Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
sluiten

Laatste kans om te stemmen voor de Tweakers Awards 2019/2020!

Dit jaar organiseert Tweakers alweer voor de dertiende keer de Tweakers Awards, de publieksprijs voor de beste technologie- en elektronicaproducten. Laat je stem gelden en maak kans op een Google Stadia Premiere Edition, Nintendo Switch inclusief Mario Kart of een setje Sony WF-1000XM3 in-ear oordoppen.

Stemmen

Door Tijs Hofmans

Redacteur privacy & security

Malware in je slimme huis

Hoe realistisch is een virus op je smart-tv?

Botnets

Wie goed zoekt op fora en helpsites, vindt hier en daar wel weleens voorbeelden van personen die een smarthomeapparaat per abuis hebben geïnfecteerd met malware. Dat lijken uitzonderingen, zoals deze persoon, die een trojan op zijn smart-tv kreeg door een geïnfecteerde schijf. Je kunt dat vergelijken met hoe je malware op je smartphone kunt krijgen; door apps te sideloaden uit dubieuze bronnen en niet goed op te letten waar die vandaan komen.

Toch zijn er ook voorbeelden bekend van malwareaanvallen die iot-devices op grotere schaal aanvallen. De bekendste, of in ieder geval beruchtste, is BrickerBot. Die speurde het internet af naar kwetsbare apparaten. Zodra het virus die vond, probeerde het ze te bricken. BrickerBot maakte iot-apparaten stuk door via fdisk -l te zoeken naar partities en zo willekeurige data van /dev/random naar mounted schijven te schrijven. In het beste geval betekende dit dat het apparaat naar de fabrieksinstellingen moest worden teruggezet, maar in sommige gevallen overschreef de malware ook de firmware van een apparaat, zodat het helemaal onbruikbaar was. De verspreider van BrickerBot stopte er vorig jaar mee, vertelde hij aan Bleepingcomputer. Hij had tegen die tijd meer dan tien miljoen apparaten geïnfecteerd.

Opvallend was vooral de motivatie van de maker van BrickerBot. Die wilde daar geen geld mee verdienen, maar 'internet een lesje leren'. Niet voor niets noemde hij BrickerBot ook wel 'Internet Chemotherapie'. De malware was volgens hem bedoeld om slecht beveiligde iot-apparatuur helemaal van internet af te krijgen door ze stuk te maken of door de eigenaren te dwingen de firmware te patchen of de beveiliging op een andere manier bij te werken.

Botnets

Daar zit namelijk het échte gevaar van slecht beveiligde apparatuur; botnets. ip-camera's, smart-tv's en printers worden op gigantische schaal verzameld en in grote botnetnetwerken opgenomen, die vervolgens voor verschillende doelen kunnen worden ingezet. Er zijn verschillende grote botnets beschikbaar, maar één steekt met kop en schouders boven de rest uit: Mirai. Dat botnet werd in 2016 ontworpen door twee makers die inmiddels zijn opgepakt en die hebben bekend achter de destructieve malware te zitten. Aanvankelijk werd het botnet ingezet om gamediensten aan te vallen, maar de schade bleek veel groter toen het botnet ook werd gebruikt in een aanval op DynDNS. Daardoor waren honderden grote websites lange tijd niet bereikbaar. De geest ging uit de fles toen de broncode van Mirai werd vrijgegeven door de makers. Sindsdien zijn er tientallen botnets verschenen die voor een groot deel op Mirai lijken.

De makers lieten de originele code van van het Mirai-botnet uitlekken en openden zo een doos van Pandora

Het Mirai-botnet is geen staaltje hogere wiskunde. Het is zelfs vrij simpel in zijn aanpak; het botnet zoekt op internet naar apparaten die op open poorten zijn aangesloten en zet vervolgens brute forcing in om een beperkt aantal standaardwachtwoorden te proberen, zoals root, admin, password en 1234. Er zijn vaak verschillende botnetversies beschikbaar voor verschillende cpu-architecturen, zoals x86 of juist ARM, maar ze struinen allemaal internet af naar apparaten die ze makkelijk kunnen infecteren. Net zoals er veel verschillende soorten ransomware zijn, bestaan er ook verschillende botnets die allemaal nét iets anders werken. Mirai is dan ook zeker niet de geavanceerdste. Botnets als IoT_Reaper kunnen bijvoorbeeld veel sneller scannen naar kwetsbare apparaten en zoeken ook naar apparaten waarin bekende kwetsbaarheden zitten. Er is ook Hide N Seek, een aangepaste versie van IoT_Reaper die juist cryptominers installeert, en VPNFilter dat specifiek op zoek gaat naar kwetsbare routers en daar probeert de inloggegevens van te bemachtigen.

Een paar bekende botnets:

Hajime Gebruikt peer-to-peernetworking in plaats van een command-and-controlserver
IoT_Reaper

Richt zich voornamelijk op ip-camera's met bekende kwetsbaarheden

Hide N Seek Aangepaste versie van IoT_Reaper die een cryptominer installeert op een apparaat
ADB.Miner Botnet dat zich richt op de Android Debug Bridge en zo Android-apparaten infecteert
Fbot Installeert cryptominers door via blockchain-based dns met een c&c-server communiceert
Torii Anonimiseert zichzelf met het Tor-protocol
VPNFilter Zoekt vooral naar slecht beveiligde routers en probeert daar inloggegevens van te stelen

Vooral die laatste is een ander gevaar. Een slecht beveiligde router kan een gateway zijn naar de rest van het hele netwerk in een huis. Daarom zijn zwakke wachtwoorden juist in het geval van routers zo ernstig; met de onjuiste configuratie is het voor een aanvaller makkelijker om door het netwerk te gaan en zo apparaten te infecteren die daarop aangesloten zijn.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True