Broncode van malware achter iot-botnet Mirai verschijnt online

Een persoon met de naam 'Anna-senpai' heeft de broncode voor de malware achter het internet-of-thingsbotnet 'Mirai' online gezet. Dit werd onlangs onder andere gebruikt om de site van journalist Brian Krebs plat te leggen.

De publicatie vond vrijdag plaats op de site Hack Forums, schrijft Krebs in een blogpost. De Mirai-malware die wordt gebruikt om een botnet te creëren, zoekt naar internet-of-thingsapparaten als ip-camera's en digitale videorecorders met standaardwachtwoorden. Op die manier is de malware in staat om veel van dit soort apparaten te infecteren en deze als bots in te zetten voor ddos-aanvallen. De persoon achter de publicatie claimt in een bericht dat hij met Mirai tot 380.000 bots via telnet kan aansturen. Na de grote ddos op de site van Krebs zou dit aantal gedaald zijn naar 300.000 door acties van isp's. De journalist heeft kunnen verifiëren dat de 600Gbit/s-ddos op zijn site door het Mirai-botnet werd uitgevoerd.

Krebs schrijft op basis van bronnen dat er naast Mirai ten minste een andere malwaresoort is die zich richt op iot-apparaten. Een van de bekende varianten is de zogenaamde Bashlight-malware, die op dezelfde manier als Mirai apparaten infecteert. Het beveiligingsbedrijf Level 3 claimt op basis van eigen onderzoek dat deze variant aanwezig is op bijna een miljoen systemen. Vaak richt Bashlight zich op dezelfde systemen als Mirai. De malware zou verwijderd kunnen worden door het apparaat te herstarten, maar doordat er constant scans naar kwetsbare systemen plaatsvinden, zijn deze binnen enkele minuten weer besmet.

Level 3-cso Dale Drew legt aan Ars Technica uit dat de nieuwste versie van de Mirai-malware in staat is om het verkeer tussen de bots en command and control-servers te versleutelen. Deze maatregel bemoeilijkt onderzoek naar de malware. Daarnaast is Mirai in staat om door Bashlight geïnfecteerde systemen over te nemen en te patchen, zodat deze niet meer kwetsbaar zijn voor deze variant. De malware zou voornamelijk aanwezig zijn op ip-camera's van Dahua. Deze zouden ook tijdens het uitvoeren van een ddos-aanval nog functioneren. Drew voegt daaraan toe dat de aanval van bijna 1Tbit/s op de hostingpartij OVH werd uitgevoerd door Bashlight.

De redenen voor de publicatie van de malware zijn nog onduidelijk, schrijft Krebs verder. Hij stelt dat criminelen vaak de broncode van hun tools online zetten als opsporingsdiensten en beveiligingsbedrijven iets te dicht in de buurt komen met hun onderzoek. Door publicatie zouden de oorspronkelijke eigenaren van de malware daardoor niet de enigen zijn die over deze software beschikken. Het is bovendien te verwachten dat er door de publicatie een groeiend aantal ddos-aanvallen uitgevoerd zal worden, aldus Krebs.

De post van 'Anna-senpai' op Hacker Forums

IT-banen

Reacties (57)

pauldaytona 3 oktober 2016 16:56

wat ik even niet snap, elke thuisgebruiker die zo'n camera aan z'n eigen netwerk hangt heeft daar een router tussen zitten. Dus het ding is niet van buiten bereikbaar. De gebruiker die vanuit de kroeg wil zien of de kinderen geen ruzie maken, zet dan een poortje open op z'n router als ie dat al snapt. Maar het zijn er dus zoveel die direct via internet bereikbaar zijn met default wachtwoord?

R4gnax @pauldaytona • 3 oktober 2016 20:48

wat ik even niet snap, elke thuisgebruiker die zo'n camera aan z'n eigen netwerk hangt heeft daar een router tussen zitten. Dus het ding is niet van buiten bereikbaar. De gebruiker die vanuit de kroeg wil zien of de kinderen geen ruzie maken, zet dan een poortje open op z'n router als ie dat al snapt. Maar het zijn er dus zoveel die direct via internet bereikbaar zijn met default wachtwoord?

Diezelfde simpele thuisgebruiker heeft UPnP op de router ook niet uitgezet. En dan kan zo'n IoT apparaat zelf een port mapping aanmaken en direct contact met het grote boze internet hebben.

laptopleon @R4gnax • 24 oktober 2016 23:33

Maar dat doen die IoT-apparaten toch niet fabriekswege al? Dus hoe raken ze dan in eerste instantie besmet? Camera's etc. zijn toch standaard geconfigureerd om alleen lokaal admin pagina's te tonen? Tenminste, alle routers en cams die ik heb kun je, met de fabrieksinstellingen niet eens via WiFi benaderen, laat staan via WAN.

R4gnax @laptopleon • 25 oktober 2016 00:06

Maar dat doen die IoT-apparaten toch niet fabriekswege al?

Jawel; dat doen een aantal dus wel.

Daarnaast; als je te maken hebt met een device waarvan de login niet gewijzigd is, dan is het al voldoende om een website te bezoeken die een paar operaties via XmlHttpRequests of iframe er doorheen drukt om UPnP aan te zetten en een cam het internet op te gooien, alvorens direct er op in te gaan breken via een system-level SSH of Telnet login.

Kun je nog proberen te combineren met port scans etc. via een Websocket ook, om op die manier eerst het lokale netwerk in kaart te brengen voordat je de lokale IP addressen af gaat om te kijken of er een webinterface voor een bekend vulnerable device achter zit.

Zou nog engerr worden als je een Websocket connectie ook zou kunnen gebruiken om direct een SSH of Telnet sessie op te zetten en het hele UPnP gebeuren over te slaan, maar bij mijn weten kan dat (gelukkig) niet.

[Reactie gewijzigd door R4gnax op 24 juli 2024 13:43]

copyer 3 oktober 2016 10:08

Is dit dan handig (het vrij geven van bron) om er er iets tegen te doen, of geef je juist kwaadwillende de tools om meer shit uit te kunnen voeren?

SunnieNL

@copyer • 3 oktober 2016 10:51

Iets er tegen doen is simpel. Stoppen met apparaten voorzien van default wachtwoorden.
Maakt niet uit welk apparaat, zo gauw het actief gemaakt wordt moet er gewoon een ander wachtwoord worden ingesteld voor toegang van buitenaf.

Deze hele malware werkt alleen bij standaard wachtwoorden.

Cowamundo @SunnieNL • 3 oktober 2016 11:25

Helaas is het aantal mensen dat password, wachtwoord, 1234567890 etc gebruikt nog steeds belachelijk groot!
Systeembeheerders kunnen hier nog wel wat tegen doen binnen een bedrijf maar ik denk niet dat alle bedrijven die routers en andere apparatuur maken de moeite gaan nemen om een wachtwoorden blacklist te gaan opstellen.

biglia @Cowamundo • 3 oktober 2016 12:44

Gewoon een uniek en complex paswoord als default instellen en het paswoord op een brief in de doos stoppen, is dan nog een betere oplossing. Maar dat zal ook meer kosten.

SilentLucidity @biglia • 3 oktober 2016 13:22

Het kost 3 regels code om een wachtwoord te laten generen, en nog eens 3 dit automatisch uit te laten printen. De enige extra kosten zouden dan dus een velletje papier en een medewerker die het uitgeprinte blaadje in de doos doet zijn (Hoewel dit ook wel automatisch kan). Kosten zou een heel slechte rede voor het gebruik van een standaard wachtwoorden.

increddibelly @SilentLucidity • 3 oktober 2016 16:23

en nu in het echt: je bedrijf maakt een miljoen ip camera's en moet een miljoen briefjes bij een miljoen camera's matchen. Dan is je bedrijfsproces opeens een heel stuk minder simpel, en duurder, en minder concurrerend => je snapt opeens waarom het nog niet gebeurt.

SilentLucidity @increddibelly • 3 oktober 2016 16:31

Dat betekend nogsteeds dat de stukprijs 5 cent meer is dan voorheen. Als ik als middelgroot bedrijf 5 camera's afneem maakt die 25 cent me niet zoveel uit. Denk je toch dat je klantenbestand drastisch afneemt door de verhoging van 5 cent per camera, vervang je bovenstaande 6 regels code voor 10 regels code die bij de installatie een nieuw wachtwoord eisen. Kan op standaardwachtwoorden nog steeds groter maar al veel kleiner dan 10 milloen dezelfde standaardwachtwoorden.

Edit:
Als je machine overigens een complexe ip camera kan maken kan hij ook wel automatisch een stickertje erop plakken met een willekeurig wachtwoord.

[Reactie gewijzigd door SilentLucidity op 24 juli 2024 13:43]

Nico Klus @increddibelly • 3 oktober 2016 16:38

Precies. 1% van de consumenten leest dit niet goed, snapt het niet of raakt het blaadje kwijt.
Dat is dan 10.000 calls die je af moet handelen.
Een sticker op het apparaat zou al beter zijn

laptopleon @Nico Klus • 24 oktober 2016 23:42

Diverse routers die ik meemaak hebben dit al (sticker op de achterkant met uniek password). Ideaal voor huisTuinEnKeuken-gebruik want je raakt het nooit kwijt en zo vaak hoeven Henk en Ingrid geen aanpassingen te doen aan hun routertje.

Overigens die 10.000 calls hoeven ze niet af te handelen want de meeste fabrikanten kun je natuurlijk helemaal niet bellen en de 'lokale' importeur geeft dat soort ondersteuning niet. Is ook niet erg want er is altijd wel een manier om te resetten en die staat altijd behalve in de handleiding ook wel ergens online.

sdk1985 @increddibelly • 4 oktober 2016 02:07

Bij mijn sony action cam zat een unieke Wifi code + qr code sticker. De QR code werkte niet, de wifi code gelukkig wel. Het kan dus inderdaad en het wordt ook gedaan.

Cowamundo @SilentLucidity • 3 oktober 2016 18:58

En dan nog zijn er genoeg mensen die dit complexe wachtwoord gaan veranderen naar 1234567890 omdat ze geen zin hebben er elke keer een blaadje bij te pakken als ze iets aan de router moeten aanpassen.

R4gnax @Cowamundo • 3 oktober 2016 20:43

En dan nog zijn er genoeg mensen die dit complexe wachtwoord gaan veranderen naar 1234567890 omdat ze geen zin hebben er elke keer een blaadje bij te pakken als ze iets aan de router moeten aanpassen.

Geen mogelijkheid bieden om met de hand het wachtwoord te wijzigen. Enkel de mogelijkheid bieden om een nieuw wachtwoord te genereren.

houtig @Cowamundo • 4 oktober 2016 14:29

KPN Glasvezel Modem (Experia Box V10) eist al een complex wachtwoord. 1234567890 wordt niet geaccepteerd. Daar kan menig fabrikant voorbeeld aan nemen.
Ik heb nu alleen een chagrijnige vriendin als ze moet inloggen op de modem. Het is namelijk een Keepass gegenereerd wachtwoord. Leuk om over te typen.

Cowamundo @houtig • 4 oktober 2016 17:47

Inderdaad netjes!

xChOasx @biglia • 3 oktober 2016 14:55

Laat gewoon initiele wachtwoord het MAC adres zijn.

Is bekend op het moment van verpakken (staat bijna altijd al op een sticker op de doos). Geen extra acties nodig.

[Reactie gewijzigd door xChOasx op 24 juli 2024 13:43]

jaapzb @xChOasx • 3 oktober 2016 15:32

Kan je met een simpele nmap scan niet achter het MAC adres komen?

_root @jaapzb • 3 oktober 2016 22:35

Nee, MAC adresen kan je alleen zien op het moment dat in hetzelfde netwerk zit.
Als er een routertje tussenzit is het niet meer te achterhalen met een nmap scan

Jheroun @_root • 24 oktober 2016 10:29

Er zijn in het verleden systemen geweest die op basis van MAC werkten, totdat die redelijk makkelijk hackbaar bleken.

MAC's zijn niet random, MAC's zijn een soort ethernet serienummers die op basis van maker van het apparaat worden toegekend. Met andere woorden: die zijn in hoge mate voorspelbaar.

Daarnaast wordt die MAC van buitenaf zichtbaar om dezelfde reden dat er uberhaupt ingelogd kan worden op de camera/videorecorder/koelkast: UPnP maakt vrolijk automatisch port mappings aan.

Nibelnoya2 @biglia • 3 oktober 2016 13:21

gewoon ook verplicht instellen username. Kunnen ze een makkelijk wachtwoord hebben, maar moeten ze ook nog de username bruteforcen waarbij de naam niet superuser/supervisor/admin/root etc mag zijn. Mensen zijn handiger in het keizen van een gebruikersnaam dan een wachtwoord.

Geen username/password ingesteld? Dan geen upnp request uitsturen voor config van de router. (Helpt geen ene moer met ipv6, maar zolang we nog steeds in het ipv4 tijdperk met nat leven, is dat toch een beschermingslaagje.)

Je oplossing doos is niet gek, maar genoeg mensen slaan de doos niet op. Niet iedereen heeft een kelder/zolder om dat soort spullen op te slaan, en op het device zelf zetten, lijkt me beveiligingstechnisch ook niet wenselijk.

R4gnax @Nibelnoya2 • 3 oktober 2016 20:41

Je oplossing doos is niet gek, maar genoeg mensen slaan de doos niet op. Niet iedereen heeft een kelder/zolder om dat soort spullen op te slaan, en op het device zelf zetten, lijkt me beveiligingstechnisch ook niet wenselijk.

Sticker op een uitneembaar kaartje dat in een houdersleuf op de achter- of onderzijde van het apparaat zit.

Kunnen de mensen die het ding op een publiek toegankelijke plek ophangen het kaartje er uit schuiven en los bewaren, en de gemiddelde huis-; tuin- en keukengebruiker kan het gewoon laten zitten.

kwakzalver @Cowamundo • 3 oktober 2016 14:41

Daar zit hem net de crux.
Want een groot aantal mensen wijzigt wel netjes het wachtwoord...maar dat is niet altijd voldoende.

...edoch het overgrote deel van de mensen is zich niet bewust dat je telnet uit moet schakelen -of- het standaard telnet userID en bijbehorende wachtwoord moet wijzigen.

Jheroun @kwakzalver • 24 oktober 2016 10:33

Daar zouden mensen zich niet bewust van moeten hoeven zijn. Als men nog denkt dat miljarden consumenten die straks hun IOT koelkast, lampen, verwarmingen en douchekoppen aan Internet gaan koppelen ook maar iets met security gaan doen leeft men onder een steen.

Fabrikanten van IOT spul kunnen dit niet afschuiven op de consument, zij moeten de security inbouwen, en anders flinke boetes krijgen, dat is de enige manier om dit in beweging te krijgen.

Hopelijk helpt dit soort incidenten om dat helder te maken voor industrie en overheid.

Armin

Netwerk en systeembeheer
Security

@SunnieNL • 3 oktober 2016 18:37

Deze hele malware werkt alleen bij standaard wachtwoorden.

Nee, dit soort malware werkt ook met exploits van standaard (web)interfaces. Je hebt wel gelijk dat telnet de meest makkelijke methode is.

Maar ik denk niet dat dit snel op te lossen is. Immers de consument wil een 30 euro IP-camera die het doet "zonder ingewikkeld configueren" (= standaard alles aan met geen/makkelijk wachtwoord). Maar voor 30 euro krijg je echt geen updates voor de gehele levensduur. Je krijgt waarschijnlijk niet eens de beste en meest ervaren ontwikkelaars.

De meer haalbare oplossing is als meer providers IP-spoofing en internet-poort-blokades gaan doen. Jammer voor ons tweakers, maar wereld-toegangkelijke IP nummers met alle poorten open is een te groot risico met IoT. Het gros van de klaten van een provider gebruikt de functionaliteit toch niet, maar loopt wel risico als zijn 30 dollar webcamera/smart-TV open en bloot staat tov het boze internet.

Dankzij DDoS echter loopt de rest van de wereld ook risico en dan moet een ISP zijn verantwoordelijk nemen en poorten blokeren, IP addressen die gespoofd zijn filteren en inkomend verkeer wellicht ook niet toestaan bij on zakelijk gebruikt tenzij de klant expliciet een opt-in doet (voor tweakers) of zo.

wouter503 @copyer • 3 oktober 2016 10:11

Op de manier hoe hij zijn stukje schrijft denk ik dat het niet de bedoeling is dat er wat aan gedaan gaat worden. ik neem aan dat dit voor kwaadwillende is bedoeld. wel vreemd dat hij dit gratis publiceert, het is niet vreemd dat er grote geldbedragen worden betaald voor dit soort data.

Armin

Netwerk en systeembeheer
Security

@wouter503 • 3 oktober 2016 18:29

ik neem aan dat dit voor kwaadwillende is bedoeld. wel vreemd dat hij dit gratis publiceert, het is niet vreemd dat er grote geldbedragen worden betaald voor dit soort data.

Het tij keert reeds tegen dit soort botnets, vandaar dat hij in een laatste klap om 'roem' en aandacht dit nu publiceert. Hij geeft het zelf reeds aan dat het moeilijker wordt. In feite is het ook voornamelijk de slordigheid van ISP's die adres-spoofing toestaan die dit mogelijk maakt. Meeste fatsoenlijke ISP's blokeren en herschrijven paketjes met een ongeldig afzender adres, maar er zijn er nog teveel die het niet intereseert.

Immers dat kost geld en kan niet altijd met oude apparatuur. Maar danzij acties zoals deze wordt het wel snel beter. Je wilt als ISP namelijk niet een slechte naam krijgen.

the_stickie @wouter503 • 4 oktober 2016 00:52

Het heeft zijn doel gediend, nu is het tijd om zich in te dekken. Maw het nut van deze kit is afgenomen voor de maker en men zit hem (te) kort op zijn vel. Door de hele boel publiek te maken zal het gebruik enorm toenemen en wordt het moeilijker de oorspronkelijke maker/dader/eigenaar te traceren. Er geld voor vragen biedt opnieuw sporen recht naar hem toe, en dus zeker ongewenst.
Dat is de plausibele interpretatie van Krebs zelf (die het grootste en bekendste slachtoffer werd).
De dader zelf heeft schijnbaar ook de mogelijkheid gewoon een nieuwe kit te maken als hij daartoe nut ziet.

Fustje @copyer • 3 oktober 2016 10:14

Hij stelt dat criminelen vaak de broncode van hun tools online zetten als opsporingsdiensten en beveiligingsbedrijven iets te dicht in de buurt komen met hun onderzoek. Door publicatie zouden de oorspronkelijke eigenaren van de malware daardoor niet de enigen zijn die over deze software beschikken.

Ze lijken dit dus te doen zodat de makers zelf niet makkelijk te herleiden zijn, omdat ze door publicatie niet meer de enige zijn die deze code gebruiken.

Anonymoussaurus

Security
Ddos

@copyer • 3 oktober 2016 10:22

Het is handig voor iedereen die er gebruik van wil maken, en degene die de code hebben geschreven, zijn moeilijker op te sporen, omdat hij/zij niet meer de enige is die de broncode heet.

Perkouw Moderator GCC 3 oktober 2016 10:45

Wat ik lastig blijf vinden van IoT apparaten is dat je veelal dus aangewezen bent op de fabrikant. Deze moet de beveiliging vanaf release op orde hebben en anders zo snel mogelijk patchen. Het is niet zo dat je zelf even in alle configuratie kan van je slimme lamp. Nee, dat blijft beperkt tot het schakelen van je verlichting en het kiezen van de kleur etc.

En dan zie je nu dat er een handige harry goed misbruik weet te maken van dergelijke devices. Aan de gebruiker kant zie je niet zo snel dat je onderdeel bent van een botnet en zo ja, wat doe je er dan aan? Geen internet access? Tja dan heb je weinig aan je IoT device. Goed een IP-camera zou je op je interne netwerk kunnen houden en hier heb je veelal ook al ietwat meer beveiligingsopties, maar dat geld dus helaas net voor alle devices.

debroervanhenk @Perkouw • 3 oktober 2016 11:00

Eigenlijk moet er een internationale standaard komen voor de beveiliging van dit soort apparaten, zoals het verplicht instellen van een sterk wachtwoord na ingebruikname, in plaats van standaardwachtwoorden. En als een fabrikant zich hier niet aan houdt, moet de mogelijkheid bestaan om ze de broek van de kont te procederen.

Dat klinkt rigoureus en er zullen altijd mazen blijven bestaan die worden misbruikt, maar er moet in ieder geval iets gedaan worden en snel ook, anders blijft er van het internet maar weinig over.

Perkouw Moderator GCC @debroervanhenk • 3 oktober 2016 11:29

Handig is het ook als ze dan niet voor alle devices een ''moeder'' wachtwoord gebruiken, maar allemaal individuele, sterke, wachtwoorden.

Anoniem: 368883 @Perkouw • 3 oktober 2016 12:40

Goh, ja en nee.

Ik heb mijn IoT apparaten (zoals smart bulbs), in een aparte VLAN staan. En mijn firewall is zo ingesteld, dat die apparaten geen verbindingen naar het internet kunnen leggen. Die VLAN is ook ingesteld dat die geen nieuwe connecties kan maken naar mijn Home VLAN, maar wel kan replyen naar mijn Home VLAN (ESTABLISHED verbindingen worden doorgelaten, NEW niet). Als er een update uit is voor de firmware zet ik de internet toegang even open, en dan terug dicht.

Ik kan nog wel alles van op afstand besturen via de mijn OpenVPN verbinding. Het is niet waterdicht, maar het gaat al heel wat misbruik kunnen tegenhouden.

Voor de gewone gebruiker is dit echt onbegonnen werk. De fabrikanten van home routers zouden eigenlijk by default een aparte VLAN moeten voorzien voor IoT in hun producten, die actiever wordt gemonitored, en de gebruiker verwittigd als apparaten afwijkend gedrag beginnen vertonen. Technisch is het perfect mogelijk, maar ik denk niet dat de fabrikanten er prioriteit aan geven.

the_stickie @Anoniem: 368883 • 4 oktober 2016 01:01

Prima geregeld, maar spijtig genoeg te complex voor jan met de pet.
Simpel firewall beheer en/of standaard wachtwoorden aanpassen, is voldoende om te wapenen tegen deze kit. Maar daar wringt meteen het schoentje. Firewalls snappen de meeste mensen niet. Gevolg is de ontwikkeling van de UPnP die automatisch de juiste poorten openzet op consumenten routers.
Jan sluit z'n apparaat aan en alles werkt. Jan vindt het vervolgens niet nodig de standaard credentials aan te passen want 'het apparaat hangt niet rechtstreeks aan het internet'.

De fabrikanten gaan volgens mij zwaar de fout in door het mogelijk te maken de apparaten met standaard credentials te gebruiken. Dat zou onmogelijk moeten zijn.
Daarnaast zou een apparaat niet zomaar zonder configuratie of bevestiging poortjes moeten openen.

Anoniem: 636203 @Perkouw • 3 oktober 2016 13:02

Ze kunnen beginnen door alleen gesignde binaries toe te staan bij het updaten. Verder moet de fabrikant een update server hebben waarmee ze al hun devices kunnen updaten, ongeacht de leeftijd. De connectie moet werken met TLS en certificate pinning.

Verder moet de configuratie "default secure" zijn, dus geen default wachtwoorden en dat soort onzinnigheid. Als je geen wachtwoord instelt dan gaat het ding niet het internet op.

Dit is allemaal geen 'rocket science' maar ze vertikken het gewoon. Tijd voor keten-aansprakelijkheid en afsluiten van de internet verbinding van geïnfecteerde apparaten.

[Reactie gewijzigd door Anoniem: 636203 op 24 juli 2024 13:43]

the_stickie @Anoniem: 636203 • 4 oktober 2016 01:26

Een fabrikant kan zijn apparaat nooit realistisch 'tot in de eeuwigheid' blijven ondersteunen. Zelfs als ze zouden willen.

Internet afsluiten klinkt misschien als een goed idee (ter bescherming van anderen) maar is op dit moment ook niet realistisch. Ten eerste omdat dat gegarandeerd allerhande claims in de hand werkt, ten tweede omdat het zinloos is als dat niet wereldwijd wordt aangepakt.

Ik ben het wel volkomen met je eens dat de default configuratie van elk apparaat veilig moet zijn. Vervolgens moet de gebruiker ondersteuning krijgen om op een veilige manier en bewust van de risico's bepaalde wijzigingen te maken. Dus: apparaat verplicht het updaten van de credentials naar een relatief veilige combinatie, en geen UPnP meer zonder dat de gebruiker op zijn minst moet klikken onder een tekstje met vereenvoudigde uitleg.

Anoniem: 636203 @the_stickie • 4 oktober 2016 11:31

Ik zie niet waarom een fabrikant niet tot in de eeuwigheid, zeker als er security fouten in hun product zitten, deze kan ondersteunen. Op z'n minst kunnen ze de broncode openbaar maken zodat anderen er mee aan de slag kunnen.

Mijn voorstellen zijn radicaal maar we moeten wat doen want anders loopt het helemaal uit de hand. Als iemand iets beters weet dan hoor ik dit graag.

the_stickie @Anoniem: 636203 • 4 oktober 2016 15:39

Omdat dit economisch niet haalbaar is. Oneindig ondersteunen betekend oneindige kost.
Omdat dit technisch niet haalbaar is. Niemand kan garanderen dat hardware die vandaag verkocht wordt binnen pakweg 20 jaar nog krachtig genoeg is voor basale taken zoals veilige encryptie. Simpel voorbeeld: AES-512 op een 8086 cpu??

Bedrijven verplichten systematich hun broncode openbaar te maken lijkt me óók niet haalbaar vanwege de commerciële achtergrond. Het heeft geen zin R&D te doen naar unieke functies als je het vervolgens 'op straat' moet gooien.

Als we in plaats van een hele eisenlijst naar de fabrikanten toe, kunnen we volgens mij ook wel toe met een aantal realistische verwachtingen (secure by default), goede informatie voor consumenten en marktwerking. Voorlopig worden hard- en software elke dag veiliger, alleen is het belang daarvan schijnbaar nog niet overal doorgedrongen. Hierin hebben overheden, scholen en bedrijven wél een taak. Informatie is cruciaal.

Ik begrijp waarom je verwacht dat 'alles uit de hand loopt' nav de aanvallen op Krebs, de release van deze broncode, de veelvuldige zwakheden, exploits en bijhorende malware. Maar voorlopig zijn dit allemaal nog altijd relatief minderheidsproblemen. Er zijn maar heel weinig voorbeelden van groteske economische schade of globale pannes, veroorzaakt door malware. En als die er komen, laat ze dan een motivator zijn voor iedereen om de basisbeveiliging te doen.

Deze mirai, verantwoordelijk voor de grootste attack ooit, is veroorzaakt door slechte wachtwoorden (dus niet slechte software) en heeft uiteindelijk bijzonder weinig impact. Eén site down, scrambles van een paar IT departementen en een paar nieuws berichten... Laat ons dus vooral kalm blijven

Kefke @Perkouw • 3 oktober 2016 15:15

Wat ik lastig blijf vinden van IoT apparaten is dat je veelal dus aangewezen bent op de fabrikant. Deze moet de beveiliging vanaf release op orde hebben en anders zo snel mogelijk patchen.

Tja, en laat dat nu iets zijn waar fabrikanten hun voeten aan vegen. Kijk bijvoorbeeld maar naar de vele android phones die door fabrikanten niet meer gepatched worden. Als dat 't zelfde gedoe gaat worden met IoT blijf ik daar liefst zo ver mogelijk van weg.

Trouwens, naar mijn mening zijn veel van die nieuwe IoT toestellen een oplossing voor een probleem dat er niet was. Voorbeeld: waarom in godsnaam moet ik een thermostaat hebben die ik via een app kan besturen terwijl mijn oude, domme programmeerbare thermostaat perfect zijn werk doet? Stop toch met die onzin; stop met alles IoT te maken gewoon omdat het kan/leuk klinkt voor de marketing.

the_stickie @Kefke • 4 oktober 2016 01:08

Punt is net dat patches/software hier niet de boosdoener zijn, maar standaard gebruikersnamen en wachtwoorden op internet-exposed apparaten. Ook dat kan/moet je fabrikant aanwrijven, maar is wmb betreft nog een stuk eenvoudiger te mitigeren dan exotische exploits voor werkelijke softwareproblemen.
Niet alleen te mitigeren, maar ook te misbruiken overigens. Geen gedetailleerde kenis van de targetsoftware nodig, alleen een lijstje credentials.
Daarbij komt nog dat fabrikanten voor hele resems producten dezelfde basis (hardware en os) gebruiken, met steeds dezelfde user/pass...

Damic 3 oktober 2016 10:08

Sinds wanneer zijn ip camera's enzo IoT apparaten?

OCU-Macs @Damic • 3 oktober 2016 10:15

Volgens de wikipedia pagina is de definitie van een IOT apparaat als volgt:

"The internet of things (IoT), is the internetworking of physical devices, vehicles (also referred to as "connected devices" and "smart devices"), buildings and other items—embedded with electronics, software, sensors, actuators, and network connectivity that enable these objects to collect and exchange data."

Dat zou dan een IP-Camera tot een IOT apparaat maken gezien het beschikken over een sensor, het vergaren en uitwisselen van data middels de connectiviteit naar het internet.

eYaTed @OCU-Macs • 3 oktober 2016 10:22

Inderdaad, een artikel dat je wat meer inzicht geeft en zo zijn er enorm veel toestellen, niet enkel IP-camera's

SinergyX @Damic • 3 oktober 2016 10:12

Sinds de term dat zo stelt, gaat om een netwerk van 'devices' die onderling en als geheel data kunnen delen met elkaar.

DYX @Damic • 3 oktober 2016 10:13

De definitie van een IoT apparaat is natuurlijk vaag. In theorie is bijna alles wat communiceert met het internet een IoT apparaat in de basis. Een IP camera valt daar zeker onder. Dat deze niet onder jouw definitie van IoT valt is misschien een ander verhaal

the_stickie @Damic • 4 oktober 2016 01:11

IoT is een marketing term, net als cloud.
Toepassing op het internet => cloudcomputing
Apparaat dat het internet gebruikt om data te versturen => IoT device.

Dat beiden ook staan voor technische (r)evolutionaire technieken is secundair tov de definitie.

Anoniem: 636203 3 oktober 2016 10:18

Het dreigt helemaal mis te gaan met IoT en de lekke software van veelal Chinese fabrikanten die nu miljoenen bots tot gevolg heeft. Het interesseert de fabrikanten letterlijk geen moer hoe lek hun software is.

Ik denk dat het tijd wordt voor radicale maatregelen zoals keten-aansprakelijkheid voor fabrikanten en mogelijkheid voor ISP's om geïnfecteerde apparaten en huishoudens van het internet af te sluiten.

Ik denk zelf dat dit een bedreiging vormt voor het internet. Men kan met tientallen miljoenen bots het internet helemaal plat leggen. Grote webwinkels die weken onbereikbaar zijn zullen failliet gaan.

[Reactie gewijzigd door Anoniem: 636203 op 24 juli 2024 13:43]

SinergyX @Anoniem: 636203 • 3 oktober 2016 10:30

En daar loop je tegen de andere grens aan, de ISP zelf. Iedereen vind dat ISP's er iets aan moeten doen, maar niemand wil dat ISP's 'meekijken' met je lijn en dus zomaar je lijn kunnen platleggen.

Stapje terug is een router die dit soort zut gewoon kan monitoren en kan blokkeren, zonder meekijken van ISP's of consorten, zoals de oude Drayteks al konden.

Ergens ook logisch dat het veelal Chinese fabrikanten zijn, die gasten zijn beetje de massa producent van elk stukje electronica (zelfs US/EU based, made in <insert ergens in azie>).

Die IP camera's (en overig spul) worden bij bosjes verkocht, leuk voor thuis, maar gros die die dingen kopen hebben 0,0 kennis van netwerken en beveiligingen, ook al staat er groot in de handleiding dat je inlog moet aanpassen of dergelijke, gewoon blind eraan hangen, bij voorkeur nog in DMZ.

Iblies @SinergyX • 3 oktober 2016 11:40

Enig idee hoe een ddos te werk gaat?

Dat is geen 24 uurs taak en als je het goed instelt dan laat je ip-adres zeker niet keihard werken maar laat je de massa op cyclisch bijvoorbeeld 100 requests per seconde uitvoeren. Je kunt dan genoeg hebben om een site te overbelasten.

Je moet dan als ISP een keus maken of het een foutje is, of de gebruiker aan het gamen is, of dat er sprake is van kwaad spel.

Het aansturen van een DDos is anoniem dus het is bijna onmogelijk om de bron te achterhalen. Vervolgens maak je een balans op of er extreem veel request naar een bepaald adres gaat en beperk je de ip-adressen waar de aanvragen vandaan komen.

ISP zouden samen moeten afspreken dat je een bepaald IP-adres kunt beperken in het aantal requests voor een bepaalde tijd. Stel je voor dat telegraaf wordt aangevallen, dan beperk je de vermeende adressen voor 10 minuten tot 10 requests per seconde.

Niet ideaal, maar je beperkt het wel en je kunt vervolgstappen nemen.

Horax @Iblies • 3 oktober 2016 14:21

Het aansturen van Ddos aanvallen is niet anoniem.
Een instantie die hier zich mee bezighoud is : http://www.norsecorp.com

Anoniem: 636203 @SinergyX • 3 oktober 2016 12:46

Klopt, maar misschien dat een overheidsorganisatie dit kan onderzoeken en de ISP's kan inlichten hierover zodat zij weten welke klanten zij moeten afsluiten. Ik weet dat het lastig is maar ik zie ook geen andere oplossing.

Het probleem is niet dat het uit China komt, meer dat de fabrikanten die het maken er geen barst om geven dat hun spullen zo lek zijn als een mandje. Soms vermoed ik zelf dat ze dit moedwillig doen. Zo moeilijk is het ook weer niet om iets veilig te configureren.

the_stickie @Anoniem: 636203 • 4 oktober 2016 01:13

De software is niet eens persé lek, alleen out-of-the-box buitengewoon slecht geconfigureerd

proatjeboksem 3 oktober 2016 10:15

do forever
wget <url>
end do

zoiets?

Ik hoop dat ze er iets in kunnen vinden om iig *dit* botnet uit te kunnen schakelen.
middels een counter-botnet of het kunnen herkennen van een http-request van dit botnet oid.

edit: typo (gronisisme)

[Reactie gewijzigd door proatjeboksem op 24 juli 2024 13:43]

Overlord2305 3 oktober 2016 11:44

Dit is hilarisch.
Van de presentatie tot aan het feit dat er nu dus gewoon gratis software voor business level DDOS beschikbaar is.
Soms vraag ik me af wat het nut van het internet is (buiten communicatie etc om) maar dan zie ik zo iets en weet ik het weer.

Op dit item kan niet meer gereageerd worden.

Broncode van malware achter iot-botnet Mirai verschijnt online

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave: