Hlavní navigace

Jak IP kamery „rozbily internet“. Co víme o obřím DDoS útoku na Dyn?

24. 10. 2016
Doba čtení: 5 minut

Sdílet

 Autor: stevanovicigor / depositphotos
Páteční tři vlny útoků postupně znepřístupnily značnou část populárních webů uživatelům po celém světě. A ani v sobotu nebylo vše vyřešeno.

Páteční rozsáhlý DDoS (Distributed Denial of Service) útok je zajímavý v řadě aspektů. Prvním je ten, že si neznámí útočníci vybrali společnost Dyn. Výběr to byl velmi dobrý, protože její DNS služby používá poměrně hodně firem, včetně těch největších. Útočníkům se povedlo zahltit její servery, a protože se jednalo o DNS, tedy jednu z nejzásadnějších funkčností internetu, projevil se útok rozsáhlým výpadkem řady dalších webů. Tak rozsáhlým, že bychom mohli skoro říci, že postupně přestala fungovat většina „toho podstatného“ internetu.

Druhým neméně zajímavým aspektem je to, že první analýzy ukazují, že k útoku byly použité hacknuté CCTV kamery či digitální videozáznamníky (DVR). Média to samozřejmě spojují s „Internetem věcí“ a naznačují, že v budoucnu se mohou objevit ještě silnější a ničivější útoky. Zařízení připojených k internetu bude stále více. Navíc se můžeme oprávněně obávat, že většina takovýchto zařízení skutečně není zabezpečená a je až příliš snadné je ovládnout.

Útok zaměřený na Dyn tak v první vlně způsobil problémy i pro tak známé služby jako je Twitter, Amazon, Tumblr, Reddit, Spotify, Netflix. Když už se zdálo, že se Dyn podařilo útok zvládnout, přišla druhá vlna, následovaná třetí. Nedostupné byly i další služby, ale i internetová média v celkových počtech stovek. Postižené servery pochopitelně nadále fungovaly, ale protože se z DNS ztratily informace o tom, jak se na ně dostat (jejich IP adresy), návštěvníci je nemohli otevřít.


Autor: Dyn

Každý si může pořídit armádu útočníků

Útok samotný používal nástroj, který už známe z dřívějších útoků: Mirai, malware, který byl před měsícem použit při 620 Gbps útoku na web Briana Krebse. A také malware, který si dnes může pořídit každý. Na konci září totiž autoři kód zveřejnili.

Mirai prohledává internet a hledá připojená zařízení, do kterých je možné se dostat. Nevyužívá žádné extra sofistikované postupy: zkouší hesla přednastavená výrobcem. Má to dost jednoduché, protože na internetu jsou desítky milionů zařízení, která někdo pouze vybalil z krabice, připojil a nijak se neobtěžoval jejich nastavením.

Další zajímavostí aktuálního útoku je podle společnosti Flashpoint to, že mělo dojít k masovému využití digitálních videozáznamníků a IP kamer od jediného čínského výrobce – ten vyrábí komponenty, které dále používají další výrobci ve vlastních produktech. Útok ale pravděpodobně nebyl veden pouze z jednoho botnetového zdroje, v pozdějších fázích je velmi pravděpodobné, že se přidali i další útočníci.

Flashpoint v analýze k napadeným zařízením nezmiňuje jenom nebezpečí plynoucí z toho, že si lidé nemění přednastavená hesla, ale také možnost přístupu k těmto strojům přes telnet či SSH. Tvrdí přitom, že u výše zmíněných zařízení dokonce není možné přístupová hesla pro tento druh přístupu k zařízení změnit - heslo je napevno uvedeno ve firmwaru. Lidé z Flashpointu navíc sami našli přes 500 tisíc zařízení, která je možné tímto způsobem napadnout.

TIP: Jak vypadá vizualizace DDoS útoku, se můžete podívat v Mirai Botnet Linked to Massive DDoS Attacks on Dyn DNS

Za vším je prý WikiLeaks

Kdo stál za pátečním útokem, o víkendu stále nebylo jasné, ale velmi rychle se k němu stihli přihlásit podporovatelé WikiLeaks (Anonymous a New World Hackers), navíc s tvrzením, že jde o „odvetu“ za to, že Ekvádor odstřihl Juliana Assange od přístupu k internetu. Společnosti snažící se útok analyzovat ale něco takového zpochybňují a upozorňují také na to, že obě skupiny se již v minulosti hlásily k útokům, které neprovedly.

V průběhu útoku se dokonce objevily dohady, že Assange je v ohrožení života a lidé z WikiLeaks v jednom z tweetů uvedli, že Assange je „stále naživu a WikiLeaks stále publikuje“ a zároveň požádali, aby útoky na americký internet ustaly.

Mezi rojící se konspirace můžete započítat i ty, které ukazují prstem na Čínu a čínské hackery. Stejně tak jako na případné snahy Ruska ovlivnit americké volby. Kdo má pravdu, bude obtížné zjistit, byť na vypátrání útočníků pracuje už FBI i DHS.

Je velmi brzy na to, abychom mohli správně a zodpovědně určit původce, ale také vědět více o tom, jakým způsobem DDoS přesně proběhl. Dyn zveřejnil v neděli Dyn Statement on 10/21/2016 DDoS Attack s dalšími upřesňujícími informacemi, včetně detailnější časové osy útoků. Bude důležité sledovat, s jakými dalšími informacemi půjdou na veřejnost.

Snadná blamáž pro Internet věcí

Celý útok je snadné „hodit“ na tolik oblíbený cíl jménem Internet věcí (IoT) a určitým způsobem to i odpovídá – nakonec pokud byly pro útok použity IP kamery a podobná zařízení, můžeme je brát jako součást Internetu věcí. Byť pod pojmem Internet věcí je vhodné si představit spíše věci ještě méně „internetové“.

Skutečnost je taková, že čím více zařízení se připojuje (a bude připojovat) k internetu, tím obtížnější bude udržet je všechna zabezpečená. A právě na IP kamerách a různých dětských chůvičkách je už dlouho vidět, jak to celé funguje. Někdo zcela nezkušený si koupí krabici s produktem, rozbalí ji a připojí zařízení k internetu. Nechce nic nastavovat, ani to neumí, je mu to nakonec jedno a už vůbec se nechce v průběhu času starat o aktualizace firmwaru a opravy chyb.

A pokud se chcete podívat, jak snadné je dostat se do stovek tisíc zařízení, můžete se níže podívat na přehled přednastavených hesel, které je možné nalézt uvnitř kódu Mira. V použitelné podobě viz třeba toto PDF a Who Makes the IoT Things Under Attack?


Nemusí přitom jít zdaleka jen o IP kamery či chůvičky, i Česko je plné tisíců routerů dodaných poskytovateli připojení k internetu nebo pořízených přímo, které mají napadnutelný a zneužitelný firmware. 

BRAND24

Pokud máte zájem je aktualizovat a udržet v bezpečí, obvykle narazíte na uživatelsky nepřívětivé hledání správného firmwaru, obtížné způsoby aktualizace nebo čiré ignorování výrobci – tedy absenci jakýchkoliv oprav.

Analýzy pátečního útoku hovoří až o desítkách milionů útočících zařízení. Dnes to může vypadat jako velké číslo. Ale za pár let jich útočníci budou mít k dispozici o několik řádů více.

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).