image

Gehackte videorecorders achter grote ddos-aanval van gisteren

zaterdag 22 oktober 2016, 07:57 door Redactie, 26 reacties

Verschillende botnets die voornamelijk uit gehackte digitale videorecorders bestaan, alsmede ip-camera's, routers en Linux-servers, waren gisteren verantwoordelijk voor de grote ddos-aanval op dns-aanbieder Dyn waardoor populaire websites als Twitter, Netflix, GitHub en Spotify slecht of onbereikbaar waren.

Dat meldt beveiligingsbedrijf Flashpoint in een blog. Het gaat om apparaten die met de Mirai-malware zijn besmet en onderdeel van verschillende botnets uitmaken, aldus het bedrijf. Mirai infecteert apparaten via standaard wachtwoorden. Begin oktober lekte de broncode van Mirai uit op internet. Sindsdien is het aantal bots tot 493.000 machines gestegen, zo liet internetprovider Level 3 deze week weten. Meer dan 80% van de besmette apparaten zijn digitale videorecorders. De rest bestaat uit routers, ip-camera's en Linux-servers.

Door Mirai besmette machines werden eerder ingezet voor het aanvallen van de website van securityblogger Brian Krebs en de Franse hostingprovider OVH. Destijds ging het nog om één botnet. Sinds het verschijnen van de broncode zijn er meer botnets actief geworden. Volgens Flashpoint verschillen de botnets die tegen Dyn DNS zijn ingezet van die Krebs en OVH aanvielen.

"Het is onbekend of de aanvallen tegen Dyn DNS te maken hebben met de ddos-aanvallen tegen Krebs, OVH en andere eerdere aanvallen. Gegeven de verspreiding van de Mirai-malware is de relatie tussen de ddos-aanvallen op Dyn, eerdere aanvallen en de persoon die de broncode lekte onduidelijk", aldus onderzoekers van het bedrijf. Inmiddels meldt Dyn dat het de aanvallen heeft afgeslagen en alle diensten weer operationeel zijn. Dyn biedt een dienst voor het beheren van het domain name system (dns), dat computers onder andere gebruiken voor het opvragen van websites. De aangevallen websites maakten van deze dienst gebruik.

Reacties (26)
22-10-2016, 09:40 door karma4
IOT bewijst zich maat daarbij Linux veel krachtiger ook in het negatieve van malware.
Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
Hebben we de ethiek hoog staan dan dient al hetgeen als doel heeft anderen te beschadigen bestreden te worden.
22-10-2016, 10:13 door Anoniem
Mensen moeten toch echt achter hun oren gaan krabben: leren we niks van het verleden?
Een iot device gaat nooit zoveel data achter elkaar versturen.
Als je nou een simpele check inbouwt dat als een programma ineens veel data verzend dat het geblokkeerd wordt en de eigenaar waarschuwde.
Maar bovenal raar dat je iot apparaten bij normaal gebruik niet in een read only stand kan zetten zodat malware zich niet kan nestelen.

OK denk ik nou raar...
22-10-2016, 10:37 door Anoniem
Ik snap werkelijk niet waarom bedrijven als Twitter, Netflix en Spotify zich afhankelijk maken van Dyn DNS.
Die lui zijn groot zat om zelf DNS te doen en als ze dat niet willen kunnen ze toch 2 aanbieders nemen?
22-10-2016, 11:03 door Anoniem
Menig mens zal het hier wel herkennen dat er zo vaak geroepen wordt dat men er geen verstand van heeft.
Dit laat dus zien hoe dom de mens is en er niet eens bij stil kan staan dat ze gewoon de sleutel van hun voordeur weggeven.
22-10-2016, 11:06 door Anoniem
Door karma4: IOT bewijst zich maat daarbij Linux veel krachtiger ook in het negatieve van malware.
Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
Hebben we de ethiek hoog staan dan dient al hetgeen als doel heeft anderen te beschadigen bestreden te worden.
Het gaat meestal niet om Linux clients, maar Linux servers (zie bericht) en dat maakt wel degelijk een groot verschil uit. Vooral op server-niveau zal de zaak aangepakt moeten worden.
22-10-2016, 12:10 door [Account Verwijderd] - Bijgewerkt: 22-10-2016, 12:11
[Verwijderd]
22-10-2016, 12:14 door ph-cofi
Door karma4:Hebben we de ethiek hoog staan dan dient al hetgeen als doel heeft anderen te beschadigen bestreden te worden.
Ik verwacht dat de betreffende IoT niet als primair doel hebben om anderen te beschadigen, maar om klanten te bedienen en inkomen aan de fabrikant te brengen. De IoTs hebben wel veel te vaak spionagemogelijkheden ingebouwd, handig voor calling home. De manier waarop de software van die spullen is gebouwd, heeft op zijn minst iets onnozels t/m iets crimineels. Ik hoor nog geen manieren om deze apparaten te temmen. Als we weten welke apparaten het zijn, kunnen we dan geen wereldwijde blokkades op hun IP adressen in de internet backbones installeren oid? Opblazen op afstand kan gelukkig niet, want dan zou iedereen dat voor de lol met elkaars spullen doen.

Door karma4: IOT bewijst zich maat daarbij Linux veel krachtiger ook in het negatieve van malware.
Hier ben ik het mee eens, iedereen kan een Linux versie downloaden en volledig onveilig verkrachten. Ik geloof dat Aziaten hier bijzonder goed in zijn. Overigens, een Win10 core embedded product met een onaanpasbare administrator account en de hele reut aan communicatieprotocollen open, zou precies even kwetsbaar zijn. Security by obscurity blijkt gewoon niet te werken. Zullen we dat soort IoT' kwetsbaarheden binnenkort vinden in betaalautomaten of in ziekenhuizen?

Door karma4:Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
Ook mee eens, ik vind echter dat jouw stelling hier incongruent is met diverse van jouw bijdrages op deze site.
22-10-2016, 13:15 door Anoniem
Beste redactie. De letterlijke tekst van dat security bedrijf is:
has confirmed that some of the infrastructure responsible for the distributed denial-of-service (DDoS) attacks against Dyn DNS were botnets compromised by Mirai malware

Het bedrijf geeft niet aan hoeveel apparaten some zou betekenen. Het enige wat ze hoeven te doen om niet te liegen en met dit mooie nieuwsbericht gratis reclame te krijgen is zelf een paar honeypots neerzetten die ze met opzet mee laten doen in aanvallen.
22-10-2016, 15:20 door karma4
Door ph-cofi: ..(knip)...
Ook mee eens, ik vind echter dat jouw stelling hier incongruent is met diverse van jouw bijdrages op deze site.
Aha, je ziet mijn lijn kennelijk niet. Ik zal proberen hem toe te lichten.
- Ik mis de security awareneness in de praktijk, bij managers en de zogenaamde ICT specialisten.
- Op het vlak van data governance specifiek wie wat mag zien/verwerken met name rond BI / Big data is er nauwelijks iets behoorlijks voor elkaar te boksen. Data scientists worden gezien als domme jongens door OS inrichters (mogen geen shell) en vervolgens komt daar de meest gevoelige data.
- Ik heb het niet zo op de thuis/hobby omgeving maar veel meer op de enterprise zaken. Denk dan ook eens aan het 9 vlaks model van Rik Maes waar elk grote bedrijf iets mee doet.
- Het ongebreideld data verzamelen (sleepnetten) vind ik fout. Het goed gebruik van big data daar tegenover wel goed.

Dat thuis hobby gedoe met alle aandacht voor een eigen machine vind ik veel te kort schieten en met alle nutteloze aandacht die dat vraagt bedreigend voor het grotere geheel. Windows als enige kwaad, Apple dat heilig is, Linux dat niets fout kan doen. Het is die cultuur waarmee er geen ruimte voor security awareness is, laat staan data governance. Je verwoord het goed: "software van die spullen is gebouwd, heeft op zijn minst iets onnozels t/m iets crimineels." Trek dat nu eens door naar de enterprise ICT omgevingen.

Als je mijn bijdragen evalueert in dat kader moet het heel congruent zijn. Ik ben niet zo iemand die lol beleeft met het voor de gek houden van anderen.
22-10-2016, 16:12 door Anoniem
Binnenkort ook je wasmachine en koelkast!
22-10-2016, 16:13 door Briolet
Door Anoniem: Dit laat dus zien hoe dom de mens is en er niet eens bij stil kan staan dat ze gewoon de sleutel van hun voordeur weggeven.

Ik vraag me af of de mensen dit altijd zelf kunnen voorkomen, anders dan dat ding niet aansluiten. Er staat dat 80% van de aanvallen vanuit een digitale videorecorder komt. Volgens mij hebben die doorgaans geen mogelijkheid om een wachtwoord o.i.d. in te stellen. Mijn digitale videorecorder heeft ook een internet toegang, maar absoluut geen instelmogelijkheden. Ik heb wel even getest dat telnet uit staat. Maar als de fabrikant dit aan heeft staan om b.v. updates te pushen, merk je dat als gebruiker niet.

FTP kan ik wel aanzetten op mijn videorecorder, maar voor FTP kan ik het standaard wachtwoord niet aanpassen.
22-10-2016, 16:35 door Anoniem
Door karma4: Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
Als ik me niet vergis ben jij vaak degene die flaming uitlokt door als eerste erover te beginnen als een artikel direct of indirect over Windows of Linux gaat. Ook nu ben je weer de eerste die het onderwerp aankaart. Als je werkelijk OS-flamings achter je wilt laten zou je daar misschien eens me moeten stoppen.
22-10-2016, 17:30 door Anoniem
Door Anoniem: Mensen moeten toch echt achter hun oren gaan krabben: leren we niks van het verleden?
Een iot device gaat nooit zoveel data achter elkaar versturen.
Als je nou een simpele check inbouwt dat als een programma ineens veel data verzend dat het geblokkeerd wordt en de eigenaar waarschuwde.
Maar bovenal raar dat je iot apparaten bij normaal gebruik niet in een read only stand kan zetten zodat malware zich niet kan nestelen.

OK denk ik nou raar...

Uh, ja - je denk raar.
Ik lees "videorecorders, ip camera's" , ik lees je reactie "read only stand" en ik zeg : ja, je denkt raar .
Read Only *recorder* ?

Verder is het helemaal niet raar als een camera behoorlijke volumes data stuurt - die dingen zijn _bedoeld_ om op afstand te bekijken - en eventueel opgeslagen beelden terug te kijken . En dat zijn behoorlijke volumes.

En waar zou die check moeten zitten ? In het gecompromitteerde device niet, dus dan blijft over de huis router, of eventueel de ISP - maar de ISP ziet de devices al niet meer vanwege NAT , die ziet feitelijk alleen de hele aansluiting .
En noch de ISP , noch wij privacy/security nerds _willen_ dat de ISP deep packet inspectie doet ...

De gemiddelde huisrouter optuigen om een beetje slimme IDS/IPS te worden, en dan ook nog bedienbaar voor de 99% gebruikers is ook geen makkelijk pad.

Ik begrijp wel een beetje wat je bedoelt , en de term IoT is nogal overloaded (koelkast/slimme lampen zijn m.i. een andere klasse dan een videorecorder met full blown OS+applicatiestack) , maar ik zie geen simpele fixes in het genre wat je voorstelt.
Natuurlijk zouden de apparaat bouwers het beter kunnen doen dan ze nu doen, en her en der dingen read only zetten kan daar een onderdeeltje van zijn, maar het is gewoon niet simpel.
22-10-2016, 17:37 door karma4
Door Anoniem:
Door karma4: Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
Als ik me niet vergis ben jij vaak degene die flaming uitlokt door als eerste erover te beginnen als een artikel direct of indirect over Windows of Linux gaat. Ook nu ben je weer de eerste die het onderwerp aankaart. Als je werkelijk OS-flamings achter je wilt laten zou je daar misschien eens me moeten stoppen.
Nope, ik ben niet de eerste kijk maar eens naar alle reacties bij Windows onderwerpen (desktop) dat ze zo blij zijn omdat ze Linux gebruiken en andere dat ook moeten doen. Hierboven de reactie Rinjani dat het niet aan Linux ligt maar aan een verkeerder manier van het werken er mee. Dat laatste klopt maar doe dat dan voor alle OS-sen bij voorkeur server side en bij big-data bi omgevingen.
22-10-2016, 21:44 door SecGuru_OTX
Allen,

Mirai staat los van de discussie over welk OS nu wel of niet goed is.

Probleem is hier dat er miljoenen IoT devices, onnodig Telnet open hebben staan met default passwords. We zouden de amateuristische IoT onwikkelaars eens flink moeten aanpakken. Waarom moet Telnet "default" open op een simpele IP camera voor een thuisgebruiker? En waarom altijd die default passwords?

Grootste probleem zijn de mensen die iets ontwikkelen zonder ook maar heel even na te denken over security of risico's. Aan die mensen hebben we het Mirai botnet te danken.

Als ze vanaf het begin af aan alleen de echte noodzakelijk poorten zouden openzetten en random wachtwoorden zouden gebruiken, dan hadden we nu geen last van Mirai.
22-10-2016, 21:49 door Anoniem
Voor de redactie. Brian Krebs is op zijn site via Google niet te vinden. Ik werd er uit gegooid. Via Ixquick pas na vele seconden de site http://krebsonsecurity.com wel gevonden. Dat vond ik vreemd.
23-10-2016, 00:04 door Anoniem
Fabrikanten aansprakelijk stellen voor de schade. Dat is de enige manier om ze te forceren betere kwaliteit en update programma's te leveren.
23-10-2016, 00:15 door Anoniem
Door SecGuru_OTX: Allen,

Grootste probleem zijn de mensen die iets ontwikkelen zonder ook maar heel even na te denken over security of risico's. Aan die mensen hebben we het Mirai botnet te danken.

Hoeveel marketing bureautjes/webdevelopers/zoontjes installeren niet websitetjes van hun klanten op hun niet eens zelf geinstalleerde server en kijken er verder nooit naar?

Grootste probleem is dat 80% van de mensheid een domme koe is.
23-10-2016, 00:48 door Anoniem
Door Anoniem: Ik snap werkelijk niet waarom bedrijven als Twitter, Netflix en Spotify zich afhankelijk maken van Dyn DNS.
Die lui zijn groot zat om zelf DNS te doen en als ze dat niet willen kunnen ze toch 2 aanbieders nemen?

Dat kan ik wel toelichten:

1. Dyn heeft servers die dichter bij de eind gebruiker staan (net als bij een CDN) dus dat werkt sneller

2. die clubs maken gebruik van een systeem om gebruikers naar verschillende servers te sturen (gebruikers uit NL, naar servers in Ierland, oid, etc.). Verschillende aanbieders hebben daar verschillende systemen voor en het is heel ingewikkeld om iets te maken dat regelmatig updates doet naar meerdere aanbieders. Dus kiest men voor 1.
23-10-2016, 02:19 door Anoniem
Probleem is dat deze devices vaak in landen staan waar niemand er naar omkijkt, het word gewoon aangesloten en ze vergeten dat het aanstaat daarnaast zitten er vaak backdoors en hardcoded passwords in de firmware er in gebakken.
Daarnaast staat er bijna altijd upnp aan op elk device waardoor een huis tuin en keuken firewall geen zin heeft.
En nog een probleem is we blijven meer rommel op het internet gooien dan eigenlijk nodig is ( goedkope devices die nooit patches krijgen voor totaal nutteloze dingen )
23-10-2016, 08:49 door karma4
Door SecGuru_OTX: Allen,
Mirai staat los van de discussie over welk OS nu wel of niet goed is. ...(knip)...
Eens het gaat om het behoorlijk inrichten van de gehele omgeving. Je komt dan uit op:
http://www.earonline.nl/index.php/Overzicht_Baseline_Informatiebeveiliging_Rijksdienst_(BIR_2012)
https://www.ibdgemeenten.nl/producten/operationele-producten-big/
Het is de ISO27k reeks wat je ook met NEN7510 terug kan vinden.
Voor NIST heb je bijvoorbeeld http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf (zie b.v. 6.5) dan wel http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-144.pdf

Je hebt het aan de beperkte insteek van velen te danken dat het holistische ontwikkelproces zonder na te denken of security en risico's gaat. Dat begint bij het OS, "moet de applicatie maar oplossen, not my problem" tot bij de gebruiker "als het maar werkt". Pas als je kan loskomen van je eigen beperking/verslaving is er een kans dat dit gaat verbeteren.

Ook consumentenproducten zouden aan bepaalde overeenkomstige richtlijnen moeten voldoen. Zo niet dan is het verplicht isoleren en apart zetten. Bijvoorbeeld een apart routertje verplichten hmet instellingen voor beperkte datastromen.
23-10-2016, 11:08 door [Account Verwijderd]
[Verwijderd]
23-10-2016, 11:42 door Anoniem
Door karma4:
Door ph-cofi: ..(knip)...
Ook mee eens, ik vind echter dat jouw stelling hier incongruent is met diverse van jouw bijdrages op deze site.
Aha, je ziet mijn lijn kennelijk niet. Ik zal proberen hem toe te lichten.

Ik ben het met ph-cofi eens: jouw bijdrage hier is niet in lijn met diverse andere van jouw bijdrages op deze site. Je stelt dat dit bij de lezer van jouw bijdragen ligt, die jouw 'lijn' niet zou kunnen volgen. Ik denk eerder dat het met de incoherentie van jouw bijdragen te maken heeft, waarin het lijkt alsof je zelf jouw 'lijn' niet kan volgen.

Door karma4:Dat thuis hobby gedoe met alle aandacht voor een eigen machine vind ik veel te kort schieten en met alle nutteloze aandacht die dat vraagt bedreigend voor het grotere geheel. Windows als enige kwaad, Apple dat heilig is, Linux dat niets fout kan doen. Het is die cultuur waarmee er geen ruimte voor security awareness is, laat staan data governance. Je verwoord het goed: "software van die spullen is gebouwd, heeft op zijn minst iets onnozels t/m iets crimineels." Trek dat nu eens door naar de enterprise ICT omgevingen.

Het bekende stokpaardje weer, waar je de lezers van jouw reacties onbenulligheid en onbekendheid met 'enterprise' server omgevingen toeschrijft. Ik heb nieuws voor je: de door jou waargenomen beperkingen zijn de jouwe, geprojecteerd op je lezers.

Door karma4:Als je mijn bijdragen evalueert in dat kader moet het heel congruent zijn.

Nee, toch niet eigenlijk...

On-topic: de ongebreidelde groei van IoT-apparaten die aan internet hangen is een regelrechte bedreiging voor dat internet! Fabrikanten aansprakelijk stellen voor via hun onveilige apparaten geleden schade helpt misschien ze te dwingen beter hun best te doen..
23-10-2016, 14:33 door karma4
Door Anoniem: Ik ben het met ph-cofi eens: jouw bijdrage hier is niet in lijn met diverse andere van jouw bijdrages op deze site. Je stelt dat dit bij de lezer van jouw bijdragen ligt, die jouw 'lijn' niet zou kunnen volgen. Ik denk eerder dat het met de incoherentie van jouw bijdragen te maken heeft, waarin het lijkt alsof je zelf jouw 'lijn' niet kan volgen.
[/url]
Ik heb de links waar ik voor security zaken hierboven gepost. Daar kom ik altijd op terug en dat heb ik vanaf het begin gedaan. De reden: De OS nerds willen zich er niets van aantrekken en zijn met hun eigen speeltjes bezig.
Nu ben ik ook thuis in die hoek van het OS. Als ze zich er niets van aan willen trekken is de enige mogelijkheid het inconsistente in hun afgesloten wereldje aan te vallen.
Ken je dat soort richtlijnen frameworks uit mijn eerder post en wat heb je er zelf aan gedaan?

Dit geval van IOT is een voorbeeld van het resultaat van dat niet volgen van dat soort richtlijnen en goedkoop in elkaar zetten. Download maar wat en zet wat in elkaar zodat er verdiend/bespaard kan worden. Niet nieuws het gebeurd in alle lagen van consumenten als doelgroep het bedrijfsleven en de overheid.
24-10-2016, 10:00 door [Account Verwijderd]
[Verwijderd]
24-10-2016, 17:52 door karma4
Rinjani, wil je nu ontkennen dat Telnet ssh etc met linux verbonden is? Alle posts met Windows bashing gezien met de opmerkingen linux is wel goed jullie moeten ovet. Met oss wordt alle code gecontroleerd, fouten zijn onmogelijk.
Het is het negeren van secùrity awereness in de basis.

Nu hebben we deze situatie met iot linux gebaseerd. Als de secùrity awareness wel aangeleerd zou zijn, dan was dit met Mirai niet zo eenvoudig geweest. Het is de situatie nu.

Wat ga jij er doen ter verbetering?
Nee het is geen uitweg om het in het os te gaan zoeken. Dat moet namelijk facilitererend zijn niet leidend.
De vragen discussie in de richting van: Hoe bereik ik ... (bedrijfsdoel) gegeven de volgende randvoorwaarden ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.