Útok, který ochromil internet . . .
Moderátor: Moderátoři
- Artaban001
- Příspěvky: 9457
- Registrován: 01 dub 2004, 02:00
- Bydliště: Pendrov
O com sa tu asi cely cas bavime? O (s|h)rackach "IoT". Cize vsetko, co doteraz fungovalo samostatne a zrazu to ma pripojenie na internet a ovladanie typicky cez nejaku aplikaciu na mobile.
Mozes to dat do samostatnej VLANy, tym ochranis ostatne zariadenia v tvojej sieti. Mozes vysledovat, kam sa to pripaja a obmedzit mu komunikaciu na tento server (co nebude trivialne, pretoze to moze byt viac serverov, ktorych IP adresy sa mozu casom menit), tym zamedzis pouzitiu zariadenia na DDoS. Ale co uz z principu nevyriesis, to je zabezpecenie samotneho ovladania zariadenia - ked zo serveru pride prikaz, tak ho vykona. A server je mimo tvojho dosahu - to je zakladny problem.
Mozes to dat do samostatnej VLANy, tym ochranis ostatne zariadenia v tvojej sieti. Mozes vysledovat, kam sa to pripaja a obmedzit mu komunikaciu na tento server (co nebude trivialne, pretoze to moze byt viac serverov, ktorych IP adresy sa mozu casom menit), tym zamedzis pouzitiu zariadenia na DDoS. Ale co uz z principu nevyriesis, to je zabezpecenie samotneho ovladania zariadenia - ked zo serveru pride prikaz, tak ho vykona. A server je mimo tvojho dosahu - to je zakladny problem.
Doma nic takového nemám, ale budiž, budu mít něco chytrého v rodiném domku. Budu moci z tabletu/telefonu ovládat např. topení, intenzitu osvětlení, automaticky se v noci zhasne, tam kde se na to zapomnělo (sklep atd.), bude na tom alarm, takže i logování čidel, prohlížení záznamu z kamer atd.
Nic z toho nemusím mít puštěno ven a pokud to bude mít nějaké webové rozhraní a budu to chtít ovládat z dálky, tak si tam můžu předsadit (navíc) přihlašovaní přes apache2 (80 port bude pouze jednosměrný)
Všechno jde a ty to víš.
Nic z toho nemusím mít puštěno ven a pokud to bude mít nějaké webové rozhraní a budu to chtít ovládat z dálky, tak si tam můžu předsadit (navíc) přihlašovaní přes apache2 (80 port bude pouze jednosměrný)
Všechno jde a ty to víš.
.
..
...
Ať žije zdejší FOSILOVNA
..
...
Ať žije zdejší FOSILOVNA
Navic ty krabicky casto bezi na pochybnych nepatchovanych verzich linux kernelu, nedivil bych se archaickymu openssl, klidne jeste se zapnutym SSL3 a starsi atd...
Pokud je nekdo paranoidni, nebo ma proste podezreni, necht si nainstaluje nejakej "Intrusion Detection System".
Vcelku slusnej a zadara je Security Onion. Doporucuju mrknout: https://securityonion.net/
Je to komplet linux distro s nainstalovanou hromadou nastroju.
Jinak tady plati stary dobry "nejsem tak bohatej abych si mohl dovolit levny veci", tzn kupovat hardware jen podle cenovky nebyva nejstastnejsi. Zvlast routery a jiny sitovy prvky.
Premyslim, jestli by nejak pomohlo encap./auth treba 802.1x...
Pokud je nekdo paranoidni, nebo ma proste podezreni, necht si nainstaluje nejakej "Intrusion Detection System".
Vcelku slusnej a zadara je Security Onion. Doporucuju mrknout: https://securityonion.net/
Je to komplet linux distro s nainstalovanou hromadou nastroju.
Jinak tady plati stary dobry "nejsem tak bohatej abych si mohl dovolit levny veci", tzn kupovat hardware jen podle cenovky nebyva nejstastnejsi. Zvlast routery a jiny sitovy prvky.
Premyslim, jestli by nejak pomohlo encap./auth treba 802.1x...
No, nevím pánové. Jestli si koupím zařízení, které kvůli své funkcionalitě bude potřebovat připojení k internetu, a rozhodnu se tomu zabránit, co tím vlastně získám? Neustálé hlášky Error, nebo snad omezení funkcionality, kterou jsem si při pořízení předmětu (spotřebiče) zaplatil? Jak jsem již prve napsal, uživatel zařízení, ovládaného cizím softwarem (firmwarem) ani nemá šanci se dozvědět, s kým to zařízení komunikuje a zda se jedná o regulérní přenos, nebo třeba již o součást probíhajícího DDoS. Tak mě napadá, co až budou k internetu připojeny i palubní počítače automobilů? Budeme snad někteří cíleně bourat, jen kvůli existenci nějakého "Backdooru", zneužitého hackerem na druhé straně zeměkoule?
Každé zařízení má těch možností několik. Např. kamery mají webové rozhraní, RTSP stream a jak uvedl rnbw, tak se umí spojit s nějakým pochybným serverem, který zprostředkuje obraz do NETu. Je to hezké, že někdo vidí svůj dvorek na telefonu v práci, ale zbytek mu nedochází. Každá tahle funkcionalita jde nastavit, omezit nebo vypnout. Jenže hromada lidí tomu nehoví a musí se spolehnout na něčí "šikovnost". Pak to dopadá nějak podobně.Otkundes píše:No, nevím pánové. Jestli si koupím zařízení, které kvůli své funkcionalitě bude potřebovat připojení k internetu, a rozhodnu se tomu zabránit, co tím vlastně získám? Neustálé hlášky Error, nebo snad omezení funkcionality, kterou jsem si při pořízení předmětu (spotřebiče) zaplatil? ......
A když si pak přečtu tohle a představím si za tím třeba jenom routery, tak raději ani nedomýšlet co by se ..... Zamachruju, protože jako krabici na všechno (i router) používám x86 server, který se mi stále aktualizuje, takže záplata už je nainstalovaná.
.
..
...
Ať žije zdejší FOSILOVNA
..
...
Ať žije zdejší FOSILOVNA