Hlavní navigace

Jak IP kamery „rozbily internet“. Co víme o obřím DDoS útoku na Dyn?

Daniel Dočekal

Páteční tři vlny útoků postupně znepřístupnily značnou část populárních webů uživatelům po celém světě. A ani v sobotu nebylo vše vyřešeno.

Páteční rozsáhlý DDoS (Distributed Denial of Service) útok je zajímavý v řadě aspektů. Prvním je ten, že si neznámí útočníci vybrali společnost Dyn. Výběr to byl velmi dobrý, protože její DNS služby používá poměrně hodně firem, včetně těch největších. Útočníkům se povedlo zahltit její servery, a protože se jednalo o DNS, tedy jednu z nejzásadnějších funkčností internetu, projevil se útok rozsáhlým výpadkem řady dalších webů. Tak rozsáhlým, že bychom mohli skoro říci, že postupně přestala fungovat většina „toho podstatného“ internetu.

Druhým neméně zajímavým aspektem je to, že první analýzy ukazují, že k útoku byly použité hacknuté CCTV kamery či digitální videozáznamníky (DVR). Média to samozřejmě spojují s „Internetem věcí“ a naznačují, že v budoucnu se mohou objevit ještě silnější a ničivější útoky. Zařízení připojených k internetu bude stále více. Navíc se můžeme oprávněně obávat, že většina takovýchto zařízení skutečně není zabezpečená a je až příliš snadné je ovládnout.

Útok zaměřený na Dyn tak v první vlně způsobil problémy i pro tak známé služby jako je Twitter, Amazon, Tumblr, Reddit, Spotify, Netflix. Když už se zdálo, že se Dyn podařilo útok zvládnout, přišla druhá vlna, následovaná třetí. Nedostupné byly i další služby, ale i internetová média v celkových počtech stovek. Postižené servery pochopitelně nadále fungovaly, ale protože se z DNS ztratily informace o tom, jak se na ně dostat (jejich IP adresy), návštěvníci je nemohli otevřít.


Autor: Dyn

Každý si může pořídit armádu útočníků

Útok samotný používal nástroj, který už známe z dřívějších útoků: Mirai, malware, který byl před měsícem použit při 620 Gbps útoku na web Briana Krebse. A také malware, který si dnes může pořídit každý. Na konci září totiž autoři kód zveřejnili.

Mirai prohledává internet a hledá připojená zařízení, do kterých je možné se dostat. Nevyužívá žádné extra sofistikované postupy: zkouší hesla přednastavená výrobcem. Má to dost jednoduché, protože na internetu jsou desítky milionů zařízení, která někdo pouze vybalil z krabice, připojil a nijak se neobtěžoval jejich nastavením.

Další zajímavostí aktuálního útoku je podle společnosti Flashpoint to, že mělo dojít k masovému využití digitálních videozáznamníků a IP kamer od jediného čínského výrobce – ten vyrábí komponenty, které dále používají další výrobci ve vlastních produktech. Útok ale pravděpodobně nebyl veden pouze z jednoho botnetového zdroje, v pozdějších fázích je velmi pravděpodobné, že se přidali i další útočníci.

Flashpoint v analýze k napadeným zařízením nezmiňuje jenom nebezpečí plynoucí z toho, že si lidé nemění přednastavená hesla, ale také možnost přístupu k těmto strojům přes telnet či SSH. Tvrdí přitom, že u výše zmíněných zařízení dokonce není možné přístupová hesla pro tento druh přístupu k zařízení změnit - heslo je napevno uvedeno ve firmwaru. Lidé z Flashpointu navíc sami našli přes 500 tisíc zařízení, která je možné tímto způsobem napadnout.

TIP: Jak vypadá vizualizace DDoS útoku, se můžete podívat v Mirai Botnet Linked to Massive DDoS Attacks on Dyn DNS

Za vším je prý WikiLeaks

Kdo stál za pátečním útokem, o víkendu stále nebylo jasné, ale velmi rychle se k němu stihli přihlásit podporovatelé WikiLeaks (Anonymous a New World Hackers), navíc s tvrzením, že jde o „odvetu“ za to, že Ekvádor odstřihl Juliana Assange od přístupu k internetu. Společnosti snažící se útok analyzovat ale něco takového zpochybňují a upozorňují také na to, že obě skupiny se již v minulosti hlásily k útokům, které neprovedly.

V průběhu útoku se dokonce objevily dohady, že Assange je v ohrožení života a lidé z WikiLeaks v jednom z tweetů uvedli, že Assange je „stále naživu a WikiLeaks stále publikuje“ a zároveň požádali, aby útoky na americký internet ustaly.

Mezi rojící se konspirace můžete započítat i ty, které ukazují prstem na Čínu a čínské hackery. Stejně tak jako na případné snahy Ruska ovlivnit americké volby. Kdo má pravdu, bude obtížné zjistit, byť na vypátrání útočníků pracuje už FBI i DHS.

Je velmi brzy na to, abychom mohli správně a zodpovědně určit původce, ale také vědět více o tom, jakým způsobem DDoS přesně proběhl. Dyn zveřejnil v neděli Dyn Statement on 10/21/2016 DDoS Attack s dalšími upřesňujícími informacemi, včetně detailnější časové osy útoků. Bude důležité sledovat, s jakými dalšími informacemi půjdou na veřejnost.

Snadná blamáž pro Internet věcí

Celý útok je snadné „hodit“ na tolik oblíbený cíl jménem Internet věcí (IoT) a určitým způsobem to i odpovídá – nakonec pokud byly pro útok použity IP kamery a podobná zařízení, můžeme je brát jako součást Internetu věcí. Byť pod pojmem Internet věcí je vhodné si představit spíše věci ještě méně „internetové“.

Skutečnost je taková, že čím více zařízení se připojuje (a bude připojovat) k internetu, tím obtížnější bude udržet je všechna zabezpečená. A právě na IP kamerách a různých dětských chůvičkách je už dlouho vidět, jak to celé funguje. Někdo zcela nezkušený si koupí krabici s produktem, rozbalí ji a připojí zařízení k internetu. Nechce nic nastavovat, ani to neumí, je mu to nakonec jedno a už vůbec se nechce v průběhu času starat o aktualizace firmwaru a opravy chyb.

A pokud se chcete podívat, jak snadné je dostat se do stovek tisíc zařízení, můžete se níže podívat na přehled přednastavených hesel, které je možné nalézt uvnitř kódu Mira. V použitelné podobě viz třeba toto PDF a Who Makes the IoT Things Under Attack?

Nemusí přitom jít zdaleka jen o IP kamery či chůvičky, i Česko je plné tisíců routerů dodaných poskytovateli připojení k internetu nebo pořízených přímo, které mají napadnutelný a zneužitelný firmware. 

Pokud máte zájem je aktualizovat a udržet v bezpečí, obvykle narazíte na uživatelsky nepřívětivé hledání správného firmwaru, obtížné způsoby aktualizace nebo čiré ignorování výrobci – tedy absenci jakýchkoliv oprav.

Analýzy pátečního útoku hovoří až o desítkách milionů útočících zařízení. Dnes to může vypadat jako velké číslo. Ale za pár let jich útočníci budou mít k dispozici o několik řádů více.

Našli jste v článku chybu?

24. 10. 2016 10:08

fd (neregistrovaný)

DNS se samozrejme cachuje, a jak dlouho se zaznam uchova zavisi prekvapive prave na tom, jak to nastavi drzitel domeny. Muze to byt v minutach, ale i v mesicich. Pricemz neprakticke je jedno i druhe. Kratky interval generuje zbytecnou zatez na primarni servery, dlouhy zase efektivne znemoznuje cokoli menit.

Druha vec je, jestli se tech pravidel drzi dns, ktery pouzivate vy.

24. 10. 2016 15:52

Jo a kolik promile běžné populace ti bude asi rozumět, to je jakoby lékárník radil lidem, jak si sami vyrobit Paralen. Jsi mimo. Chce to technické řešení pro běžné lidi.

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech