Útok, který ochromil internet . . .

Zpráva

Habesan · #31 Příspěvek od **Habesan** » 23 říj 2016, 20:50

Světlo s PIR není IoT.
(A je to užitečná věc.)

Standa99 · #32 Příspěvek od **Standa99** » 23 říj 2016, 22:54

Vždyť každý IoT musí být připojen do nějaké sítě, takže pokud si to neumí někdo ošéfovat, tak ať si to raději nepořizuje.

Artaban001 · #33 Příspěvek od **Artaban001** » 23 říj 2016, 23:22

Pokud si chceš takovou věc ošéfovat, musíš o ní vědět vše. A věřím tomu, že v nich budou nějaký "zadní vrátka" - už jen kvůli zběru informací o využití, aktualizace firmware, funkce dálkového ovládání. A věřím tomu, že vždy se najde slabina, která umožní zneužití.

Standa99 · #34 Příspěvek od **Standa99** » 24 říj 2016, 06:35

Pokud budu mít cokoliv připojené do mé domácí sítě, tak to bude u IPv4 za NATem, takže z NETu nepřístupné. A z velikostí nedůvěry tomu můžu přístup do NETu zaříznout úplně i z vnitřní sítě.

#35 Příspěvek od **rnbw** » 24 říj 2016, 08:33

NAT ti nepomoze nic, tieto (s|h)racky s tym pocitaju a preto spojenie vytvaraju oni na verejne dostupny server.
Umiestnenim takehoto zariadenia do svojej siete uz nemozes svoju siet povazovat za bezpecnu.

Standa99 · #36 Příspěvek od **Standa99** » 24 říj 2016, 08:45

Co je vlastně brané tou tvou "sračkou"? Nevidím žádný problém, cokoliv používat pouze ve vnitřní síti. Ten NAT byl pouze o navázání spojení z NETu. Všechno jde vyřešit sofistikovaněji, než jenom zalepit izolačkou webkameru.

#37 Příspěvek od **rnbw** » 24 říj 2016, 08:58

O com sa tu asi cely cas bavime? O (s|h)rackach "IoT". Cize vsetko, co doteraz fungovalo samostatne a zrazu to ma pripojenie na internet a ovladanie typicky cez nejaku aplikaciu na mobile.

Mozes to dat do samostatnej VLANy, tym ochranis ostatne zariadenia v tvojej sieti. Mozes vysledovat, kam sa to pripaja a obmedzit mu komunikaciu na tento server (co nebude trivialne, pretoze to moze byt viac serverov, ktorych IP adresy sa mozu casom menit), tym zamedzis pouzitiu zariadenia na DDoS. Ale co uz z principu nevyriesis, to je zabezpecenie samotneho ovladania zariadenia - ked zo serveru pride prikaz, tak ho vykona. A server je mimo tvojho dosahu - to je zakladny problem.

Standa99 · #38 Příspěvek od **Standa99** » 24 říj 2016, 09:13

Doma nic takového nemám, ale budiž, budu mít něco chytrého v rodiném domku. Budu moci z tabletu/telefonu ovládat např. topení, intenzitu osvětlení, automaticky se v noci zhasne, tam kde se na to zapomnělo (sklep atd.), bude na tom alarm, takže i logování čidel, prohlížení záznamu z kamer atd.
Nic z toho nemusím mít puštěno ven a pokud to bude mít nějaké webové rozhraní a budu to chtít ovládat z dálky, tak si tam můžu předsadit (navíc) přihlašovaní přes apache2 (80 port bude pouze jednosměrný)
Všechno jde a ty to víš.

#39 Příspěvek od **rnbw** » 24 říj 2016, 09:17

Takze problem neexistuje? Mozno sa budes divit, kolko kamerovych systemov sa pripaja na servery v Cine, aby si sa mohol na to pozerat z mobilu bez nastavovania.

Standa99 · #40 Příspěvek od **Standa99** » 24 říj 2016, 09:21

Nojo, když si tam např. zapne RTSP stream na defaultním portu a bude to mít forwardnuté na veřejku, tak chuj s ním.

PixelOrgy · #41 Příspěvek od **PixelOrgy** » 24 říj 2016, 14:31

Navic ty krabicky casto bezi na pochybnych nepatchovanych verzich linux kernelu, nedivil bych se archaickymu openssl, klidne jeste se zapnutym SSL3 a starsi atd...

Pokud je nekdo paranoidni, nebo ma proste podezreni, necht si nainstaluje nejakej "Intrusion Detection System".
Vcelku slusnej a zadara je Security Onion. Doporucuju mrknout: https://securityonion.net/

Je to komplet linux distro s nainstalovanou hromadou nastroju.

Jinak tady plati stary dobry "nejsem tak bohatej abych si mohl dovolit levny veci", tzn kupovat hardware jen podle cenovky nebyva nejstastnejsi. Zvlast routery a jiny sitovy prvky.

Premyslim, jestli by nejak pomohlo encap./auth treba 802.1x...

Otkundes · #42 Příspěvek od **Otkundes** » 24 říj 2016, 19:50

No, nevím pánové. Jestli si koupím zařízení, které kvůli své funkcionalitě bude potřebovat připojení k internetu, a rozhodnu se tomu zabránit, co tím vlastně získám? Neustálé hlášky Error, nebo snad omezení funkcionality, kterou jsem si při pořízení předmětu (spotřebiče) zaplatil? Jak jsem již prve napsal, uživatel zařízení, ovládaného cizím softwarem (firmwarem) ani nemá šanci se dozvědět, s kým to zařízení komunikuje a zda se jedná o regulérní přenos, nebo třeba již o součást probíhajícího DDoS. Tak mě napadá, co až budou k internetu připojeny i palubní počítače automobilů? Budeme snad někteří cíleně bourat, jen kvůli existenci nějakého "Backdooru", zneužitého hackerem na druhé straně zeměkoule?

#43 Příspěvek od **ZdenekHQ** » 24 říj 2016, 20:48

OT příspěvky odmáznuty. Držte se prosím tématu vlákna. Dík.

PixelOrgy · #44 Příspěvek od **PixelOrgy** » 25 říj 2016, 01:27

Proc bych nemohl vedet kam nejaka krabicka komunikuje na me siti? .....

Standa99 · #45 Příspěvek od **Standa99** » 25 říj 2016, 07:47

Otkundes píše:No, nevím pánové. Jestli si koupím zařízení, které kvůli své funkcionalitě bude potřebovat připojení k internetu, a rozhodnu se tomu zabránit, co tím vlastně získám? Neustálé hlášky Error, nebo snad omezení funkcionality, kterou jsem si při pořízení předmětu (spotřebiče) zaplatil? ......

Každé zařízení má těch možností několik. Např. kamery mají webové rozhraní, RTSP stream a jak uvedl rnbw, tak se umí spojit s nějakým pochybným serverem, který zprostředkuje obraz do NETu. Je to hezké, že někdo vidí svůj dvorek na telefonu v práci, ale zbytek mu nedochází. Každá tahle funkcionalita jde nastavit, omezit nebo vypnout. Jenže hromada lidí tomu nehoví a musí se spolehnout na něčí "šikovnost". Pak to dopadá nějak podobně.
A když si pak přečtu tohle a představím si za tím třeba jenom routery, tak raději ani nedomýšlet co by se ..... Zamachruju, protože jako krabici na všechno (i router) používám x86 server, který se mi stále aktualizuje, takže záplata už je nainstalovaná.