Home / Internet / Šta se stvarno desilo 21.10.2016

Šta se stvarno desilo 21.10.2016

Zdravo svima!

Kao što ste manje više čuli tokom prethodnih dana u skoro svim informativnim sadržajima se pojavila vest o velikom prekidu interneta koji je rezultovao praktično potpunim kolapsom na Istočnoj obali SAD. E, sad, barem ja nisam bio zadovoljan informacijama koje sam pročitao, pa sam se malo informisao i što sam saznao preneću i vama. Naavno, ovo je već sada bajata vest, ali zbog obaveza nisam stigao da pišem ranije ( ipak sa 2 mala monstruma u kući slobodno vreme praktično da i ne postoji).

E, sad ključno pitanje: Šta se zaista desilo kada je sve stalo? Pa jednostavno rečeno ništa specijalno. Ništa genijalno. Najobičniji DDoS napad. Pa se vi sad zapitate:“ Ako je ništa specijalno, kako onda stade internet polovini Amerike? Aj’ da se to desilo u Srbiji pa i da prođe, ali Amerika…?“
Pa u celoj priči postoji dve ključne reči:

  • IoT
  • Mirai Bot-Net

IoT je skraćenica od „Internet of Things“. Dakle, pored konvencionalnih uređaja koji se šetkaju po internetu postoje i „stvari“. E, pod ove stvari spadaju svi „pametni“ uređaji, od kamera i DVR-ova do frižidera a možda i pegli. Dakle, sve što nije PC, telefon, tablet,ruter a ima izlaz na net spada u prethodno pomenute „stvari“, jer na kraju krajeva po nameni i jeste pokućstvo – stvar.

Mirai Bot-Net je kako i samo ime kaže, mreža botova/uređaja nad kojima je delimično ili potpuno preuzeta kontrola, i kao takvi se koriste za teledirigovane napade. Ovakve usluge možete zakupiti da dark-webu. Za razliku od standardnih bot-netova, Mirai je imao jednu genijalnu ideju iza sebe. Umesto da targetira računare, servere i slično, nameračio se na gore spomenute IoT uređaje. Sama logika koja se našla u kodu, koji je javno objavio Anna-Senpai, vrtela je sledeće user/pass kombinacije

root     xc3511
root     vizxv
root     admin
admin    admin
root     888888
root     xmhdipc
root     default
root     juantech
root     123456
root     54321
support  support
root     (none)
admin    password
root     root
root     12345
user     user
admin    (none)
root     pass
admin    admin1234
root     1111
admin    smcadmin
admin    1111
root     666666
root     password
root     1234
root     klv123
Administrator admin
service  service
supervisor supervisor
guest    guest
guest    12345
guest    12345
admin1   password
administrator 1234
666666   666666
888888   888888
ubnt     ubnt
root     klv1234
root     Zte521
root     hi3518
root     jvbzd
root     anko
root     zlxx.
root     7ujMko0vizxv
root     7ujMko0admin
root     system
root     ikwb
root     dreambox
root     user
root     realtek
root     00000000
admin    1111111
admin    1234
admin    12345
admin    54321
admin    123456
admin    7ujMko0admin
admin    1234
admin    pass
admin    meinsm
tech     tech
mother   f**er [censored]

i gde prođe preuzimala kontrolu. Da rezimiramo, nije bilo dugotrajnih pokušaja provaljivanja, već jednostavno gde god su ostali default user/pass komboi, taj uređaj je „učlanjen“ u bot-net ( zauzet pristup telnetom, SSH ili HTTP/S-om, onemogućeni ovi servisi vlasniku uređaja). Šta je sad tu bilo tako spektakularno. Pa očigledno broj uređaja. Neka nagađanja renomiranih svetskih analitičara su da će tokom 2016 broj IoT uređaja dostići 6.4 milijarde. Dakle, neka nam je svima Bog u pomoći.

Koga je Mirai zaobišao u širokom luku:

127.0.0.0/8               - Loopback
0.0.0.0/8                 - Invalid address space
3.0.0.0/8                 - General Electric (GE)
15.0.0.0/7                - Hewlett-Packard (HP)
56.0.0.0/8                - US Postal Service
10.0.0.0/8                - Internal network
192.168.0.0/16            - Internal network
172.16.0.0/14             - Internal network
100.64.0.0/10             - IANA NAT reserved
169.254.0.0/16            - IANA NAT reserved
198.18.0.0/15             - IANA Special use
224.*.*.*+                - Multicast
6.0.0.0/7                 - Department of Defense 
11.0.0.0/8                - Department of Defense
21.0.0.0/8                - Department of Defense
22.0.0.0/8                - Department of Defense
26.0.0.0/8                - Department of Defense
28.0.0.0/7                - Department of Defense
30.0.0.0/8                - Department of Defense
33.0.0.0/8                - Department of Defense
55.0.0.0/8                - Department of Defense
214.0.0.0/7               - Department of Defense

Slika u slici, nije bitan kvalitet napada već kvantitet, što je jel’te i izvorna ideja DDoS-a. Zaobiđi sve koji bi se možda zapitali šta ti skeniraš….

 

Kako se ovo desilo? Pa eto, svi ovi „pametni“ uređaji rade na nakoj verziji osakaćenog Linux-a. Osakaćen = nebezbedan? Ne! Default user/pass = nebezbedan.

Pitanje:“ Kako niko to nije prepoznao na vreme i sprečio?“ Pa postoji još jedna slatka sitnica, sam napad je napravljen tako da saobraćaj neodoljivo podseća na GRE tuneling. Dakle, standardni mehanizmi ( čitaj NOC Dyn-a, ljudski faktor) su tu malo zakazali, jer ipak je negde, nekada, nekome trebalo biti čudno da se ka sopstvenom AS-a uspostavlja 620 Gbps GRE saobraćaja.

 

Sledeće pitanje:“ Ko je ovo smislio?“.  Po svemu sudeći braća Rusi, jer se u pojedinim delovima koda pojavljuju reči

пользователь i пароль . Ili možda ne? Da pored kompletnog koda koji je na engleskom ostanu 2 reči jer su zaboravili da maskiraju/prevedu baš ovo? Šanse za tako nešto su sledeće:
skretanje pažnje sa pravih tvoraca koda ili upozorenje Amerima od Baćuški. Kako god, ne bih zalazio u teorije zavere.

Šta sad? Pa pošto je kod javno dostupan, možete očekivati eksploziju „hakera“, uglavnom 12-16-ogodišnjaka koji će uz malo znanja modifikovati kod, i praviti sitne/lokalne napade.A ima i druga strana. Neki profi mračni likovi će ovo modifikovati na neki potpuno neočekivani način, i opet će internet stati. Kad? To niko ne može da zna.

Kako se zaštititi? Promenite defaultne usere i passove na svemu što vam je izloženo internetu. Bar to, da ne tupim oko firewall-a i access listi.

 

Paralelno sa ovim sam i ja kod mene kući na ruteru primetio da mi jedna dinamička lista  ( koja inače ima 200-300 adresa) sada čarobno ima 7500+ adresa. Ako vas zanima koji su to uređaji najčešće „zaposednuti“ evo nekoliko adresa sa mog rutera:

  • 77.222.159.128
  • http://www.blountgis.net/blountgis/    IP 204.63.176.131
  • 188.214.209.85
  • 212.156.219.193

Slobodno ove adrese gađajte browserom, samo loading je jeko spor jer ti uređaji i dalje dosta saobraćaja guraju.

 

Šta očekivati? Ja samo mogu da kažem – “Bashlight

 

About Dejan

Zaljubljenik u sve što ima veze sa mrežama, komunikacijama i bezbednošću na mreži. - 9+ godina iskustva u IT-u ( ISP, Enterprise) - Trenutno radim u mladoj perspektivnoj firmi koja nudi kompletna rešenja krajnjim korisnicima - Veliki broj kurseva iz raznih oblasti ( Routing&switching, Security,MDM, Cloud, F-Secure, CEH) - "Svi smo se našli pred problemom koji nam je neko drugi rešio. Pitanje je samo koliko brzo naiđeš na nekog ko je voljan da ti pomogne." - Ponosni otac 2 dečaka
  • Aleksandar Mitrovic

    Pozdrav,
    Izvini sto trolujem ovu temu,al najsvezija je pa ces mozda brzo odgovoriti.Imam kucni Plex server postavljen na racunar koji je povezan sa tenda wifi ruterom na telekomov zte h168n.Sve super radi,smart tv sa plex aplikacijom,tableti telefoni ma extra.Medjutim,kada pokusam remote acces da namestim,nema sanse,cak I ako uradim portforward…mozda ga ne odradim kako treba,e zato mi ti objasni kako ovo da izvedem,s obzirom da treba da odem u nemacku da zivim.Tamo bi naravno koristio server odavde na smart tv..izvini I unapred hvala.
    Pozdrav,Aca

    • Imas dupli NAT. Moras da forwardujes portove i na ZTE i na Tendi.
      Ukoliko imas VDSL, onda si verovatno iza TRIPLE NAT-a 🙂

Scroll To Top