Zdravo svima!
Kao što ste manje više čuli tokom prethodnih dana u skoro svim informativnim sadržajima se pojavila vest o velikom prekidu interneta koji je rezultovao praktično potpunim kolapsom na Istočnoj obali SAD. E, sad, barem ja nisam bio zadovoljan informacijama koje sam pročitao, pa sam se malo informisao i što sam saznao preneću i vama. Naavno, ovo je već sada bajata vest, ali zbog obaveza nisam stigao da pišem ranije ( ipak sa 2 mala monstruma u kući slobodno vreme praktično da i ne postoji).
E, sad ključno pitanje: Šta se zaista desilo kada je sve stalo? Pa jednostavno rečeno ništa specijalno. Ništa genijalno. Najobičniji DDoS napad. Pa se vi sad zapitate:“ Ako je ništa specijalno, kako onda stade internet polovini Amerike? Aj’ da se to desilo u Srbiji pa i da prođe, ali Amerika…?“
Pa u celoj priči postoji dve ključne reči:
- IoT
- Mirai Bot-Net
IoT je skraćenica od „Internet of Things“. Dakle, pored konvencionalnih uređaja koji se šetkaju po internetu postoje i „stvari“. E, pod ove stvari spadaju svi „pametni“ uređaji, od kamera i DVR-ova do frižidera a možda i pegli. Dakle, sve što nije PC, telefon, tablet,ruter a ima izlaz na net spada u prethodno pomenute „stvari“, jer na kraju krajeva po nameni i jeste pokućstvo – stvar.
Mirai Bot-Net je kako i samo ime kaže, mreža botova/uređaja nad kojima je delimično ili potpuno preuzeta kontrola, i kao takvi se koriste za teledirigovane napade. Ovakve usluge možete zakupiti da dark-webu. Za razliku od standardnih bot-netova, Mirai je imao jednu genijalnu ideju iza sebe. Umesto da targetira računare, servere i slično, nameračio se na gore spomenute IoT uređaje. Sama logika koja se našla u kodu, koji je javno objavio Anna-Senpai, vrtela je sledeće user/pass kombinacije
root xc3511 root vizxv root admin admin admin root 888888 root xmhdipc root default root juantech root 123456 root 54321 support support root (none) admin password root root root 12345 user user admin (none) root pass admin admin1234 root 1111 admin smcadmin admin 1111 root 666666 root password root 1234 root klv123 Administrator admin service service supervisor supervisor guest guest guest 12345 guest 12345 admin1 password administrator 1234 666666 666666 888888 888888 ubnt ubnt root klv1234 root Zte521 root hi3518 root jvbzd root anko root zlxx. root 7ujMko0vizxv root 7ujMko0admin root system root ikwb root dreambox root user root realtek root 00000000 admin 1111111 admin 1234 admin 12345 admin 54321 admin 123456 admin 7ujMko0admin admin 1234 admin pass admin meinsm tech tech mother f**er [censored]
i gde prođe preuzimala kontrolu. Da rezimiramo, nije bilo dugotrajnih pokušaja provaljivanja, već jednostavno gde god su ostali default user/pass komboi, taj uređaj je „učlanjen“ u bot-net ( zauzet pristup telnetom, SSH ili HTTP/S-om, onemogućeni ovi servisi vlasniku uređaja). Šta je sad tu bilo tako spektakularno. Pa očigledno broj uređaja. Neka nagađanja renomiranih svetskih analitičara su da će tokom 2016 broj IoT uređaja dostići 6.4 milijarde. Dakle, neka nam je svima Bog u pomoći.
Koga je Mirai zaobišao u širokom luku:
127.0.0.0/8 - Loopback 0.0.0.0/8 - Invalid address space 3.0.0.0/8 - General Electric (GE) 15.0.0.0/7 - Hewlett-Packard (HP) 56.0.0.0/8 - US Postal Service 10.0.0.0/8 - Internal network 192.168.0.0/16 - Internal network 172.16.0.0/14 - Internal network 100.64.0.0/10 - IANA NAT reserved 169.254.0.0/16 - IANA NAT reserved 198.18.0.0/15 - IANA Special use 224.*.*.*+ - Multicast 6.0.0.0/7 - Department of Defense 11.0.0.0/8 - Department of Defense 21.0.0.0/8 - Department of Defense 22.0.0.0/8 - Department of Defense 26.0.0.0/8 - Department of Defense 28.0.0.0/7 - Department of Defense 30.0.0.0/8 - Department of Defense 33.0.0.0/8 - Department of Defense 55.0.0.0/8 - Department of Defense 214.0.0.0/7 - Department of Defense
Slika u slici, nije bitan kvalitet napada već kvantitet, što je jel’te i izvorna ideja DDoS-a. Zaobiđi sve koji bi se možda zapitali šta ti skeniraš….
Kako se ovo desilo? Pa eto, svi ovi „pametni“ uređaji rade na nakoj verziji osakaćenog Linux-a. Osakaćen = nebezbedan? Ne! Default user/pass = nebezbedan.
Pitanje:“ Kako niko to nije prepoznao na vreme i sprečio?“ Pa postoji još jedna slatka sitnica, sam napad je napravljen tako da saobraćaj neodoljivo podseća na GRE tuneling. Dakle, standardni mehanizmi ( čitaj NOC Dyn-a, ljudski faktor) su tu malo zakazali, jer ipak je negde, nekada, nekome trebalo biti čudno da se ka sopstvenom AS-a uspostavlja 620 Gbps GRE saobraćaja.
Sledeće pitanje:“ Ko je ovo smislio?“. Po svemu sudeći braća Rusi, jer se u pojedinim delovima koda pojavljuju reči
пользователь i пароль . Ili možda ne? Da pored kompletnog koda koji je na engleskom ostanu 2 reči jer su zaboravili da maskiraju/prevedu baš ovo? Šanse za tako nešto su sledeće:
skretanje pažnje sa pravih tvoraca koda ili upozorenje Amerima od Baćuški. Kako god, ne bih zalazio u teorije zavere.
Šta sad? Pa pošto je kod javno dostupan, možete očekivati eksploziju „hakera“, uglavnom 12-16-ogodišnjaka koji će uz malo znanja modifikovati kod, i praviti sitne/lokalne napade.A ima i druga strana. Neki profi mračni likovi će ovo modifikovati na neki potpuno neočekivani način, i opet će internet stati. Kad? To niko ne može da zna.
Kako se zaštititi? Promenite defaultne usere i passove na svemu što vam je izloženo internetu. Bar to, da ne tupim oko firewall-a i access listi.
Paralelno sa ovim sam i ja kod mene kući na ruteru primetio da mi jedna dinamička lista ( koja inače ima 200-300 adresa) sada čarobno ima 7500+ adresa. Ako vas zanima koji su to uređaji najčešće „zaposednuti“ evo nekoliko adresa sa mog rutera:
- 77.222.159.128
- http://www.blountgis.net/blountgis/ IP 204.63.176.131
- 188.214.209.85
- 212.156.219.193
Slobodno ove adrese gađajte browserom, samo loading je jeko spor jer ti uređaji i dalje dosta saobraćaja guraju.
Šta očekivati? Ja samo mogu da kažem – “Bashlight”