+1010 голосов |
Дожились.. Собственно ничего из ряда вон выходящего, но показывает достижение определенного рубежа, и появление нового перспективного направления для атак.
Недавно увидел интересную новость и копнул Интенет чуть поглубже. Оказыается, уже некоторое время на просторах сети живет и развивается ботнет, распространяющийся через домашние роутеры, DSL-модемы, медиаплееры, ТВ-приставки и т.д.!
В общем-то неудивительно - в подавляющем большинстве вышеперечисленных устройств используется Linux, от ошибок он тоже не застрахован, и эксплоитить его уязвимости можно точно так же, как и на больших ПК. Особенно, учитывая то, что прошивки "бытовых" устройство производители обновляют довольно редко, а приличная часть юзеров даже не удосуживается сменить пароль по умолчанию. Так что с технической точки зрения всё просто и обыденно.
Впечатляет другое. Задумайтесь, какое количество этих маленьких невзрачных коробочек сейчас подключено к интернету! Думаю, сопоставимо с количеством ПК (у типичной семьи - Wi-Fi ротуер для выхода в интернет и модем, у не-компьютерной семьи может быть медиплеер или аналог TiVo, у гиков - 5-6 коробок, включая NAS), и уж точно гораздо больше, чем домашних ПК на Linux. НО как часто в них заглядывает владелец? Как частно обновляет прошивку? Кто пытался получить от провайдера подробный отчет об исходящем трафике? В общем - с точки зрения маскировки - гениально и просто!
Некоторые технические подробности:
- Нацелен исключительно на устройства на платформе MIPS
- Не трогает ПК и серверы
- Использует разные методы внедрения - от подбора паролей (по умолчанию, по словарю и грубой силой) до использования уязвимостей Linux (коих для бытовой техники уже опубликовано немало)
- (как я понял из текста) атаки на пароли проводятся группами уже зараженных устройств
- ботнет используется для коллективных атак на пароли и организации DDoS атак,
- также сканирует сеть на предет уязвимых серверов MySQL и PHPMyAdmin
- также сканирует исходящий трафик на предмет логинов и паролей, в т.ч. к почтовым сервисам, социальным сетям и т.д.
Для тех, кто перешился на OpenWRT/DD-WRT и думает, что их это не касается - вот аналог (а, может, и предок) по имени psyb0t, который нацелен как раз на альтернативные прошивки: http://users.adam.com.au/bogaurd/PSYB0T.pdf
Другие подробности можно найти в Интернете по запросам DroneBL, psyb0t, Chuck Norris (так окрестили последний ботнет).
В общем, как мне кажется, бытовая техника, подключенная к интернету является гораздо более интересной мишенью для атак, т.к. не находится под постоянным наболюдением (чаще всего, стоит в тёмном углу), на ней нет "противного" Windows Update, прошивки обновляются нечасто, а юзеры не проверяют, разрешен ли доступ к менеджмент интерфейсу из Интернета. С интересом ждем развития темы и появления ботнетов для интеллектуальных холодильников...
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+1010 голосов |
Действительно, всё логично. Раз есть возможность изменения состояния программным способом и отсутствует администрирование... Обязательно появится какая-нибудь модель использования устройств не по назначению. И ведь претензии к тем самым пользователям даже предьявить нет повода. Их же при покупке убедительно информировали, что просто включите и сразу заработает и даже делать ничего не надо будет. А уж администрировать тем более...
Учитывая, что аппаратные концентраторы и коммутаторы реально никакого ухода не требовали, все перенесли такое отношение и на новомодные управляемые маршрутизаторы бытового уровня.
Ну, когда-то общественность позабавили экплоитом для маршрутизаторов Cisco, который позволял запускать произвольный код - пересобрали сервер Quake2 под IOS :)
Основной проблемой было, как ни странно, то, что процессор там стоял какой-то моторольный и под него очень трудно было найти SDK.
мир спасёт цифровая подпись на исполняемых файлах. логика примерно та же, что и в айфоне - софт должен быть с цифровой подписью, иначе не будет возможности его юзать. такая логика удобна в таких вот миниатюрных устройствах, так как вирусы вряд ли смогут подделать такую подпись. дайте-ка я угадаю, с чего началось развитие этого ботнета - с того , что на многих устройствах юзеры оставили те самые пароли, которые были установлены производителем.
И еще интернет-паспорта для всех пользователей Интернет, ага.
Я вот всё жду, когда напишут мега-апп для iPhone (по аналогии с полезными программками vkontakte), который на самом деле окажется трояном и поднимается ботнет на iPhone. Хотел даже об этом в блоге написать, но сдержался - вот уж где есть огромное количество людей, которые просто не представляют, что происходит внутри их телефона, а благодаря усилиям Apple, ещё и не имеют толком над ним контроля. А тут и iPad подоспевает :) Правда, у Apple жесткий фейс-контроль, но уверен, его можно обойти.
Цифровая подпись не поможет - даже у M$ были прецеденты, когда своровали несколько ключей и запускали вирусню через Windows Update.
спасибо за инфу, не знал про прецеденты кражи ключей. а по сабжу -
если человек не знает, как составлять пароли - это беда. казалось бы, сколько раз говорилось на эту тему, а воз и ныне там. больше добавить нечего...
Каждый раз, обновляя (для себя, не в производстве!) известный годами софт, ловлю себя на мысли - а не взломали ли сайт, не подкинули ли троянов вез ведома сборщиков из библиотек?
Конечно, до паранойи в виде инсталяции всего и тестирования в песочнице не дошло, но каждый раз приходится себя немного "уговаривать".
Но тут я действительно могу хоть "пощупать", а в закрытых системах (хоть роутер, хоть iPhone) - никак.
А про смену пароля надо в инструкции писать!
Исключительно ради справедливости... :) Не знаю как там в инструкциях к злополучным модемам, а в инструкциях к домашним роутерам ASUS рекомендация про смену заводских паролей есть. Да и у D-Link, насколько помню, тоже. Проблема больше в пользователях и переносе их стереотипов с коробочек которые реально не требовали администрирования на такую же внешне но куда более интеллектуальную внутри технику. Ну и кто ж у нас читает те инструкции... ;)
Такие себе, милые шутки прогресса и миниатюризации...
Значит, нужно в ходе процедуры первого запуска принудительно предлагать установить пароль. Без возможности оставить старый.
Від переповнення буфера цифровий підпис не порятує, шкідливий код буде виконуватися в межах запущеного "підписаного" процесу, хоча на деяких архітектурах від цього є ніби апаратний захист. Враховуючи як часто оновлюються системні бібліотеки в прошивках виробниками знайти готовий екплоїт не складає особливої проблеми. А тепер додайте досить наплювательське відношення виробників домашніх до безпеки, а також термін підтримки продуктів близько року то вважайте що все лише починається.
Трёп. Дайте ссылку на описание конкретной уязвимости именно Линукса именно в MIPS модемах или роутерах. Нет таких.
У некоторых DSL-модемов (не только Netcomm NB5) web- или telnet- интерфейс по умолчанию доступен со стороны Интернета, и известен пароль по умолчанию - это и есть единственный способ заражения. Да, очень многие не читают инструкции, где написано поменять пароль. Но очень многие и используют винду, хотя есть бесплатные альтернативы (не только Linux) несравнимо безопаснее. ССЗБ.
Собственно а в чем проблема? Ну есть теперь ботнеты на специализированных компьютерах (если стоит Линукс то это уже компьютер), а что в этом неожиданного? Есть ПЗУ, ОЗП, ЦП - ОС Линукс, вирусы все равно рано или поздно бы появились. Я даже не уверен что стоит особо с ними бороться(на теперешнем этапе развития вредоносного ПО для такой техники)...так как качественная настройка шлюза вместе с переведением его в режим только для чтения просто запрет шалунишек в домашней сети.
Если Вы не заметили, проблема в том, что обыватель не желает читать инструкций и администрировать свои специализированные компьютеры. :)
В остальном, всё правильно. Есть ОС, нет администрирования -- будут эпидемии взломов.
Хотя обсуждаемый пример к ОС индеферентен. Это обычное заражение через "беспарольный" логин. Возможно на любой ОС.
Да. Суть в том, что объектами атаки выбраны устройства, в которые никто регулярно не заглядывает (о отличии от ПК и серверов) - один раз настроил и забыл.
Вторая мысль в том, что даже в таких простых коробочках крутится довольно взрослая ОС, со всеми плюсами и минусами (среди которых есть и уязвимости).
Третье - большинство пользователей таких коробочек не являются специалистами в безопасности, не в курсе best practices и зачастую даже не читают инструкции, т.к. склонны считать, что "вендор уже подумал за нас".
Второе плюс третье, в сумме помноженное на первое сулит немалые перспективы для злоумышленников.
Я заметил, но пользователи ж вообще ничего не желают делать им неинтересного. Раньше была проблема с установкой устройств (IRQ, DMA - кто-то помнит еще), после появления Plug and Play вопрос был в принципе снят. Есть еще такая штука как UPnP (сетевой Plug and Play ) - веду к тому что нужно научить роутеры при подключении к сети разрешать все что лезет в сеть а потом только его и пускать. А для пользователей сделать красочный и простой интерфейс по изменению сего (изменять придется редко, только когда новая железка в доме). И пусть привыкают, что минимальная настройка софта это такая же часть установки современного сетевого устройств как и проведение сетевого кабеля, установка подставки (тумбы, стола etc).
Хорошо, хоть, что Wi-Fi Protected Setup сделали.
И вот производитель роутера настоятельно рекомендует гражданину этот роутер приобревшему зарегистрировать его и получать информацию об обновлениях и всяких таких критических вещах как проникновение в его дом при помощи троянов и т.д. Пользователь стран СНГ бумажку о регистрации достав кипу бумаг из упаковки в мусорник отправляет первой. Или уныло отвечает "так тут по "ненашему" написано". Вот и вся мораль.
Значит, нужно придумать способ без регистрации. Не всем нравится, когда "он и меня посчитал".
А в продуктах, продающихся в "нашей" стране, всё должно быть написано (или, хотя бы, продублировано) "по-нашему", чтобы наш человек понял. НЯЗ, это вообще требвание сертификации.
Ну, а терь и до мобилок добрались: http://ko.com.ua/node/50952