image

Linux-malware infecteert Raspberry Pi-computers

donderdag 8 juni 2017, 09:28 door Redactie, 36 reacties

Onderzoekers hebben nieuwe Linux-malware ontdekt die Raspberry Pi-computers infecteert. De Muldrop-malware wordt sinds halverwege mei verspreid. De malware scant naar Pi-machines die via ssh-poort 22 toegankelijk zijn en probeert via een standaardwachtwoord in te loggen.

Eenmaal ingelogd verandert de malware het wachtwoord voor de gebruikersnaam pi en installeert vervolgens een programma om de computer naar digitale valuta te laten minen. Daarnaast zoekt de malware naar andere kwetsbare machines, zo laat het Russische anti-virusbedrijf Doctor Web weten.

Reacties (36)
08-06-2017, 09:36 door Anoniem
Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?
08-06-2017, 10:01 door Anoniem
Ik had eigenlijk verwacht dat zulke malware allang bestaat.
08-06-2017, 10:05 door Anoniem
Niet dom, maar onwetend.
Of je wil een honeypot opzetten :)

~dodo
08-06-2017, 10:21 door Anoniem
Door Anoniem: Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?
Sowieso een PI direct aan het Internet koppelen is al geen slimme actie. Ik snap dat mensen een PI als externe server voor files of DNS willen inzetten maar zorg er dan minimaal voor dat je de firewall goed hebt geconfigureerd. Als je al niet weet hoe je servers op het Internet moet beschermen dan heb je daar al helemaal niets te zoeken. Gewoon niet doen dus.
08-06-2017, 10:44 door Anoniem
Door Anoniem:
Door Anoniem: Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?
Sowieso een PI direct aan het Internet koppelen is al geen slimme actie. Ik snap dat mensen een PI als externe server voor files of DNS willen inzetten maar zorg er dan minimaal voor dat je de firewall goed hebt geconfigureerd. Als je al niet weet hoe je servers op het Internet moet beschermen dan heb je daar al helemaal niets te zoeken. Gewoon niet doen dus.

Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?
08-06-2017, 10:59 door Anoniem
Door Anoniem:
Sowieso een PI direct aan het Internet koppelen is al geen slimme actie.

Waarom is dat dan? Een standaard installatie image met default password niet nee, maar als je er de gebruikelijke
maatregelen op neemt dan maakt het toch totaal geen verschil of het een Pi is of een PC met Linux, een router die
Linux draait, e.d.?
08-06-2017, 11:13 door Anoniem
Als je Pi niet beschermd binnen je eigen netwerk zit, mag je toch op zn mins verwachten dat mensen hun wachtwoord veranderen,.
maargoed, het is een dingetje van 10-35 euro, dan kan iedere jan en alleman zo'n ding neerzetten,.
Kwestie van tijd.
08-06-2017, 11:58 door Anoniem
Lees ze!

https://www.hackster.io/charifmahmoudi/iot-security-tips-to-protect-your-device-from-bad-hackers-768093?ref=platform&ref_id=425_trending___&offset=0
08-06-2017, 12:04 door [Account Verwijderd]
[Verwijderd]
08-06-2017, 12:51 door Anoniem
Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?[/quote]
Zorg ervoor dat je het ww van de gebruiker Pi veranderd en dat SSH wordt geblokkeerd op de firewall.
Beter is het Pi account op disable te zetten en een ander root account te maken.
08-06-2017, 13:32 door Anoniem
De nieuwere Rasbian installaties hebben poort 22 helemaal niet open staan en zijn dus gewoon safe.
Gewoon een non issue en ja, ook kan je bewust zaken open gaan zetten maar dat is niet Pi specifiek.
08-06-2017, 13:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?
Sowieso een PI direct aan het Internet koppelen is al geen slimme actie. Ik snap dat mensen een PI als externe server voor files of DNS willen inzetten maar zorg er dan minimaal voor dat je de firewall goed hebt geconfigureerd. Als je al niet weet hoe je servers op het Internet moet beschermen dan heb je daar al helemaal niets te zoeken. Gewoon niet doen dus.

Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?

Niet aan beginnen als je dit soort vragen moet stellen. Een Pi is gewoon een computer met een OS, afhankelijk van het gebruikte OS moet je zelf meer of minder kennis hebben om de zaak goed te configureren.
08-06-2017, 13:37 door Anoniem
Door 4amrak: technologie heeft geen kans van slagen tegen dommigheid daarom is een wettelijk kader van verantwoordelijkheden nodig en moet iedereen zijn zaakje op orde gaan hebben. geen open poorten en services by default, en geen standaard ww meer etc. etc.

Precies, dus Raspbian heeft dat voor de beginneling potdicht staan en iedereen die het openzet is zelf verantwoordelijk en treft het OS geen enkele blaam.

Het is weer eens een stemming makende kop.
08-06-2017, 13:39 door Anoniem
Eenmaal ingelogd verandert de malware het wachtwoord voor de gebruikersnaam pi en installeert vervolgens een programma om de computer naar digitale valuta te laten minen.

WOW, digitale valuta minen op een computer met de kracht van een vlo, nee dat schiet wel op.

Het is weer een 'anti virus' bedrijf wat weer in het nieuws wil komen met non nieuws.
08-06-2017, 13:49 door Anoniem
Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?
08-06-2017, 13:50 door Anoniem
Er zijn verscheidene software pakketten beschikbaar voor de Raspberry Pi, zoals onder andere RetroPie, die een standaard wachtwoord gebruiken en verwachten dat dit niet veranderd. De eindgebruiker is dan niet diegene die hier de blaam treft, maar diegene die deze softwarepakketten op deze achteloze manier opzetten.
Een wachtwoord moet veranderbaar zijn vanuit de definitie van beveiliging, maar dit wordt compleet genegeerd door sommige Pi-coders.
08-06-2017, 14:25 door Anoniem
Door Anoniem: Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?

Dat heb je dan fout gedacht, wat niet wil zeggen dat de meerderheid van de geinfecteerde machines Windows machines zijn.
08-06-2017, 15:25 door potshot
Door Anoniem:
Door Anoniem: Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?

Dat heb je dan fout gedacht, wat niet wil zeggen dat de meerderheid v
an de geinfecteerde machines Windows machines zijn.

maar daarbij is er nooit de nuance dat gebruikers zelf op moeten letten en kennis moeten hebben..
08-06-2017, 15:32 door ph-cofi
Door Anoniem: De nieuwere Rasbian installaties (...) zijn dus gewoon safe.(...)
Een OS dat bij eerste gebruik geen nieuwe wachtwoorden verlangd voor root/admin, vind ik niet safe genoeg.
08-06-2017, 15:51 door Tha Cleaner
Door Anoniem: Eenmaal ingelogd verandert de malware het wachtwoord voor de gebruikersnaam pi en installeert vervolgens een programma om de computer naar digitale valuta te laten minen.

WOW, digitale valuta minen op een computer met de kracht van een vlo, nee dat schiet wel op.
Als je er maar genoeg hebt, maakt het niet uit. Het kost je niets aan energie. En als je er 100.000 hebt draaien kan het best wel eens de moeite waard zijn.

En als ze eenmaal toegang hebben, kunnen we vanalles doen met de machine, malware/phishing hosting of spam zijn vervolg stappen die ze gemakkelijk kunnen toevoegen.

Het is weer een 'anti virus' bedrijf wat weer in het nieuws wil komen met non nieuws.
Het geeft wel het 1 en ander aan.
Oa
Hoeveel unprotected linux machines direct aan het internet hangen door gebruikers.
Hoeveel gebruikers eigenlijk hun standaard wachtwoorden niet aanpassen.
Hoeveel gebruikers eigenlijk niet weten wat ze doen.

Eigenlijk kunnen we dus de conclusie trekken, dat alle problemen aan de gebruikers liggen.

Door Anoniem: Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?

Fout nummer 1: Onderschat niet de gebruiker.
Fout nummer 2: Onderschat niet de domme gebruiker.

Door Anoniem:
Door Anoniem: Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?

Dat heb je dan fout gedacht, wat niet wil zeggen dat de meerderheid van de geinfecteerde machines Windows machines zijn.

Onderschat niet het aantal websites (=machines) dat op de wereld actief is.
08-06-2017, 16:19 door Anoniem
Door Anoniem: De nieuwere Rasbian installaties hebben poort 22 helemaal niet open staan en zijn dus gewoon safe.
Gewoon een non issue en ja, ook kan je bewust zaken open gaan zetten maar dat is niet Pi specifiek.

Eigenlijk best irritant.
Dan moet ik een keyboard en monitor aansluiten.
Effe zoeken en inloggen met SSH is veel handiger.
Na inloggen direct eisen dat je het wachtwoord aanpast, als op de OrangePiZero, is mijns inziens beter.

En dan de gebruiker, tja. Tegen de gebruiker is niets opgewassen.
De gebruiker die streeft naar instant behoeftenbevrediging met rotsvast geloof in dat alles toch goed geregeld is.

Als deze zich niet verdiept in wat tie wil gaan doen, wat de gevaren en valkuilen zijn, gaat het zeker mis.
08-06-2017, 17:06 door karma4
Door Anoniem:
Door 4amrak: technologie heeft geen kans van slagen tegen dommigheid daarom is een wettelijk kader van verantwoordelijkheden nodig en moet iedereen zijn zaakje op orde gaan hebben. geen open poorten en services by default, en geen standaard ww meer etc. etc.

Precies, dus Raspbian heeft dat voor de beginneling potdicht staan en iedereen die het openzet is zelf verantwoordelijk en treft het OS geen enkele blaam.

Het is weer eens een stemming makende kop.
Stemmingmakerij en ik intussen wel gewend.
Nu is het ineens de software maker die de pi inzet die verantwoordelijk is. Op zich klopt dat.

Als het onderwerp een Microsoft product zou zijn dan is het ineens alles hun schuld. Trekken we die houding door dan is het met pi een faal van Linux.
Of je bent consequent en legt in beide gevallen de verantwoordelijkheid bij de opdrachtgever van de implementatie.
08-06-2017, 19:08 door [Account Verwijderd]
[Verwijderd]
08-06-2017, 20:23 door Tha Cleaner
Door Kaba:
Het probleem is dus overduidelijk het niet veranderen van het standaardwachtwoord! Bij Microsoft is dat erg vaak anders: het gaat daar om ontwerp en programmeerfouten in het besturingssysteem zelf.
Iedere software bevat bugs. Dat is standaard. Maar dat een installatie niet forceerd om een standaard admin wachtwoord (root account) aan te passen naar iets sterkers, kan je alleen maar de installatie/software aanrekenen. Dit is gewoon een zware fail, dit kan je niet anders doen. Een foute configuratie, en iets wat gewoon tegenwoordig totaal niet meer kan. Dit is gewoon een ontwerp fout van jewelste, blunder eerste klas ik kan er niets anders van maken. Ongeacht of SSH nu standaard aan of uit staat.

Snap je het verschil?
Dat je nu meet met 2 maten? Dit is gewoon een hele groot fail. Als Microsoft deze fout er in zou laten zitten, is de wereld te klein. En nu probeer je het te bagatelliseren.
08-06-2017, 21:11 door karma4
Dank je cleaner...
Ook jammer, Kaba heeft niet door dat door zijn houding juist linux grote schade berokkent.
08-06-2017, 22:33 door Anoniem
Door Kaba:
Door karma4:
Door Anoniem:
Door 4amrak: technologie heeft geen kans van slagen tegen dommigheid daarom is een wettelijk kader van verantwoordelijkheden nodig en moet iedereen zijn zaakje op orde gaan hebben. geen open poorten en services by default, en geen standaard ww meer etc. etc.

Precies, dus Raspbian heeft dat voor de beginneling potdicht staan en iedereen die het openzet is zelf verantwoordelijk en treft het OS geen enkele blaam.

Het is weer eens een stemming makende kop.
Stemmingmakerij en ik intussen wel gewend.
Nu is het ineens de software maker die de pi inzet die verantwoordelijk is. Op zich klopt dat.

Als het onderwerp een Microsoft product zou zijn dan is het ineens alles hun schuld. Trekken we die houding door dan is het met pi een faal van Linux.
Of je bent consequent en legt in beide gevallen de verantwoordelijkheid bij de opdrachtgever van de implementatie.

Leer nou toch eens lezen charlatan! Bij Pi is het probleem duidelijk niet het besturingssysteem want er staat letterlijk

De malware scant naar Pi-machines die via ssh-poort 22 toegankelijk zijn en probeert via een standaardwachtwoord in te loggen

Het probleem is dus overduidelijk het niet veranderen van het standaardwachtwoord! Bij Microsoft is dat erg vaak anders: het gaat daar om ontwerp en programmeerfouten in het besturingssysteem zelf.

Snap je het verschil? Charlatan!
Wat maakt het nou uit of je gehackt wordt door een 'gammel' besturingssysteem of door een gammel geconfigureerd besturingssysteem. De klos ben je toch.
08-06-2017, 23:14 door ph-cofi
Door karma4: (...) Als het onderwerp een Microsoft product zou zijn dan is het ineens alles hun schuld. Trekken we die houding door dan is het met pi een faal van Linux.
Of je bent consequent en legt in beide gevallen de verantwoordelijkheid bij de opdrachtgever van de implementatie.
De door jou zo verlangde consequente houding gaat mank op een punt. Linux wordt op vele manieren herverpakt door niet altijd even verstandige mensen (vanuit security-oogpunt). Bedrijven gaan met het spul aan de haal, waardoor dus andere en nieuwe opdrachtgevers ontstaan. Maakt het moeilijker om veiligheid van producten te garanderen (in dit geval Raspbian). Is wel een verschil met producten van b.v. Google, Apple en Microsoft die de software zelf beheren.
08-06-2017, 23:48 door [Account Verwijderd] - Bijgewerkt: 09-06-2017, 00:10
[Verwijderd]
09-06-2017, 00:37 door [Account Verwijderd] - Bijgewerkt: 09-06-2017, 08:01
[Verwijderd]
09-06-2017, 08:07 door Anoniem
Door potshot:
Door Anoniem:
Door Anoniem: Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?

Dat heb je dan fout gedacht, wat niet wil zeggen dat de meerderheid v
an de geinfecteerde machines Windows machines zijn.

maar daarbij is er nooit de nuance dat gebruikers zelf op moeten letten en kennis moeten hebben..

Dat hoef je met een PI ook niet indien je het aanbevolen Raspbian OS gebruikt. Als je er Windows 10 op zet dan moet je wel wat meer kennis hebben.
09-06-2017, 09:29 door Anoniem
Door Anoniem:
Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?
Pi-Hole staat los van bovenstaand bericht. Pi-Hole handeld DNS verzoeken af. Uitgaande dat je dit vanuit je LAN wilt doen, is er geen open poort vanaf het Internet nodig. Laat je Pi-Hole naar meerdere interfaces luisteren, dan heb je de optie om slechts requests te honoreren die vanaf het eigen LAN segment komen.

No worries. Ik draai het op Raspien Jessie*. Behoudens het DNSSec issue in DNSMasq v2.72, wat de meest recent ondersteunde versie op Jessie is, draait Pi-Hole het als een zonnetje. Het ligt dus niet aan Pi-Hole, maar aan de versie van DNSMasq.
For the record
Versie 2.72 heeft issues met ECDSA. Dit heeft tot gevolg dat het ECDSAP256SHA256 signature algorithme van Cloudflare resulteert in een BOGUS melding. De meldingen die dit in de log genereert:

Mar 17 14:38:47 dnsmasq[16131]: reply <domain.com> is BOGUS DNSKEY
Mar 17 14:38:47 dnsmasq[16131]: validation result is BOGUS

*Als ik het me goed herinner dwingt deze zelfs een nieuw wachtwoord af, maar pin me er niet op vast.
09-06-2017, 10:09 door Anoniem
Door Anoniem:
Door Anoniem: De nieuwere Rasbian installaties hebben poort 22 helemaal niet open staan en zijn dus gewoon safe.
Gewoon een non issue en ja, ook kan je bewust zaken open gaan zetten maar dat is niet Pi specifiek.

Eigenlijk best irritant.
Dan moet ik een keyboard en monitor aansluiten.
Effe zoeken en inloggen met SSH is veel handiger.
Na inloggen direct eisen dat je het wachtwoord aanpast, als op de OrangePiZero, is mijns inziens beter.

En dan de gebruiker, tja. Tegen de gebruiker is niets opgewassen.
De gebruiker die streeft naar instant behoeftenbevrediging met rotsvast geloof in dat alles toch goed geregeld is.

Als deze zich niet verdiept in wat tie wil gaan doen, wat de gevaren en valkuilen zijn, gaat het zeker mis.

Je hoeft helemaal geen keyboard of muis te gaan zoeken, op het moment dat je het OS op je (micro)SD kaartje gezet hebt dan mount je de boot partitie en maak je een file met de naam 'ssh', ssh wordt dan tijdens het eerste boot proces enabled en die file wordt weer verwijderd.

Jongens, lees je eerst in voordat je begint te blaten over zaken waar je geen kennis van hebt.

Raspbian+PI is veilig voor iedereen, met of zonder kennis van zaken, op het moment dat je zelf aanpassingen gaat maken moet je weten wat de risico's zijn, of dat nu Linux, HPUX of Windows is.

Normaliter zijjn de huidige OS'en out of the box veilig als ze helemaal bij gepatched zijn.
09-06-2017, 10:19 door Anoniem
Door ph-cofi: Linux wordt op vele manieren herverpakt door niet altijd even verstandige mensen (vanuit security-oogpunt).
Inderdaad.

Raspbian is een afgeleide van Debian waar security-updates nogal eens vertraagd op binnen lijken te komen. Ik hoop nog een keer mee te maken dat Debian rechtstreeks op de Pi kan worden geïnstalleerd zonder de Raspbian-omweg. Er is een keer door iemand een geschikte kernel in elkaar gedraaid waarmee het kan, alleen kan je kernel-upgrades dan vergeten. Een Pi is een geweldig apparaatje, ik heb er verschillende waar ik leuke dingen mee doe, maar als vanaf het internet toegankelijke server durf ik ze pas in te zetten als ik er een mainstream-distro op kan draaien of als me veel duidelijker is dan nu dat Raspbian even scherp is met security-updates als die mainstream-distro's.

Ik heb in het verleden korte tijd Volumio gebruikt om van een Pi een audiospeler te maken. Volumio is weer op Raspbian gebaseerd en in de versies van een aantal jaar terug (ik weet niet hoe het er nu voorstaat) bleek dat de voor Volumio toegevoegde software niet als .deb-pakketten was verpakt, ze gingen ervan uit dat je telkens een nieuwe image van het hele OS over je systeem zou zetten. Knap lastig als je verwacht dat je op een Linux-systeem ook dingen naar eigen smaak kan inrichten terwijl degenen die je besturingssysteem leveren ervan uitgaan dat je het als black box beschouwt en vrijwel nergens aanzit.

Dat doet allemaal niets af aan het feit dat Debian zelf wél robuust is, en de Linux-kernel zoals die door de kernelontwikkelaars geleverd wordt ook. Mijn bedenkingen gelden voor specifieke afgeleiden. Het is onzinnig om te doen als of alles wat op Linux gebaseerd is even geweldig is, en het is even onzinnig om te doen alsof Linux rammelt omdat het niet door iedereen even robuust verpakt en ingezet wordt. Dat levert discussies op die over niets anders dan zwart/wit-denken gaan. De werkelijkheid heeft eindeloos veel nuances.
09-06-2017, 12:29 door [Account Verwijderd]
[Verwijderd]
09-06-2017, 12:54 door [Account Verwijderd]
[Verwijderd]
12-06-2017, 21:22 door Anoniem
Door Anoniem:
Door ph-cofi: Linux wordt op vele manieren herverpakt door niet altijd even verstandige mensen (vanuit security-oogpunt).
Inderdaad.

Raspbian is een afgeleide van Debian waar security-updates nogal eens vertraagd op binnen lijken te komen. Ik hoop nog een keer mee te maken dat Debian rechtstreeks op de Pi kan worden geïnstalleerd zonder de Raspbian-omweg.

Je kunt er tegenwoordig ook Ubuntu op installeren! Zie https://wiki.ubuntu.com/ARM/RaspberryPi
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.