Gå til innhold

NorSIS er bekymret: Kildekode brukt i ett av tidenes største DDoS-angrep er publisert på nettet

Kurt Lekanger

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
The Woodster

The Woodster

Skrevet
Skrevet

Det bør være straffbart å være uansvarlig utvikler. Håper de lager automatiserte verktøy for å scanne etter IoT enheter og standard sårbarheter og legger de ut på nett. Da kan vi i alle fall ruste oss litt for angrepene som vil komme fremover. Forhåpentligvis blir IoT regulert før den tid.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

"Seniorrådgiver Bjarte Malmedal i NorSIS tror tjenestenektangrep forårsaket av infiserte IoT-enheter kommer til å bli et stort problem i fremtiden. "

 

Called it :(

 

IoT: så mange som mulig enheter produsert så billig så mulig med så få oppdateringer som mulig som skal stå så lenge som mulig uten vedlikehold. Før disse nye operativsystem(-variantene) får kjørt seg skikkelig og kommer opp på et sikkert nivå, så vil det bli satt opp millioner og milliarder av enheter med snart kjente sikkerhetshull som internet skal få slite med i mange tiår framover. Enhetene vil stå der lenge etter leverandørene forsvinner.

  • Liker 1
Lenke til kommentar
madammim

madammim

Skrevet
Skrevet

Hvilke enheter er det egentlig snakk om? TV-er/kameraer og slikt utstyr har jo hatt nett-tilkobling lenge, men er det blitt vanlig å ha kjøleskap, vaskemaskin og sånt på nett?

 

Det burde komme et felles, internasjonalt lovverk på dette. Kanskje vanskelig, men EU og USA burde få til noe. Og så kunne de i fellesskap tvinge gjennom samme restriksjoner i andre marked mot å gi produsenter tilgang på "vesten". Det må jo være i alles interesse, kanskje da med unntak av useriøse produsenter.

 

Kanskje en mulighet å pålegge produsentene å oppdatere alle solgte enheter hvert år med ny programvare. Så gjøre det så enkelt for forbrukerne å oppdatere at alle gjør det. Feks en app (felles for alt, ikke en per produsent) på telefonen som varsler at ny programvare er tilgjengelig, "ønsker du å installere Y/N"? Dersom det ikke ble oppdatert minst hvert år så ligger det inne mekanismer som kobler enheten av nettet til ny programvare er installert. De som ikke har/bruker smarttelefoner vil vel heller ikke savne muligheten til å ha fryseren online... :)

Lenke til kommentar
mathiash98

mathiash98

Skrevet
Skrevet

Hvilke enheter er det egentlig snakk om? TV-er/kameraer og slikt utstyr har jo hatt nett-tilkobling lenge, men er det blitt vanlig å ha kjøleskap, vaskemaskin og sånt på nett?

 

 

Vet ihvertfall at kameraer har vært usikre i lang tid, spesielt de med egen ip adresse på nett. Det har vært så lett som å bare skrive en liten setning i Google så får du opp hundrevis av kameraer som bruer standard passord. Og da er set ganske lett å bryte seg inn
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Hvilke enheter er det egentlig snakk om? TV-er/kameraer og slikt utstyr har jo hatt nett-tilkobling lenge, men er det blitt vanlig å ha kjøleskap, vaskemaskin og sånt på nett?

 

 

Vaskemaskiner med nett finnes, men jeg vet ikke hvor etterspurt det egentlig vil bli, jeg hører pipinga på gammelmåten også. Kjøleskap-apper blir kanskje en ting, sånn at man vet hva man skal handle - hvis man bare får det enkelt nok. Fjernopptak til PVRen er kanskje en greie, hvis ikke PVRer forsvinner fra stuene før det skjer. TVen har nok mer behov for klienttjenester enn servertjenester. 

 

Smarthjem: 

 

Adaptre for oppvarming av hytta er vanlig, men disse går i dag over mobilnettet. Man kan likevel se for seg videreutvikling av smarthjem som tar tilsvarende over IPv6, pluss sjekk av om dørene er låste, varmen er slått av/på, komfyren er slått av, fuktsensorer i kjelleren, sensorer i vinduer, brannvarslere.

 

Offentlig IoT: 

 

Et vanlig brukt eksempel er brusmaskiner. Coca-Cola har faktisk reservert 16 millioner gammeldagse IPv4-adresser. Andre typer salgsautomater er også interessant å kunne sjekke sentralt, slik at man kan planlegge påfyll. Temperatursensorer og veisensorer kan være med på å redusere kostnader og responstid for veivesenet og Mesta. Hinderlys og gatelys kan ha statussensor slik at man kan oversikt over at utstyret virker uten lokal inspeksjon. Elverk og liknende har kanskje også endel utstyr som i dag ikke kan kontrolleres annet enn lokalt. Det er mulig å se for seg sensorer tilknyttet vannrør og kloakkanlegg, selv om nettilgang kanskje kan være en utfordring.

 

Sporing av fartøy og eiendeler. Sporing av dyr. Tek har hatt artikler om smartklokker for barn. Desto lavere prisen blir, desto flere bruksområder kan man se for seg. 

 

Jeg liker å bruke eksemplet med IoT-enheter i hver lyktestolpe. Se for dere følgende scenario: man setter inn sensorer som overvåker lyktens status, hver sensor kan være selvstendig for enkel og rimelig montering. Gjennom overvåkningsprogramvare hos en leverandør sjekkes hver sensor løpende og gir en oversikt over status i veinettet. Etter 4 år vinner et nytt firma anbud for overvåkning av veibelysningen, og har et nytt, enklere system som kan koble seg på de samme sensorene. Det første firmaet legger ned, og all dokumentasjon om operativsystemet i sensorene forsvinner. Hardware ble bygget på bestilling fra Kina. De brukte et enkelt IoT-operativsystem i prototype-versjon når de lagde enhetene. Det første firmaet hadde en viss kontroll med sikkerhetshull på disse, og gjennomførte sporadiske oppdateringer av programvaren i lyktene. Det neste firmaet forholder seg bare til signalprotokollen og viser status i sitt system status på lyktene. 

 

I mellomtiden har noen funnet en feil i en av protokollene som er påkrevd i sensorene, scanner det utvidede Internett etter sårbare enheter, og finner flere hundre millioner enheter som inneholder denne svakheten. Inkludert flere titalls millioner lyktestolper i Norge. Disse blir infiserte og satt opp med et distribuert bot-nett som brukes, ikke til et DDOS-angrep men til å kjøre kalkulasjoner for å f.eks. knekke krypteringer. Hullet tettes igjen av de som har tatt kontroll, enhetens passord blir blokkert, men lyktesensoren fortsetter å gjøre jobben sin. Og voila, noen kontrollerer et voldsomt ondsinnet nettverk uten at noen legger merke til det. Dette nettverket kan bli stående oppe så lenge som til neste gang man bytter lyktestolper - om mange tiår. 

 

IoT er i en svært sårbar fase, og det er viktig å få på plass gode løsninger for distribusjon av oppdateringer.

 

 

Edit: jeg aner ikke hvor mange lyktestolper det er i Norge. ;) 

Endret av tommyb
  • Liker 2
Lenke til kommentar
jornonet

jornonet

Skrevet
Skrevet

Går det ikke an å pumpe ut en vaksine? En klone av infeksjonen, som mangler kodelinjene med det skadelige innholdet.

 

Tjo, i noen tilfeller kan det være et tenkt scenario. Og det har også faktisk skjedd en gang (http://www.ibtimes.co.uk/linux-wifatch-routers-hacked-by-white-hat-virus-that-makes-them-more-secure-against-malware-1522214 ).

 

Likevel - problemer er at man gjør noe ulovlig ved å gjøre det, ettersom det skjer via uautorisert tilgang / "hacking" av enheten for å "vaksinere" den.

  • Liker 1
Lenke til kommentar
madammim

madammim

Skrevet
Skrevet

 

Hvilke enheter er det egentlig snakk om? TV-er/kameraer og slikt utstyr har jo hatt nett-tilkobling lenge, men er det blitt vanlig å ha kjøleskap, vaskemaskin og sånt på nett?

 

Vet ihvertfall at kameraer har vært usikre i lang tid, spesielt de med egen ip adresse på nett. Det har vært så lett som å bare skrive en liten setning i Google så får du opp hundrevis av kameraer som bruer standard passord. Og da er set ganske lett å bryte seg inn

 

Da bør jo første trinn være å forby salg av enheter med "standard" passord, eller passord som genereres ut av en algoritme som kan bli kjent/spredt (var det ikke noe med et Telenor-modem for et par år siden?)

Lenke til kommentar
IM0T45WW

IM0T45WW

Skrevet
Skrevet

Det første firmaet legger ned, og all dokumentasjon om operativsystemet i sensorene forsvinner. Hardware ble bygget på bestilling fra Kina. De brukte et enkelt IoT-operativsystem i prototype-versjon når de lagde enhetene. Det første firmaet hadde en viss kontroll med sikkerhetshull på disse, og gjennomførte sporadiske oppdateringer av programvaren i lyktene. Det neste firmaet forholder seg bare til signalprotokollen og viser status i sitt system status på lyktene. 

 

Dette er en av flere grunner for at det er helt idiotisk at ikke alt offentlig software/hardware burde ha en open source licence. Alt av offentlig software og hardware er betalt for av "våre" penger, og følgelig skulle all dokumentasjon være tilgjengelig for oss. Da hadde man ikke hatt dette problemet i like stor grad.

 

Tenk på hvilket stadiet operativsystemer hadde vært om ikke stater verden over hadde støtter vendor-lockin. Forestill deg hvor verden hadde vært om alle verdens stater forlanget at software/hardware hadde kommet betalerne tilgode. GNU/Linux ville vært enda bedre enn det allerede er. Vi hadde hatt open source CPUer og GPUer. Utviklingen hadde vært eksponensielt mye raskere.

  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

 

Det første firmaet legger ned, og all dokumentasjon om operativsystemet i sensorene forsvinner. Hardware ble bygget på bestilling fra Kina. De brukte et enkelt IoT-operativsystem i prototype-versjon når de lagde enhetene. Det første firmaet hadde en viss kontroll med sikkerhetshull på disse, og gjennomførte sporadiske oppdateringer av programvaren i lyktene. Det neste firmaet forholder seg bare til signalprotokollen og viser status i sitt system status på lyktene. 

Dette er en av flere grunner for at det er helt idiotisk at ikke alt offentlig software/hardware burde ha en open source licence. Alt av offentlig software og hardware er betalt for av "våre" penger, og følgelig skulle all dokumentasjon være tilgjengelig for oss. Da hadde man ikke hatt dette problemet i like stor grad.

 

Det er et sidepoeng, men siden du går den veien: eksemplet mitt fungerer like godt om det første firmaet brukte Open Source. Det andre firmaet var kun interessert i signalprotokollen slik at de billigst mulig kunne vise status på lyktene og dermed vinne anbudet. Og er det noe vi har lært av f.eks. Shellshock, så er det at peer review av kode trenger incentiver, typisk økonomiske sådanne. 

 

Når det er sagt, så holder jeg det langt mer sannsynlig at et nytt, bygget fra bunnen av OS som brukes av flere aktører samtidig, vil det avdekkes flere sikkerhetshull tidligere i prosessen enn dersom det var lukket og brukt av kun en aktør. Med mindre det settes av egne ressurser til kodekontroll, da, men det kan jo gjøres i begge modellene og da vil fortsatt åpent ha et fortrinn der. 

 

 

 Tenk på hvilket stadiet operativsystemer hadde vært om ikke stater verden over hadde støtter vendor-lockin. Forestill deg hvor verden hadde vært om alle verdens stater forlanget at software/hardware hadde kommet betalerne tilgode. GNU/Linux ville vært enda bedre enn det allerede er. Vi hadde hatt open source CPUer og GPUer. Utviklingen hadde vært eksponensielt mye raskere.

 

Tja, en av de største statene med ca. 20 % av verdens befolkning prøvde seg jo på dette med Red Flag Linux. 

Lenke til kommentar
FrodeN

FrodeN

Skrevet
Skrevet

Koden har vært tilgjenglig over lengre tid. Ser ikke noe problem med det, den bruker bare svakheten og dumheten til brukerene som ikke gidder forandre standard login detaljer. Dvs alle iot maskiner med standard oppsett er enkelt og få tilgang til. Kjapt søk i google gir deg default bruker/pass til fleste iot enheter.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...