logo elektroda
logo elektroda
X
logo elektroda
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Dobry wirus infekujący urządzenia Internetu Rzeczy

ghost666 05 Lut 2016 17:01 7722 34
REKLAMA
MediaMarkt Black Week
  • Dobry wirus infekujący urządzenia Internetu Rzeczy
    Historia tego wirusa nadaje się na scenariusz dla Hollywoodzkiego filmu. Linux.Wifatch, bo tak nazywa się wirus, wykryty został po raz pierwszy w 2014 roku, ale dopiero od niedawna informacje znane są publicznie. Wirus ten infekuje urządzenia Internetu Rzeczy (IoT), najpewniej dostając się do nich poprzez otwarty port telnetowy.

    Wirus odkryty został zupełnie przypadkiem. Jeden ze specjalistów firmy Symantec zauważył, że jego domowy router zachowuje się nietypowo. Jako osoba zawodowo związana z bezpieczeństwem sieci rozpoczął badanie sytuacji. Okazało się, że został on zainfekowany bardzo nietypowym wirusem. Dlaczego nietypowym? Bo nie robiącym niczego złego. Wręcz przeciwnie.

    Nie tak dawno na Elektrodzie opisywany był brak zabezpieczeń sieci IoT. Okazuje się, że istnieją wirusy, które roznoszą się w ten sposób - jak można było się spodziewać.

    Wifatch napisany jest w Perlu, jego celem jest kilka różnych architektur systemów. Wraz z samym wirusem instaluje się dedykowany dla niego interpreter Perla dla danej architektury. Wirus, po zainfekowaniu urządzenia, łączy się z innymi urządzeniami, aby przekazać im wirusa. Póki co, to wszystko jest dosyć typowe. To co jest mniej typowe, to zachowanie wirusa. Jego głównym działaniem jest... zabezpieczanie systemu przed atakami innych wirusów! W kodzie wirusa - który nie jest w żaden sposób szyfrowany ani ukrywany - nie zawarto żadnego złośliwego oprogramowania. Sieci peer-to-peer formowane przez wirusa mają za zadanie tylko go rozsiewać, nie wykonują żadnych innych operacji, np. nie wysyłają ataków DDoS - tak przynajmniej wynika z kilkumiesięcznej obserwacji wirusa.

    Co jeszcze robi wirus? Po zainstalowaniu się na urządzeniu zabija on demona Telnetu - przez który dostaje się sam do urządzenia i w jego miejscu zostawia pokazaną poniżej wiadomość. Dzięki temu uniemożliwia zarażanie urządzenia kolejnymi wirusami, które mogą już nie być tak 'dobrotliwe'. Wiadomość zachęca użytkownika do... zmiany hasła i zainstalowania nowej wersji oprogramowania.

    Dobry wirus infekujący urządzenia Internetu Rzeczy


    Kolejną operacją, jaką wykonuje Wifatch jest resetowanie urządzenia co tydzień. Po co? Najpewniej po to, żeby unieszkodliwiać szkodliwe oprogramowanie przed którym nie zdołał ustrzec systemu innymi swoimi działaniami. Po resecie urządzenie jest ponownie 'czyste'.

    Oczywiście - nadal jest to wirus komputerowy, który dostał się na nasz system w niepożądany sposób. W wirusie zaimplementowano backdoor, który ma umożliwić dojście do niego twórcy wirusa, ale jest on odpowiednio zabezpieczony, więc sieć nie może zostać przejęta przez kogoś innego.

    Specjaliści z firmy Symantec szacują, że zarażonych może być kilkadziesiąt tysięcy urządzeń. Na swojej stronie publikują także analizę zarażonych urządzeń i pewne statystyki. Możemy tam także znaleźć krótki, anonimowy wywiad z twórcą wirusa, który opowiada o motywacji do stworzenia tego programu i tym co zrobić, aby pozostać bezpiecznym w sieci IoT.

    Źródło: http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there

    Fajne? Ranking DIY
    O autorze
    ghost666
    Tłumacz Redaktor
    Offline 
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    https://twitter.com/Moonstreet_Labs
    ghost666 napisał 11960 postów o ocenie 10197, pomógł 157 razy. Mieszka w mieście Warszawa. Jest z nami od 2003 roku.
  • REKLAMA
    MediaMarkt Black Week
  • #2 15406584
    nuszek
    Poziom 30  
    ghost666 napisał:

    ...Specjaliści z firmy Symantec szacują, że zarażonych może być kilkadziesiąt tysięcy urządzeń....


    Ja bym napisał, ze zostało zaszczepionych kilkadziesiąt tysięcy urządzeń ...
  • #3 15406609
    lekto
    Poziom 35  
    To coś jak czarna ospa i krowianka - po zarażeniu się krowianką zyskujesz odporność na czarną ospę. Tak samo tutaj: po zarażeniu urządzenia Linux.Wifatch, urządzenie dostaje odporność na niektóre wirusy.
  • #4 15406852
    Konto nie istnieje
    Konto nie istnieje  
  • #6 15407330
    dondu
    Moderator na urlopie...
    elektryku5 napisał:
    ... ale zostawienie backdoora musiało mieć jakiś cel...

    Nieco światła:

    Cytat:
    Update – October 5, 2015:
    The author of Linux.Wifatch has responded to our blog and posted a Q&A to explain their actions. The following is an extract from the response.

    Why did you write this and let it go?
    First, for learning. Second, for understanding. Third, for fun, and fourth, for your (and our) security. Apart from the learning experience, this is a truly altruistic project, and no malicious actions are planned (and it nice touch that Symantec watch over this).

    Why release now?
    It was never intended to be secret. And to be truly ethical (Stallman said) it needs to have a free license (agree) and ask before acting (also agree, so only half way there).

    Why not release earlier?
    To avoid unwanted attention, especially by other mlaware authors who want to avoid detection. Plan failed, unwanted attention has been attracted, so release is fine.

    Who are you?
    We are nobody important. Really.

    Do you feel bad about abusing resources by others?
    Yes, although the amount of saved bandwidth by taking down other scanning malware, the amount energy saved by killing illegal bitcoin miners, the number of reboots and service interruptions prevented by not overheating these devices, the number of credentials and money not stolen should all outweigh this. We co-opted your devices to help the general public (in a small way).

    Can I trust you to not do evil things with my devices?
    Yes, but that is of no help - somebody could steal the key, no matter how well I protect it. More likely, there is a bug in the code that allows access to anybody.

    Should I trust you?
    Of course not, you should secure your device.

    Why is this not a problem?
    Linux.Wifatch doesn't use elaborate backdoors or 0day exploits to hack devices. It basically just uses telnet and a few other protocols and tries a few really dumb or default passwords (our favourite is "password"). These passwords are well-known - anybody can do that, without having to steal any secret key.

    Basically it only infects devices that are not protected at all in the first place!
  • #7 15407676
    strikexp
    Poziom 27  
    Bardzo ciekawe. Dlatego ja odkąd zacząłem przygodę z mikrokontrolerami, to pluję na mikrokomputery z systemami operacyjnymi.
  • #8 15407686
    dondu
    Moderator na urlopie...
    strikexp napisał:
    Bardzo ciekawe. Dlatego ja odkąd zacząłem przygodę z mikrokontrolerami to pluję na mikrokonputery z systemami operacyjnymi.

    Ale nie wiesz co w ESP8266 piszczy i już mamy problem :)
  • #9 15407908
    strikexp
    Poziom 27  
    Nie ten jeden układ obsługuje Ethernet. Zresztą mikrokontrolera nie przeprogramujesz jeśli zostanie podłączony z głową. Niedługo, jak będę miał trochę więcej czasu. Wrzucę na elektrodę DIY układu mikroprocesorowego do zabezpieczania wrażliwych danych na komputerach.
    Ogólnie to jest moja specjalizacja więc pokażę o co w tym chodzi i jak wielki jest to problem.
  • REKLAMA
    MediaMarkt Black Week
  • #10 15408206
    dondu
    Moderator na urlopie...
    strikexp napisał:
    Nie ten jeden układ obsługuje Ethernet.

    Przecież to tylko przykład.

    strikexp napisał:
    Zresztą mikrokontrolera nie przeprogramujesz jeśli zostanie podłączony z głową.

    Jeszcze raz powtórzę: Nie wiesz co w stosie ESP8266 piszczy, a dziur może mieć więcej niż Windows za cały swój okres działalności.
    Mikrokontroler nie ma tutaj nic do rzeczy, bo sieć WiFi do której zostanie dopuszczony ESP8266 może być zagrożona z powodu dziur w ESP8266.
  • #12 15410121
    Qujav
    Poziom 22  
    Update.


    Update do botnetu.


    Sorry, ale nie wierzę w taki totalny altruizm autora.
  • #13 15410133
    ghost666
    Tłumacz Redaktor
    Qujav napisał:
    Update.


    Update do botnetu.


    Sorry, ale nie wierzę w taki totalny altruizm autora.


    Gdyby tak było, to by wirus nie informował o swoim istnieniu, a jego usunięcie byłoby trudniejsze niż zresetowanie samego urządzenia...
  • #14 15410258
    elektryku5
    Poziom 39  
    Mniejsza o to co robi wirus, ale sam nie chciałbym mieć takiego, nawet jeśli sam autor zrobił go dla satysfakcji/zabawy/nauki, to nie wyklucza możliwości przejęcia przez kogoś innego, mającego nieco gorsze intencje...
  • #15 15410273
    Qujav
    Poziom 22  
    Niby tak, ale większość legendarnych ataków było atakami socjologicznymi. A gadżety w postaci wirusów było tylko dodatkiem.

    Nikt nie podejmie, żadnych działań - w końcu to dobry wirus antywirus. A, ile autorowi lub innemu hakerowi zajmie czasu wykorzystanie backdoora, żeby stworzyć botnet do jakiejś akcji?

    Ma już olbrzymią sieć, wystarczy wydać polecenie...
  • #16 15410628
    Radiowiec 2
    Poziom 31  
    Pamiętam swego czasu "aferę" z tak zwaną pluskwą milenijną. Bali sie tego wszyscy jak diabli i skończyło sie na strachu. Tutaj może być ukryte jakieś "drugie dno" ale skoro autor jest dobrej myśli to trzeba mieć nadzieję że nikt nie wywinie żadnego numeru. Każde urządzenie i program można wykorzystać podwójnie, Albo dla dobra , albo żeby komuś zaszkodzić. A programy internetowe to w pewnym sensie loteria, nigdy nie wiesz na co trafisz. Kupujemy komputer a okazuje się że... :D
  • #17 15410715
    Qujav
    Poziom 22  
    Jakby nie patrzeć, na komputerze czy każdym innym urządzeniu powinniśmy mieć tylko te oprogramowanie, na które się decydujemy. A nie losowe śmieci z internetu.

    Pozdrawiam.
  • #18 15411179
    Konto nie istnieje
    Konto nie istnieje  
  • #19 15411467
    dondu
    Moderator na urlopie...
    Radiowiec 2 napisał:
    Pamiętam swego czasu "aferę" z tak zwaną pluskwą milenijną. Bali sie tego wszyscy jak diabli i skończyło sie na strachu.

    Oj nie tylko na strachu. Sporo programów księgowych wymagało poprawek.

    Znam też przypadek jednej z firm, w której w 1999 roku działał jeszcze program z lat 80-tych (łączący wymianę danych pomiędzy dwoma systemami), a którego autor nie przewidział tak długiego jego wykorzystania. W styczniu 2000 roku firma musiała pilnie zlecić napisanie nowego - koszty były lekko mówiąc spore :D
  • #20 15411745
    Radiowiec 2
    Poziom 31  
    Ja pamiętam ten strach bo zabezpieczałem jako krótkofalowiec łączność pomiędzy węzłowymi centralami telefonicznymi. Okazało się że nic nie przeniknęło i wszystko chodziło jak trzeba. Spędziłem za to na centrali telefonicznej wraz z obsługą wspaniałego sylwestra. Jest co wspominać. :D
  • #21 15413425
    Grzegorzm2121
    Poziom 15  
    Z jednej strony szczytny cel- tak jak anonymus chronić internet i użytkowników.
    Z drugiej strony niestety wirus który zostawia nam lukę w zabezpieczeniach.
    Ale przecież wirusa tego można łatwo usunąć? (chyba).

    Zabezpiecza niektóre luki ale tworzy nową. Co tu jest nie tak?
  • #22 15414163
    DG06
    Poziom 18  
    He, he. Kiedy zainfekowana już będzie znaczna część urządzeń, ktoś naciśnie Power Off i odetnie wszystkim dostęp do kochanej sieci. Dobre na wypadek zamieszek, albo jakiejś np. wojny.
  • #23 15418811
    suchy_18
    Poziom 12  
    gamer512 napisał:

    Żeby prowadzić samochód trzeba mieć uprawnienia, żeby używać komputera wystarczy go mieć. Problem w dużej mierze bierze się z tego, że ogromna część społeczeństwa nie potrafi używać komputera, ...


    Ja bym się nie czepiał użytkowników że nie potrafią zabezpieczyć własnych urządzeń (nie wszyscy muszą się na tym znać), problemem są producenci sprzętu oraz oprogramoania. Używanie przestarzałych technologi, ustawianie standardowych haseł bez wymuszania na użytkowniku zmiany podczas konfiguracji, brak aktualizacji zabezpieczeń. Taki telnet, kto w tych czasach używa jeszcze tego protokołu, i tak większość urządzeń IoT i nie tylko ma własne interfejsy zwykle web, wiec po co tam upychać protokuł którego przeciętny Kowalski i tak nie użyje a ktoś bardziej doświadczony go zablokuje i użyje ssh.
  • #24 15418823
    ghost666
    Tłumacz Redaktor
    suchy_18 napisał:
    gamer512 napisał:

    Żeby prowadzić samochód trzeba mieć uprawnienia, żeby używać komputera wystarczy go mieć. Problem w dużej mierze bierze się z tego, że ogromna część społeczeństwa nie potrafi używać komputera, ...


    Ja bym się nie czepiał użytkowników że nie potrafią zabezpieczyć własnych urządzeń (nie wszyscy muszą się na tym znać), problemem są producenci sprzętu oraz oprogramoania. Używanie przestarzałych technologi, ustawianie standardowych haseł bez wymuszania na użytkowniku zmiany podczas konfiguracji, brak aktualizacji zabezpieczeń. Taki telnet, kto w tych czasach używa jeszcze tego protokołu, i tak większość urządzeń IoT i nie tylko ma własne interfejsy zwykle web, wiec po co tam upychać protokuł którego przeciętny Kowalski i tak nie użyje a ktoś bardziej doświadczony go zablokuje i użyje ssh.


    Dokładnie tak, ale producentom nie zależy na bezpieczeństwie, tylko na zyskach. Wrzucałem o tym ostatnio tekst:

    https://www.elektroda.pl/rtvforum/topic3157212.html
  • #25 15418867
    dondu
    Moderator na urlopie...
    ghost666 napisał:
    Dokładnie tak, ale producentom nie zależy na bezpieczeństwie, tylko na zyskach.

    Bez przesady, dobre firmy dbają o bezpieczeństwo, bo opinia przekłada się na zyski.

    Niektóre routery mają specjalne funkcje wykrywające nieoptymalne pod kątem zabezpieczeń ustawienia routera i w prosty sposób (dla przeciętnego użytkownika) informują co należy zmienić, by poziom bezpieczeństwa wzrósł.

    Routery te oczywiście nie kosztują 70 zł :)
  • #26 15418875
    ghost666
    Tłumacz Redaktor
    dondu napisał:
    ghost666 napisał:
    Dokładnie tak, ale producentom nie zależy na bezpieczeństwie, tylko na zyskach.

    Bez przesady, dobre firmy dbają o bezpieczeństwo, bo opinia przekłada się na zyski.

    Niektóre routery mają specjalne funkcje wykrywające nieoptymalne pod kątem zabezpieczeń ustawienia routera i w prosty sposób (dla przeciętnego użytkownika) informują co należy zmienić, by poziom bezpieczeństwa wzrósł.

    Routery te oczywiście nie kosztują 70 zł :)


    Ale tutaj nie chodzi o urządzenia takie jak Routery generalnie. Powiedz mi - jaka dobra firma produkuje kamery IP? albo inne systemy Internetu Rzeczy? Sieciowe sensory temperatury? panele kontrolne dla CO? lodówki? ;)
  • #27 15418909
    dondu
    Moderator na urlopie...
    ghost666 napisał:
    Ale tutaj nie chodzi o urządzenia takie jak Routery generalnie.

    Odniosłeś się do ogólnego stwierdzenia kolegi suchy_18.

    ghost666 napisał:
    Powiedz mi - jaka dobra firma produkuje kamery IP? albo inne systemy Internetu Rzeczy? Sieciowe sensory temperatury? panele kontrolne dla CO? lodówki? ;)

    Np. ASUS :)
  • #28 15420347
    suchy_18
    Poziom 12  
    dondu napisał:
    ghost666 napisał:
    Ale tutaj nie chodzi o urządzenia takie jak Routery generalnie.

    Odniosłeś się do ogólnego stwierdzenia kolegi suchy_18.

    ghost666 napisał:
    Powiedz mi - jaka dobra firma produkuje kamery IP? albo inne systemy Internetu Rzeczy? Sieciowe sensory temperatury? panele kontrolne dla CO? lodówki? ;)

    Np. ASUS :)



    Jeśli chodzi o Asus-a to mogę się wypowiedzieć tylko w kwesti routerów i niestety nie popisali się (z 4 posiadanych 2 nadal są podatne na ataki pixie dust w jednym nie da się wyłączyć jakże "bezpiecznego" WPS pomimo wgrania najnowszego firmware), ale nie odbiegajmy od tematu, moim zdaniem czy to dobry czy zły wirus obrazuje jak łatwo się dostać na część z naszych urządzeń w sposób bardzo prosty a jeszcze prostszy do zablokowania przez producentów, i tylko tyle miałem na myśli pisząc poprzedni post.

    Lecz z drugiej strony patrząc na zachowanie ludzi w internecie a głównie na serwisach społecznościowych, zastanawiam się czy jakiekolwiek zabezpieczenia pomogą skoro sami podają takie ilości danych. Aczkolwiek brak świadomości ludzi to inny całkiem odrębny temat.
  • #29 15420662
    Konto nie istnieje
    Konto nie istnieje  
  • #30 15420713
    elektryku5
    Poziom 39  
    gamer512 napisał:
    sęk w tym, że my w dużej większości opieramy swoje decyzje jedynie na cenie, stąd kiepska jakość oferowanych nam produktów.


    W przypadków routerów niekoniecznie, jak delikwent kupi zaawansowany sprzęt i nie będzie wiedział jak go zabezpieczyć, to też winna będzie kiepska jakość?
REKLAMA