image

Onderzoeker maakt worm die wachtwoord IoT-apparaten aanpast

maandag 31 oktober 2016, 10:56 door Redactie, 9 reacties
Laatst bijgewerkt: 31-10-2016, 11:16

Een onderzoeker heeft een worm ontwikkeld die standaard wachtwoorden van Internet of Things-apparaten aanpast, wat infectie door andere malware moet voorkomen. Aanleiding voor het project van onderzoeker Leo Linsky is de Mirai-malware die IoT-apparaten via een niet gewijzigd standaard wachtwoord infecteert en vervolgens gebruikt voor het vinden van andere kwetsbare IoT-apparaten en het uitvoeren van ddos-aanvallen.

Linsky heeft de gelekte broncode van Mirai gebruikt om aan te tonen dat het mogelijk is om een goedaardige worm te maken die zich ook via standaard wachtwoorden verspreidt. "Het idee is om te laten zien dat deze apparaten door een worm kunnen worden gepatcht die zichzelf na het veranderen van het wachtwoord, in iets specifieks voor het apparaat of willekeurigs, weer verwijdert", aldus de onderzoeker achter het Mirai Counter Research Project.

Hij stelt dat een dergelijke goedaardige worm in theorie het aanvalsoppervlak van andere malware en kwaadaardige wormen kan verkleinen. Linsky waarschuwt wel dat een dergelijke goedaardige worm alleen in gesloten omgevingen moet worden getest en het gebruik van de software op eigen risico is. Eerder lieten andere onderzoekers al zien dat er een beveiligingslek in de code van het Mirai-botnet aanwezig is, waardoor aangevallen websites de IoT-apparaten achter de aanval in bepaalde gevallen kunnen laten crashen.

Reacties (9)
31-10-2016, 11:37 door [Account Verwijderd]
[Verwijderd]
31-10-2016, 12:58 door Anoniem
Door Rinjani: Dat leidt tot een idee voor fabrikanten van IoT-apparaten: het standaard wachtwoord blijft maar beperkte tijd geldig na activatie (indien niet veranderd door de gebruiker). Daarna stelt het apparaat zelf een willekeurig wachtwoord in, waarmee iedereen, inclusief de gebruiker wordt buitengesloten. Indien de gebruiker bij het apparaat moet zal deze een reset naar fabrieksinstellingen moeten doen.
Goede optie. Je kun ook de default gateway en subnet mask van een device wissen. Dan werkt het apparaat nog wel maar is niet meer via het internet te benaderen.
31-10-2016, 13:59 door Anoniem
Ja, dat moet je niet willen, dat een worm je slimme thermostaten moet beschermen tegen een aanval van door een bot netwerk. Maar ja vroeger was er een air-gap en door die "luchtbel" hing niet alles, omdat het makkelijk was, aan het Internet.

Nu je met een aanval via een vloot smart fluitketels een heleboel ontwrichting te weeg kan brengen, moeten we eens goed gaan nadenken over de infrastructuur en de beveiliging, zeker als maar 4% van het algemene publiek in Nederland in bescherming is geïnteresseerd.
31-10-2016, 15:03 door Anoniem
Veel fabrikanten gebruiken al jaren een device uniek wachtwoord dat dan op een sticker onder het apparaat is geplakt.
Standaard passwords is al lang niet meer van deze tijd en aangezien het een serieuze bedreiging vormt voor het netwerk van de consument en ddos aanvallen zal er een vorm van "name en shame" lijst moeten komen van fabrikanten wiens apparaten hier kwetsbaar voor zijn. Enigste dat fabrikanten begrijpen is daling van omzet en brandname waarde verlies.
31-10-2016, 16:16 door Anoniem
Door Anoniem: Veel fabrikanten gebruiken al jaren een device uniek wachtwoord dat dan op een sticker onder het apparaat is geplakt.

Helaas kwomt het dan vaak voor dat dit wachtwoord niet random is maar gegenereerd uit bijvoorbeeld het MAC adres.
Dat is via internet geen probleem maar bijvoorbeeld WiFi routers zijn dan heel makkelijk te hacken omdat je het
MAC adres via de WiFi kunt achterhalen en dan het standaard wachtwoord zelf kunt herleiden.
(met een programma'tje of een webpagina ergens)
31-10-2016, 16:30 door ph-cofi
"Hela, mijn smart [apparaat] kan ineens niet meer bediend worden onderweg via m'n iPhone. En in het boekje staat '12345', doe het ook al niet".

Overigens... een goeierik kan ook gewoon de telnet interface uitzetten om Mirai buiten te houden. Oh nee, als de stekker eruit is geweest staat dat kreng weer aan, zo is het gebouwd.
31-10-2016, 17:39 door Anoniem
Gemak dient de mens, maar ook dus de onveiligheid.

We zijn al zo lam gebeukt door het allemaal maar te moeten willen,
dat het ons meestal geen moer interesseert.

Daarnaast krijgt de gemiddelde mens het pas op het netvlies,
als 't helemaal fout dreigt te gaan.

En iOT lijkt compleet uit de hand te kunnen lopen.
Welke sciencefiction schrijver heeft er zo'n scenario al eens eerder bedacht?
Daar uit blijkt dat de werkelijkheid verrassender is als de meest onwaarschijnlijke fictie.

Wie gaat er werken aan de iOT firewall? -> http://electronicdesign.com/communications/internet-things-needs-firewalls-too

Leuk om te lezen: http://www.networkworld.com/article/3085607/internet-of-things/8-tips-to-secure-those-iot-devices.html
31-10-2016, 20:27 door [Account Verwijderd] - Bijgewerkt: 31-10-2016, 20:27
[Verwijderd]
01-11-2016, 07:00 door Anoniem
Is het geen idee voor de overheid om fabrikanten te verplichten om standaard wachtwoorden te gebruiken? Je kunt nog een stap verder gaan en gebruikers verplichten een sterk wachtwoord voldoend aan de vereisten van dat moment in te stellen. Punt 1 geef je een boete vanwege het slechte wachtwoord. Overheidsoftware kan controles uitvoeren bij providers wachtwoorden resetten en deze verzenden aan de gebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.