Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden

Beveiligingsonderzoeker Jerry Gamblin heeft een worm ontwikkeld om het Mirai-botnet te bestrijden. Zijn software is in staat om kwetsbare apparaten te vinden en de standaard-Telnet-logingegevens te wijzigen, zodat ze niet meer vatbaar zijn voor de Mirai-malware.

Op zijn GitHub-pagina, die werd opgemerkt door The Register, schrijft Gamblin dat zijn worm 'puur een academisch onderzoeksproject is en dient als een proof of concept'. Het is zijn bedoeling om aan te tonen dat het mogelijk is om een worm te ontwikkelen waarmee het aantal kwetsbare apparaten teruggebracht kan worden. Zijn worm zou niet gemaakt zijn om daadwerkelijk te worden ingezet, maar om te 'testen in een afgesloten onderzoeksomgeving'. De onderzoeker baseerde zijn werk op de uitgelekte broncode van de Mirai-malware.

Gamblin noemt zijn software een 'nematode', een in de natuur voorkomende worm die in het Nederlands rondworm wordt genoemd. Volgens The Register werd deze term voor het eerst in de beveiligingswereld gebruikt door Dave Aitel, die daarmee goedaardige internetwormen aanduidde. De site vermeldt dat het niet de eerste keer is dat dergelijke software is genoemd, in 2004 werd een soortgelijke nematode gebruikt om de Blaster- en Santy-malware te bestrijden. Dit gebeurde niet zonder de nodige problemen voor ict-personeel, aldus The Register. Het probleem met een dergelijke worm is dat het inzetten ervan vaak niet legaal is.

De Mirai-malware infecteert internet-of-thingsapparaten die over slechte beveiliging beschikken, bijvoorbeeld door het gebruik van standaard- of voorgeprogrammeerde wachtwoorden. Op die manier voegt de malware bijvoorbeeld ip-camera's en digitale videorecorders toe aan het Mirai-botnet. Onlangs bleek dat dit botnet in staat is om krachtige aanvallen uit te voeren, bijvoorbeeld op dns-provider Dyn. Een eerdere aanval op de site van een journalist bereikte ongeveer 620Gbit/s, terwijl latere aanvallen in de buurt van 1Tbit/s zouden zijn gekomen.

De site The Atlantic voerde onlangs een test uit om te onderzoeken hoe snel een op het internet aangesloten apparaat het doelwit zou worden van malware. Daarvoor gebruikte de site een honeypot op een Amazon-server. Het bleek dat er binnen ongeveer tien uur hackpogingen waren uitgevoerd vanaf driehonderd verschillende ip-adressen. In veel gevallen werd gepoogd om binnen te komen met standaardwachtwoorden, zoals 'root'. Daarnaast viel op dat veel logins gebruikmaakten van het wachtwoord 'xc3511', dat gebruikt wordt in producten van de Chinese fabrikant Xiongmai. Deze startte onlangs een terugroepactie van bepaalde producten, omdat ze deel uitmaken van het Mirai-botnet.

IT-banen

Reacties (83)

Pathogen 31 oktober 2016 11:11

Wat is er nou goedaardig aan software die logingegevens wijzigt? Leuk dat het andere exploits tegenhoudt, maar nog steeds allesbehalve gebruiksvriendelijk.

Natuurlijk, je moet sowieso geen Telnet gebruiken, en met een beetje lokale toegang valt het ook weer ongedaan te maken, maar erg vriendelijk is dit niet.

antubus @Pathogen • 31 oktober 2016 11:19

Voor zover ik weet is de telnet toegang helemaal niet bedoeld om door de eindgebruiker gebruikt te worden. Het was enkel ingebouwd voor debugging in de fabriek. Deze worm dicht dit gat en beschermd op die manier de mensen die niet weten dat het een risico was. Deze mensen hebben sowieso niet de behoefte telnet te gebruiken. Mensen die deze behoefte wel hebben, hebben of al voortijdig de telnet credentials gewijzigd, of kunnen dit achteraf alsnog gemakkelijk doen door in te loggen via de gebruikelijke interfaces. Het is dus gebruiksvriendelijk, want de gemiddelde gebruiker merkt er niets van, maar z'n internet blijft werken omdat er minder ddos aanvallen plaatsvinden.

martijnve @antubus • 31 oktober 2016 11:25

Vaak zijn die telnet inloggegevens gekoppeld aan de gegevens van de web-interface (of ssh, ftp, etc).
Die valt hiermee dus ook om.

locke960 @antubus • 31 oktober 2016 17:19

Dat zou je denken. En het is in 99,99% van de gevallen waarschijnlijk ook zo.
Het probleem is die 0.01% voor wie het wel een probleem is, om hun moverende redenen die je niet voorzien hebt, of een onverwachte bijwerking. Die groep gaat een heel andere mening over de goedaardigheid van deze worm hebben. Een van deze mensen zal ongetwijfeld zijn recht gaan zoeken en dan ben je als maker van deze worm dus het haasje.

Het is heel simpel. Als je zonder toestemming aan de spullen van een ander zit, zelfs met de beste bedoelingen, dan loop je het risico als een crimineel te eindigen.

Bor Coördinator Frontpage Admins / FP Powermod

Security

@Pathogen • 31 oktober 2016 11:33

Sterker nog, je past het wachtwoord aan naar iets wat de eigenaar helemaal niet weet. Je hebt hiermee als "eigenaar" van de "goedaardige" worm dus ineens exclusieve toegang geregeld. Absoluut onwenselijk.

FreezeXJ @Bor • 31 oktober 2016 11:59

Je repareert iets dat de eigenaar heeft nagelaten te fiksen, en daarmee veroorzaakt hij problemen voor anderen. Als bij de buren de kraan kapot is, en het water bij mij binnen dreigt te stromen, denk ik dat ik (als ze niet thuis zijn) ook een raampje intik om het water af te sluiten. Zullen ze initieel inderdaad hard over sputteren, maar het bespaart ons beide veel problemen.

stresstak @FreezeXJ • 31 oktober 2016 12:54

Je repareert iets dat de eigenaar heeft nagelaten te fiksen,

Zoals met mijn slot jouw fiets op slot zetten omdat jij het vergeten was.

Zoop @stresstak • 31 oktober 2016 13:03

Op een fiets die je nooit gebruikt waar wel door criminelen gebruikt wordt en anderen lastig vallen. Dan mag die fiets vast gezet worden ja.

Bor Coördinator Frontpage Admins / FP Powermod

Security

@Zoop • 31 oktober 2016 13:06

Ten eerste klopt je vergelijking niet. Ten tweede kun jij niet bepalen of de telnet connectie niet in gebruik is. Je hebt simpelweg te weinig informatie (net als de ontwikkelaar van de "goedaardige" worm) om dit soort conclusies te trekken.

Zoop @Bor • 31 oktober 2016 13:11

De vergelijking liep sowieso al mank toen er met een fiets vergeleken werd, moet je mij niet de schuld van geven

Die telnet verbinding heeft nog een standaard wachtwoord, daarmee mag je van mij wel uitgaan dat het niet gebruikt wordt, want iedereen die weet wat telenet is, wat je er mee kan en er dus mee werkt (lees: 0.01% van de gebruikers), past heus dat wachtwoord wel aan.

Daarom is de fiets vergelijking ook mank, het is niet alsof het apparaat ineens niet meer werkt. Er veranderd voor de eigenaar van het apparaat echt helemaal niks

FreezeXJ @Bor • 31 oktober 2016 13:36

Ik weet ook niet of mijn buurman niet opzettelijk zijn (en mijn!) huis onder water wil zetten. Ik weet alleen wel dat door zijn gedrag ik hoogstwaarschijnlijk een groot probleem ga krijgen, en dus neem ik direct maatregelen. Mocht de beste buurman het daar niet mee eens zijn, dan kan hij van zich laten horen.

Ik zou dolgraag een spoedprocedure hebben om van een bepaald IP-adres per direct de eigenaar aan de telefoon te krijgen (Brein, de politie en vele anderen met mij), maar die is er niet, en gaat er niet komen. Aldus is de normale weg uitgesloten (zeker als je door duizenden IPs tegelijk bestookt wordt, waarvan je amper weet waar ze zitten).
Bij gebrek aan beter ga ik dus voor het minst vervelende alternatief: het stopzetten van bepaalde functies op zijn apparaat, hoe illegaal ook.

xDiglett @Bor • 31 oktober 2016 12:45

Het gaat hier om IOT devices waar telnet standaard open staat. De eigenaar logt in via zijn eigen wachtwoord, en zal er dus niets van merken.

Axewi @Bor • 31 oktober 2016 13:38

Lijkt me niet dat dit persé zo hoeft te gaan je kan makkelijk het wachtwoord random genereren bij elke client.

Tja dit is zo'n grijs gebied, de worm zijn gang laten gaan mag niet maar kan dus wel een gigantisch botnet uitschakelen. Wat ik me dan afvraag is of het mirai botnet sowieso geen software heeft geïnstalleerd op de client's waardoor ze rechtstreeks commando's kunnen sturen. dan zou deze patch alleen maar nieuwe infecties voorkomen en niet de huidige onbruikbaar maken.

jeroen_loeffen @Pathogen • 31 oktober 2016 11:18

Het is goedaardig in de zin dat het getroffen apparaat gewoon blijft werken en dat de gebruiker er dus helemaal niets van merkt. Wanneer die toch ooit zijn wachtwoord zou willen veranderen dan gaat die ervanuit dat het vergeten is, doet een reset en past dan alsnog zijn wachtwoord aan. In beide gevallen is het veiliger voor de gebruiker geworden.

SwiftPengu @jeroen_loeffen • 31 oktober 2016 11:22

Je zou het kunnen zien als een soort onvrijwillige patch.

Accretion @SwiftPengu • 31 oktober 2016 11:29

Een rectificatie door derde partij

Een standaard password voor een bepaald apparaat, erg jammer dat zoiets nog voor komt.

Elk apparaat een ander password, of voordat het in werking gaat vragen om een sterk password.

kwikstaart @Accretion • 31 oktober 2016 12:21

Zoals je tegenwoordig vaker ziet bij routers, een sticker op de onderkant met een gegenereerd wachtwoord. Dat zijn meestal geen supersterke wachtwoorden, maar het is stukken veiliger en eenvoudig te onthouden.

Accretion @kwikstaart • 31 oktober 2016 12:56

Exact, daarop hintte ik eigenlijk ook met: "Elk apparaat een ander password"
Zeker bij een router, deze kan toegang geven tot je gehele netwerk.

dasiro @jeroen_loeffen • 31 oktober 2016 12:50

tenzij die gegevens door je manegement server gebruikt worden om je IoT-device te accessen

jeroen_loeffen @dasiro • 31 oktober 2016 14:15

Een management server hebben om IoT-device te accessen impliceert dat je enige kennis van zaken hebt. Als je dan toch niet de standaard wachtwoorden aangepast hebt, is het broodnodige reminder :-)

Overlord2305 @Pathogen • 31 oktober 2016 11:16

Als er bij het ontwerp van zo'n apparaat iets langer dan 10 seconden is nagedacht zit er waarschijnlijk een manier in om het huidige wachtwoord te achterhalen wanneer je hem aansluit op je computer of vergelijkbare apparaten.
Dus dan is de storing bij de eigenaar minimaal, vaak zou ik hebben gezegd dat de inbreuk op iemands privé eigendom niet goed te praten valt, echter met ddos aanvallen van dit kaliber zijn maar heel weinig instanties echt veilig, dus zeg ik deze keer dat het het waard is.

StefanTs @Overlord2305 • 31 oktober 2016 11:37

En als er meer dan 10 seconden is nagedacht over beveiliging is er juist geen manier om het huidige wachtwoord te achterhalen. Eerder om hem te resetten via een hardware knop bv. Waarschijnlijk gezamelijk met de rest van de configuratie.

Overlord2305 @StefanTs • 31 oktober 2016 11:39

Dan achterhaal je alsnog (al dan wel indirect) het wachtwoord.

StefanTs @Overlord2305 • 31 oktober 2016 11:53

Dat mag je me dan even uitleggen. Hoe achterhaal je een wachtwoord wanneer je deze, danwel de hele configuratie, reset?

Wanneer je een wachtwoord opslaat versleutel je deze doorgaans onomkeerbaar.

Twanne @StefanTs • 31 oktober 2016 13:29

Dan word alles teruggebracht naar fabrieksinstellingen en heb je dus weer het standaard wachtwoord.

aadje93 @Twanne • 31 oktober 2016 14:08

die af-frabriek direct gewijzigd dient te worden alvorens het apparaat te gebruiken is *in de ideale consumer-IT wereld*

StefanTs @Twanne • 31 oktober 2016 22:47

Precies, maar dan heb je het onbekende wachtwoord toch nog steeds niet achterhaald? Dan heb je simpelweg een andere.

Teijgetje @Overlord2305 • 31 oktober 2016 12:55

Een reset met standaard wachtwoord en standaard usernaam heeft niets te maken met het achterhalen van een wachtwoord.

Zoals opgemerkt zal de user iets langer stilstaan bij de configuratie en hopelijk zijn naam en wachtwoord veranderen.

Maar daar was hij initieel al niet toe bereid, grote kans dus dat het apparaat weer in kwetsbare staat hersteld wordt zolang de user niet weet waarom zijn wachtwoord en/of usernaam gewijzigd waren.

Overlord2305 @Teijgetje • 31 oktober 2016 13:04

Een reset met standaard wachtwoord en standaard usernaam heeft niets te maken met het achterhalen van een wachtwoord.
Zoals opgemerkt zal de user iets langer stilstaan bij de configuratie en hopelijk zijn naam en wachtwoord veranderen.

Maar daar was hij initieel al niet toe bereid, grote kans dus dat het apparaat weer in kwetsbare staat hersteld wordt zolang de user niet weet waarom zijn wachtwoord en/of usernaam gewijzigd waren.

Je slaat de spijker op z'n kop.
Zelfs al zou de gebruiker wel zn wachtwoord wijzigen na een reset dan is deze alsnog voor onbepaalde tijd kwetsbaar zolang het standaard wachtwoord ingesteld staat na de reset.

Ayporos @Overlord2305 • 31 oktober 2016 11:49

Met als bijkomend pluspunt dat je in dat geval wellicht wat langer stilstaat bij het configureren van het ding en dat het wijzigen van de 'default' wachtwoorden en toegangssettings wellicht toch wenselijk is.

Met oog op het groter goed vind ik het helemaal niet erg als iot apparaten van leken non-actief worden door zoiets als deze worm, moeten ze hun zaakjes maar op orde hebben.

Anoniem: 356076 @Pathogen • 31 oktober 2016 11:48

Als deze goedaardige worm er geen gebruik van maakt, dan doet een kwaadaardige dat wel.
Wat heb je liever?

[Reactie gewijzigd door Anoniem: 356076 op 22 juli 2024 17:21]

Bor Coördinator Frontpage Admins / FP Powermod

Security

@Anoniem: 356076 • 31 oktober 2016 11:54

Dat klinkt een beetje als "fight fire with fire" wat niet altijd een goed advies is. Het idee achter "goedaardige malware" is wellicht nobel maar praktisch gezien is het niet heel veel anders dan de kwaadaardige variant. Ook goedaardige malware moet zich verspreiden om werk te kunnen doen en voert wijzigingen door zonder dat de eigenaar van het device daarvan op de hoogte is.

jeroen_loeffen @Bor • 31 oktober 2016 12:43

Het mooiste zou natuurlijk zijn dat geen enkele worm invloed zou kunnen uitvoeren op het apparaat of een fabrikant die hun slechte design zelf achteraf zouden patchen, maar dat blijft lastig. Je suggestie dat je de eigenaar op de hoogte zou willen stellen komt uiteindelijk op een popupje uit "we updaten uw Telnet apparaat, het wordt nu nog veiliger" waarop de gebruiker dan "ok" klikt, dus dat nut ontgaat me een beetje.

Anoniem: 1322 @jeroen_loeffen • 31 oktober 2016 14:09

Ik zou het persoonlijk prettiger vinden als deze apparaten geautomatiseerd uitgeschakeld worden. Indien uitschakelen niet mogelijk is dan graag permanent 'bricken'. Je hebt niets te zoek op het internet als je zo'n probleemapparaat bent.

[Reactie gewijzigd door Anoniem: 1322 op 22 juli 2024 17:21]

zvbhvb @Pathogen • 1 november 2016 08:46

Tijd winst?

sjimmie 31 oktober 2016 11:15

Leuk initiatief, maar het is natuurlijk "niet netjes" om zomaar het ww van andermans device te wijzigen. Want hoe weet de eigenaar daarna het wachtwoord? Feitelijk maak je daarmee de devices van al die mensen voor hun ontoegankelijk. Dit staat los van de discussie of ze het zelf beter hadden kunnen doen.

Ter vergelijking: Als ik op straat mijn fiets niet op slot zet, is het ook "niet netjes" als anders de fiets op slot zetten met een slot waarvan ik de sleutel niet heb.

IJzerlijm @sjimmie • 31 oktober 2016 11:20

Als jouw fiets steeds gebruikt wordt om mensen omver te rijden is het aanbrengen van een slot misschien wel gerechtvaardigd.

Accretion @IJzerlijm • 31 oktober 2016 11:35

Nuja, het is meer als een fiets die niet op slot staat, een slot op maken.
De eigenaar weet dan echter niet meer wat (waar) de sleutel is.

Maar wellicht beter dan dat je fiets gestolen wordt. (Overigens kan je je IoT apparaat vaak nog gebruiken zonder telnet key, maar je fiets dan weer niet).

Daarnaast kan de eigenaar het password resetten (slot doorknippen ;D) en meteen even nadenken over een sterk wachtwoord.

supersnathan94

@IJzerlijm • 31 oktober 2016 11:58

Als mijn bankrekening wordt gebruikt voor fraudeuleuze activiteiten zonder dat ik het weet dan steekt de bank er toch ook een stokje voor door de boel te blokkeren? Lijkt mij niet meer dan logsich dat een provider dergelijke dingen ook zou moeten doen.

Dit mirai botnet heeft al aangetoond dat het in staat zou kunnen zijn om het internet echt goed te breken voor lange tijd. En dit doet het beter dan Kim Kardashian.

Gutser @sjimmie • 31 oktober 2016 13:58

geinig die fietsvergelijjking, laat ik voor 1x meedoen

De fiets is in dit geval alleen de telnet optie
Als jij gebruik zou maken van die fiets, dan had je er al lang een slot op gehad
Want elke Nederlander weet dat als je je fiets gebruikt, je hem op slot moet zetten

Het is daarom een mooie theoretische discussie dat er mensen toegang tot hun eigen apparaat zou worden ontzegd door deze worm, maar in de praktijk zal dit bij niemand het geval zijn. Ofwel je gebruikt telnet en hebt dat ww al lang gewijzigd, ofwel je gebruikt telnet niet en merkt hier dus niets van.

sjimmie @Gutser • 31 oktober 2016 14:05

Bijna... Terug naar de fiets: je zet een slot op het achterwiel. Volgens jouw stelling is dan alleen het achterwiel niet meer te gebruiken. Maar daardoor is de hele fiets onbruikbaar. Door het telnet wachtwoord te wijzigen, wijzig je eigenlijk "het" wachtwoord van het apparaat waarmee de eigenaar voorheen alle toegang had tot bijv het bedienen van de camera, zien van opgeslagen beelden, enz.

Vergelijking is wellicht niet 100% dekkend (zoals ook wel over het misbruik van een fiets of een IoT device wordt geroepen), maar ik wilde alleen even duidelijk maken dat je niet zomaar andersmans spullen moet gaan aanpassen.

Flagg @sjimmie • 31 oktober 2016 14:42

Nee de telnet verbinding wordt nooit gebruikt. Deze wordt enkel gebruikt door de producent van het apparaat (oit hebben we het over) en de gebruiker gaat daarna lekker via de browser over http verbinding maken. Die laatste wordt niet gewijzigd dus de gebruiker merkt er helemaal niets van.

Mochten er gebruikers zijn die die telnet wel gebruiken die moeten dan het wachtwoord maar wijzigen anders ben je een eikel die sowieso niets op telnet te zoeken heeft.

dj__jg @sjimmie • 31 oktober 2016 15:03

Volgensmij werkt de software op deze camera's niet zo. Je gebruikt het telnetwachtwoord en de telnettoegang niet voor het bedienen van de camera en dergelijke, daar gebruik je een ingebouwde webpagina of zoiets voor. Als je de telnet-verbinding wel gebruikt verander je waarschijnlijk ook het wachtwoord wel, een telnet-verbinding is immers niet iets wat een leek 1-2-3 doet.

zonoskar @sjimmie • 31 oktober 2016 11:19

Hier heb je fysiek toegang tot het apparaat en dus de mogelijkheid om het wachtwoord weer te resetten naar de fabrieksinstelling. Als je al telnet gebruikt dan, want ik denk dat 99.9% niet eens weet dat hun IoT device een telnet toegang heeft.

Ge Someone @sjimmie • 31 oktober 2016 13:38

Zoals ik het lees helpt dit alleen voor "nieuwe" devices en niet voor die apparaten die al besmet zijn, En dan nog moeten ze binnen (gemiddeld) 10 uur gepatcht zijn.

ONiel 31 oktober 2016 11:12

Wat ik me wel afvraag.
Een worm verspreidt zich normaal door gebruik van exploits in systemen, gebruikers die het zelfdoorverzenden (die mail-chains), door USB-overgedragen,...

Dus deze worm moet toch ook gebruik maken van exploits om zichzelf te kunnen verspreiden, of ben ik mis?
Dan offer je één beveiligings-opportunitie (die gebruikte exploit) op voor het dichten van die telnet-bug.

Dan heeft het toch weinig nut.

Accretion @ONiel • 31 oktober 2016 11:32

Het feit dat apparaten vaak een standaard password hebben wordt hier misbruikt.

Vanuit daar kun je waarschijnlijk een hoop, zoals het apparaat code laten uitvoeren en toevoegen aan het botnet (en andere ip's/ports scannen/aanvallen met standaard passwords).

Flagg @ONiel • 31 oktober 2016 14:46

Wellicht door zichzelf te vernietigen nadat hij een nieuwe host gevonden heeft.

Lijkt me een mooie oplossing, worm vind pc 1 deze wordt "gecleaned" zoekt systeem 2 (vanaf pc 1) vindt deze en wanneer hij zich genesteld heeft in systeem 2 wordt de worm (incl gebruikte exploit) op pc1 de nek omgedraaid. Dit gaat pas gebeuren op het moment dat de worm x aantal systemen heeft gevonden.

[Reactie gewijzigd door Flagg op 22 juli 2024 17:21]

SunnieNL

@ONiel • 31 oktober 2016 16:21

Vind het ook raar om een worm te schrijven om het probleem op te lossen.
Waarom niet gewoon een scanner, een apparaat dat zich niet verspreidt maar het netwerk scanned en daarna een overzicht geeft met een knop per device om het probleem op te lossen.
Dan moet je alleen je netwerkmensen even een waarschuwing geven, anders slaan die alarm.

zonoskar 31 oktober 2016 11:22

Ik vind dit eigenlijk wel een coole ontwikkeling. Zo zou je bijvoorbeeld een 'virus' kunnen maken die andere virussen/trojans/etc van het systeem verwijderd en vervolgens exploits dicht. Een soort antibiotica voor computers (en ja, ik weet dat antibiotica alleen werkt op bacteriën en niet op virussen).

Teijgetje @zonoskar • 31 oktober 2016 13:18

Iets legaals is er al.......een passwordmanager.
Die checkt of al je wachtwoorden veilig zijn, als je wilt.

Ik zit op 81% veilig van ca 300 sites/wachtwoorden, en waarvan er 4 ooit door malware gehackt waren.
Mijn hoofdwachtwoord is 95% veilig, (slechts 8 karakters)
En deze score haalt slechts 7% van de LastPass-gebruikers.
Heel simpel kan ik de score verbeteren naar 100% veilig....... maar ja, luiigheid.

zonoskar @Teijgetje • 31 oktober 2016 13:23

Maar dat vereist handigheid/bereidheid/acties van de gebruiker. Een 'antibiotica' worm zou alle kwetsbare apparaten zelfstandig kunnen fixen, zonder dat de gebruiker het door heeft. Bovendien is een 100% veilig wachtwoord een utopie en niet alle kwetsbaarheden kun je fixen door een veilig wachtwoord.

Teijgetje @zonoskar • 31 oktober 2016 13:41

Nee, als zodanig wordt er hier iets gefixed door "goedaardige" malware dat je IoT device niet ongemerkt overgenomen wordt door een kwaadaardige malwarevariant en dat kon omdat je de default wachtwoord/usernaam laat staan.
Maar je kunt er dan zelf niet meer in omdat je het wachtwoord/usernaam niet meer weet.

Zolang IoT gebruikers niet weten dat ze in een botnet zitten doordat hun device(s) niet goed beveiligd zijn zou je dit als een ongewenste illegale noodgreep kunnen zien.
En als een wakeup call voor de producenten om geen standaardwachtwoorden meer te gebruiken.

De gewone gebruiker zal eerst duidelijk gemaakt moeten worden dat je alle wachtwoorden moet veranderen in unieke veilige, niet slechts die paar die jou belangrijk lijken.
100% veilige wachtwoorden zijn inderdaad een utopie, maar hier geldt vaak hoeveel moeite moet je doen en hoe belangrijk is de data? Moet er een half jaar geprobeerd worden om jouw telegraafaccount te hacken dan kan je eigenlijk uitgaan van dat je 100% veilig bent (ook al kan je gehackt worden als iemand een computer een half jaar jou laat aanvallen)

En daar zijn ze al jaren mee bezig, en hoewel ik het weet heb ik dus ook nog steeds dubbele wachtwoorden voor het gemak.

MrHarry 31 oktober 2016 11:10

goeie zaak, ook al zullen sommige mensen dit wel niet willen omdat het zo "gemakkelijk" was om met standaard gegevens in te loggen en ze daardoor niet beseffen dat ze een risico vormen.
Ik zeg uitvoeren!

pbeer @MrHarry • 31 oktober 2016 11:33

Natuurlijk is het niet wenselijk dat mensen standaard wachtwoorden laten staan omdat ze dan ook door anderen gebruikt/misbruikt kunnen worden. Maar het is niet omdat anderen het (kunnen) hacken dat dit ook wettelijk goedgekeurd kan worden.
Er zijn wel andere oplossingen bv. Betreffende energieverbruik bestaat er al een Europese regelgeving. (https://ec.europa.eu/ener...fficient-products/standby) Dus waarom niet ook betreffende toestellen met bediening op afstand via het internet een regelgeving opstellen. Zoals de verplichting dat standaard wachtwoorden moeten aangepast worden door de gebruiker en dat het apparaat dit moet afdwingen. Dat is best mogelijk. Daarnaast is versleuteling van wachtwoorden gebruikt om aan te melden op dergelijke apparatuur natuurlijk ook wenselijk.
Met de komst van Internet of Things, zou hier best wel eens werk van gemaakt mogen worden. Apparatuur dat ondeugdelijk beveiligd is, is evengoed een financieel risico. Die aanval op DynDNS heeft allicht kosten met zich mee gebracht.

Ronald1302 31 oktober 2016 11:12

Aan de ene kant vind ik het gevaarlijk dat zulke codes openbaar worden gemaakt, omdat het waarschijnlijk ook gebruikt kan worden voor slechte doeleinden, maar goed dat iemand zich hier op richt!

killercow @Ronald1302 • 31 oktober 2016 11:17

De kwaadaardige variant was al beschikbaar en wordt al gebruikt om enorm veel schade aan te richten.

bozk 31 oktober 2016 11:12

Dan zal het ook mogelijk zijn om de code ipv random, naar een zelf gekozen wachtwoord te wijzigen en juist weer in te zetten voor een botnet.

Paar kleine wijzigingen en je kan het om toveren naar een evil, lijkt me

Pathogen @bozk • 31 oktober 2016 11:15

Het is juist andersom gedaan, maar inderdaad. Deze worm is gebaseerd op Mirai, maar probeert er eerder te zijn, de deur dicht te gooien en het slot te veranderen.

SgtElPotato 31 oktober 2016 11:18

Dus met deze worm zou je in theorie van alle apparaten de wachtwoorden kunnen veranderen en gebruiken voor een botnet zonder dat er nog iemand op in kan loggen via Telnet, enigste optie zou dan zijn om het apparaat van het internet af te sluiten.
Of is dit een hele rare redenatie?

Teijgetje @SgtElPotato • 31 oktober 2016 13:06

Nee dat klopt, het verschil tussen goedaardig en kwaadaardig is juist dat......

Deze zorgt dus dat de kwaadaardige, die jouw device overneemt zonder dat je het ooit merkt, en je dezelfde login laat houden, geen toegang meer heeft door de login te veranderen zonder nadelen en veranderingen voor de gebruiker.

hackerhater @SgtElPotato • 31 oktober 2016 13:13

Tjah er zijn al botnets die deze apparaten hacken en misbruiken.
Dan is deze worm nog het minst schadelijk

kdekker 31 oktober 2016 11:18

Waarom staat er anno 2016 nog op servers telnet open? (idem ftp/rexec). Dat is toch vragen om problemen voor systemen die aan het publieke internet hangen. Voor telnet (ftp/rexec/rlogin etc) gaan user en password plain over de lijn. Je bent dan zeer slordig bezig als je deze (al 10 jaar geleden als onveilig bestempelde) protocollen gebruikt. Zo heel ingewikkeld is de overstap op ssh toch niet?

jw070386 31 oktober 2016 11:20

Die "goedaardige worm" gaat niet veel uithalen lijkt me.
Gebruiker kan niet meer inloggen met default username en wachtwoord, deze reset het toestel even zoals in de handleiding staat en kan weer inloggen, met de default username en wachtwoord

zo blijven we bezig natuurlijk, beter zou zijn om een wachtwoord te laten aanmaken bij ingebruikname van het toestel.

[Reactie gewijzigd door jw070386 op 22 juli 2024 17:21]

Gutser @jw070386 • 31 oktober 2016 14:06

de gebruiker gebruikt helemaal geen telnet. die heeft hier dus helemaal geen last van.
Het is ook geen gebruikersoptie van het apparaat. Het is een ontwikkelfunctie die men vergeten heeft er uit te halen.

Op dit item kan niet meer gereageerd worden.

Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden

Lees meer

IT-banen

Reacties (83)

Sorteer op:

Weergave: