`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Гениально! Ботнет на ...домашних роутерах, ТВ-приставках и прочих медиаплеерах

+1010
голосов

Дожились.. Собственно ничего из ряда вон выходящего, но показывает достижение определенного рубежа, и появление нового перспективного направления для атак.

Недавно увидел интересную новость и копнул Интенет чуть поглубже. Оказыается, уже некоторое время на просторах сети живет и развивается ботнет, распространяющийся через домашние роутеры, DSL-модемы, медиаплееры, ТВ-приставки и т.д.!

В общем-то неудивительно - в подавляющем большинстве вышеперечисленных устройств используется Linux, от ошибок он тоже не застрахован, и эксплоитить его уязвимости можно точно так же, как и на больших ПК. Особенно, учитывая то, что прошивки "бытовых" устройство производители обновляют довольно редко, а приличная часть юзеров даже не удосуживается сменить пароль  по умолчанию. Так что с технической точки зрения всё просто и обыденно.

Впечатляет другое. Задумайтесь, какое количество этих маленьких невзрачных коробочек сейчас подключено к интернету! Думаю, сопоставимо с количеством ПК (у типичной семьи - Wi-Fi ротуер для выхода в интернет и модем, у не-компьютерной семьи может быть медиплеер или аналог TiVo, у гиков - 5-6 коробок, включая NAS), и уж точно гораздо больше, чем домашних ПК на Linux. НО как часто в них заглядывает владелец? Как частно обновляет прошивку? Кто пытался получить от провайдера подробный отчет об исходящем трафике? В общем - с точки зрения маскировки - гениально и просто!

Некоторые технические подробности:

  • Нацелен исключительно на устройства на платформе MIPS
  • Не трогает ПК и серверы
  • Использует разные методы внедрения - от подбора паролей (по умолчанию, по словарю и грубой силой) до использования уязвимостей Linux (коих для бытовой техники уже опубликовано немало)
  • (как я понял из текста) атаки на пароли проводятся группами уже зараженных устройств
  • ботнет используется для коллективных атак на пароли и организации DDoS атак,
  • также сканирует сеть на предет уязвимых серверов MySQL и PHPMyAdmin
  • также сканирует исходящий трафик на предмет логинов и паролей, в т.ч. к почтовым сервисам, социальным сетям и т.д.

Для тех, кто перешился на OpenWRT/DD-WRT и думает, что их это не касается - вот аналог (а, может, и предок) по имени psyb0t, который нацелен как раз на альтернативные прошивки: http://users.adam.com.au/bogaurd/PSYB0T.pdf

Другие подробности можно найти в Интернете по запросам DroneBL, psyb0t, Chuck Norris (так окрестили последний ботнет).

В общем, как мне кажется, бытовая техника, подключенная к интернету является гораздо более интересной мишенью для атак, т.к. не находится под постоянным наболюдением (чаще всего, стоит в тёмном углу), на ней нет "противного" Windows Update, прошивки обновляются нечасто, а юзеры не проверяют, разрешен ли доступ к менеджмент интерфейсу из Интернета. С интересом ждем развития темы и появления ботнетов для интеллектуальных холодильников...

+1010
голосов

Напечатать Отправить другу

Читайте также

Действительно, всё логично. Раз есть возможность изменения состояния программным способом и отсутствует администрирование... Обязательно появится какая-нибудь модель использования устройств не по назначению. И ведь претензии к тем самым пользователям даже предьявить нет повода. Их же при покупке убедительно информировали, что просто включите и сразу заработает и даже делать ничего не надо будет. А уж администрировать тем более...

Учитывая, что аппаратные концентраторы и коммутаторы реально никакого ухода не требовали, все перенесли такое отношение и на новомодные управляемые маршрутизаторы бытового уровня.

Ну, когда-то общественность позабавили экплоитом для маршрутизаторов Cisco, который позволял запускать произвольный код - пересобрали сервер Quake2 под IOS :)
Основной проблемой было, как ни странно, то, что процессор там стоял какой-то моторольный и под него очень трудно было найти SDK.

мир спасёт цифровая подпись на исполняемых файлах. логика примерно та же, что и в айфоне - софт должен быть с цифровой подписью, иначе не будет возможности его юзать. такая логика удобна в таких вот миниатюрных устройствах, так как вирусы вряд ли смогут подделать такую подпись. дайте-ка я угадаю, с чего началось развитие этого ботнета - с того , что на многих устройствах юзеры оставили те самые пароли, которые были установлены производителем.

И еще интернет-паспорта для всех пользователей Интернет, ага.

Я вот всё жду, когда напишут мега-апп для iPhone (по аналогии с полезными программками vkontakte), который на самом деле окажется трояном и поднимается ботнет на iPhone. Хотел даже об этом в блоге написать, но сдержался - вот уж где есть огромное количество людей, которые просто не представляют, что происходит внутри их телефона, а благодаря усилиям Apple, ещё и не имеют толком над ним контроля. А тут и iPad подоспевает :) Правда, у Apple жесткий фейс-контроль, но уверен, его можно обойти.

Цифровая подпись не поможет - даже у M$ были прецеденты, когда своровали несколько ключей и запускали вирусню через Windows Update.

Цифровая подпись не поможет - даже у M$ были прецеденты

спасибо за инфу, не знал про прецеденты кражи ключей. а по сабжу -
если человек не знает, как составлять пароли - это беда. казалось бы, сколько раз говорилось на эту тему, а воз и ныне там. больше добавить нечего...

Каждый раз, обновляя (для себя, не в производстве!) известный годами софт, ловлю себя на мысли - а не взломали ли сайт, не подкинули ли троянов вез ведома сборщиков из библиотек?

Конечно, до паранойи в виде инсталяции всего и тестирования в песочнице не дошло, но каждый раз приходится себя немного "уговаривать".

Но тут я действительно могу хоть "пощупать", а в закрытых системах (хоть роутер, хоть iPhone) - никак.

А про смену пароля надо в инструкции писать!

Исключительно ради справедливости... :) Не знаю как там в инструкциях к злополучным модемам, а в инструкциях к домашним роутерам ASUS рекомендация про смену заводских паролей есть. Да и у D-Link, насколько помню, тоже. Проблема больше в пользователях и переносе их стереотипов с коробочек которые реально не требовали администрирования на такую же внешне но куда более интеллектуальную внутри технику. Ну и кто ж у нас читает те инструкции... ;)
Такие себе, милые шутки прогресса и миниатюризации...

Значит, нужно в ходе процедуры первого запуска принудительно предлагать установить пароль. Без возможности оставить старый.

Від переповнення буфера цифровий підпис не порятує, шкідливий код буде виконуватися в межах запущеного "підписаного" процесу, хоча на деяких архітектурах від цього є ніби апаратний захист. Враховуючи як часто оновлюються системні бібліотеки в прошивках виробниками знайти готовий екплоїт не складає особливої проблеми. А тепер додайте досить наплювательське відношення виробників домашніх до безпеки, а також термін підтримки продуктів близько року то вважайте що все лише починається.

до использования уязвимостей Linux (коих для бытовой техники уже опубликовано немало)

Трёп. Дайте ссылку на описание конкретной уязвимости именно Линукса именно в MIPS модемах или роутерах. Нет таких.

У некоторых DSL-модемов (не только Netcomm NB5) web- или telnet- интерфейс по умолчанию доступен со стороны Интернета, и известен пароль по умолчанию - это и есть единственный способ заражения. Да, очень многие не читают инструкции, где написано поменять пароль. Но очень многие и используют винду, хотя есть бесплатные альтернативы (не только Linux) несравнимо безопаснее. ССЗБ.

Собственно а в чем проблема? Ну есть теперь ботнеты на специализированных компьютерах (если стоит Линукс то это уже компьютер), а что в этом неожиданного? Есть ПЗУ, ОЗП, ЦП - ОС Линукс, вирусы все равно рано или поздно бы появились. Я даже не уверен что стоит особо с ними бороться(на теперешнем этапе развития вредоносного ПО для такой техники)...так как качественная настройка шлюза вместе с переведением его в режим только для чтения просто запрет шалунишек в домашней сети.

Если Вы не заметили, проблема в том, что обыватель не желает читать инструкций и администрировать свои специализированные компьютеры. :)
В остальном, всё правильно. Есть ОС, нет администрирования -- будут эпидемии взломов.
Хотя обсуждаемый пример к ОС индеферентен. Это обычное заражение через "беспарольный" логин. Возможно на любой ОС.

Да. Суть в том, что объектами атаки выбраны устройства, в которые никто регулярно не заглядывает (о отличии от ПК и серверов) - один раз настроил и забыл.

Вторая мысль в том, что даже в таких простых коробочках крутится довольно взрослая ОС, со всеми плюсами и минусами (среди которых есть и уязвимости).

Третье - большинство пользователей таких коробочек не являются специалистами в безопасности, не в курсе best practices и зачастую даже не читают инструкции, т.к. склонны считать, что "вендор уже подумал за нас".

Второе плюс третье, в сумме помноженное на первое сулит немалые перспективы для злоумышленников.

Я заметил, но пользователи ж вообще ничего не желают делать им неинтересного. Раньше была проблема с установкой устройств (IRQ, DMA - кто-то помнит еще), после появления Plug and Play вопрос был в принципе снят. Есть еще такая штука как UPnP (сетевой Plug and Play ) - веду к тому что нужно научить роутеры при подключении к сети разрешать все что лезет в сеть а потом только его и пускать. А для пользователей сделать красочный и простой интерфейс по изменению сего (изменять придется редко, только когда новая железка в доме). И пусть привыкают, что минимальная настройка софта это такая же часть установки современного сетевого устройств как и проведение сетевого кабеля, установка подставки (тумбы, стола etc).

Хорошо, хоть, что Wi-Fi Protected Setup сделали.

И вот производитель роутера настоятельно рекомендует гражданину этот роутер приобревшему зарегистрировать его и получать информацию об обновлениях и всяких таких критических вещах как проникновение в его дом при помощи троянов и т.д. Пользователь стран СНГ бумажку о регистрации достав кипу бумаг из упаковки в мусорник отправляет первой. Или уныло отвечает "так тут по "ненашему" написано". Вот и вся мораль.

Значит, нужно придумать способ без регист­ра­ции. Не всем нравится, когда "он и меня посчитал".
А в продуктах, продающихся в "нашей" стране, всё должно быть написано (или, хотя бы, продублировано) "по-нашему", чтобы наш человек понял. НЯЗ, это вообще требвание сертификации.

Ну, а терь и до мобилок добрались: http://ko.com.ua/node/50952

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT