Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Specjaliści odkryli botnet składający się z modemów i ruterów działających pod kontrolą Linuksa. Został on stworzony przez robaka psyb0t, który działa co najmniej od stycznia bieżącego roku i infekuje urządzenia z Linux Mipsel. To dystrybucja Debian zaadaptowana dla urządzeń z procesorami MIPS.

Robak przeprowadza atak słownikowy, a więc jest w stanie zainfekować te urządzenia, na których ustawiono zbyt słabe hasła. Po instalacji psyb0t zamyka dostęp innym administratorom oraz łączy się z botnetem za pomocą IRC.

Ocenia się, że w skład botnetu wchodziło 100 000 urządzeń z całego świata. Członkowie DroneBL, witryny tworzącej listy niezabezpieczonych IP, które mogą paść ofiarą cyberprzestępców, dokładnie badali botnet i stwierdzili, że psyb0t zagraża każdemu modemowi i ruterowi z systemem Mipsel, który jest zabezpieczony słabymi hasłami. Niezależnie od położenia geograficznego i modelu urządzenia. Wykrycie infekcji jest trudne, a można tego dokonać jedynie dzięki szczegółowej analizie ruchu przychodzącego i wychodzącego.

Analizy botnetu wykazały, że jest on w stanie wyszukiwać wadliwe instalacje PHPMyAdmin oraz MySQL, może też uniemożliwić dostęp do interfejsu rutera, a więc jedynym sposobem na jego pozbycie się jest zresetowanie urządzenia do ustawień fabrycznych.

Po upublicznieniu informacji o botnecie, został on zamknięty przez DroneBL. Prawdopodobnie był to test mający wykazać możliwość stworzenia botnetu z modemów i ruterów. Robak udowodnił, że jest niebezpieczny, tym bardziej, że jego twórcy twierdzą, iż byli w stanie z jednej lokalizacji, rozmawiając przez kanał IRC, zarazić 80 000 ruterów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Piękna technologia od dłuższego czasu zastanawiałem się tylko kiedy ktoś taki bot net stworzy.

Teoretycznie trudno wykrywalne. Praktycznie prawie wcale, ile nie będzie się łasił na pasmo.   

Atak słownikowy nieco mnie zdziwił bo nie myślałem ze ktoś posunie się do czegoś takiego (względnie słaba efektywność) chociaż z drugiej strony nie ma w tym nic specjalnie dziwnego bo troszkę mocy obliczeniowej i pasma można ruterowi uszczknąć niezauważanie i łamać następna hasła. Ale przyznam się ze osobiście spodziewałem się ze ktoś użyje raczej haseł uniwersalnych.

 

Nie zmienia to jednak jednego faktu weszliśmy w nową erę (nie)bezpieczeństwa informatycznego której obawiałem się już od jakiegoś czasu. Ponieważ jest to taki dość śmierdzący bobek bo tak naprawdę mając hasło można zaatakować skutecznie dowolne dzisiaj używane urządzenie z systemem wbudowanym.

Jest to bardzo niebezpieczny precedens bo taki ruter jest w stanie wysyłać dziesiątki spamów i robić wiele brzydkich rzeczy które robią bot nety ale to jest również idealne miejsce na atak typu man-in-the-mile.

Szczególnie ze statystyczny kowalski nie ma jak śledzić co wychodzi z rutera na interface podłączonym do DSL`a.

I tak naprawdę to mogą tam nawet biegać krasnoludki z pakietami. Tak naprawdę to nie ma też jak się przed tym zabezpieczyć bo dziś można dać długie hasło "śmieciowe" np '[saofi43563456qoifsy2542gqo[i'

Ale co będzie jutro ? Jak się okaże ze firmware jest dziurawe jak szwajcarski ser? i kilka pakietów wystarczy żeby zrobić ruterowi kuku? i już nie trzeba będzie łamać haseł brut-force.

 

Boje się nowej fali cyberprzestępczości skierowanej przeciw urządzeniom wbudowanym mój ulubiony przykład to  taki troszkę absurdalny atak na "inteligętna" lodówkę i podgrzanie piwa. I o ile wczoraj mnie to śmieszyło bardzo dziś już tylko trochę a za jakiś czas będę miał ciepłe piwo w lodówce.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Piękna technologia od dłuższego czasu zastanawiałem się tylko kiedy ktoś taki bot net stworzy.

Kiedy? Przecież takie rzeczy od wielu, wielu lat są robione. I prawdę mówiąc nie widzę niczego przełomowego w newsie.

 

Atak słownikowy nieco mnie zdziwił bo nie myślałem ze ktoś posunie się do czegoś takiego (względnie słaba efektywność) chociaż z drugiej strony nie ma w tym nic specjalnie dziwnego bo troszkę mocy obliczeniowej i pasma można ruterowi uszczknąć niezauważanie i łamać następna hasła. Ale przyznam się ze osobiście spodziewałem się ze ktoś użyje raczej haseł uniwersalnych.

Atak słownikowy daje optymalne wyniki przy rozsądnym czasie ataku. A jak nie ten, to inny cel zawsze się trafi. Natomiast hasła typowe (i serwisowe) zazwyczaj idą także na pierwszy ogień. Zresztą jak słusznie zauważyłeś pierw szuka się słabych punktów w dostępnych usługach.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Najpopularniejsze domowe rutery zawierają poważne luki bezpieczeństwa, ostrzegają specjaliści z Instytutu Fraunhofera. Peter Weidenbach i Johannes vom Dorp przeanalizowali pod kątem bezpieczeństwa 127 popularnych domowych ruterów i odkryli, że większość z nich zawiera co najmniej 1 krytyczną dziurę, a w wielu z nich znaleziono setki znanych luk. Jakby tego było mało, średnia liczba krytycznych dziur na ruter wynosiła aż 53, a nawet najbezpieczniejszy z ruterów miał 21 znanych wcześniej luk.
      Eksperci przeanalizowali rutery m.in. takich producentów jak Netgear, Linksys, D-Link, ASUS, TP-Link czy Zyxel. Sprawdzali je m.in. pod kątem aktualizacji, wersji systemu operacyjnego, obecności znanych dziur, technik ochrony zastosowanych przez producenta oraz częstotliwości ich aktualizacji, obecności prywatnych kluczy w firmware oraz obecności zakodowanych na twardo haseł dostępowych.
      Podsumowując, nasze analizy wykazały, że nie istnieje ruter bez błędów, a żaden producent nie wykonuje perfekcyjnej roboty pod kątem zabezpieczeń. Producenci muszą włożyć olbrzymi wysiłek w to, by rutery stały się równie bezpieczne jak komputery czy serwery, mówią autorzy badań.
      Co prawda użytkownicy ruterów często popełniają błędy podczas ich konfiguracji, ale to nie one są główną przyczyną, dla której rutery są podatne na ataki. Analiza jasno pokazała, że to producenci tych urządzeń, pomimo tego, że wiedzą o istniejących dziurach, lekceważą swoje obowiązki i dostarczają użytkownikom źle zabezpieczone urządzenia. To lekceważenie klienta najlepiej widać w wersji użytego systemu operacyjnego. Spośród 127 ruterów aż 116 korzystało z Linuksa. Linux może być bardzo bezpiecznym systemem. Problem jednak w tym, że w większości przypadków producenci instalowali w ruterach przestarzałe wersje oprogramowania, pełne dziur i niedociągnięć. Większość ruterów korzystała z kernela 2.6, który nie jest utrzymywany od wielu lat [ostatnia wersja tego jądra ukazała się w 2011 roku – red.]. To zaś wiąże się z duża liczbą krytycznych błędów w tych urządzeniach, napisali badacze.
      Kolejny problem to rzadkie aktualizacje firmware'u. Zbyt rzadkie niż być powinny. Nawet jednak odpowiednio częste aktualizacje nie rozwiązują problemów. Okazało się również, że producenci ruterów bardzo rzadko stosują popularne techniki zapobiegania atakom. Bywa nawet tak, że używają powszechnie znanych haseł, których użytkownik nie może zmienić. Jakby jeszcze tego było mało, okazuje się, że w firmware wielu ruterów znajdują się łatwe do pozyskanie prywatne klucze kryptograficzne. To zaś oznacza, że nawet gdy próbujesz zabezpieczyć swój ruter, to nie jest on bezpieczny.
      Nie wszyscy producenci ruterów w równej mierze lekceważą klienta. Badacze ocenili, że najlepiej zabezpiecza rutery firma AVM International, chociaż jej produkty również zawierały dziury. Także ASUS i Netgear wyróżniały się pozytywnie na tle innych. Firmy te częściej aktualizowały oprogramowanie swoich urządzeń i wykorzystywały nowsze, wciąż wspierane, wersje jądra Linuksa.
      Najgorzej zaś wypadły produkty D-Linka, Linksysa, TP-Linka oraz Zyxela.
      Szczegóły analizy można przeczytać w dokumencie Home router security report 2020 [PDF].

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Prokuratorzy federalni zwrócili się do sądu z wnioskiem, by nakazał FBI przedłużenie pracy serwerów zastępujących DNSChangera o kolejne 4 miesiące. Serwery mogłyby zostać wyłączone dopiero 9 lipca.
      DNSChanger zainfekował około 4 milionów komputerów na całym świecie. Zmienia on konfigurację DNS zarażonych maszyn tak, by łączyły się one z serwerami cyberprzestępców, na których wyświetlane są reklamy. FBI zlikwidowało botnet DNSChanger w listopadzie ubiegłego roku i po uzyskaniu zezwolenia sądu podstawiło zań swoje własne serwery, gdyż bez nich zarażone komputery straciłyby dostęp do internetu. Biuro planuje wyłączenie serwerów 8 marca. Ci użytkownicy, a znajdują się wśród nich osoby indywidualne, firmy oraz instytucje rządowe, którzy nie wyczyścili swoich komputerów z DNSChangera nie będą mogli połączyć się z siecią. Prokuratorzy domagają się jednak, by FBI dało internautom więcej czasu na działanie.
      Tymczasem FBI stara się o ekstradycję sześciu Estończyków, którym zarzuca rozpowszechnianie szkodliwego kodu. Cała szóstka została zatrzymana w październiku, w ramach prowadzonego od dwóch lat śledztwa o kryptonimie Operation Ghost Click. FBI podejrzewa, że twórcy DNSChangera zarobili 14 milionów dolarów na przekierowywaniu użytkowników na witryny z reklamami.
      Szkodliwy kod kierował użytkowników do wybranych przez nich witryn poprzez serwery przestępców. Uniemożliwia on tez pobranie poprawek oraz wyłącza oprogramowanie antywirusowe.
      Prokuratorzy domagający się od FBI dłuższego utrzymywania serwerów zdają sobie najwyraźniej sprawę z faktu, że użytkownicy nie spieszą się z usuwaniem DNSChangera ze swoich komputerów. Przeprowadzone dwa tygodnie temu badania wykazały, że co najmniej 250 z 500 największych firm świata wciąż posiada co najmniej 1 komputer zarażony tym szkodliwym kodem.
    • przez KopalniaWiedzy.pl
      Specjaliści ostrzegają, że 8 marca część użytkowników internetu mogą czekać poważne kłopoty. Właśnie na ten dzień FBI zapowiedziało wyłączenie swoich serwerów, które zastąpiły serwery przestępców, kierujących użytkowników na złośliwe witryny.
      W listopadzie FBI zlikwidowało botnet DNSChanger. Jego twórcy infekowali komputery i manipulowali adresami internetowymi tak, że użytkownicy trafiali na witryny, których jedynym celem było wyświetlanie reklam. FBI zastąpiło serwery przestępców własnymi maszynami, dzięki czemu komputery zainfekowane przez botnet mogły bez przeszkód łączyć się z internetem. Ponadto FBI było w stanie zidentyfikować zarażone maszyny.
      Jednak Biuro z góry założyło, że zastępcze serwery będą działały tylko przez jakiś czas, by użytkownicy komputerów zarażonych DNSChangerem mieli czas na wyczyszczenie komputerów ze szkodliwego kodu. „Zastępcza sieć“ FBI ma zostać wyłączona właśnie 8 marca. Oznacza to, że komputery, które nadal są zarażone, stracą dostęp do internetu, gdyż będą usiłowały łączyć się z nieistniejącymi serwerami DNS.
      Eksperci ostrzegają, że wiele komputerów wciąż nie zostało wyczyszczonych ze szkodliwego kodu. Z danych firmy ID wynika, że co najmniej 250 z 500 największych światowych firm oraz 27 z 55 największych amerykańskich instytucji rządowych używa co najmniej jednego komputera lub routera zarażonego DNSChangerem. Nieznana jest liczba indywidualnych użytkowników, którzy mogą mieć kłopoty.
      Zespół odpowiedzialny w FBI za zwalczanie DNSChangera rozważa przedłużenie pracy serwerów. Jednak nawet jeśli nie zostaną one wyłączone 8 marca, to niewiele się zmieni. Internauci, zarówno prywatni jak i instytucjonalni, nie dbają o to, co dzieje się z ich komputerami. Można tak wnioskować chociażby z faktu, że największa liczba skutecznych ataków jest przeprowadzonych na dziury, do których łaty istnieją od dawna, jednak właściciele komputerów ich nie zainstalowali. Przykładem takiej walki z wiatrakami może być historia robaka Conficker, który wciąż zaraża miliony maszyn, mimo, że FBI od 2009 roku prowadzi aktywne działania mające na celu oczyścić zeń internet.
      Ponadto, jeśli FBI nie wyłączy swoich serwerów, to DNSChanger nadal będzie groźny. Robak uniemożliwia bowiem pobranie poprawek, co oznacza, że niektóre z zarażonych nim maszyn nie były aktualizowane od wielu miesięcy, a to wystawia je na jeszcze większe niebezpieczeństwo.
      Firmy, które chcą sprawdzić, czy ich komputery zostały zarażone DNSChangerem powinny skontaktować się z witryną DNS Changer Working Group. Użytkownicy indywidualni mogą skorzystać z narzędzia do sprawdzenia komputera.
    • przez KopalniaWiedzy.pl
      Andriej Sabelnikow zaprzecza oskarżeniom Microsoftu, jakoby był twórcą botnetu Kelihos. Nie popełniłem tego przestępstwa, nigdy nie zarządzałem botnetem ani żadnym podobnym programem i nie osiągałem z tego korzyści - oświadczył mężczyzna. Jego słowa zostały przekazane Microsoftowi oraz firmie Kaspersky Labs, która brała udział w zamknięciu botnetu.
      Przed tygodniem koncern z Redmond oficjalnie oskarżył przed sądem Sabelnikowa. To już drugie nazwisko, które pojawiło się w sprawie Kelihosa. Przed kilkoma miesiącami, w oryginalnym pozwie, prawnicy Microsoft wymienili Dominque Alexandria Piattiego i jego firmę dotFREE Group SRO jako podejrzanych w sprawie. Gdy okazało się, że przestępcy wykorzystali firmę Piattiego do kontrolowania botnetu, Microsoft zawarł z nim ugodę. Koncern odstąpił od oskarżenia w zamian za co Piatti zgodził się usunąć lub przekazać koncernowi subdomeny wykorzystywane przez botnet.
      To właśnie dzięki współpracy z Piattim namierzono Sabelnikowa.
    • przez KopalniaWiedzy.pl
      Microsoft ustalił nazwisko człowieka, którego podejrzewa o stworzenie botnetu Kelihos. Podanie go do wiadomości publicznej to kolejny etap prób nacisku na Rosję, by ta aktywniej walczyła z cyberprzestępcami.
      Niedawno specjaliści ds. bezpieczeństwa, Facebook oraz firma Sophos ujawniła nazwiska pięciu mieszkańców Sankt Petersburga, którzy w 2008 roku stworzyli robaka Koobface atakującego serwisy społecznościowe. Zachodni badacze łącząc informacje zamieszczane m.in. przez wspomnianych mężczyzn na Facebooku byli w stanie ustalić ich nazwiska oraz nazwę i siedzibę ich firmy. Mimo toczonego przez FBI śledztwa Rosja nie była skłonna podjąć żadnych działań przeciwko przestępcom, stąd decyzja o ujawnieniu ich tożsamości.
      Tym razem Microsoft zdecydował się ujawnić, że, zdaniem firmy, twórcą botnetu Kelihos, który spamował użytkowników Hotmaila, jest Andriej Sabelnikow z Sankt Petersburga. Pracuje on jako wolny strzelec na zlecenie jednej z firm produkujących oprogramowanie, a wcześniej był zatrudniony jako programista w firmie zajmującej się... oprogramowaniem zabezpieczającym.
      Nazwisko Sabelnikowa poznaliśmy dopiero teraz, gdyż najwyraźniej dopiero teraz je ustalono. Przed kilkoma miesiącami Microsoft złożył do sądu pozew w tej sprawie. Wówczas wymieniono w nim nazwisko Alexandra Piattiego i jego firmę dotFree Group SRO oraz 22 niezidentyfikowane osoby. Później, gdy okazało się, że firma Piattiego została podstępem wykorzystana przez cyberprzestępców do tworzenia botnetu, Microsoft zawarł z nim ugodę.
      Teraz Richard Boscovich, jeden z prawników Microsoftu, poinformował, że dzięki współpracy z dotFree zdobyto nowe dowody i ustalono nazwisko jednego z podejrzanych w pozwie cywilnym, o którym sądzimy, że jest operatorem botnetu Kelihos.
      Amerykanie mają nadzieję, że naciski zmuszą w końcu Rosję do zajęcia się cyberprzestępczością. Nie mogą liczyć bowiem na ekstradycję podejrzanych, gdyż artykuł 61. rosyjskiej konstytucji zabrania wydawania własnych obywateli innym krajom.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...