Przyzwyczailiśmy się od dawna, że tzw. duże media jeżeli chodzi o technologie często piszą bzdury. Jednak ostatnio skala tego zjawiska przybrała bardzo niepokojące rozmiary – właśnie przez światowy internet przewala się tsunami bzdury. Tak jak prawdziwe tsunami często jest wywołane trzęsieniem ziemii, tak i to zaczęło się od kataklizmu, czyli piątkowego ataku DDoS.
Dobra, jak zwykle jestem winien kilka słów wstępu dla laików.
DoS – Denial of Service (nie mylić z systemem DOS Microsoftu) to zablokowanie serwerów poprzez zajęcie ich odpowiadaniem na fałszywe (lub i nie..) żądania usługi wysyłane przez atakującego. Łatwe do zablokowania oraz do znalezienia atakującego. Dlatego też powstał…
DDoS – Distributed DoS, to samo co powyżej, jednak zamiast jednego wielkiego strumienia żądań, mamy wielką ilość małych żądań. Znacznie trudniej go zablokować, w zasadzie obecnie jedynie skuteczne rozwiązanie polegają na leczeniu objawów, a nie przyczyn (ale to temat na zupełnie inny artykuł…)
IoT – Internet of Things – modna nazwa (ang. buzzword) ukuta na te wszystkie urządzenia codziennego użytku, które ostatnio zyskały możliwość podpięcia do sieci komputerowej, a przez nią niekiedy do internetu, w celu przesyłania danych i/lub zdalnego sterowania (np. ze smartfona). Obejmuje to wszystkie lodówki z internetem, zdalnie sterowane przez internet ekspresy do kawy, kamerki IP, termostaty, stacje pogodowe, amplitunery kina domowego, odtwarzacze DVD i tysiące innych zabawek. Zazwyczaj mają one wbudowany mały jednoukładowy komputerek (ang. SOC – System On-a-Chip) pracujący pod kontrolą okrojonej wersji Linuxa. A skoro Linux, to zazwyczaj i kilka innych skryptów daje się upchnąć, często niezauważalnie.
Na koniec jeszcze jedno wyjaśnienie się należy – wirusy naszych domowych zabawek częściowo tylko przypominają wirusy z komputerów. W zasadzie wspólne mają tylko to, że są niechcianym i szkodliwym oprogramowaniem. O ile te pecetowe kradną hasła, wysyłają spam albo wręcz „kopią” kryptowalutę (np. bitcoin) to urządzenia doookoła mają na tyle słabe procesory, że nie tylko cokolwiek wymagającego mocy obliczeniowej byłoby momentalnie zauważone, ale i tak nic nie dałoby się użytecznego zrobić. Poza… przesłaniem dalej żadań internetowych, czyli „odpalenia” ataku DDoS.
Dlaczego jest łatwo stworzyć taki botnet? Z trzech powodów:
- Producenci często oszczędzają na programistach biorąc gotowe rozwiązania, często open source (niekiedy nawet łamiąc postanowienia licencyjne), bez zagłębiania się w dostosowanie do konkretnych potrzeb oraz bez łatania dziur i bez wypuszczania zaktualizowanych wersji oprogramowania
- Z tego samego powodu często zabezpieczenia połączeń są bardzo słabe, często urządzenia łączą się automatycznie ze słabo zabezpieczonymi serwerami producenta, albo wręcz przez niedbalstwo pozwala na przejęcie systemu automatycznej aktualizacji, jak to przydarzyło się producentowi popularnego osprzętu sieciowego TP-Link.
- Last but not least (jak mawiają rosjanie…) niefrasobliwi użytkownicy często pozostawiają domyślne hasła, ułatwiając włamanie.. jakie włamanie, przejęcie urządzenia.
Wszystkie powyższe przesłanki powodują, że IoT stanowi idealne wręcz pole do działania dla botnetu. I taki właśnie botnet powstał, nazywa się Mirai. Rośnie w siłę – ogromną. W piątek nastąpiło próbne jego „odpalenie”, które uniemożliwiło używanie sporej części internetu. A użyto tylko ułamek jego mocy. O samym ataku możecie poczytać tutaj, tutaj, tutaj a nawet tutaj
Przejdźmy jednak, jak mawiał niezapomniany kolega nadredaktor, „do adremu”.
Dziś pojawiły się analizy piątkowego ataku. I.. szczerze mówiąc, aż przykro je czytać. Jakby takie informacje podał pudelek, technopudelek czy nawet szeroko znany z rzetelności i fachowości portal gazeta.pl, to w sumie dałoby się to jakoś przełknąć.
Ale jednak mówimy o tekstach:
- Brytyjskiej gazety Telegraph
- Szeroko znanego i zazwyczaj bardzo fachowego portalu Engadget (Engadget pojechał „po bandzie” najmocniej załączając stosowną fotkę, o tym poniżej)
- Równie znany fachowy portal The Verge
- Tak samo znany portal BGR.com i wiele, wiele innych…
Co ciekawe, amerykański PCWorld nazwał już produkty prawidłowo. Otóż wszystkie powyższe doniesienia wymieniają chińską firmę Hangzhou Xiongmai Technology Co., Ltd. jako producenta, którego produkty stanowiły sporą część botnetu. Może nie większą, ale jednak istotną.
Ile czasu zajmuje sprawdzenie, co produkuje Hangzhou Xiongmai Technology Co., Ltd.? Mnie zajęło jakieś 15 sekund. Już w pierwszych wynikach google jest link do ich strony w chińskiej hurtowni elektronicznej Alibaba (nie mylić z należącym do tej samego właściciela popularnego sklepu detalicznego Aliexpress) podstrony tej firmy.
Znajduje się ona tutaj: https://hzxm.en.alibaba.com. Nie trzeba być Einsteinem, żeby zobaczyć tam osprzęt do telewizji CCTV, czyli kamer stosowanych na różnych obiektach przemysłowych a ostatnio nawet w domach. Większość z nich od dawna ma złącze ethernet i funkcje sieciowe.
Jednym z produktów jest popularna kamera CCTV IP 720p, która zapewne miała swój udział w ataku:
Tymczasem „fachowi” i wiedzący o czym piszą „dziennikarze” masowo ilustrowali teksty kamerkami webowymi na USB, które nadają się jedynie do Skype i innych rozmów internetowych, tak jak Microsoft Lifecam, którym zilustrował tekst wspomniany Engadget…
Normalnie cycki opadają, jak zwykł mawiać wujek Ździsiek.
Po raz kolejny przypomnę – nie mówimy o pudelku, technopudelku czy też wybiórczej…. Mówimy o portalach tematycznych, których głównym celem jest edukowanie ludzi w tematach okołotechnologicznych, które to edukowanie mogłoby sie przyczynić do wzrostu świadomości ogólnie rozumianego tematu IT Security, a w efekcie lepszej konfiguracji takich urządzeń i ograniczenia, chociaż częściowego, zasięgu botnetu Mirai i ich następców.
Tymczasem zdezorientowani czytelnicy będa się zastanawiać w jaki sposob zainfekowano przez USB ich Lifecama. Żenada.
Leave a Reply
You must be logged in to post a comment.