skip to main | skip to sidebar
14 commenti

L’Attacco delle Centomila Telecamere che ha paralizzato Internet

Venerdì scorso (21 ottobre) gran parte di Internet è diventata inaccessibile: sono andati in tilt siti popolarissimi come Twitter, Netflix, Reddit, CNN e molti altri. Non per un guasto, ma per un attacco, effettuato con una tecnica molto particolare: gli aggressori hanno preso il controllo di un elevatissimo numero di telecamere e videoregistratori digitali connessi a Internet e li hanno indotti a inondare di traffico di dati un fornitore di servizi, Dyn, dai quali dipendono molti dei grandi nomi della Rete. Saturando Dyn, questa rete di dispositivi (botnet) ha mandato in crisi i sistemi di risoluzione dei nomi dei siti (DNS, domain name system) che traducono il nome di un sito nelle sue coordinate su Internet (indirizzo IP) e consentono quindi agli utenti di raggiungere un sito digitandone il nome.

Le stime aggiornate, a una settimana dall’attacco, parlano di circa centomila dispositivi comandati a distanza tramite un malware denominato Mirai, che si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi a Internet, in particolare contenenti componenti fabbricati dalla marca cinese XiongMai Technologies ma anche stampanti della Panasonic e router di SNC e ZTE, che hanno password di amministrazione banali, fisse e non modificabili ma soprattutto note a chiunque, come admin, 123456 o password. Il malware, in sintesi, entrava in questi dispositivi dalla porta principale tentando un breve elenco di password standard fino a trovare quella giusta e poi iniziava a trasmettere dati in quantità verso Dyn e altri bersagli, saturandoli.

Il fatto che le password non erano modificabili significa che l’attacco non è colpa degli utenti che comprano dispositivi insicuri e li collegano a Internet, ma dei fabbricanti di questi dispositivi, che non rispettano le norme più elementari della sicurezza informatica. XiongMai ha dovuto richiamare alcuni dei propri prodotti venduti negli Stati Uniti, ma è difficile che un richiamo possa togliere da Internet tutti i dispositivi vulnerabili. In altre parole, aspettiamoci altri attacchi come questo.

Sapere chi ha lanciato l’attacco è molto difficile, perché il codice di Mirai è stato reso pubblico (da qualcuno che dice di esserne l’autore) alla fine di settembre e quindi può averlo usato chiunque; inoltre localizzare i centri di controllo della botnet è arduo. Sta ora ai fornitori di accesso a Internet filtrare il traffico in modo da bloccare quello proveniente da questi dispositivi, ma ci vorranno anni prima che questa vulnerabilità perfettamente evitabile venga chiusa. Nel frattempo, se avete telecamere o videoregistratori connessi a Internet, cercate di scoprire se sono fra quelle difettose e infettabili (ci sono servizi come questo di MalwareInt che le indicano su una mappa) e se sono accessibili dall’esterno (con strumenti come questo). Meglio ancora, scollegatele se non sono strettamente indispensabili.


Fonti: Krebs on Security, The Register, Incapsula, Dyn, Ars Technica.


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Per me la colpa è anche degli utenti che comprano dispositivi insicuri e li collegano a Internet senza informarsi.
@Jimmy
Non mi sembra corretto. Se io compro un prodotto Panasonic, affidandomi anche ad un marchio con tradizione notevole non al primo scavezzacollo che trovo, mi aspetto che ci pensi lui. Non devo necessariamente essere un esperto di sicurezza. Parliamo di stampanti. Le stampanti vengono utilizzate da persone di tutti i livelli di istruzione informatica e non. E poi come faccio a sapere che un determinato dispositivo ha una configurazione software di questo tipo?
Il problema è che a volte sono gli installatori a fregarsene della sicurezza, e non si può dare la colpa agli utente senza competenza che si fanno installare un'impianto di videosorveglianza da persone che dovrebbero essere "professionisti".

Vi racconto un episodio che mi è successo un paio di settimane fa: ad un paio di conoscenti avevano lasciato le porte del router aperte verso il DVR per poter usare le app di sorveglianza remota. Peccato che le credenziali del DVR fossero utente "admin" e nessuna password.
La spiegazione del negoziante è stata: "non mettiamo la password perché, se i clienti se la dimenticano, dobbiamo mandare il DVR in Cina per resettarlo".
Ciao @Paolo
spero di non andare troppo OT proponendoti di trattare l'argomento backdoor nei router DSL e dei possibili fix. Rif.:http://thehackernews.com/2014/01/hacking-wireless-dsl-routers-via.html
Io dico che forse internet è abbastanza maturo per diventare un "sistema" decentralizzato e non più dipendente da pochi server (relativamente).

I DNS sono nati in un epoca in cui erano necessari, fungendo da "intermediari" tra utenti e resto del mondo. Oggi esisterebbero tecniche per bypassare questo approccio a vari livelli, addirittura abbiamo PC talmente potenti che si potrebbe integrare una tabella DNS in ogni singolo PC, anche con milioni e milioni di record, per un pc moderno si trattterebbe di poche frazioni di secondi fare una ricerca.

Certo nascerebbero altri tipi di problemi (attaccare un utente cambiando la sua tabella DNS), ma anche qui ci sarebbero varie tecniche per prevenire una cosa del genere.

Forse esagero, ma fosse per me, nell'epoca in cui posso parlare in diretta con qualcuno dall'altra parte del mondo dal palmo della mia mano, ogni forma di intermediazione è un retaggio del passato: posta, banche, agenzie immobiliari e tutto ciò che si interpone tra me e l'altro individuo come veicolo di qualcosa di immateriale è superfluo (ovvio che se a muoversi è merce fisica allora servono ancora)
La giustificazione di XiongMai Technologies è stata che tali dispositivi erano pensati per funzionare in una rete chiusa e non esposti su Internet.
Da quel che ho capito il mirai tenta di accedere attraverso Telnet.
E' probabile che tali camere avranno avuto ciascuna un IP pubblico, altrimenti si sarebbero trovate dietro un NAT e senza la regola di port forwarding da scrivere appositamente la porta telnet sarebbe stata irragiungibile.

Persino i NAS Sinology hanno una backdoor sul Telnet con una password che cambia continuamente ma sfortunatamente l'algoritmo di generazione è stato trovato.


Io ho in rete una stampante Samsung, uno stereo Philips e una telecamera cinese anonima. Per tutti e 3 con pochi minuti di ricerche ho trovato il modo di accedere in console linux. Ora, stando dietro al NAT, tenderei ad essere abbastanza tranquillo contro attacchi dall'esterno. Ma in effetti esistono tecniche per penetrare anche i NAT, potrebbe spuntare una pagina web malevola che si inventa una qualche sorta di spostamento laterale, ecc.
Mi domando: nel caso uno di questi dispositivi dovesse essere attaccato, fintanto che continua a fare la sua funzione primaria, io come diavolo faccio ad accorgermene?
Ho solo un router adsl, non ho un firewall che fa indagini anche sui pacchetti in uscita....
Per quanto ne so potrebbero già essere sotto il controllo di qualcuno ed io non ho modo di scoprirlo... idee?
QUANDO i produttori di apparati IOT impareranno la sicurezza sarà sempre troppo tardi.
Basterebbe imporre di inserire una password STRONG al rimo accesso al device per limitare del 90% i rischi.
Alcuni produttori di telecamere, come HikVision e Panasonic l'hanno capito. E gli altri?
Il problema sta ancora più alla base: piantiamola di rendere "smart" le cose che dovrebbero essere "dumb"!

Ok per la telecamera, ha senso, ma perché un dannato videoregistratore dovrebbe essere connesso ad Internet? Che motivo c'è?

E non ditemi "perché così gli puoi dire di registrare il tuo show preferito anche mentre sei in ufficio" perché
1)puoi benissimo programmare la registrazione prima di uscire di casa
2)alla peggio, puoi sempre vederti la replica in streaming sul sito dell'emittente o su Netflix

Per me è questo il problema di fondo, perché è giustissimo insistere sulla sicurezza, ma il modo migliore di rendere sicura una porta è e resterà sempre... non metterla proprio.

Se poi quella porta è veramente ma veramente necessaria, allora il fabbricante dovrà progettarla con tutti i crismi e l'utente dovrà essere addestrato ad usarla senza renderla apribile da chiunque (o tenerla proprio spalancata di default). Ma quello è il passo successivo, il primo deve sempre essere "se posso, evito di metterla".
@danilo

Non siamo più negli anni 50, che c'erano 3 computer in tutto il mondo e solo per inserire i dati dovevi avere una laurea in ingegneria.
Oggi le notizie di attacchi le senti al radiogiornale del mattino, prima dell'oroscopo.
Quindi, se non sei sceso ieri da un monte e sei uno che in casa ha una LAN di n pc, stampante, NAS, videocamere ecc... credo che un minimo di cultura dovresti fartela.
Hai studiato per avere la patente dell'auto?
Bene, studia anche per rendere un minimo sicura la tua rete.
In una qualsiasi mailing-list/forum alla tua domanda " E poi come faccio a sapere che un determinato dispositivo ha una configurazione software di questo tipo?" credo che in tanti ti avrebbero risposto RTFM!: Leggi il fo****o manuale!
Tra l'altro ora che i manuali sono dispoibili per il download sul sito del produttore puoi anche giocare d'anticipo e scartare i prodotti che non permettono una sufficiente personalizzazione delle opzioni di sicurezza.
@cyberninja:
Mia madre è da una settimana che lotta col suo primo smartphone, ha la frustrazione a mille perché da sola non riesce a districarsi e le mie spiegazioni le scorda dopo cinque secondi.

In compenso il manuale utente è ancora nel cellophane originale e i miei inviti a RTFM vengono rediretti in automatico in /dev/null... sigh.

PS: le immagini "buongiornose" su Whatsapp ha imparato a mandarle subito. Mi sento preso per i fondelli.
Roby10,

Forse non te ne rendi conto, ma se vuoi parlare con un'altra persona nel mondo dal palmo della mano, a meno che tu stesso non inventi e produci un aggeggio che ti permetta di parlare DIRETTAMENTE con l'altro, hai comunque bisogno di servizi intermediari e passaggi obbligati che ti permettano di farlo. Questo implica anche fare affidamento su passaggi magari obsoleti ma ancora indispensabili come la rete DNS. La soluzione che proponi tu infatti non è bypassare il DNS bensì di renderlo accessibile, quindi comunque utilizzarlo, non da remoto ma da locale. Sarebbe comunque un passaggio in più, anche se qualche microsecondo più veloce. La tua soluzione non lo eliminerebbe. Sempre che tu non abbia un'idea per eliminare del tutto il DNS e ti ritrovi tra le mani la rivoluzione del web 3.0. ;)
@Tommy

Ovviamente bisogna contestualizzare.
Però, in generale, se sei in grado allestire una LAN ( o comunque maneggiare qualcosa di meno "amichevole" di uno smartphone ) dovresti anche essere in grado di capirne potenzialità e debolezze e cercare, nei limiti del possibile, di porvi rimedio.
Se tu leggi uno degli annunci di Paolo che dice di aggiornare Flashplayer, che fai?
Te ne freghi perchè "tanto non sono capace" o segui il link alle istruzioni su come fare?
Appunto!
Tante volte l'incapacità dell'utente medio è solo un sinonimo di "pigrizia".

Ciao.
Ma avere un DNS locale è possibile, mica è vietato. Già c'è una forma rudimentale con il file lmhost ma non è vietato installarsi un vero e proprio DNS. Stessa cosa per tutti gli altri servizi.
Fra l'altro di solito tutti i router/modem forniti da ISP fanno da DNS per i dispositivi collegati e poi a loro volta si collegano ai DNS degli ISP.