Китайский производитель Hangzhou Xiongmai Technology Co. признал, что массированная DDOS-атака на DNS-сервера провайдера DYN в пятницу, из-за которой Восточное побережье США трижды оставалось практически лишено возможности пользоваться Интернетом, и весь мир испытывал проблемы с доступом к таким популярным сайтам, как Twitter, Spotify, CNN, - была выполнена с "умных" камер наблюдения Xiongmai. Неизвестные хакеры смогли найти "дыру" в ПО камер, выпущенных до сентября 2015г., и массово поставить на миллионы камер вредоносное ПО Mirai. Производитель настоятельно рекомендует перезалить ПО на старых камерах и поменять пароли.
Комментарии
прикол наверно в том, что на миллионе камер дырку пока не закрыли (у них наверно нет автоапдейта прошивки)! Просто наверно DYN ввел какие-то защитные механизмы.
То есть через эту дырку можно по идее хоть каждый день что-то DDOS-ить, хоть сайт белого дома, хоть сайт теслы, хоть сайт эпл.
WikiLeaks написали в Твиттере: Ассанж живее всех живых, ребята, хватит валить Интернет.
http://www.zerohedge.com/news/2016-10-21/wikileaks-reveals-heavily-armed...
А как же "неизвестные" хакеры смогли найти "дыру" в ПО камер, выпущенных до сентября 2015г., и массово поставить на миллионы камер вредоносное ПО Mirai?
большинство камер ставил наверно пара десятков подрядчиков. Наверно у подрядчика блок IP адресов, перебрать все адреса из блока скриптом и узнать, что сидит по данному адресу - заражабельная ли камера или нет - тоже почти тривиально (и если заражабельная - сразу ее заразить). Короче, пару недель на поиск таких камер и заражание хватило бы.
камеры по всему миру.
Ну так и эксплойтами тоже долбят во всё подряд. И не только по телнету и SSH. С интересом обнаружил, что по UDP-порту 5060 (даже не TCP!) на совершенно случайный IP-адрес всё время долбятся желающие найти халявный SIP-relay.
как минимум
дватри варианта:1) либо "неизвестные" хакеры сидели в соседнем амбаре в Ханчжоу и имели доступ к исходникам ПО камеры;
2) либо в камерах стояло какое-то общедоступное ПО (например, некая старая версия Linux в усечённом виде) и их массово ломанул совершенно стандартный эксплойт;
3) либо подрядчики при установке камер не меняли пароль, выставленный на заводе по умолчанию.
Реверс-инженеры - это фантастика?
Полагаю, всё проще: как и в случае постоянно обнаруживаемых дырках в прошивках роутеров d-link и тд (см. хабр), - в веб-интерфейсе была брешь класса "открой хитрый url".
Какаое-то гавно приделало мне подпись:
Возможно вас хакнули через дырку в камере...?
хакеры сидели в соседнем амбаре
Скольки там, в Китае, в последние лет десять открыто академгородков, не знаете?
А количеством инженеров-программистов выпускаемых в год китайскими ВУЗами - не интересовались?
А ещё есть закон перетекания количества в качество - не слышали?
Если бы применительно к Китаю действовал закон перехода количественных изменений в качественные, у остального мира не было бы никаких шансов. По счастью, гегелевская диалектика не работает к востоку от Суэца.
Так у мира - и так никаких шансов, в смысле Китая.
Просто надо вводить поправку в умозрительные модели Гегеля.
и еще дырявые NTP серверы могут послужить "усилителями". Я об этом еще 3 дня назад написал.
Полинтернета - громко сказано. То, что затронутые сайты истошно умеют вопить о своих проблемах, вовсе не значит, что там хотя бы 10% мирового трафика.
читайте первоисточники. доктор веб или касперский например.
заражены вирусом был устройства разных производителей(роутеры, камеры, умные чайники,..). заражены были только устройства на которых не сменили пароль.
дыры как таковой не было, если не считать дырой пароль по умолчанию
Роутеры обыкновенно имеют специальный пункт настройки - список IP, которым разрешён доступ из интернета. Т.е. по умолчанию они вообще не должны реагировать на http(s):80 из интернета.
Какаое-то гавно приделало мне подпись:
Что то по моему у них слишком много белых IPшников, раз позволяют себе чайники на них вешать.
а почему нет? на новосибирск мы успели с запасом ИПшников получить :) не только мы подсуетились.
опять же заразил роутер - заражаешь всё что внутри сети, на серых адресах
Ну внутри сети это уже вторая, более сложная итерация нужна, да и смыла от неё меньше, трафик зловредный можно с роутера генерить, тут все же в массовости маршрутизируемых адресов вся прелесть.
И как теперь быть с тем идиотом, который в отместку заломал старый сайт МИДа?
Никак. Пусть продолжает долбиться в него.