Onlangs legde zo'n grote DDoS-aanval site Krebsonsecurity.com van journalist Brian Krebs plat. CDN Akamai, die gratis diensten verleende aan Krebs, vangt normaal gesproken pieken op, maar zag zich genoodzaakt de dienstverlening te stoppen, aangezien betalende klanten leden onder de aanhoudende 665 Gbps-DDoS.
De kracht van schaal
Honderdduizenden of miljoenen Internet of Things-apparaatjes die allemaal requests naar dezelfde server sturen zijn nog krachtiger dan een DDoS-impacttool als Anonymous' LOIC of andere 'stressertools' die online (gewoon bovengronds op publieke sites) worden verhandeld. Gecombineerd met amplification-aanvallen en verschillende klassieke floodtechnieken, kunnen deze behoorlijk wat schade aanrichten.
De aanval van vorige week bestond uit 140.000 camera's en internetverbonden digitale videorecorders, zo ontdekte netwerkleverancier Level 3 die onderzoek verrichtte naar de mega-aanval. In totaal zouden 1,5 miljoen apparaten bij de aanval betrokken zijn. Dat zijn 1,5 miljoen matig beveiligde thuisapparaten die de afgelopen jaren zijn veroverd door aanvallers en ingelijfd in botnets.
Oogsten wat we zaaien
Vorig jaar had ik een gesprek op beveiligingscongres RSAc met Intel Security-CTO Raj Samani die zich verbaasde over de lethargie van de gemiddelde gebruiker. Veel daarvan vinden dat als malware geen impact op henzelf heeft - bijvoorbeeld omdat het geen data steelt, schade aanricht of te veel bandbreedte opsnoept - het dus geen probleem is. Maar als straks online bankieren uren of zelfs dagen offline is, merken we allemaal de gevolgen van die passieve houding.
Mitigatiediensten als die van CloudFlare of Google (wiens Project Shield de site van Krebs nu beschermt) helpen tegen DDoS-aanvallen, maar komen onder flinke druk te staan als meerdere IoT-DDoS-aanvallen simultaan worden uitgevoerd. Met de honderdduizenden zo niet miljoenen kwetsbare apparatuur, waar beveiligers al bijna een decennium voor waarschuwen, is er een grote DDoS-capaciteit beschikbaar voor kwaadwillenden.
Tool voor de massa
Brian Krebs meldt nu dat de broncode voor malware waarmee je zo'n potent DDoS-botnet kunt opzetten is vrijgegeven, "zo goed als garanderend dat internet binnenkort wordt overspoeld met aanvallen van nieuwe botnets die worden aangedreven door onbeveiligde routers, IP-camera's, digitale videorecorders en meer makkelijk te hacken apparaten."
De malware scant voortdurend naar onbeveiligde apparaten en vuurt daar software op af om ze in een botnet op te nemen. Het goede nieuws is dat overgenomen apparaten na een reboot weer vrij zijn, maar natuurlijk vrij snel daarna opnieuw besmet worden, tenzij de configuratie wordt verbeterd.
The Miria botnet that took out Krebs blog was carried out with these 61terrible passwords. #alwaysthebasics… twitter.com/i/web/status/7…
— Jerry Gamblin (@JGamblin)3 October 2016
Als geheime dienstel willen dat deuren open blijven staan om "ẗerroristen"te vangen is DIT t gevolg....
Backdoiors zijn net als hoeren , ze doen waar je ze voor betaald maar je hebt ze nooit voor je aleen......
[Link]
en dan moet een overheid niet gaan janken als ze met de oogst geconfronteerd worden die ze zelf hebben gezaaid..... , dit is PRECIES waarom bijvoorbeeld Edward snowden is gaan klokkenluiden.
En dit is ook precies, waar het artikel niet over gaat. Het is gewoon een foute configuratie / installatie van devices.
Is het niet zo dat iedereen zich laat ondersneeuwen door hijgend hypen en commercie? Dat iedereen als idioot achter de nieuwste commerciële hype word ' begeisterd'? Dat iedereen om het hardste roept dat ' je wel mee moet.... want anders...' ? Welnu, hier heb je het 100% voorspelbare resultaat wat er gebeurd als je de basis van IT/ICT los laat, veronachtzaamd want dan gaat iedereen, de nieuwe hype, om het hardste roepen wat voor chaos er aanstaande is.
Als er twee zaken zijn die blijven verkopen dat is het Fear en Sex. Als IT professional word ik van beiden niet zo warm omdat degenen die het het hardste roepen, er in de regel gewoon geen verstand van hebben.
Graag verwijs ik naar twee eenvoudige tien minuten white papers. De origine van die twee white papers gaan al weer meer dan vijftien jaar terug. [Link] en [Link]. Neen dames en heren, geen reclame voor, het gaat om deze twee tien minuten white papers. U kunt de url gewoon kopiëren en plakken in uw browser.
IT 100% voorspelbare materie
Dat is niets nieuws want waar het om gaat is de onderliggende universele principes die al ten tijde van implementatie van de weefmachine ergens in 1750 al een hoofdrol had, dit nu nog steeds heeft. IT is voor 100% afhankelijk van vooraf gedefinieerde waarden. Dat geld voor elke stap in en met IT evenzo. U daar niet aan willen conformeren? Prima....
Daar krijgt u namelijk problemen als de basis van dit artikel voor terug. Grote voorspelde hiaten met hele grote impact. U hoeft dit van mij natuurlijk niet aan te nemen. Ik vind het prima, ik hoef namelijk de rekeningen van de gevolgen niet te betalen. Maar het zou misschien zomaar kunnen dat u zichzelf een lichtje laat schijnen over iets dat dom en onnozel commercie of politiek kunt noemen en de schade die twee factoren hebben op een goed werkende strategische IT. En wie weet .....
Edsger Dijkstra belde van gene zijde en vroeg of zijn intellectuele erfgoed in wat minder erbarmelijk Engels geschonden kon worden.
Edsger W Dijkstra's Archief... [Link]
Bewijsvoering voor algorithmes bv: [Link] (1967).
Recentelijk heeft DARPA een poging (geslaagd) gedaan waarbij een op deze basis gebouwde drone overgenomen moest worden door tegenstanders...
Ze kregen zelfs toegang tot een account OP de drone om deze over te nemen. [Link]
En zodra dit gebeurt, zagen ze het allemaal niet aankomen en moeten er ongetwijfeld weer draconische "veiligheidsmaatregelen" komen die de vrijheid van het internet inperken maar niets doen aan het feitelijke probleem..
Probleem 1: Bugs blijven altijd in software zitten. De ironie wil dat dit een Linux-gebaseerde camera was.
Probleem 2: Normaal functionerende apparatuur met legitieme doeleinden wordt verkocht aan mensen die niet veel verstand hebben van de onderliggende techniek.
Probleem 3: Uitgebreide audits zijn duur; veiligheidskennis ontbreekt ten ene male bij iedereen.
Probleem 4: Het upgradeable maken van soft- en firmware in IoT-apparatuur zorgt door het ontbreken van standaardisatie op dit gebied voor een ware instellingsnachtmerrie. Het zorgt ook voor extra aanvalsvectoren.
Probleem 5: IPv4 is een ***protocol want veel te makkelijk te spoofen. IPv6 is ook niet vrij van smetten.
Probleem 6: Er zullen altijd mensen zijn die voor financiëel of politiek gewin hun uiterste best doen om misbruik te maken van aangelegde infrastructuur.
Probleem 7: Wil de politiek er wat aan doen, krijgt ze te maken met hordes onwillige experts die allemaal De Oplossing weten, en allemaal lijden aan omgekeerd Dunning-Kruger syndroom.
Probleem 8: Dezelfde experts willen eigenlijk liever dat helemaal niemand zich met hun speeltjes bemoeit.
Welk probleem bedoel je?
Zeker, en tegen bugs is prima te wapenen door een infrastructuur neer te zetten die het repareren van apparatuur "in het veld" mogelijk maakt. Dit is een reeds opgelost probleem in talloze bedrijfstakken, alleen een groot aantal zgn. IoT-fabrikanten wil er niet aan. Ik mis even hoe het gebruik van Linux in deze context ironisch is. Linux is bepaald niet zonder bugs. Fabrikanten die dit OS integreren, dienen daar zorgvuldig rekening mee te houden wat mij betreft.
De consument hoeft geen verstand van techniek te hebben mits de fabrikant probleem 1 netjes oplost, zoals het hem betaamt. Dat gebeurt nu niet, waardoor het nu wél op de consument aankomt om veiligheidsproblemen te beperken. Dit is de omgekeerde wereld en gaat dan ook logischerwijs structureel fout.
Dit zijn bedrijfskosten voor de fabrikant, die deze investering in de prijs van het product kan doorberekenen. Veiligheidskennis hoeft niet bij iedereen aanwezig te zijn, zolang de basisimplementatie correct wordt uitgerold. Wettelijke basiskaders m.b.t. productveiligheid en onderhoudbaarheid zouden dit kunnen verhelpen en scheppen een gelijk speelveld opleveren.
Welk gebrek aan standaardisatie?
Spoofing is hier niet het issue, evenmin als de IPv4-protocolverzameling zelf.
Zeker, dat is een omgevingsfactor waar iedereen die een apparaat met een directe internetaansluiting produceert rekening mee moet houden. Ik neem aan dat u ook een slot op uw voordeur hebt?
De politiek is niet het gremium dat zich met specifieke oplossingen van technische implementatieproblemen moet bezighouden. Althans, niet verder verder dan het stellen van basiskwaliteitsnormen die bijvoorbeeld het repareren van onvolkomenheden "in het veld" gedurende een redelijke en billijke tijd verplicht stellen.
Als expert heb ik inderdaad liever niet dat iemand zich met mijn apparatuur bemoeit. Ik heb ook liever geen apparatuur waar ik niet "in" kan kijken om zelf de implementatie van de software te beoordelen op veiligheid en evt. mijn maatregelen te treffen. Dit maakt mij deel van een zeer kleine minderheidsgroep. Ik zou ook gewoon tekenen bij het kruisje wanneer de wetgever mij aansprakelijk zou stellen voor schade die ontstaat door misbruik van mijn internetaansluiting. Dit laatste dan wel in ruil voor wettelijk verankerde vrijheid om de broncode software van apparatuur met een internetverbinding te mogen inzien. Wil een fabrikant dit niet, verleg dan de bewijslast en aansprakelijkheid naar de fabrikant van de apparatuur. Ook dit is allemaal niet optimaal, maar de vrijheid om zelf zonder toestemming van derden in de frontlinie van de modernste internettechniek onderzoek en ontwikkeling te bedrijven is mij veel waard.
Het probleem van politici met populistische motieven die kwistig met onzalige verboden (zoals verboden op versleuteling) gaan strooien om daadkrachtig te lijken, onderwijl de basisinfrastructuur van het internet verzwakkend terwijl het letterlijk niets oplost aan de feitelijke oorzaken van het probleem van slecht beveiligde en verweesde legacy apparatuur.
Aanvullend...:
1) Als programmatuur (van de grond af aan) opgebouwd wordt met mathematich bewijs van correct gedrag dan zijn er geen bugs meer, hoogstens gebrekkige (onvolledige) specificaties. Op dit moment kan gesteld worden dat functies veelal nauwelijks vastgelegd worden, of op z'n best hoog over, als alles goed gaat, faal gedrag wordt vermeden in specificaties.
2) Dus weer een gebrek aan correcte specificaties, de specificaties moeten afgestemd worden op het publiek... maar als 1 in orde was dan is 2 niet zo'n issue.
3) als 1 in orde was dan is de audit een goede test run net alle soorten van input... kortom een regulier test traject op basis van juiste specs.
4) eh??, wil je erover praten? mogelijk speelt punt 1 hier ook een rol.
5) de IPv4 en IPv6 protocol stack zijn goed, de manier waarop ze toegepast worden is vaak gebrekkig.
6) Zeker dat hoort dan ook bij correcte specificaties.... (zie 1)
7) Als techniek een politiek speel terrein KAN worden zullen we techniek opnieuw moeten vaststellen..... maar dan heeft wederom het specificatie traject steken laten vallen. Anders was er geen speel ruimte.
8) Bassman slaat de spijker precies op de kop.
En als toegift. Ik denk dat allerlei populistische politieke kreten het probleem niet verhelpen en alleen maar meer diffuus maken..
Reageer
Preview