Domanda:
La rete locale deve essere prima violata affinché i dispositivi IoT siano accessibili?
Chad Caldwell
2016-10-25 07:29:45 UTC
view on stackexchange narkive permalink

Capisco perfettamente come i dispositivi IoT siano stati utilizzati negli attacchi DDoS di massa perché sono facilmente manipolabili a causa della mancanza di firewall, password predefinite, ecc.

Quello che non capisco è sebbene facilmente hackerato, la maggior parte dei dispositivi IoT è collegata a reti Wi-Fi private protette.

Ecco la domanda: si presume quindi che queste migliaia di reti di dispositivi IoT siano state violate prima e poi il dispositivo stesso è stato violato?

Una rete privata protetta è solo un condotto per il dispositivo per raggiungere Internet e annunciare "Sono qui, aspetto la password".
Il malware per PC può facilmente trovare e dirottare dispositivi locali che non sono visibili all'esterno.
"* la maggior parte dei dispositivi IoT è connessa a reti Wi-Fi private protette *" che sono connesse a Internet, in genere senza firewall.
Dieci risposte:
John Deters
2016-10-25 07:59:31 UTC
view on stackexchange narkive permalink

I dispositivi sono progettati per essere accessibili dall'esterno della casa. Per offrire questo servizio ai proprietari, si rendono accessibili tramite il router / firewall del proprietario della casa. Il modo in cui lo fanno è inviando un pacchetto UPnP al router del proprietario che dice al router di aprire una porta che si ricollega a loro. Quindi ascoltano le connessioni che arrivano direttamente da Internet.

In altre parole, i dispositivi hanno prima violato i router del proprietario in base alla progettazione, che ha esposto le loro vulnerabilità. (Questo non ha nulla a che fare con il WiFi protetto, privato o aperto, a parte il fatto che molti dispositivi IoT si connettono tramite WiFi; UPnP espone le stesse identiche vulnerabilità anche sui dispositivi cablati collegati tramite cavi Ethernet.)

Per proteggere tu stesso, disabilita UPnP sul tuo router.

Si noti che con IPv6 i dispositivi sarebbero accessibili per impostazione predefinita senza nemmeno bisogno di UPnP né di aprire porte (la maggior parte dei router di livello consumer non firewall IPv6 da quello che ho visto).
@AndréBorie Probabilmente non è una buona idea che i router non abbiano firewall per impostazione predefinita.Penso che un gran numero di consumatori abbia un'aspettativa (forse ingiustificata) che il router protegga tutti i dispositivi non sicuri sulla LAN.E penso che coloro che davvero non hanno bisogno del firewall sapranno come accedere alla configurazione e modificare le impostazioni del firewall.
@kasperd Ovviamente non è una buona idea, ma è davvero una sorpresa dato che la maggior parte di questi router sono realizzati dagli stessi idioti che creano dispositivi IoT non sicuri e condividono gli stessi difetti (backdoor, password predefinite, software obsoleto, ecc.)?
@AndréBorie A un certo livello, questa aspettativa è una sbornia da IPv4 e NAT, dove due dispositivi non potevano comunicare a meno che le porte non fossero esplicitamente aperte sui router.Sembra probabile che con l'aumento dell'adozione di IPv6 e la possibilità di indirizzabilità universale, emergeranno molte vulnerabilità nel software che apre le porte TCP e si fida dei dati ricevuti su di esse.
@AndréBorie, la maggior parte dei router di livello consumer che supportano IPv6, ad es.Linksys, _do_ firewall IPv6, ma _non_ NAT IPv6.Queste sono due cose molto diverse.
@AndréBorie Non ho mai visto un router di livello consumer che _non_ firewall IPv6, anche se sono sicuro che ne debba esistere uno.Ovviamente, poi hai l'ulteriore problema di capire l'indirizzo IPv6 ...
La miniera @AndréBorie ha un firewall IPv6 abilitato per impostazione predefinita.Ed è il router fornito dal mio ISP.
@kasperd Sarebbe davvero una buona idea che i router non abbiano firewall per impostazione predefinita e che i dispositivi siano protetti per impostazione predefinita, ma ciò non accadrà.
Potresti anche voler aggiungere un paragrafo sugli utenti che collegano i loro switch (o la porta dello switch del loro router) al loro CPE, dando effettivamente a tutte le loro unità un IP pubblico e nessuna protezione (firewall) dal loro router.Sì, le persone lo fanno, e anche abbastanza spesso.Lo so, dato che lavoro per un ISP e ce ne occupiamo almeno una volta alla settimana.
Ho visto questa affermazione di dispositivi IoT che utilizzano UPnP per aprire porte anche altrove.Qualcuno può indicare prove reali di dispositivi che lo fanno davvero?
@PaulCoccoli, ecco le istruzioni di Panasonic che descrivono la configurazione di UPnP per le loro webcam: http://panasonic.net/pcc/support/netwkcam/technic/status_upnp.html Vedi anche https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol, https: //en.wikipedia.org/wiki/Universal_Plug_and_Play#NAT_traversal e https://en.wikipedia.org/wiki/Internet_Gateway_Device_Protocol per informazioni sulle specifiche.Il CERT avverte le persone di disattivare l'UPnP qui: https://www.us-cert.gov/ncas/alerts/TA16-288A.Krebs ne parla qui: https://krebsonsecurity.com/2015/01/the-internet-of-dangerous-things/
@immibis Sono d'accordo, sarebbe ancora meglio.
@ChristianF In realtà ci sono scenari in cui è una cosa sensata da fare.Ma probabilmente la maggior parte degli utenti lo fa per errore.Probabilmente puoi capire la differenza se hanno lasciato DHCP abilitato o meno.In qualità di ISP ci sono molte cose che puoi fare per far funzionare bene questo scenario per gli utenti.Quindi, a seconda di quanto tempo dedichi agli utenti che collegano il loro router in questo modo per errore, potrebbe valere la pena dedicare del tempo a tale utilizzo.
@kasperd Sospetto fortemente che non supportino quella configurazione perché spreca gli IP pubblici.
@immibis Se gliene importa veramente, supportano anche IPv6 e probabilmente hanno configurato DNS64 + NAT64 per accedere a siti solo IPv4.Se l'ISP include l'IP del proprio DNS64 negli annunci del router che inviano ai client, tali client praticamente non utilizzeranno alcun indirizzo IPv4 che potrebbero aver ottenuto tramite DHCP.
@kasperd Questo sta andando fuori tema per la domanda e la risposta.Il punto era che le persone, a volte, espongono le loro unità sulla rete Internet pubblica senza utilizzare alcun tipo di protezione.Rendendo conto della necessità di decifrare il discutibile (inesistente) rete locale.
OK, ecco cosa non capisco.Worm come Mirai funzionano scansionando IP pubblici casuali e tentando di collegarsi a telnet, giusto?Quindi, se i dispositivi IoT si trovano dietro un NAT, come potrebbe telnet sulla porta 23 raggiungere il dispositivo?UPnP fornirebbe una porta con un numero molto alto, non una porta telnet, giusto?
@RenéG, UPnP è una breve connessione al router per configurare il firewall per l'ascolto su una porta specifica e per inoltrare i pacchetti in arrivo all'indirizzo (e alla porta) della telecamera.La fotocamera non utilizza UPnP per stabilire una connessione in uscita permanente a un indirizzo al di fuori di Internet, che utilizzerebbe il numero di porta alto casuale a cui stai pensando.
@JohnDeters Ok, ha senso.Ma allora perché le telecamere (alla Mirai) dovrebbero inoltrare la porta 23 ???Non ha senso!Capisco perché vorresti telnet per il debug locale, ma perché aggiungerebbero telnet in modo specifico alle porte inoltrate upnp ???
Limit
2016-10-25 08:03:17 UTC
view on stackexchange narkive permalink

La tua comprensione dell'attacco non è così chiara come pensi. In questo articolo, Krebs ha affermato che gli aggressori non dovevano realmente hackerare i dispositivi. La vulnerabilità era ben nota, dovevano solo scansionare Internet per quei dispositivi.
Certo, se SSH / Telnet ai dispositivi fosse stato disabilitato, il problema sarebbe stato risolto facilmente. A peggiorare le cose, le credenziali hardcoded presenti nell'hardware non erano nemmeno visibili all'interfaccia web per l'amministratore.
Sì, è assolutamente fondamentale sapere quali sono i dispositivi presenti nella tua rete e quali sono i servizi che hai / non hai bisogno.

MODIFICA : dopo il chiarimento di @ tlng05 sulla domanda.
Come già accennato in altre risposte, dovresti disabilitare UPnP sul tuo router per assicurarti assolutamente che il tuo dispositivo non sia configurabile direttamente dal mondo esterno.

Penso che OP sia interessato a sapere come SSH / Telnet sarebbe accessibile quando il dispositivo è connesso a una rete domestica privata, che normalmente avrebbe un firewall NAT in entrata.
Questo è un malinteso comune.In genere hanno dispositivi NAT con funzionalità firewall che variano da minime a nulle.Dove sono presenti funzionalità firewall, non sono quasi mai abilitate.
@tlng05, non confonde NAT, un kludge per estendere l'indirizzamento IPv4, con i firewall.Puoi avere un firewall molto sicuro che non ha NAT abilitato e puoi NAT su un dispositivo senza avere un firewall.La combinazione firewall / router è solo un posto conveniente per NAT, ma non è un firewall.
@RonMaupin Tuttavia, se è dietro NAT, come potrebbe una richiesta telnet sulla porta 23 raggiungere il dispositivo IoT?Come saprebbe il router di inoltrare alla telecamera?Ho sentito parlare di UPnP qui, ma perché diavolo il produttore dovrebbe inoltrare la porta 23 tramite UPnP?Non ha senso!
@RenéG, un firewall protegge la tua rete, non NAT.Se non si dispone di funzionalità firewall, è possibile rilevare il router tramite il suo indirizzo pubblico, quindi NAT non fa nulla per te perché il router sa come accedere alla rete interna.Inoltre, se è aperta una porta diversa, in alcune circostanze è possibile passare attraverso NAT per assumere il controllo di un host interno, quindi tutte le scommesse sono disattivate.NAT in realtà non fornisce sicurezza, i firewall sì.
Toby Speight
2016-10-25 14:00:47 UTC
view on stackexchange narkive permalink

La tua idea sbagliata è qui:

reti Wi-Fi private protette

Mentre molte reti Wi-Fi domestiche sono protette da dispositivi wireless non autorizzati connettendosi direttamente, molti sono aperti all ' accesso da Internet più ampio . È questo accesso (richiesto dai dispositivi IoT per svolgere le loro funzioni legittime) che può essere oggetto di abusi (e su scala molto più ampia rispetto alla visita fisica di molte reti WiFi).

La superficie di attacco di un router è attiva entrambe tutte le reti!

È accessibile da Internet più ampio, hai ragione.Non dico che sia completamente aperto.Penso che da oltre 20 anni i router di base siano chiusi sulle porte comuni.Non è possibile connettersi tramite la porta 22 a ciascun indirizzo IP di qualcosa del genere.Ma come detto sopra.UPnP rimuove questa sicurezza alla grande.Non abilitarlo mai, ciò rende il tuo router insicuro
@AdamSitemap L'unica sicurezza rimossa da UPnP è la sicurezza accidentale.Se una porta è filtrata da un firewall, l'abilitazione di UPnP non la annullerà.Se una porta non è filtrata da un firewall, qualsiasi sicurezza è accidentale e inaffidabile.
Anirudh Malhotra
2016-10-25 13:26:14 UTC
view on stackexchange narkive permalink

Quello che non capisco è che sebbene facilmente hackerabili, la maggior parte dei dispositivi IoT sono connessi a reti Wi-Fi private protette.

Sì, sono collegati alle tue reti Wi-Fi private, ma sono protetti? Beh, non tanto quanto indicato da te, questi dispositivi non sono protetti da firewall, IPS a differenza delle reti aziendali. Alcuni di loro hanno firmware antichi, che non sono stati aggiornati da secoli. E sì, alcuni hanno password predefinite ancora funzionanti, in modo che chiunque possa accedervi facilmente e sfruttarle per gli attacchi.

Quindi si presume che queste migliaia di reti di dispositivi IoT siano state violate prima, poi il dispositivo stesso è stato violato?

Beh, non necessariamente, anche se in alcuni casi potrebbe essere possibile. Ma per lo più questi dispositivi vengono lasciati intenzionalmente esposti a Internet perché sono necessari per accedervi da qualsiasi parte del mondo.

Come sottolineato da molti esempi sopra, se desideri che i filmati CCTV della tua casa siano principalmente tu vorresti che fosse trasmesso in live streaming sul tuo dispositivo palmare ed è per questo che devono essere accessibili su Internet. Sono un numero N di altri esempi.

Conclusione: per utilizzare i dispositivi IoT per attaccare, non è necessario accedere alla tua rete. È possibile accedere a questi dispositivi direttamente da Internet. Quello che dobbiamo fare è proteggere questi dispositivi da tali accessi non autorizzati e mantenere i nostri dispositivi al sicuro senza dover utilizzare dispositivi costosi come firewall e IPS.

Penso che questo aggiunga un punto prezioso: la mia comprensione è che molti di questi schifosi dispositivi IoT che sono stati compromessi sono stati effettivamente collocati * fuori * da qualsiasi perimetro del firewall che un utente potrebbe avere, direttamente connessi a Internet.(Ma poi, ovviamente, in aggiunta hai il port forwarding e scenari UPnP in cui un dispositivo si trova all'interno del router / firewall ma ancora vulnerabile.)
@halfinformed Molto probabilmente, non esiste un vero firewall di cui parlare, solo un router il cui compito è far "funzionare" le cose, non fornire protezione.
@halfinformed Sì, questo è il caso, ma solo a volte, soprattutto perché David ha detto che non ci sono firewall e router non fanno nulla.
Con "firewall" intendo anche qualsiasi pessimo router SOHO o router distribuito da ISP con alcune funzionalità di base simili a firewall.(Significa fondamentalmente qualsiasi dispositivo che non lascia passare pacchetti arbitrari in entrata da Internet alla rete interna di un utente.) Certamente non volevo implicare che gli utenti ordinari stiano tipicamente utilizzando dispositivi firewall discreti.
Craig
2016-10-25 19:45:22 UTC
view on stackexchange narkive permalink

UPnP può essere un problema, ma sembra che tutti non capiscano che molti di questi dispositivi realizzano connessioni NAT in uscita standard persistenti ai server dei fornitori. Tutto ciò che l'attaccante deve fare è hackerare il sito del fornitore per ottenere il controllo di tutti i dispositivi IoT collegati e da lì, dal momento che si trovano all'interno delle reti domestiche, attaccare altri computer all'interno della rete o lanciare attacchi DDoS. L'accesso diretto HTTP, SSH o altro abilitato UPnP tramite il router non è necessariamente un requisito.

Ma non ci sono indicazioni che stiano succedendo.Il vuln è nei dispositivi e nei router abilitati per upnp scadenti, non nei server centrali del fornitore.Se fosse quest'ultimo sarebbe facile da risolvere.
Ci sono stati sicuramente attacchi ai dispositivi tramite i siti Web dei fornitori.
La botnet e il malware MIRAI non stanno attaccando i server o il sito web dei fornitori.Si connette direttamente alle webcam degli utenti finali e ad altri dispositivi IoT connettendosi a porte note che i dispositivi hanno esposto utilizzando UPnP, quindi testando un set di 66 diverse credenziali predefinite su tali porte.Sì, qualcuno potrebbe teoricamente attaccare il sito del fornitore, ma questo non è stato vero per nessuno dei recenti massicci attacchi DDoS.
La domanda dell'OP non nominava specificamente la botnet MIRAI (il corpo della domanda * alludeva * ad essa).L'intestazione è: * "La rete locale deve essere prima violata affinché i dispositivi IoT siano accessibili?" * In base a tale intestazione, la risposta è no, l'attaccante non deve nemmeno * sempre * compiere alcuno sforzo per violareil tuo router.Se riescono a cavarsela con l'ingegneria sociale dell'azienda del fornitore di dispositivi IoT, possono accedere a tutti i dispositivi contemporaneamente poiché, spesso, tutti quei dispositivi hanno già stabilito connessioni persistenti ** in uscita ** con il fornitore IoT.C'è più di un vettore di minacce IoT.
katrix
2016-10-25 08:14:10 UTC
view on stackexchange narkive permalink

Sebbene i dispositivi IoT siano effettivamente all'interno di reti sicure, sono in gran parte realizzati in modo tale da essere accessibili da Internet. Ad esempio, l'impostazione della temperatura della tua casa è accessibile dall'app del telefono quando sei al lavoro. Ciò è abilitato dall'apertura di una connessione a Internet. Questo risponde al motivo per cui sono in grado di accedere al mondo esterno.

Ora, la maggior parte dei dispositivi IoT, o botnet, non sono ben patchati e utilizzano configurazioni di sicurezza allentate. Le parti 1 e 2 dell'articolo trovate qui lo spiegano in dettaglio, ma per riassumere, questi dispositivi sono infettati da malware. Sono in grado di inviare messaggi in uscita a Internet (il mondo esterno). E così, finiscono per inviare il messaggio "DoS" al bersaglio.

David Schwartz
2016-10-25 23:46:34 UTC
view on stackexchange narkive permalink

La maggior parte dei dispositivi IoT si trova su reti connesse a Internet da router NAT SoHo convenzionali che in genere hanno capacità firewall molto limitate o dove i firewall non sono abilitati o mantenuti. C'è un mito comune che il NAT sia un livello di sicurezza, ma non lo è.

"NAT e firewall sono concetti completamente ortogonali che non hanno niente a che fare l'uno con l'altro. Perché alcune implementazioni NAT forniscono accidentalmente alcuni firewalling, esiste un mito persistente secondo cui il NAT fornisce sicurezza. Non fornisce alcuna protezione. Nessuno. Zero. " - Quanto è importante il NAT come livello di sicurezza?

Tim X
2016-10-28 04:11:02 UTC
view on stackexchange narkive permalink

Potrebbe essere utile pensare alla terminologia e a cosa si intende quando le persone dicono che le cose dell'IoT sono state "violate". In molti casi, i dispositivi non sono stati affatto violati: funzionano come previsto.

In generale, esistono due tipi di connessioni di rete. Il primo tipo è una connessione di tipo completamente connessa in cui entrambe le parti devono essere completamente connesse. Simile a una telefonata, devi avere qualcuno da entrambe le parti. Con questo tipo di connessione, il sistema di avvio effettua una connessione iniziale al sistema di destinazione e il sistema di destinazione si riconnette al sistema di avvio. Questo tipo di connessione è ciò che normalmente si verifica quando è importante essere in grado di coordinare le comunicazioni, tenere traccia dell'ordine dei pacchetti di dati e richiedere il reinvio di eventuali dati persi.

L'altro tipo di connessione è più simile a una connessione di messaggistica (pensa a SMS o qualche altro messaggio In questo tipo di connessione, non hai una connessione bidirezionale. Il sistema di origine invia un messaggio a il sistema di destinazione e, a seconda del messaggio, il sistema di ricezione potrebbe inviare una risposta all'indirizzo del mittente nel messaggio iniziale. Questo tipo di comunicazione è buono quando l'ordine dei dati, la perdita di alcuni dati ecc. non è critico.

Il fatto è che, sebbene le connessioni completamente connesse siano ottime per cose come l'integrità dei dati e, a causa della natura bidirezionale, sono difficili da falsificare, sono più costose in termini di risorse e sovraccarico. Il secondo tipo di connessione ha meno integrità ed è più facile da falsificare perché non esiste una connessione bidirezionale, ma sono economici: richiedono meno risorse e hanno costi di sistema inferiori per l'elaborazione.

Molti sistemi IoT sono piccoli, leggeri e devono essere efficienti. In genere hanno meno memoria e processi meno potenti e quindi tendono a favorire progetti che utilizzano protocolli senza connessione piuttosto che protocolli connessi più costosi. Tuttavia, questo significa anche che è più facile per i sistemi canaglia "mentire" e fare cose come lo spoofing degli indirizzi IP. È come se ti mandassi un messaggio, dove l'indirizzo del mittente è falso. Quando rispondi al messaggio, la tua risposta andrà all'indirizzo nel messaggio, ma quello non è il vero indirizzo di origine.

In effetti, ciò che sta accadendo è che i dispositivi IoT vengono indotti a inviare dati / risposte a uno spettatore innocente che non ha richiesto nulla. Il sistema non è stato "hackerato", ma solo ingannato.

Spesso la situazione può essere peggiorata utilizzando tecniche di amplificazione. Esistono alcuni servizi di tipo senza connessione che, quando viene chiesto una domanda semplice / breve variabile, risponderà con una risposta lunga variabile, ad esempio risposte con molti dati. Ciò può semplificare la creazione di una situazione in cui improvvisamente un sito vittima (come un DNS) inizia improvvisamente a ricevere grandi quantità di dati che non si aspettava o non aveva richiesto.

per fare ciò, tutto ciò che devi fare è identificare i dispositivi su Internet che supportano un protocollo senza connessione, inviare a questi dispositivi un messaggio che richiede qualcosa che potrebbe comportare una risposta di dati di grandi dimensioni e falsificare l'indirizzo IP della vittima mirata.

per peggiorare le cose, il sistema mirato non ha nemmeno bisogno di conoscere o comprendere i dati che gli vengono inviati. L'idea è di inviare così tanti dati da sovraccaricare il sistema: ciò potrebbe accadere quando il sistema è costretto a esaminare grandi quantità di dati in arrivo semplicemente per prendere la decisione di scartarli e non intraprendere ulteriori azioni. Con dati sufficienti, anche quel processo di elaborazione che devi ignorare può essere sufficiente per impedire al sistema di elaborare connessioni legittime. Il fatto che questi dati provengano da più sistemi di origine diversi, ovvero tutti i dispositivi IoT, significa che non è possibile bloccare un indirizzo IP semplicemente perché ce ne sono troppi.

Quindi, anche se è vero che ci sono troppi dispositivi IoT che sono stati progettati male e non dispongono di controlli di sicurezza sufficienti, una parte del problema sono i requisiti contrastanti per implementare una soluzione efficiente sotto il profilo delle risorse da un lato, ma in qualche modo affrontare un mondo con troppi agenti maligni che vogliono sfruttare le tue buone intenzioni. C'è sicuramente molto che i fornitori di IoT potrebbero fare per migliorare la situazione, ma per la maggior parte di loro ciò aumenterebbe solo i costi di produzione e la realtà è che la maggior parte dei consumatori non è a conoscenza dei problemi, quindi non riuscire a investire nella soluzione migliore non lo fa ". t influisce sulla quota di mercato e quindi non si traduce in un beneficio finanziario sufficiente.

In altre parole, simile in linea di principio a un attacco di riflessione DNS.
Sì, nel senso che questi dispositivi IoT possono essere utilizzati per eseguire l'attacco di riflessione DDoS su una terza parte ignara.Esistono altri problemi di sicurezza significativi con molti dispositivi IoT semplicemente perché i produttori non hanno progettato la sicurezza nei loro sistemi.Tuttavia, utilizzarli per eseguire attacchi di riflessione DDoS è una delle maggiori preoccupazioni in quanto fornisce il potenziale di impatto su un gran numero di vittime ignare.Gli altri problemi di sicurezza associati all'IoT tendono a interessare solo l'individuo / sito che li esegue, quindi un impatto potenziale minore.
@TimX, hai detto "In molti casi, i dispositivi non sono stati affatto violati - stanno funzionando come previsto".Tranne che una rete IoT è generalmente mantenuta dietro un firewall, dove la sicurezza della rete deve essere penetrata prima.Certo, potresti inviare i miei dispositivi IoT in un attacco di amplificazione l'uno contro l'altro che renderebbe infelice la mia casa, ma il mio traffico non avrà alcun impatto sulla tua casa.Ciò richiederebbe che i miei dispositivi violino il tuo firewall per consentire ai tuoi dispositivi di attaccarsi a vicenda.La propagazione dell'attacco richiede l'hacking dei dispositivi.Mirai ha hackerato i dispositivi, non "funzionavano come previsto".
Un piccolo problema con la tua ipotesi sui firewall: IPv6.Alcuni dei modem venduti nel mercato interno supportano i firewall per IPv6, ma la maggior parte di essi ora supporta IPv6 e un numero crescente di ISP ora abilita IPv6 per impostazione predefinita.L'altro problema è che molti di questi dispositivi IoT sono progettati per consentire connessioni esterne, richiedendo il port forwarding o utilizzando qualcosa di orribile come uPnP.Combina questo con l'elevato uso dell'IoT in situazioni domestiche e di piccoli uffici in cui le competenze IT sono spesso basse e hai un problema.Affidarsi al firewall è davvero solo una sicurezza "dolcissima"
DrSt4ng3
2016-10-26 06:31:37 UTC
view on stackexchange narkive permalink

XM ha effettivamente disabilitato telnet / ssh su molti dei suoi dispositivi IoT (ne fornisce molti per nuovi DvR, webcam, ecc.) più di un anno fa. Quindi chiunque avesse effettivamente aggiornato il firmware (chissà) o avesse acquistato un modello più recente di (dispositivo IoT qualunque) da allora probabilmente sarebbe stato immune da quel tipo di attacco.

La mia comprensione è Mirai (non sono sicuro dell'altro popolare Bashlight) connesso alla maggior parte dei dispositivi IoT tramite GRE, un tunnel virtuale IP point-to-point. GRE è un po 'come una VPN per la consegna di pacchetti: può trasferire i dati attraverso la rete pubblica in privato, senza che i dati / le intestazioni effettivi siano identificabili e quasi senza overhead del protocollo. Quindi, una volta che hai un elenco principale di cam sfruttabili, home sec, connesso qualsiasi dispositivo e modello, puoi scansionare l'intero Internet e tunnel IP accessibili attraverso porte aperte, eseguire password, ecc. Ecc. Difficile per le persone vederlo arrivare perché GRE sembra una normale trasmissione IP tra dispositivi che chiamano a casa o in streaming home video all'app, ecc. Questa è solo la mia opinione ...

Culme
2016-10-27 16:41:00 UTC
view on stackexchange narkive permalink

Nuovo in questo forum ho pensato di intervenire dal punto di vista di un produttore di dispositivi IoT per hobby. Potrei benissimo essere fuori tema, anche dal momento che non sono del tutto sicuro di ciò che voi ragazzi consideriate un dispositivo IoT, ma per quello che vale:

I "dispositivi IoT" che creo, che cose inutili come segnalare se qualcuno si è spostato o meno all'interno di una certa area in un certo tempo, potrebbero essere facilmente "hackerate" senza accedere al mio WiFi. Probabilmente potresti semplicemente mettere un ricevitore del tipo giusto (potremmo parlare a 433 MHz) e origliare tutto il giorno. Quindi potresti creare i tuoi messaggi e inviarli al mio stupido dispositivo e / o al server che raccoglie quelle informazioni, e farmi correre a casa in preda al panico poiché il mio sistema di casa non così intelligente dice che sono 200 gradi Centrigradi nel mio frigorifero e cinquemila persone sono passate nel mio garage ma non ne è uscito nessuno.

Fondamentalmente quello che sto dicendo è che qualsiasi difetto esposto direttamente dall'hardware dei dispositivi IoT, e da cui il software non protegge, potrebbe essere una voce porta per un hacker. Diamine, in base a dove è posizionato il dispositivo potresti persino collegare il tuo hardware e iniziare a creare problemi. "Ecco il mio ESP8266 abilitato al WiFi, vai avanti e carica il tuo software tramite USB." Ma immagino che sia davvero fuori portata.

Ciao @Culme,, il problema qui è che i dispositivi sono visibili su Internet, dove le economie di scala significano che dozzine di dispositivi compromessi possono essere impostati su migliaia di altri dispositivi, che possono quindi hackerare milioni.Una connessione RF a 433 MHz non sicura può essere sfruttata solo da un malintenzionato che si trova fisicamente nel raggio del segnale di casa tua.E l'hackerare il tuo singolo dispositivo IoT non gli garantisce la possibilità di hackerare migliaia di altri dispositivi RF, a meno che non guidi verso altre migliaia di case.Le vulnerabilità di fronte a Internet sono quelle che portano a Mirai, non quelle che si affacciano a RF.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...