image

Nieuwe ip-camera binnen 5 minuten besmet met Mirai-worm

maandag 21 november 2016, 09:18 door Redactie, 13 reacties

De Mirai-worm die Internet of Things-apparaten infecteert is nog altijd zeer actief, zo ontdekte beveiligingsonderzoeker Rob Graham. Graham kocht een nieuwe ip-camera en besloot die op het internet aansluiten. Daarbij gebruikte hij een Raspberry Pi als router/firewall om de camera van het thuisnetwerk te isoleren en het verkeer naar buiten te beperken.

Nog geen 5 minuten dat Graham de ip-camera had ingeschakeld werd het apparaat gevonden en geïnfecteerd door de Mirai-worm, zo laat de onderzoeker op Twitter weten. De worm infecteert IoT-apparaten waarvan het standaardwachtwoord niet door de eigenaar is veranderd. De eerste infectie vond echter al na 98 seconden plaats, aldus de onderzoeker. Het ging hier echter om een andere worm. Wel moet worden opgemerkt dat Graham port forwarding voor telnet-poort 23 inschakelde. De camera in kwestie was van het merk JideTech en gebruikt een chip van HikVision.

Vorige week kwam de Amerikaanse overheid nog met een veiligheidsplan voor Internet of Things-apparaten. Een dag later was er een hoorzitting voor het Amerikaanse congres over de ddos-aanvallen die met Mirai besmette IoT-apparaten op dns-aanbieder Dyn uitvoerden. Beveiligingsexpert Bruce Schneier pleitte er toen voor dat de overheid moet ingrijpen om de problematiek van onveilige IoT-apparaten op te lossen, aangezien fabrikanten en gebruikers dit weinig kan schelen.

Reacties (13)
21-11-2016, 09:27 door Anoniem
Aan de ene kant erg slecht natuurlijk. Aan de andere kant... We moeten toch zo nodig op internet?
15 jaar terug functioneerde de wereld ook prima - zonder deze internet afhankelijkheid...
21-11-2016, 09:46 door Anoniem
Ja, hallo zeg! telnet forwarden... dat is er wel een 'beetje' om vragen he....
21-11-2016, 10:43 door Anoniem
opgemerkt dat Graham port forwarding voor telnet-poort 23 inschakelde
Oorspronkelijk wou ik Graham bashen voor het doorsturen van poort 23, en zich beveiligingsonderzoeker noemt.
Ik lees dat hij alleen port-forwarding inschakelde, niet poort 23.
Toen realiseerde ik mij, WAAROM SPREEKT DAT DING TELNET?!
Kun je niet beter een client om SSH heen bouwen die na een verplichte one-time setup bepaalde dingen locked? Middels key based login? Redelijkerwijs is een generated key sterk genoeg is om brute force tegen te gaan.
Zo'n lock zou je met een fysieke schakelaar weer ongedaan (moeten) kunnen maken, maar in elk geval kan het bots tegenhouden.
21-11-2016, 12:12 door Anoniem
ssh met een default/zwak wachtwoord maakt het bijna net zo onveilig als Telnet.
21-11-2016, 12:55 door Anoniem
Door Anoniem: Ja, hallo zeg! telnet forwarden... dat is er wel een 'beetje' om vragen he....
Ik denk dat dat ook precies de bedoeling was... als je het Mirai-botnet wilt onderzoeken, moet je wel iets hebben luisteren op poort 23...

Het heeft, als beveiligingsonderzoeker, weinig zin om 'n camera zo goed te beveiligen dat er niets meer bij komt, en vervolgens te concluderen dat ip-camera's veilig zijn om aan internet te hangen...
21-11-2016, 13:22 door Briolet - Bijgewerkt: 21-11-2016, 13:26
Het enige interessante onderdeel van dit bericht is dat de besmetting al binnen 5 minuten gebeurde. Maar omdat het hier slechts één test betreft weet je nog niet of dit een groot toeval betreft, of dat Mirai heel intensief alle IP adressen scant.

Edit:
En het kan ook zijn dat poort 23 al lang geforward stond naar een ander besmet test-apparaat, zodat die host nu direct op die nieuwe IP camera uitkwam bij het contact zoeken met het oude apparaat. Dan zegt zelfs die 5 minuten niets meer.
21-11-2016, 13:25 door Anoniem
Door Anoniem: Aan de ene kant erg slecht natuurlijk. Aan de andere kant... We moeten toch zo nodig op internet?
15 jaar terug functioneerde de wereld ook prima - zonder deze internet afhankelijkheid...

De goede oude tijd? Da's geen argument, dan kun je ook stellen dat doden door het autoverkeer op te lossen zijn door auto's te verbieden.
21-11-2016, 14:02 door Anoniem
Door Anoniem: ...15 jaar terug functioneerde de wereld ook prima - zonder deze internet afhankelijkheid...
Ehh, nee.
21-11-2016, 14:16 door Anoniem
Dat er dan mensen op dit forum niet begrijpen dat Robert iemand is met een bepaalde status en juist een echte cam gebruikte als honeypot is wel triest. Mensen, Robert is niet zomaar iemand. Ga die man op Twitter volgen aub en stop met bashen. Buiten dat, de gemiddelde camera maakt zelf die port forwarding aan middels upnp.

Moraal van dit verhaal. Lees en verdiep je eerst en ga dan reageren. Anders hoor je wat mij betreft thuis op Fok.
21-11-2016, 14:50 door Anoniem
Door Anoniem:
opgemerkt dat Graham port forwarding voor telnet-poort 23 inschakelde
Oorspronkelijk wou ik Graham bashen voor het doorsturen van poort 23, en zich beveiligingsonderzoeker noemt.
Ik lees dat hij alleen port-forwarding inschakelde, niet poort 23.
Toen realiseerde ik mij, WAAROM SPREEKT DAT DING TELNET?!
Kun je niet beter een client om SSH heen bouwen die na een verplichte one-time setup bepaalde dingen locked? Middels key based login? Redelijkerwijs is een generated key sterk genoeg is om brute force tegen te gaan.
Zo'n lock zou je met een fysieke schakelaar weer ongedaan (moeten) kunnen maken, maar in elk geval kan het bots tegenhouden.

Dat is allemaal nerdspeak waarmee je de wereld niet gaat veroveren.
Je moet een oplossing hebben die pa en ma die hun babycam willen gebruiken snappen.
Op zich vind ik het niet relevant als een device telnet gebruikt zolang het maar geen technieken als UPNP gebruikt
om die poort naar zich te forwarden. In het gemiddelde huisnetwerk is een device wat telnet kan niet vanaf
internet te bereiken.
21-11-2016, 15:59 door Anoniem
Telnet of geen telnet, veel van dit soort devices forwarden een of meerdere poorten poort middels upnp, dat kan ook prima 21 of 80/443/8080 etc. etc. zijn. Kortom, er worden poorten automatisch (plug and pray) opengezet door zo'n device. We hebben het nu over een webcam, laten andere spullenboel als DVR's en NASjes niet vergeten.

Mirai maakt specifiek misbruik van af-fabriek login/passes richting telnet. Maar vergeet niet dat ook een hoop van dit soort (iot) apparaten kwetsbaar zijn op andere zaken zoals webapplicatie, ftp etc.

Providers zouden upnp automatisch moeten disablen bij de uitgifte van een modem. Maarja, security vs gebruiksvriendelijkheid en gemak....
22-11-2016, 09:20 door Anoniem
Door Anoniem: Aan de ene kant erg slecht natuurlijk. Aan de andere kant... We moeten toch zo nodig op internet?
15 jaar terug functioneerde de wereld ook prima - zonder deze internet afhankelijkheid...

15 jaar geleden was er een periode dat je geen Windows 95 machine kon installeren zonder gehacked te worden.
De gemiddelde infectietijd was ergens rond de 12-13 minuten, hetgeen minder was dan de tijd nodig om patches te downloaden...
De wereld is dus nog steeds dezelfde. :-)

Internet bestaat trouwens al meer dan 30 jaar en net zoals elektriciteit is dit iets waar zowat iedereen ter wereld rechstreeks of onrechtstreeks afhankelijk van is.

Niet iedereen heeft internet, maar net zoals sommige mensen geen eigen wagen hebben, zijn ze soms wel afhankelijk van "wagens" in het algemeen omdat deze gebruikt worden om hun medicijnen, post, ... te leveren, etc...
23-11-2016, 13:23 door Anoniem
IP camera's zijn OK het probleem is puur dat deze zooi niet geschikt is voor consumenten c.q het veiliger ervan weten te installeren, zonder de boekjes te hoeven lezen.. Volgens de boekjes zou IEDEREEN hun camera kunnen ""beveiligen"". Dit klopt niet. De firmware en software is vaak zo slecht dat ze inderdaad gehackt kunnen worden! Want zoals je kunt zien draaien er extra services en andere zooi op (wat totaal onnodig is voor een average user)

Dus dan approach nr2 !

STOP met het aanmaken van NAT regels en ze internet facing te maken, zet een kleine Linux/Unix pc in je netwerk op met SSH fatsoenlijk geconfigureerd (met certificaten ipv wachtwoorden) en forward deze via NAT. Vervolgens maak je een SSH verbinding met die pc (intern/extern) en doe je een dynamic port forwarding vanuit de pc die continue aanstaat. Klaar allen problemen opgelost.. Je kunt er alleen via je beveiligde SSH verbinding die dus niet even zomaar benaderd kan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.