways, Foneras, Avaya, and video game consoles like the Nintendo 64 and Sony PlayStation, PlayStation 2, and PlayStation Portable handheld system. Until late 2006 they were also used in many of SGI's computer products. MIPS implementations were also used by Digital Equipment Corporation, NEC, Siemens Nixdorf, Tandem and others during the late 1980s and 1990s.
gelukkig genereer ik meestal een password voor mijn routers :)
http://www.google.nl/search?q=online+password+generator

[Reactie gewijzigd door Drexz op dinsdag 24 maart 2009 10:58]

Door Boeboe, dinsdag 24 maart 2009 10:54

Score: 0
Eender welke router met linuxgebaseerde firmware die een web-, telnet- of ssh daemon draait. Onder andere de populaire wrt54g routers vallen hieronder.

Door Woy, dinsdag 24 maart 2009 11:04

Score: 0
Ik dacht echter dat de wrt54g routers standaard niet via de internet kant te bereiken waren. Dus dan valt het gevaar voor de huis-tuin en keuken gebruiker die het standaard wachtwoord "admin" er nog op hebben staan wel mee.

Ik mag hopen dat de mensen die bewust de interface aan de internetkant aanzetten toch hun wachtwoord wel wijzigen.

Door mieJas, dinsdag 24 maart 2009 11:16

Score: 1
De aanval gebeurt ook niet aan de WAN-kant. Je surft als gebruiker naar een malafide site, waarna de worm op jouw PC draait. Deze installeert dan op je router en sluit netjes af, zodat je niets merkt.

Door Woy, dinsdag 24 maart 2009 11:58

Score: 0
Ok maar dan is het dus niet puur een worm op routers en modems. Er is dus altijd tussenkomst van een PC nodig om een router/modem te infecteren.

Dat maakt het gevaar IMHO toch wel wat kleiner. Een virus wat zich automatisch over internet zou verspreiden zelfs als geen pc's aan staan, zou toch wel erg bedreigend zijn.

Door miw, dinsdag 24 maart 2009 11:59

Score: 0
Het is niet duidelijk of de verspreiding gebruikt maakt van PC's. Daarmee komt de worm op de lijst van PC malware met alle publiciteit en tegenmaatregelen die daarvoor gelden. Het lijkt erop dat de worm juist geen PC platform gebruikt. Dan blijft dus alleen de WAN kant over om binnen te komen. Geen PC exploit nodig, dus relatief onzichtbaar. Niet alle modem/routers zullen remote toegang open hebben staan, maar toch genoeg om een groot botnet te maken.

Door metroappelsap, dinsdag 24 maart 2009 12:16

Score: 0
Hmm, ik had juist begrepen dat de aanval aan de WAN-kant gebeurt. DroneBL zegt ook specifiek dat de worm geen PC als target heeft.

Door MBV, dinsdag 24 maart 2009 15:03

Score: 1
Eigenlijk is dat kinderlijk simpel: gewoon met javascript 2 onzichtbare iframes o.i.d. neerzetten:
http://192.168.1.1
http://192.168.1.254
response analyseren, naar Ajax opsturen, default wachtwoord opzoeken, en je bent binnen. Zet de remote-port open (weer url via webservice ophalen), en je kan doen wat je wilt.

Door []InTeR[], woensdag 25 maart 2009 11:13

Score: 0
'Helaas' laten vele brouwsers dit niet meer toe om een iframe wat op een ander domein draait via javascript te benaderen en/of uit te lezen.

Door isama, dinsdag 24 maart 2009 13:32

Score: 0
ze hebben het over mips-linux in het artikel, en cisco routers draaien altijd nog IOS

Door Woy, dinsdag 24 maart 2009 14:03

Score: 0
Aangezien de Lynksys routers tegenwoordig ook als Cisco gebrand worden, zijn er dus ook "Cisco" routers die vulnerable zijn.

Door merethan, dinsdag 24 maart 2009 14:15

Score: 0
Die Linksys dingetjes niet. Die hebben uClinux aan boord.

Door devil-strike, dinsdag 24 maart 2009 14:35

Score: 2
Dat zie je verkeerd d linksys, belkin, netgear, asus routers heeft gewoon een normale 2.4 kernel(standaard fabrieks firmware) bij openwrt/dd-wrt kan je nog eens kiezen voor 2.4 of 2.6 kernels. Dus totaal geen uclinux.

Door Dutch2007, dinsdag 24 maart 2009 14:37

Score: 0
niet als je er iets als dd-wrt ofzo opzet :P

Door devil-strike, dinsdag 24 maart 2009 14:40

Score: 0
Dan nog word het geen uclinux het blijft gewoon de "normale" kernel.

Door steven.leeman, woensdag 25 maart 2009 18:03

Score: 0
alleen MIPSEL zijn vulnerable...

Foneras gebruiken MIPS en geen MIPSEL.... groot verschil!
Foneras konden dus niet besmet worden met dit virus

Door pinockio, dinsdag 24 maart 2009 10:52

Score: 0
Standaard staat die interface toch uit naar internet toe?
Of komt de inititële besmetting vanuit malware die op PC's wordt geïnstalleerd?

Door i-chat, dinsdag 24 maart 2009 11:37

Score: 0
het kan natuurlijk beiden - maar vanaf de wan kant is het in eerste instantie makkelijker, - maar vanaf de lan kant zeker niet onmogelijk...

Door Mike Post, dinsdag 24 maart 2009 13:42

Score: 0
Edit: My bad.

[Reactie gewijzigd door Mike Post op dinsdag 24 maart 2009 16:46]

Door Countess, dinsdag 24 maart 2009 14:58

Score: 0
dan moet je eerst de client infecteren.... en dat als worm erg lastig als die cliënt achter een router met firewall zit.
dat betekend dus dat er gebruiker iets moet doen (mail openen site bezoeken ect. en dan is het gelijk geen echte worm meer maar een virus of trojan)

een worm moet zich zonder tussenkomst van gebruikers geheel automatische kunnen verspreiden.

[Reactie gewijzigd door Countess op dinsdag 24 maart 2009 14:58]

Door EvilWhiteDragon, dinsdag 24 maart 2009 10:52

Score: 0
Heeft iemand een lijst met die standaard wachtwoorden? Dit puur om zelf er achter te komen hoe kwetsbaar mijn router is. Ik weet dat ik namelijk niet het beste wachtwoord heb, maar het is tevens ook ZEKER niet een default wachtwoord.
Maar ook wel weer een die vast vaker gebruikt wordt :|

Door Smurf, dinsdag 24 maart 2009 10:55

Score: 0
Die lijstjes zijn er vast wel, maar om dat nu weer hier neer te gooien lijkt me ook niet echt slim.

Door The Zep Man, dinsdag 24 maart 2009 11:17

Score: 1
Die lijstjes zijn er vast wel, maar om dat nu weer hier neer te gooien lijkt me ook niet echt slim.
Security through obscurity wordt hier niet beloond.

Door mvdlee, dinsdag 24 maart 2009 10:57

Score: 0
Je begrijpt dat ik niet zo'n lijst met standaard wachtwoorden naar je door kan sturen vanwege potentieel misbruik, maar als je me je wachtwoord geeft controleer ik wel of ie op de lijst staat.

Door Mattiwatti, dinsdag 24 maart 2009 10:58

Score: 2
De Default Password List is voor mij al jaren onmisbaar bij het fixen van netwerken van familieleden :)
Dikke kans dat deze worm gebruik maakt van onder andere deze lijst.

Edit: Deze lijst is gewoon de eerste hit op Google als je zoekt naar 'default password'. Lijkt me reden genoeg om je router wachtwoord nooit op default te laten staan.

[Reactie gewijzigd door Mattiwatti op dinsdag 24 maart 2009 11:02]

Door T-8one, dinsdag 24 maart 2009 11:02

Score: 0
Pak de handleiding van je router er maar bij ;)
Maar dingen als admin, system, user etc. etc. zijn heel standaard. Je achternaam met je huisnummer ook, maar voor een virus veel moelijker te raden.

Door Kevinp, dinsdag 24 maart 2009 11:48

Score: 1
Nou ja, hij zou naar je comp naam kunnen kijken en dan gewoon 1-100 kunnen invullen. Dus ook daar is wel iets voor te vinden ;)

Door Mike Post, dinsdag 24 maart 2009 13:49

Score: 0
@EvilWhiteDragon: De WRT54* serie van Linksys heeft negen van de tien de combinatie user (blank) en password admin. Enjoy. Over je wachtwoord, gebruik speciale tekens en cijfers. :)

Door Daco, dinsdag 24 maart 2009 10:54

Score: 0
wow, dat zag ik niet aankomen man O__O;

gelukkig kan je routers makkelijk resetten & hun geheugen wissen ... >_<

Door BGB4rn, dinsdag 24 maart 2009 10:57

Score: 0
het gaat hier denk ik alleen om de slimmere modems en routers, die op linux draaien
Wat ook genoemd wordt is een DMZ, dat hebben de meeste mensen niet thuis staan , das pro spul waar deze worm is op gerich als ik het zo bekijk :o

EDIT :

Het linux gebeuren komt vaker voor dan ik eerst dacht, zo heeft de wrt54g ook een linux mispel ding aan boord en is dus ook gevoelig voor dit soort wormen

[Reactie gewijzigd door BGB4rn op dinsdag 24 maart 2009 11:02]

Door Nightjar, dinsdag 24 maart 2009 11:23

Score: 1
Nou dat is niet helemaal waar.. De meest routers hebben bijv voor gaming een DMZ mode. Dit om problemen met een firewall te voorkomen. Deze DMZ mode wordt/werd vooral in het verleden geadviseerd bij problemen met online gaming enzo.
Mijn E-tech van bijna 8 jaar geleden had dat al...

Door Iva_Bigone, dinsdag 24 maart 2009 11:26

Score: 1
Wat ook genoemd wordt is een DMZ, dat hebben de meeste mensen niet thuis staan , das pro spul waar deze worm is op gerich als ik het zo bekijk
Met DMZ wordt geen merk bedoeld ;) , maar een DeMilitarized Zone, oftewel een "gebied" waarvoor de firewall uit is gezet. En dat hebben genoeg mensen thuis.

Voorbeeldje: voor een bepaalde game is het nodig dat tig poorten open staan als je online wilt spelen, dan kun je in de router aangeven dat die game-pc op IP-adres 192.68.1.2 in de DMZ zit (dan staat vervolgens de firewall van de router voor dat IP-adres uit).

[Reactie gewijzigd door Iva_Bigone op dinsdag 24 maart 2009 11:26]

Door Seth_Chaos, dinsdag 24 maart 2009 11:27

Score: 0
DMZ kan je gewoon in iedere router instellen. En veel providers adviseren dat aan ontwetende gebruikers, als ze niet uit een port forwarding komen.

Door Dreamvoid, dinsdag 24 maart 2009 13:59

Score: 1
DMZ is in die context een gotspe, hiervoor is UPnP uitgevonden! Providers die dat adviseren mogen wat mij betreft gaan tuinieren.

Door coretx, dinsdag 24 maart 2009 18:08

Score: 0
UPnP is ook niet veilig.

Door jvo, dinsdag 24 maart 2009 11:05

Score: 0
Ik eigenlijk wel. Ooit een keer gebrainstormed over het ultieme virus met een paar IT vrienden op een zaterdagavond. Dit was zeker een van de onderdelen. Het belangrijkste onderdeel was een genetisch algoritme waarbij het virus onderdelen of exploits kan verwijderen en kan paren met een andere infectie. Daarmee hou je vanzelf de succesvolle onderdelen over. Als deze onderdelen met succes worden tegengehouden door een virusscanner dan duiken vanzelf de meer exotische varianten op. Eigenlijk een beetje zoals een echt virus. De mogelijkheid over te stappen op andere hardware maakt het geheel erg lastig uit te roeien. Theoretisch kan het virus bijvoorbeeld vanuit het modem een nieuwe installatie van een nieuw OS infecteren met behulp van een nieuw exploit onderdeel wat toevallig langs het modem komt.

Door Mike Post, dinsdag 24 maart 2009 14:01

Score: 0
Goh, ik ben dus niet de enige die zo met zijn vrienden praat. :D Mooi concept overigens.

[Reactie gewijzigd door Mike Post op dinsdag 24 maart 2009 14:02]

Door dwilmer, dinsdag 24 maart 2009 14:17

Score: 0
Ik denk dat als je zoiets goed aanpakt, dat je dan de hele wereld kan besmetten. De vraag is alleen wat je ermee kunt. Als je het stukje code waar de functionaliteit in zit hetzelfde houdt, dan gaan de virusscanners daarop scannen en wordt je alsnog overal vanaf gegooid, als je dat stukje ook verandert dan heb je of een geniaal algoritme, of variabele functionaliteit. Het begint dan met een trojan, en je eindigt met de Word-paperclip o.i.d.

Wel geniaal trouwens, een digitale epidemie :+

Door SPee, dinsdag 24 maart 2009 14:35

Score: 0
Nee, het eindigt met een globale aanval van 'skynet' en dan een jarenlange oorlog ;)

Door kozue, dinsdag 24 maart 2009 15:23

Score: 0
De Word paperclip is toch sowieso al een virus? Het blijft maar opduiken, ook al klik je het weg :+

Maar zo'n virus moet wel erg groot en log worden om de werking van jvo te kunnen realiseren. Routers met een MIPS architectuur en linux OS zijn totaal anders dan standaard wintel bakken. Het moet dan niet alleen op verschillende architecturen en OS'en draaien, maar ook nog eens exploits en installatiemethodes weten voor al die verschillende combinaties. Als het dan een windows machine infecteert moet het ook MIPS code bij zich hebben (en code voor alle andere platformen waar het op moet, zoals PPC voor je gameconsole), en aangezien het dan zo groot en lomp wordt, maakt een beetje virus scanner er gehakt van.

Door will3m, dinsdag 24 maart 2009 10:58

Score: 0
En ik kan bevestigen dat die lijsten inderdaad bestaan ;) Zelfs van de meest onbekende routers staan er op.... Reken maar op ruim 500 standaard wachtwoorden ;)

Door appelsaus, dinsdag 24 maart 2009 10:59

Score: 0
Meh, erg veel valt er toch niet op te fucken in een router of wel? beetje toegang ontzeggen enzo? En dan knal je er gewoon even een resetje of stekker re-plugging tegenaan.. Zou ik doen tenminste..

Door LuCarD, dinsdag 24 maart 2009 11:04

Score: 0
Heb je het artikel gelezen? Of alleen de titel?

Door Dead Pixel, dinsdag 24 maart 2009 11:04

Score: 0
Weet je wel eens wat een botnet is? Maar ik laat het lot over aan jezelf.

Op zich is dit wel een interessante ontwikkeling, jammer dat het voor verkeerde doeleinden wordt gebruikt. Maar zulke toegangspoorten kun je niet eruit halen, dan zou de gebruiker zelf zijn/haar firmware moeten updaten, wat nu de ISP's doen.

Door Mike Post, dinsdag 24 maart 2009 14:00

Score: 1
Er zijn tal van mogelijkheden om dit soort gevallen te beperken of zelfs te voorkomen. Bijvoorbeeld: de gebruiker forceren om na elke firmware upgrade (+ de eerste keer dat de router aangezet wordt) custom user credentials in te voeren.

Ik kan het ook fout hebben hoor, maar dit lijkt me toch een hele redelijke optie.

Door rdoorn, dinsdag 24 maart 2009 11:11

Score: 1
Ach het valt wel mee hoor (NOT). Lees eens goed:
wachtwoorden achterhalen via deep packet inspection.
Dat betekend dat van ieder die achter deze router inlogt op een mailbox, website etc zijn wachtwoord wordt gecopieerd en doorgestuurd naar de eigenaar van het botnet.

Daarnaast wordt jou router misbruikt voor DDOS aanvallen. Dat is voor andere niet leuk, maar jij hebt ook grote kans dat je internet verbinding wordt afgesloten door de ISP wegens klachten.

De router zal ook nog wel gebruikt worden voor het versturen van SPAM dus jou IP nummer komt dan op de zwarte lijst, en je kunt dan zelf geen mail meer versturen.

Zolang ze nog niet weten hoe ze in het flash mem moeten schrijven valt het nog mee met de bestrijding. Maar als ze dat ook voor elkaar gaan krijgen... dan wordt het echt lastig.

Door Nightjar, dinsdag 24 maart 2009 11:27

Score: 0
Weet niet helemaal hoe DPI werkt, maar is je webmail via een secure verbinding checken (https dus) nou veilig of niet als je DPI bot actief is zeg maar?

Iemand een draadje?

Door RichardHoman87, dinsdag 24 maart 2009 11:49

Score: 0
Geen draadje, maar DPI kan geen https verbinding ontcijferen.. dat wordt van pc tot server gecodeerd..

Door Lennie, dinsdag 24 maart 2009 13:47

Score: 2
Ja, maar er is wel andere mooie software voor dat bij minder-technisch onderlegde gebruikers niet direct zal opvallen:

http://www.thoughtcrime.org/software/sslstrip/

Door Eriky, dinsdag 24 maart 2009 11:56

Score: 2
Een https of ssh verbinding kan niet gedecodeerd worden via DPI, maar dat hoeft ook niet omdat veel mensen gebruik maken van dezelfde wachtwoorden. Als je dit een week of 2 laat draaien op een router heb je een profiel van welke sites iemand bezoekt en met een beetje geluk een x aantal wachtwoorden en usernames.

Hier komt ook opeens het belang van user names naar boven. Een bedrijf als Paypal dat een emailadres als username gebruikt is hier zeer gevoelig voor! Voor hen is er nu alle reden voor blinde paniek. Als ik daar security officer of CTO was geweest had ik NU een plan opgesteld om dit aan te passen.

Door wizzkizz, dinsdag 24 maart 2009 11:11

Score: 0
toegang ontzeggen, maar dat is weer zo duidelijk merkbaar.
MitM aanval, DNS-spoofing etc. zijn veel gevaarlijkere aanvallen die dit worm kan uitvoeren.

edit:
en dit natuurlijk (quote artikel)
De worm kan ddos-aanvallen uitvoeren, zoeken naar kwetsbare phpMyAdmin-scripts en MySQL-databases en wachtwoorden achterhalen via deep packet inspection.
Via deep-packet inspection kan ie dus alle plain-text gegevens inzien, dus ook alle onversleutelde gebruikersnamen/wachtwoorden etc.

[Reactie gewijzigd door wizzkizz op dinsdag 24 maart 2009 11:13]

Door Lennie, dinsdag 24 maart 2009 13:48

Score: 0
Of je alleen vanaf de router en server encoderen:

http://www.thoughtcrime.org/software/sslstrip/

Door zanza006, dinsdag 24 maart 2009 11:06

Score: 0
"De worm probeert een lijst met veelgebruikte wachtwoorden uit om shell-toegang te krijgen"

Wat simpel om dat op te lossen ... 8)7

Door Eriky, dinsdag 24 maart 2009 11:59

Score: 1
Dat is meestal zo maar de mensen die een default password gebruiken zijn die mensen dit deze nieuwsberichten niet zullen lezen en ook niet eens de gevolgen zullen begrijpen. Hetgeen ze ook weer niet kwalijk genomen kan worden.

De hardware fabrikanten zitten hier fout. Bij het installeren van een router MOET er gewoon om een nieuw wachtwoord gevraagd worden. Desnoods printen mensen het maar uit als ze moeite hebben met onthouden, dat is altijd nog 100x veiliger dan het onveranderd laten.

[Reactie gewijzigd door Eriky op dinsdag 24 maart 2009 12:12]

Door arcadon, dinsdag 24 maart 2009 11:10

Score: 0
Zeker een Worm waar naar gekeken moet worden, ik hoop dat snel hier een bescherming voor komt niet alleen maar een sterk wachtwoord want een sterk wachtwoord kan ook gekraakt worden zonder probleem indien nodig.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 11:15 TomTom wordt lid van Linux-patentgroep
Vorige 10:24 Nieuwe iPhone krijgt mogelijk videocamera en 1,2GHz-processor
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011