» »

Nov botnet na milijonih naprav IoT

1
2
»

zee ::

matijadmin je izjavil:

Evo, to so ranljivosti, ki jih pri Mikrotiku izkorišča ta naprava. Pri trenutni različici ni nobene več! Pravzaprav že dolgo ne, tako da so samo neposodobljeni cegli tarče ...





Hvala. Mojega sem nadgradil kak mesec nazaj + trenutno je izklopljen, ker se je pregreval 😳
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

SeMiNeSanja ::

darksamurai je izjavil:


Kupiš avto in je ključavnica zanič. = IOT naprava z luknjami
Greš k mehaniku, da ti zamenja ali popravi ključavnico in ti reče mater si škrt, ker nočeš plačati za popravilo na novem avtomobilu. Garancija?! = Mater si šrkt, ker nočeš plačati za popravilo SW napake, ki jo je naredil proizvajalec. Kje je garancija?

Saj cca. 1 leto še nekako lahko pričakuješ, da bo kakšen brezplačen popravek na voljo. Torej nekakšno garancijo vendarle imaš. Za razliko od avta, pa ga moraš sam naložiti ali pa nekomu plačati, da ti ga naloži.

Ampak kot je že 100x povedano, IoT naprava nimaš kaj priključevati direktno na internet. To ti je tako, kot če bi pojedel tiste svečke za v tazadnjo.
Če IoT naprave ustrezno zaščitiš, večinoma niso problematične, četudi imajo take ali drugačne varnostne luknje, saj se ne pride do njih, da bi se jih lahko zlorabilo.
Problem pa je, če nimaš pojma, kaj so dobre prakse ali pa se nanje enostavno požvižgaš in IoT naprave priključuješ na najbolj neprimerne načine. Kot da se v zaprtem prostoru igraš z ognjem poleg odprte posode z bencinom. Ko poči, bo vsakdo vedel, da si bil malomaren. Pri IoT pa to kao ni malomarnost, ker se kao 'spoznajo' samo 'eksperti'?

Matthai ::

darksamurai je izjavil:

Nočem biti žaljiv do programerjev, ampak programiranja se lotevajo z manjšo resnostjo, kot se Paloma loteva izdelave WC papirja.

To je povsem res. Problem pa izvira v tem, da se na faksih šele v zadnjih letih malce učijo varnega programiranja...

SeMiNeSanja je izjavil:

Kdo pa večinoma kupuje Mikrotika in mu vsili še vlogo požarne pregrade? Tisti, ki so škrti in si mislijo 'bo že'.

Kje pa. Jaz sem ga kupil ravno zato, ker je poleg tega, da je cenovno ugoden, tudi relativno zmogljiv in ustrezno varen.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:


SeMiNeSanja je izjavil:

Kdo pa večinoma kupuje Mikrotika in mu vsili še vlogo požarne pregrade? Tisti, ki so škrti in si mislijo 'bo že'.

Kje pa. Jaz sem ga kupil ravno zato, ker je poleg tega, da je cenovno ugoden, tudi relativno zmogljiv in ustrezno varen.

Napisal sem 'večinoma'. S tem mislim na cca. 2/3 uporabnikov, kateri ga uporabljajo izključno kot router in se jim niti približno ne sanja, kako se še kaj čara okoli ipables (roko na srce - res niso user-friendly). Enkrat jim je nekdo 'nekaj' nastavil, potem pa se zadeve ni nihče več dotaknil.

Drugače pa sem skregan s pojmovanjem, da se 20 let stari stateful packet filter tehnologiji danes še vedno reče 'firewall'. 'Legacy firewall' bi morda pogojno še šlo skozi. Moderne požarne pregrade so popolnoma nekaj drugega, kar pa se s takšnim poimenovanjem v bistvu zakriva. Seveda za določene namene uporabe povsem zadošča stateful packet filter. Ni pa to zadeva, katero bi komurkoli priporočil za na perimeter poslovnega omrežja z navadnimi 'dummy' uporabniki.

Razlika med pojmi je tolikšna, kot med črnobelim CRT televizorjem in sodobnim HD LED Smart TV. Oboje so televizorji....ampak če greš v trgonino in vprašaš za TV, verjetno ne boš pričakoval, da bi ti kdo razkazoval CRT aparate, pa tudi če bi bili barvni.

Zgodovina sprememb…

noraguta ::

niti ne je pač še en layer vmes. tudi 20let nazaj je bil.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

noraguta je izjavil:

niti ne je pač še en layer vmes. tudi 20let nazaj je bil.

EN layer?
Security že dolgo ni več samo od kod kam, ampak tudi kaj, pa še en kup L7 reči...

techfreak :) ::

SeMiNeSanja je izjavil:

Ampak kot je že 100x povedano, IoT naprava nimaš kaj priključevati direktno na internet. To ti je tako, kot če bi pojedel tiste svečke za v tazadnjo.
Torej vse te IoT naprave, ki jih prodajajo v trgovinah, potem niso za povprecnega potrosnika?

Se vecini ljudem iz tega foruma se verjetno doma ne ljubi ukvarjati s konfiguracijo vseh moznih naprav, ampak pricakujejo da bo zadeva enostavno delala, kaj sele vsi ostali ljudje, ki so bistveno manj tehnicno podkovani.

SeMiNeSanja je izjavil:

noraguta je izjavil:

niti ne je pač še en layer vmes. tudi 20let nazaj je bil.

EN layer?
Security že dolgo ni več samo od kod kam, ampak tudi kaj, pa še en kup L7 reči...
Mah saj 99% prometa v zadnjem casu je tako HTTP preko SSL, tako da ti preostane edino fingerprintanje na podlagi sifriranega toka podatkov. Ce so vsaj priblizno resni imajo se certificate pinning, tako da ti niti MITM ne pomaga.

SeMiNeSanja ::

jajks...narobe si razumel....

IoT naprave so že za povprečnega uporabnika - samo povprečni uporabnik na žalost zadeve okoli varnosti (še?) ne obvlada tako, kot bi jih moral. Zato bomo še 1000x morali ponoviti določene "NE delaj tega...", predenj se jih bo kaj prijelo.

Kar se pa tiče SSL, jaz SSL blokiram. Dovoljujem samo še TLS. Pa nič fingerprintanje, kar lepo dekriptiram zadeve in jih pošljem skozi prepoznavo aplikacij, filter spletnih strani, AV, sandbox, brišem vse čudne headerje, brišem predolge headerje, blokiram določene tipe datotek,.....
Stvari se po 'pregledu' lepo nazaj zapakirajo, pri tem pa ne podrem PFS-a, tako da se še vedno lahko zanesem na tisto zeleno ključavnico v web browserju.

Izjema so edino spletne strani, katere uporabljajo client certifikate (banke, e-uprava,...) - tam dovolim promet skozi ne da bi se ga 'dotikal'.

Sem pa tja kakšna stran kaj ponagaja. Tam imam potem še vedno možnost, da se odločim, ali sploh rabim to stran obiskat, ali bom raziskal razlog zakaj nagaja in ga odpravil, ali pa preprosto dam stran na listo zaupanja vrednih izjem, katere dovolim brez dekripcije.

noraguta ::

SeMiNeSanja je izjavil:

noraguta je izjavil:

niti ne je pač še en layer vmes. tudi 20let nazaj je bil.

EN layer?
Security že dolgo ni več samo od kod kam, ampak tudi kaj, pa še en kup L7 reči...

med definiranimi plastmi pod osi imaš še semaniko. tle se pač strinjava.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

Nisem mislil na OSI Layerje, temveč na tzv. 'Security Layer-je'

noraguta ::

kateri so vedno vezano na implementacijo. ponavadi potem zajebe rešuješ layer višje.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

Dokler imaš s čem....

Če pogledaš današnje firewall rešitve, večina stremi k 'poenostavljanju'. Ne vem, ali vse manj uporabnikov še ve, za kaj se pri vsem skupaj gre, ali so se zgolj polenili. Bojim se, da ni lenoba glavni problem, ampak vse manjše število adminov, ki še obvladajo vse networking aspekte od DNS pa do SMTP (saj že vrabci čivkajo o vsesplošnem pomanjkanju kadrov na področju infosec-a). Vsi pa bi imeli 'nekakšen' security, zato se potem tega področja po sili razmer lotevajo tudi taki admini, ki niti dobro ne razumejo, kaj naj bi požarna pregrada počela. Ti potem iščejo rešitve, ki delujejo podobno kot antivirus na računalniku, po sistemu 'inštaliraj in pozabi'. Jaz temu pravim 'generične' rešitve, saj sam niti nimaš nevem kakšne kontrole nad tem, kaj bo zadeva v ozadju res počela. Večinoma kljub temu kar solidno delujejo.. tam do OSI Layer7.
Ko prideš enkrat do aplikacijskega nivoja, pa se zna lista neizpolnjenih želja kar precej podaljšati, če imaš eno od 'generičnih' rešitev. Nekako tekmujejo s tem, kdo prepozna več aplikacij - od katerih 90% nikoli ne boš srečal v svojem omrežju. Uporabniku prodajajo marketing logiko, da bodo rabili samo še obkljukati katere aplikacije dovoljujejo v svojem omrežju, eventuelno še komu jih dovoljuješ.
Pozabljajo pa na tiste core L7 zadeve, ki nam grenijo življenje, ker so sistemi na mreži slabo ali napačno skonfigurirani. Če je DNS admin pozabil omejiti, komu dovoljuje zone transfer, potem hočem imeti možnost, da njegovo napako prestrežem na obrobju omrežja. Če je uporabnik v skenner vnesel napačen email naslov, hočem prestreči tak mail še predenj doseže mail server. Če je web admin zaj* konfiguracijo strežnika, hočem še vedno imeti možnost, da jaz preprečim dostop do /phpadmin/*., itd., itd.
Sploh v manjših podjetjih ti takšne opcije še kako prav pridejo, saj nimaš nekih dodatnih rešitev, ki bi lahko prestregle take napake.

Glavni problem je torej, s čem boš 'zajebe' reševal na layerju višje....

noraguta ::

kot vedno kar ne pokrije firmware gre čez servisno kodo na driverjih.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

noraguta je izjavil:

kot vedno kar ne pokrije firmware gre čez servisno kodo na driverjih.

Samo ko govorimo o exploitih na IoT napravah (pustimo zdaj na strani default passworde), to običajno niso lepi 'standardni' requesti po RFC. Če imaš pred tako napravo dovolj sposoben filter, ki zahteve dobesedno razstavi in jih potem po RFC pravilih nazaj sestavi, že samo zaradi tega marsikateri exploit postane neučinkovit, tudi če IPS nima nobene signature za napad.

Karkoli imaš pred IoT napravo načeloma že lahko predstavlja določen kamen spotike, ampak ta je bolj velikosti peščenega zrna, če imaš samo navaden port forward. Če pa aktivno 'razstaviš' pakete na sestavne dele in jih pošlihtaš po RFC, porežeš neobičajno dolga polja....potem pa imaš že konkreten kamen.

Samo zakaj vraga bi sploh tvegal? Saj ni tako težko ugotoviti, če IoT naprava sploh potrebuje kakšno komunikacijo v svet in če jo, do kam jo rabi. Temu ustrezno nastaviš packet filter in upaš, da so tiste destinacije na drugi strani kolikor tolikor zaupanja vredne. Za ta del ne rabiš neke raketne znanosti ali kište za nevem kakšen denar.
Ko se gre pa za dostop od zunaj do IoT naprave, pa uporabiš VPN.
Da zavaruješ še računalnike, pa vse skupaj vržeš na svoj IoT VLAN in samo računalnikom dovoliš dostop do njega napravam pa ne do računalnikov.
Za vse to je Mikrotik več kot dober, pa še predrag ni, da si ga nebi mogel kdo privoščiti za doma.

Edini problem je znanje, ki ga rabiš, da te filtre nastaviš. Ampak za dva piva in porcijo čevapov se koneckoncev tudi najde kakšen kolega, ki to zna?

Mislim...mal absurdno mi je, da se najde folk, ki zmeče par tisoš EUR za kamere in nevem kakšne senzorje po bajti in okoli nje - na koncu se pa zatakne pri denarju za nakup in konfiguracijo ene najbolj osnovne zaščite?

Bog ne daj, da imaš še alarm vezan gor in dostopen z neta, ne samo kamere. Pa sem prepričan, da se najdejo tudi taki brihtneži.

Zgodovina sprememb…

noraguta ::

nanuč bi rekel da niti ni kriv rfc ampak pomankljiva varnost. kaj ti pomaga nek kernel če si v osnovi root. za kak multiuser je pa stvar že rada podhranjena.

pa niti nisem ziher ali je celo podhranjen support.
Pust' ot pobyedy k pobyedye vyedyot!

Zgodovina sprememb…

  • spremenilo: noraguta ()

SeMiNeSanja ::

noraguta je izjavil:

nanuč bi rekel da niti ni kriv rfc ampak pomankljiva varnost. kaj ti pomaga nek kernel če si v osnovi root. za kak multiuser je pa stvar že rada podhranjena.

pa niti nisem ziher ali je celo podhranjen support.

Saj zato pa je najbolje kar po default predpostaviti, da imajo tvoje IoT naprave grozljive varnostne luknje (tudi če nobena ni znana) in omrežje temu ustrezno skonfigurirat. S pravim pristopom ne bodo nikoli postale del kakšnega botneta, ne glede na kakovost implementacije.

Če pa zadeve priklapljaš po kavbojsko.... se pa nimaš kaj čuditi, če dobiš enega dne klic providerja, da te bodo odklopili dokler ne skidaš štalo. Seveda pa ti lahko tudi natrosi kakšen ransomware, pa se ti ne bo sanjalo od kje prihaja. Samo čakam verzijo botneta, ki bo preko IoT pričel okuževat računalnike, katere ima na dosegu. Po moje, ne bo treba dolgo čakati, saj se gre za kar privlačno vstopno točko v omrežja.

noraguta ::

SeMiNeSanja je izjavil:

noraguta je izjavil:

nanuč bi rekel da niti ni kriv rfc ampak pomankljiva varnost. kaj ti pomaga nek kernel če si v osnovi root. za kak multiuser je pa stvar že rada podhranjena.

pa niti nisem ziher ali je celo podhranjen support.

Saj zato pa je najbolje kar po default predpostaviti, da imajo tvoje IoT naprave grozljive varnostne luknje (tudi če nobena ni znana) in omrežje temu ustrezno skonfigurirat. S pravim pristopom ne bodo nikoli postale del kakšnega botneta, ne glede na kakovost implementacije.

Če pa zadeve priklapljaš po kavbojsko.... se pa nimaš kaj čuditi, če dobiš enega dne klic providerja, da te bodo odklopili dokler ne skidaš štalo. Seveda pa ti lahko tudi natrosi kakšen ransomware, pa se ti ne bo sanjalo od kje prihaja. Samo čakam verzijo botneta, ki bo preko IoT pričel okuževat računalnike, katere ima na dosegu. Po moje, ne bo treba dolgo čakati, saj se gre za kar privlačno vstopno točko v omrežja.

večinoma se doma stvar prikopi bolj na pamet kot kravo požene na novo čredinko. če moramk bit zmer kmetje in govedorejci vsega krivi.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

noraguta je izjavil:


večinoma se doma stvar prikopi bolj na pamet kot kravo požene na novo čredinko. če moramk bit zmer kmetje in govedorejci vsega krivi.

Zato pa je treba goniti lajno in ljudem neprestano ponavljati, česa ne smejo početi, če želijo pridelati kaj mleka in sira, da ne bo treba na koncu kravo peljati k mesarju, na sir pa pozabiti.

Če že kmečke prispodobe uporabljamo....

zee ::

SeMiNeSanja je izjavil:



Kar se pa tiče SSL, jaz SSL blokiram. Dovoljujem samo še TLS. Pa nič fingerprintanje, kar lepo dekriptiram zadeve in jih pošljem skozi prepoznavo aplikacij, filter spletnih strani, AV, sandbox, brišem vse čudne headerje, brišem predolge headerje, blokiram določene tipe datotek,.....
Stvari se po 'pregledu' lepo nazaj zapakirajo, pri tem pa ne podrem PFS-a, tako da se še vedno lahko zanesem na tisto zeleno ključavnico v web browserju.

Izjema so edino spletne strani, katere uporabljajo client certifikate (banke, e-uprava,...) - tam dovolim promet skozi ne da bi se ga 'dotikal'.

Sem pa tja kakšna stran kaj ponagaja. Tam imam potem še vedno možnost, da se odločim, ali sploh rabim to stran obiskat, ali bom raziskal razlog zakaj nagaja in ga odpravil, ali pa preprosto dam stran na listo zaupanja vrednih izjem, katere dovolim brez dekripcije.


Kako pa to izvajas? Kateri router/OS ?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

SeMiNeSanja ::

zee je izjavil:

Kako pa to izvajas? Kateri router/OS ?

WatchGuard Fireware

Če te zanima, kako to potem izgleda za nastavljat, ti lahko pošljem nekaj slide-ov na ZS (da ne zasmetimo temo z offtopic kramo).
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dobronamerni malware Hajime ščiti pred Miraijem

Oddelek: Novice / Varnost
73049 (1370) shadow7
»

Hekerski napad od interneta odrezal skoraj milijon strank Deutsche Telekoma

Oddelek: Novice / Varnost
94463 (2476) ales85
»

Napad DDoS od interneta odrezal Liberijo

Oddelek: Novice / Varnost
63937 (2082) Saul Goodman
»

Pametne naprave IoT čedalje pogosteje vektor napadov

Oddelek: Novice / Omrežja / internet
207669 (5531) noraguta
»

Na internet ušla koda za izvedbo DDoS z napravami IoT

Oddelek: Novice / Varnost
3310031 (6450) plizzzzzz

Več podobnih tem