image

SANS roept op tot gezamenlijke actie tegen IoT botnets

donderdag 6 oktober 2016, 09:40 door Redactie, 7 reacties

Het SANS Institute hoopt dat sysadmins wel zullen doen wat fabrikanten massaal nalaten: het verbeteren van de security van Internet of Things-apparaten. De oproep komt na twee IoT-gebaseerde botnet aanvallen. De minstens 600 Gbps aanval op Krebs on Security en de bijna 1 Tbps aanval op de Franse hosting provider OVH.

SANS roept sysadmins, die weten waar ze mee bezig zijn, op om de nieuwste versie van cowrie op een honeypot te installeren om zo meer inzicht te krijgen in de wachtwoorden die worden geprobeerd en verschuivingen in patronen te signaleren.

SANS onderzoeker Johannes Ullrich, PhD, zegt dat zijn DVR honeypot vooral scans laat zien die standaard wachtwoorden proberen. Ook merkt hij op dat toen hij zijn DVR honeypot aan het internet hing deze zoveel telnet pogingen te verduren kreeg dat deze regelmatig herstart moest worden. Hij waarschuwt hier wel rekening mee te houden bij het opzetten van een honeypot.

Reacties (7)
06-10-2016, 13:45 door Anoniem
Why add the PhD?
06-10-2016, 14:03 door Anoniem
Als ze OVH aanvallen, laat het dan maar zo. Laat SANS zich eerst maar eens richten op die grote providers die overlast veroorzaken op het internet, dat is een structureel probleem.

SANS loopt gewoon achter de feiten aan. Er moet gewoon de vervuiler betaald model komen. Fabrikanten maken rommel -> rommel veroorzaakt overlast -> Fabrikant krijgt gepeperde rekening -> Fabrikant gaat failliet -> Volgende Fabrikant doet beter zijn best.

Als je tandarts bent ga je (hoop ik) ook geen hersenchirurgie uitoefenen, niets meer of minder geldt voor IoT/IT.
06-10-2016, 18:00 door karma4
Door Anoniem: Why add the PhD?
Als een professor het zegt zal het wel waar zijn. Dat is een machtspositie to de gewone man. Een PhD vergt een flink budget je hoort dam tot bepaalde kringen
07-10-2016, 00:04 door [Account Verwijderd]
PhD staat niet voor professor maar voor doktor.
07-10-2016, 00:17 door Anoniem
Door karma4:
Door Anoniem: Why add the PhD?
Als een professor het zegt zal het wel waar zijn. Dat is een machtspositie to de gewone man. Een PhD vergt een flink budget je hoort dam tot bepaalde kringen

Weer etaleert karma4 een zeker gebrek aan kennis.

Het merendeel van de PhDs is geen professor. Voor degene die de titel wil behalen vergt het geen extreem budget, eerder het omgekeerde : een aantal jaren lang en hard werken voor een salaris/vergoeding in de orde van een junior MBO'er.
Het is wel een aanduiding dat je behoort tot de kring van hooggeschoolde academici .
In tegenstelling tot wat je lijkt te suggeren is dat bepaald _niet_ de kring die overloopt van geld en macht .

In het nederlands heet de titel Dr. (Doctor) en staat voor de naam.
Iets beter was dus geweest om "SANS onderzoeker Dr. Johannis Ullrich" te schrijven .
07-10-2016, 16:38 door Anoniem
Door karma4:
Door Anoniem: Why add the PhD?
Als een professor het zegt zal het wel waar zijn. Dat is een machtspositie to de gewone man. Een PhD vergt een flink budget je hoort dam tot bepaalde kringen

Bedrijven moeten verplicht worden om hun producten te beveiligen. Als je een product koopt zoals een IP camera (het meest gehackt volgens een lijstje elders gepubliceerd) dan zou je een verplichte wizard moeten doorlopen (dit doet Synology met haar router setup ook) De wizard verplicht je vervolgens een account aan te maken of in ieder geval het default password te wijzigen. Het is allemaal relatief simpel, maar kost blijkbaar te veel moeite.
08-10-2016, 00:35 door Anoniem
Johannes Ullrich is de oprichter van de firma DShield eer hij voor SANS ging werken. Hij werkte daarnaast ook in projecten voor de Nasa en het Energie Departement. Hij komt oorspronkelijk uit Duitsland en ging naar de States om daar verder te studeren en zijn graad te behalen. Zijn specialisme is web development.

Botnets kunnen het beste met IDS sensoren, geo-locatie en anonieme proxies worden opgespoord. Actieve scanning (van 60 tot 65 botnets tegelijk per keer) en opslaan in databases dient gescheiden te gebeuren. Identificering gebeurt op bases van de verzamelde log-data, alles dynamisch via de hooks die men heeft in de verschillende botnetten. Zo is bijvoorbeeld Conficker breeduit in beeld gebracht. Dit soort bedrijven houden zich ook met "botnet sinkholing" bezig.

Er bestaan reeds een aantal firma's, die onder de publieke radar opereren en via speciale API's al doen waar Johannes Ullrich voor pleit. Of hij weet dit niet of hij doet of hij het niet weet en geeft er zo geen ruchtbaarheid aan. Waarom het publiek hier nu via SANS iets over moet worden bericht, is me niet geheel duidelijk. Het zijn wel interessante ontwikkelingen voor wie van de hoed en de rand weten. Met de huidige ransomware golven moet er wel wat gebeuren op dit vlak, dunkt me. IoT botnets vanwege de grote dDos-dreiging komen nu ook aan de beurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.