2016-10-22

Nätuppkopplade prylar sänker nätet

Den stora överbelastningattacken (DDoS) mot DynDns igår har förstås blivit mycket omskriven. Bland annat har Cornucopia uppmärksammat att många myndigheter avslöjades som mycket sårbara, då de var beroende av en enda leverantör för DNS (översättningen av domännamn till nummer). Väldigt många företag och myndigheter lär nog behöva tänka igenom och förbättra sin DNS-användning.

Orsakerna bakom DDoS-attacken har det inte talats lika mycket om i svenska media (undantaget datatidningar). Attacken har sitt ursprung i prylar som är uppkopplade mot nätet (kallas Internet of Things eller IoT). Dessa är ofta väldigt dåligt skyddade mot intrång, en svaghet som hackare nu har exploaterat i stor skala. Framförallt handlar det just nu om kameror uppkopplade mot nätet och framförallt om kameror från ett enda kinesiskt företag, Xiongmai Technologies. Det går att komma åt dessa genom att koppla upp sig med Telnet eller SSH. Normalt använder man dessa kamerors webbinterface för administration och ändrar då lösenordet, men lösenordet för Telnet eller SSH ändrar de flesta användare inte, framförallt eftersom det inte går att ändra särskilt lätt och de flesta användare inte heller är medvetna om att inloggningsmöjligheten och sårbarheten finns. Dessa kameror har standardlösenord satta för Telnet och SSH, vilket är varje hackares dröm. Dessutom är sådana enheter inte sånt som man går in och kontrollerar särskilt ofta för att se om de är infekterade, till skillnad mot persondatorer och servrar. Jag skulle gissa att de flesta användare inte rör dessa enheter efter den initiala installationen.

Det virus som infekterat kamerorna heter Mirai och dess källkod spreds nyligen på nätet, vilket kan vara en bidragande orsak till den senaste DDoS-attacken. Hackare över hela världen kan nu förbättra detta virus och anpassa det för sina egna syften. Hittills är omkring en halvmiljon enheter infekterade av Mirai.

Effekterna av dessa bottnät (botnet) av infekterade prylar blir många. DDoS-attacker har vi redan sett. Frågan är vilka typer av servrar förutom DNS som kan vara av intresse för dem som utför DDoS-attacker. Företag och myndigheter bör nog se över sin IT-säkerhet ordentligt och på flera olika sätt.

Gissningsvis kommer många användare att klaga till sin internetleverantör över dålig bandbredd när en eller flera prylar stjäl en massa bandbredd. Man kan då hoppas att det leder till att de upptäcker de infekterade prylarna och kopplar bort dem eller vidtar andra åtgärder för att stoppa viruset. Men det kan i sin tur leda till att viruskonstruktörerna blir smartare och sätter begränsningar i hur mycket överföringskapacitet en enhet får använda, för att därigenom undgå upptäckt. Det kommer dock troligen att finnas kvar många infekterade prylar som inte upptäcks fastän de använder mycket bandbredd.

Troligen måste man på något sätt bli bättre på att i routrar och switchar upptäcka trafik från bottar och helt enkelt koppla bort dem från Internet efterhand som de upptäcks.

Det kan också uppkomma ett slags krig om de infekterade prylarna när ett virus försöker slå ut andra virus som finns på enheten. Den som har ett bottnät vill säkert ha monopol på de enheter som ingår, för att kunna vara säker på att kunna använda dem vid behov och inte riskera att de är upptagna av något annat bottnät. Det kan också vara intressant att attackera de datorer som styr bottnätet, vilket redan har hänt då bottnäten gafgyt och Bashlite (som också infekterar prylar) gjorde en stor DDoS-attack mot Mirais styrdatorer.

Jag förväntar mig att hotet från bottnäten kommer att kvarstå. Det kanske inte kommer att bli så mycket värre, men det kommer att kräva ständiga motåtgärder för att begränsas, något som kostar tid och pengar för företag och myndigheter.

2 kommentarer:

  1. Jag kan inte låta bli att förundras över folk som installerar kameror kopplade till Internet i sina egna hem och därmed gör det möjligt för vem som helst som kan knäcka kamerans säkerhet att sitta och tjuvkika. Inte för att det i sig är så farligt, men om man gjort det för att öka säkerheten har man väl snarare gjort tvärt om.

    SvaraRadera
  2. "Telnet, SSH"

    DU MED MIG SKÄMTA!!!!

    Vart fasicken är alla IoT-profeter nu?!??!?!?!?!?!?

    SvaraRadera

Kommentarer bör hålla sig till ämnet för den bloggartikel de hör till. Personangrepp, hets mot folkgrupp och andra kränkningar tillåts inte. Kommentarer som bara består av länkar tillåts normalt inte. Kommentarer som bryter mot reglerna kan komma att tas bort.