Slo-Tech - Pred letom dni se je prvikrat zgodilo, da je virus, ki se širi po pametnih v internet priključenih napravah (IoT), onesposobil dostop do interneta za večje število ljudi. Virusi, ki napadajo IoT, so odtlej postali stalnica, s katero se moramo navaditi živeti. Ravno te dni strokovnjaki ugotavljajo, da se je novi botnet na napravah IoT razširil do rekordnih razsežnosti.
Novinec se imenuje IoT_reaper in čeprav si nekaj kode izposoja od legendarnega virusa Mirai, ne gre za njegovega naslednika, temveč nov kos programske opreme. Mirai je se širil tako, da je izkoriščal privzeta oziroma tovarniška gesla v strojni opremi, zato se je bilo pred njim mogoče zaščititi z nastavitvijo gesel (kjer je to šlo). IoT_reaper je bistveno nevarnejši, saj izkorišča ranljivosti za vstop v sistem. Botnet se povečuje s hitrostjo 10.000 naprav dnevno, trenutno pa naj bi obvladoval že vsaj dva milijona naprav po celem svetu. Napada različne naprave, od usmerjevalnikov do NAS-ov, različnih proizvajalcev GoAhead, D-Link, AVTech, Netgear, MikroTik, Linksys, Synology in drugih.
Nov virus vsebuje modul Lua, ki upravljavcem omogoča namestitev ustreznih modulov na okužene naprave. Kaj je njegov cilj, še ni jasno, saj še ni sprožil nobenega napada DoS ali kaj podobnega. Nekateri botneti so tudi izzveneli brez večjih napadov, denimo Hajime, medtem ko je Mirai pustošil. Da je varnost naprav IoT izjemno pomembna, pričata tudi splošni opozorili Europola in FBI-ja.
Lahko: - Onemogočiš takšnim napravam dostop do interneta oz. nastaviš požarni zid tako, da lahko do njih dostopaš samo iz znanih IPjev - Redno posodabljaš vse svoje IoT naprave in upaš na najboljše
@PARTyZAN dosti (vecina?) IoT naprav za delovanje dostopa do clouda, in verjetno bos rabil trackati katere IPje vse uporabljajo doloceni servisi, in samo te whitelistat.
Za posodobitve pa lahko samo upas da je proizvajalcu mar, pa se takrat bos v vecini primerov moral sam poskrbeti in rocno nadgraditi.
Ker bodo proizvajalci IoT naprav večinoma hardweraši, pozabi na update. Že pri telefonih za manj kot 400 EUR je problem update, kaj šele pri škatlicah za 20 EUR.
Za njih bo ceneje narediti novo napravo in ti jo prodati.
"Life is hard; it's even harder when you're stupid."
Lahko: - Onemogočiš takšnim napravam dostop do interneta oz. nastaviš požarni zid tako, da lahko do njih dostopaš samo iz znanih IPjev - Redno posodabljaš vse svoje IoT naprave in upaš na najboljše
- usmerjevalnik odklopiti od interneta? - ja, tile ruterčki imajo ful apdejtov. Sploh avtomatičnih!
Je že znano, kako preveriš za okužbo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zanimivo bo videti, če bodo razni routerji, ki jih kot del storitve naročnikom ponujajo ISP-ji, postali zombijski člani botnetov - le kaj bo naredil ISP v takem primeru, saj bo težko prevalil krivdo za vdor na svoje naročnike zaradi pomanjkanja skrbi za varnost naprav, pri čemer (1) je ISP precej večji strokovnjak za informacijsko varnost kot velika večina naročnikov in (2) bi lahko sistemsko skrbel za varnost te opreme, saj je tisti, ki se odloča v zvezi z nakupom te opreme, pa še sistematično (beri: v velikih količinah) jih dobavlja naročnikom.
Pričakoval bi minimalno, da ISP stalno preverja varnostne informacije svoje opreme in opreme, ki jo ponuja naročniku in slednjega najmanj obveščal o varnostnih pomanjkljivostih ter ukrepih za zavarovanje, če že sam ne more ali noče. Konec koncev, saj imajo bazo naročnikov in opremo, ki jo je posameznemu izdobavil. Pa še znotraj lastnega omrežja brez težav identificirajo napravo v uporabi (četudi ni njihova) za vsakega naročnika.
IoT naprave znotraj domačih omrežij so seveda druga pesem, saj niso v nobenem pogledu pod nadzorom ISP.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
NAS direktno izpostaviti internetu je že v osnovi fail. Najprej narediš backup nanj, potem pa zadevo ponudiš vsemu internetu za download? Priceless!
IoT krama, ki ima dostop do interneta in internega omrežja pa je tudi zelo pametna zadeva. Če se že greš IoT, potem se poduči tudi o VLAN-ih in jih začni uporabljati.
NAS direktno izpostaviti internetu je že v osnovi fail. Najprej narediš backup nanj, potem pa zadevo ponudiš vsemu internetu za download? Priceless!
IoT krama, ki ima dostop do interneta in internega omrežja pa je tudi zelo pametna zadeva. Če se že greš IoT, potem se poduči tudi o VLAN-ih in jih začni uporabljati.
Pa pazi da router na katerem delaš VLANe ni na seznamu zgoraj =)
Sranje. Imamo tako Mikrotik kot Synology. Slednji ima h sreči zelo aktivno podporo.
A mi lahko nekdo pojasni zakaj se uporablja Synology, QNAP, katerekoližepač NASe? A ni bolje kupit en HP Microserver in gor dat nek Linux ali BSD (ala FreeBSD) in je stvar urejena in še popravki obstajajo zanj?
Lahko: - Onemogočiš takšnim napravam dostop do interneta oz. nastaviš požarni zid tako, da lahko do njih dostopaš samo iz znanih IPjev - Redno posodabljaš vse svoje IoT naprave in upaš na najboljše
- usmerjevalnik odklopiti od interneta? - ja, tile ruterčki imajo ful apdejtov. Sploh avtomatičnih!
Je že znano, kako preveriš za okužbo?
če je zadeva izolirana do okužbe ne pride. a je tako težko pogruntat osnove omrežne topologije.
Sranje. Imamo tako Mikrotik kot Synology. Slednji ima h sreči zelo aktivno podporo.
A mi lahko nekdo pojasni zakaj se uporablja Synology, QNAP, katerekoližepač NASe? A ni bolje kupit en HP Microserver in gor dat nek Linux ali BSD (ala FreeBSD) in je stvar urejena in še popravki obstajajo zanj?
folk bo moral začet mal več (open)VPN-je uporabljat. laufajo že na malinah. z odpiranjem servisov na WAN kar iščete težave. z VPN-jem vsaj omejiš vektorje napadov.
NAS direktno izpostaviti internetu je že v osnovi fail. Najprej narediš backup nanj, potem pa zadevo ponudiš vsemu internetu za download? Priceless!
IoT krama, ki ima dostop do interneta in internega omrežja pa je tudi zelo pametna zadeva. Če se že greš IoT, potem se poduči tudi o VLAN-ih in jih začni uporabljati.
Pa pazi da router na katerem delaš VLANe ni na seznamu zgoraj =)
Nič bat, tudi, če je. Samo posodobljen mora biti, pa tvegane storitve (kot npr. adm) navzven ne smejo biti dostopne in idealno, da je omrežje segmentirano, tako da druge IoT v primeru okužbe ne bi harale. Mikrotik je imel ene 4 ali 5 različic nazaj ranljiv web, vendar kdo to izpostavlja internetom?! Norci. Samo tiste verzije so še problematične kot katera koli distra neposodobljenega linuxa ali BSD. Drugače pa je tudi bolj profesionalna oprema že bila na merku kakšnih črvov, botnetov ... Tudi OpenBSD kot tak ni povsem imun in ni bil venomer brez ranljivosti.
folk bo moral začet mal več (open)VPN-je uporabljat. laufajo že na malinah. z odpiranjem servisov na WAN kar iščete težave. z VPN-jem vsaj omejiš vektorje napadov.
Pa požarne zidove in povezane mehanizme uporabljat, postavljat NIDS/NIPS rešitve, segmentirat omrežja, izklapljat storitve, ki jih ne nuca ... Dobro jutro, ne boš tega doživel. Fino bi pa bilo, ja.
NAS direktno izpostaviti internetu je že v osnovi fail. Najprej narediš backup nanj, potem pa zadevo ponudiš vsemu internetu za download? Priceless!
IoT krama, ki ima dostop do interneta in internega omrežja pa je tudi zelo pametna zadeva. Če se že greš IoT, potem se poduči tudi o VLAN-ih in jih začni uporabljati.
Jaz imam stranko, s slabim 15k aktivnimi uporabniki, v oblaku si sherajo cca 500 Tb podatkov. Dostopajo pa po celem svetu. Dostop je omogocenn preko https ja. Uporava je podobno kot onedrive, samo no uporabljajo o365 licence za online edit direktno preko koriscenja office 365 story e. In da teh 500 tb ni na ms-ju. Hvala za resitev.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Preberi kaj si napisal in popravi, da bo kdo uspel razumeti, kaj si hotel reči ali vprašati.
Če samo preko https dostopajo iz kjerkoli, brez vsakega VPN in po možnosti še brez 2FA, potem je to tempirana bomba.
Če pa govoriš o intranetu, potem to ni nobena posebnost. Čeprav mi ni jasno, čemu bi bilo treba izpostavljati 500Tb, saj je zagotovo 90% tega arhivskih podatkov, ki jim pristopajo le redki posamezniki.
NAS direktno izpostaviti internetu je že v osnovi fail. Najprej narediš backup nanj, potem pa zadevo ponudiš vsemu internetu za download? Priceless!
IoT krama, ki ima dostop do interneta in internega omrežja pa je tudi zelo pametna zadeva. Če se že greš IoT, potem se poduči tudi o VLAN-ih in jih začni uporabljati.
Jaz imam stranko, s slabim 15k aktivnimi uporabniki, v oblaku si sherajo cca 500 Tb podatkov. Dostopajo pa po celem svetu. Dostop je omogocenn preko https ja. Uporava je podobno kot onedrive, samo no uporabljajo o365 licence za online edit direktno preko koriscenja office 365 story e. In da teh 500 tb ni na ms-ju. Hvala za resitev.
CloudFlare ali uporaba lastnih dostopnih točk ki so skrite, še najboljše preko VPN, v več vstopnimi točkami seveda. Če želiš zadevo na https pa CloudFlare (kolikor pač zdrži) seveda s tem zaupaš tudi CF svoje podatke (kar se zna izkazati za problematično https://arstechnica.com/information-tec... ).
stvar okrog smetenja po internetih je relativna. prav lahko se pa kvalificira kot kaznivo dejanje iz malomarnosti.
Hja, samo koga boš obtožil smetenja? Pisca firmware-a? Tistega, ki ni ustrezno zaščitil napravo in/ali jo ni posodobil? Tistega, ki poganja botnet? Naročnika botnet aktivnosti? ISP-ja, ki ne filtrira ustreznih portov?
Pri teh zadevah je v igri kup akterjev, ki vsak malo svojega masla dodajo v lonec, da je potem na koncu možna štala.
Sam uporabnik je v vsej tej igri relativno nemočen, če popravki niso na voljo. Pa tudi če so, pa zanje ne ve ali jih niti ne zna naložiti, je vse skupaj problematično okarakterizirati kot malomarnost na stopnji, ki bi jo bilo treba kaznovati. Nenazadnje še v mnogih podjetjih sproti ne posodabljajo routerjev in požarnih pregrad, pa bi to pričakoval od navadnega domačega uporabnika? Težka bo.
ni tako hudo odklopiš smetenje, simpl. potem naj se pa nabavni jeba. dejansko če je napad na državotvorne organe se cert zmiga in naredi komediji dok ne rečeš keks.
ni tako hudo odklopiš smetenje, simpl. potem naj se pa nabavni jeba. dejansko če je napad na državotvorne organe se cert zmiga in naredi komediji dok ne rečeš keks.
Ne samo državni... tudi pri kakšnem navadnem ISP te lahko doleti grožnja z odklopom. Mel soseda, ki mu je T-2 zagrozil z odklopom, ker mu je okuženi Linksys pošiljal gore spam mailov v svet.
Preberi kaj si napisal in popravi, da bo kdo uspel razumeti, kaj si hotel reči ali vprašati.
Če samo preko https dostopajo iz kjerkoli, brez vsakega VPN in po možnosti še brez 2FA, potem je to tempirana bomba.
Če pa govoriš o intranetu, potem to ni nobena posebnost. Čeprav mi ni jasno, čemu bi bilo treba izpostavljati 500Tb, saj je zagotovo 90% tega arhivskih podatkov, ki jim pristopajo le redki posamezniki.
Kar naenkrat https ni vearen ? Povprečni inkrementalni beackup je med 1-1.3 TB. Določeni procesi uporabljajo direkt ta sistem...
Da dokler je varnost implementirana , je čist ok. Kretenizem je imeti politiko gesel, da se ti račun po treh poizkusih zaklene, hglede na to da če bi hotel bruforcat na tak način, verjtno nebi gesal niti ko bi živi pra pra vnuki ugotovili... Pa se potem skrivati za varnostjo.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
@Mr.B - nisi nič rekel za kaj se konkretno gre - bolj je bilo razumeti, kot nekakšen document sharing tipa OneDrive ali DropBox, ne pa da je govora o Cloud backup-u.
V teh primerih (document storage) se običajno poslužuje SSO rešitev, da nimajo uporabniki po 10 gesel samo za službene zadeve. Čim pa imamo opravka s SSO in nimamo 2FA, pa lahko nekdo nasanka uporabnika s pomočjo phishinga, da tisto eno edino geslo izda, pa so že vsa vrata odprta na stežaj.
Pri Cloud backup, pa je čisto druga zgodba, ker se točno ve, s katerih IP naslovov se sme sploh dostopati do backup/restore storitev oz. skladišča (vsekakor ne od doma in iz raznih hotelov). Tako je potem tudi možno nastaviti določene ACL-e oz. IP filtre, če nimaš ravno najbolj kmečki storage v oblaku.
Čeprav osebno sem precej skeptičen glede tega cloud backup-a, če ti ne ponujajo opcije, da ti s kurirjem pošljejo podatke na disku. Ko je katastrofa, nimaš časa en teden ali več, da boš pretakal podatke nazaj. Rabiš jih v nekaj urah.
podpora ni zadostna zgolj z izdajo posodobitev s strani proizvajalca opreme.
Kaj si hotel s tem povedat? Menda ne pričakuješ autoupdate na kritičnih infrastrukturnih napravah? Zadnja stvar, ki bi si jo želel.....
Btw: Očitno se ljudje še vedno niso nič naučili od Petya/NotPetja/Wannacry - thenutno je na pohodu nova varianta "Bad Rabbit" in spet štejejo stotine okužb v Rusiji, Ukraini,... Samo vprašanje, kdaj bo pljusknilo še kam proti zahodu.
Sranje. Imamo tako Mikrotik kot Synology. Slednji ima h sreči zelo aktivno podporo.
Tudi Mikrotik ima zelo aktivno podporo.
Prva stvar so redne posodobitve. Druga pa firewall in segmentacija omrežja.
Točno to, čeprav kot sem že povedal, ene 4 ali 5 verzij nazaj, je bil spletni dostop do administracije ranljiv. Kdor je to poobližil, se nima česa bati.
Kaj si hotel s tem povedat? Menda ne pričakuješ autoupdate na kritičnih infrastrukturnih napravah? Zadnja stvar, ki bi si jo želel.....
Na napravah, ki so namenjeni potrosnikom, bi jaz pricakoval avtomatske posodobitve.
Tako IoT naprave, kot usmerjevalniki, APji, itd. za domace uporabo bi morali biti plug'n'play, brez potrebe po dotikanju/upravljanju po zacetni namestitvi.
Hudir pri samodejnih posodobitvah je to, da zna 'zaštekat'. Če ti pri tem še povozi aktualno konfiguracijo, ti pa nimaš backup-a, zna to postati resen problem za marsikoga, ki se nič ne spozna v zadeve. Še slabše pa postane, če je update procedura neumno spisana (nič posebnega pri IoT) in na koncu dovoli 'posodobitev' z malware-om, ki ti potem dela štalo.
Glede na to, da IoT naprave večinoma vgrajujejo strojniki in električarji, dvomim, da vedo veliko o varnosti.
Še manj pa so propravljeni dati denar za dobro varnostno rešitev.
Ampak saj jih bo realno življenje v to prisililo...
Nočem biti žaljiv do njih, ampak teh projektov se lotevajo z manjšo resnostjo kot postavitev domačega omrežja.
Glede na to da avtomobile sestavljajo nekvalificirani delavci se 5 od desetih avtomobilov razleti pri vožnji na avtocesti. Ne razletijo se. Zakaj? Kako? Ker strojniki poznamo razne metode za preprečevanje napak pri montaži.
Nočem biti žaljiv do programerjev, ampak programiranja se lotevajo z manjšo resnostjo, kot se Paloma loteva izdelave WC papirja.
Oprosti, mogu sem napisat, ker napihnjenost določenih osebkov na tem forumu že presega meje dobrega okusa.
Evo, to so ranljivosti, ki jih pri Mikrotiku izkorišča ta naprava. Pri trenutni različici ni nobene več! Pravzaprav že dolgo ne, tako da so samo neposodobljeni cegli tarče ...
Kdo pa večinoma kupuje Mikrotika in mu vsili še vlogo požarne pregrade? Tisti, ki so škrti in si mislijo 'bo že'. Kakor so pri nakupu škrti, so seveda potem tudi pri vzdrževanju. "Saj dela"... zakaj bi potem klical serviserja, da naj jim naloži kakšno posodobitev, če bo potem to treba plačat.
Ko že govorimo o posodabljanju - tudi Fortinet uporabniki naj se lotijo nadgradnje na FortiOS 5 ali najmanj 4.3.19. FortiOS 4.3.0 do 4.3.18 ima namreč probleme z račko (DUHK Attack - Don't Use Hard-coded Keys)
(Se samo meni zdi, da se internet vse bolj spreminja v živalski vrt? Hudobni zajci, račke, črvi,.....)
Kdo pa večinoma kupuje Mikrotika in mu vsili še vlogo požarne pregrade? Tisti, ki so škrti in si mislijo 'bo že'. Kakor so pri nakupu škrti, so seveda potem tudi pri vzdrževanju. "Saj dela"... zakaj bi potem klical serviserja, da naj jim naloži kakšno posodobitev, če bo potem to treba plačat.
Kupiš avto in je ključavnica zanič. = IOT naprava z luknjami Greš k mehaniku, da ti zamenja ali popravi ključavnico in ti reče mater si škrt, ker nočeš plačati za popravilo na novem avtomobilu. Garancija?! = Mater si šrkt, ker nočeš plačati za popravilo SW napake, ki jo je naredil proizvajalec. Kje je garancija?
