Attacco DDoS da una botnet di telecamere

Attacco DDoS da una botnet di telecamere

I dispositivi connessi, qualunque essi siano, se non adeguatamente protetti possono diventare fonte di attacchi DDoS

di pubblicata il , alle 17:31 nel canale Sicurezza
 

Che la diffusione dei dispositivi Internet of Things stia portando ad una crescita delle minacce alla sicurezza informatica non è una novità: considerando il grande volume di dispositivi connessi non adeguatamente protetti, è solo questione di tempo perché ciascuno di essi possa essere compromesso da qualsiasi individuo anche con poche competenze di hacking.

Sebbene fino ad oggi non siano ancora circolate notizie di malware per apparati domestici, come frigoriferi o lavastoviglie, nel corso degli ultimi anni si è stati spettatori di una certa quantità di botnet create con dispositivi IoT, con quelle di telecamere a circuito chiuso (CCTV - closed circuit television) ad essere tra le più comuni. Nessuna sorpresa, dato che le IP-camera e le telecamere connesse sono tra i dispositivi IoT più diffusi.

La società di sicurezza Incapsula ha rilevato come proprio da una botnet di CCTV sia nato un attacco DDoS con una potenza di fuoco di picco di 20 mila richieste al secondo. Osservando la lista di IP dai quali è partito l'attacco, Incapsula è risalita ad un lungo elenco di telecamere CCTV tutte tranquillamente accessibili da remoto tramite le credenziali di accesso impostate all'uscita di fabbrica del dispositivo.

L'attacco in particolare è stato costituito da un flood di richieste HTTP GET originate da circa 900 CCTV sparse per il mondo. Il bersaglio è stato invece un grande servizio cloud che serve milioni di utenti attorno al mondo. Tutti i dispositivi compromessi operavano una distribuzione Linux embedded con BusyBox, una versione ridotta di utility Unix accorpate in un piccolo eseguibile e pensata per i dispositivi con risorse limitate.

In particolare il malware è un binario ELF per ARM, variante del già noto ELF-BASHLITE che effettua una scansione dei dispositivi che fanno uso di BusyBox e cerca servizi Telnet/SSH aperti che sono potenzialmente vulnerabili ad attacchi brute force dictionary per identificare le password d'accesso. La variante, in questo caso, è arricchita dalla possibilità di lanciare un attacco DDoS HTTP GET dai dispositivi compromessi.

L'accesso alle videocamere violate è avvenuto da varie località, a testimonianza di come siano state compromesse da più di una persona e di quanto sia facile localizzare e sfruttare questo tipo di dispositivi quando non sono protetti adeguatamente. Di qualsiasi dispositivo connesso si tratti, le credenziali di default devono essere cambiate durante l'installazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dumah Brazorf26 Ottobre 2015, 18:40 #1
Questo deve insegnare che NON si possono vendere dispositivi elettronici a gente che non sa neanche di stare al mondo e che ogni dispositivo DEVE generare una password forte alla prima accensione e COSTRINGERE l'utonto di turno a usare quella o attaccarsiArCa'
LMCH26 Ottobre 2015, 18:48 #2
La maggior parte di quelle telecamere è basata su microcontroller linux (linux per microcontroller senza la mmu, quindi relativamente facili da crackare una volta che si trova un exploit, sono tutti equivalenti ad un exploit di privilege escalation di un sistema con mmu).
Non sarebbe un problema troppo grave, se non fosse che spesso il firmware tiene un sacco di roba aperta e per semplificare la connettivita nel settaggio di default cerca subito di uscire su internet verso i server del produttore (quindi facili da trovare e di solito con già un buco nel firewall a causa delle porte che devono essere tenute aperte).
ultordeux26 Ottobre 2015, 22:31 #3
LMCH27 Ottobre 2015, 01:31 #4
Originariamente inviato da: ultordeux


La maggior parte delle webcam con connessione wifi oppure ethernet sono come dei mini-server linux CONFIGURATI IN MODO ORRENDO DAL PUNTO DI VISTA DELLA SICUREZZA
(quindi è relativamente facile prenderne il controllo, spesso basta usare le password di default del produttore o usare difetti noti del software preinstallato a mai aggiornato).
d1ego27 Ottobre 2015, 08:47 #5
Come è scritto in modo implicito in molti commenti, non credo che sia sufficiente che "le credenziali di default devono essere cambiate durante l'installazione". Ci vogliono anche password resistenti agli attacchi di forza bruta o basati su dizionari.
alexdal27 Ottobre 2015, 08:53 #6
Penso che per ogni dispositivo connesso ad una rete ossia non standalone non si puo' mettere un s.o. fatto da ragazzini cinesi usando software preso a caso.

se fosse rilasciato da Microsoft apple oracle IBM... ecc
tutti avrebbero gridato allo scandalo e richiesto aggiornamenti in poche ore.

Ma se è roba cinese con Linux assemblato con i piedi da chissa chi
An.tani27 Ottobre 2015, 12:38 #7

Responsabilità

In questo caso io assegnerei una % di colpa maggiore a chi ha installato o amministra le telecamere rispetto a chi le ha hackerate.
ArteTetra27 Ottobre 2015, 16:01 #8
coff coff shodan cough punto io coff
LMCH27 Ottobre 2015, 23:10 #9
Originariamente inviato da: alexdal
Penso che per ogni dispositivo connesso ad una rete ossia non standalone non si puo' mettere un s.o. fatto da ragazzini cinesi usando software preso a caso.

se fosse rilasciato da Microsoft apple oracle IBM... ecc
tutti avrebbero gridato allo scandalo e richiesto aggiornamenti in poche ore.

Ma se è roba cinese con Linux assemblato con i piedi da chissa chi


In quel caso è OVVIO che non ci si deve aspettare chissà cosa.
Non solo per il software, ma anche per l'elettronica ed i motori (nel caso di quelle motorizzate).
Basta pensare che pure i produttori cinesi di fascia bassa si sono ritrovati ad aver a che fare con concorrenti che li copiavano risparmiando sulla componentistica
e/o usando firmware piratato (e senza aggiornamenti, ovviamente).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^