"Моя камера видеонаблюдения положила Twitter" или неизбежность взлома⁠⁠

21 октября 2016 года, в течение двух часов были недоступны сервисы Twitter, Reddit, Spotify, Github, Quora для большинства пользователей из США, в особенности с Восточного побережья.

Причиной такого явления была массовая DDoS атака на популярный DNS сервер Dyn. И вроде бы все типично: обычная DDoS атака, но есть один нюанс. Обычно при DDoS атаке, сервер перегружается многочисленными запросами от тысяч, миллионов взломанных компьютеров, тогда как в этом случае сервера были положены атаками от так называемых устройств с "интернетом вещей". Иными словами, любая бытовая техника оснащенная какими-либо технологиями для связи с другой техникой или ПК (в основном вебкамеры и камеры видеонаблюдения) была взломана и использована для перегрузки серверов Dyn. В этих устройствах используются протоколы IPv4 для передачи данных, что и было использовано хакерами.

Но история не закончилась.

Один из авторов колонок в заморском журнале The Atlantic Эндрю Макгилл провел эксперимент:

"Когда я узнал, что хакеры положили Твиттер с помощью моей DVR {видеокамера, прим. авт} мне стало интересно. Во первых, оказалось, что большинство использованных устройств были очень старыми, такие вы уже не найдете на прилавках магазинов (соответственно они гораздо уязвимей для взлома). Но интернет огромен, существует порядка миллиарда публичных IPv4 адресов и каждый из них может обладать каким либо устройством подсоединенным к нему - тостером, сервером, компьютером. Даже если производитель положил болт {в оригинале автор использовал идиому give a thumb с похожим значением} на свой товар и поставил легко угадываемый пароль на устройство, не останусь ли я в безопасности в огромном море анонимных адресов? Как хакеры найдут меня?

Я арендовал небольшой сервер от Амазон {amazon.com} и сделал так, чтобы он выглядел как незащищенное веб устройство (путем открытия порта, которым хакеры пользуются для удаленного контроля компьютеров). Вместо открытия реального доступа, я сделал засаду: хакеры будут думать, что они логинятся на сервер, но на самом деле, я просто буду записывать их вводные данные и IP адреса. В кругах общения киберзащитников это называется "поставить горшочек с медом" - цель, привлекающая злоумышленников и скрипты, которыми они пользуются для поиска уязвимых серверов.

\\ по ссылке на оригинал статьи вы сможете увидеть пару анимаций, как выглядела командная строка, если хакер пытался зайти в сервер автора\\

Я включил сервер в 13:12 (день недели - Среда), с мыслями что придется ждать дни/недели, чтобы увидеть попытку взлома.

Я был неправ. Первая попытка произошла в 13:53 того же дня.

На анимации вы видите запрос хакера: он попытался войти с помощью распространенного набора данных для логина и пароля - root/root и попытался ввести команду "sh", чтобы получить возможность запускать программы и выполнять свой код. Мой "горшочек с медом" не позволял этого, он просто отрубил соединение.

Следующая попытка взлома пришла с совершенного другого IP адреса и используя другие данные для входа в 14:07. Еще одна в 14:10. И в 14:40. И в 14:48. К концу дня (23:59) в общем пришло более 300 различных IP адресов с целью взлома моего "горшочка с медом".

Многие из них использовали пароль "xc3511", который являлся стандартным заводским для большинства старых вебкамер, использовавшихся во взломе на прошлой неделе.

На момент написания поста (30.10.2016; 12:30 МСК) последняя попытка взлома пришла 9 минуты назад, с использовавшимся логином "root" и паролем "xc3511"

// В оригинальной статье стоят "живые" блоки, которые обновляются каждый раз, как вы загружаете статью. Можете сами посмотреть, побаловаться, так сказать. Даже если не знаете английский - полистайте в поисках красных блоков в статье - вы их заметите сразу. //

Я допускаю, что такой объем попыток доступа может быть не типичным. Я захостил свою ловушку на виртуальном сервере от Амазона, что естественно отличается от устройств с "интернетом вещей" {звучит не очень, но в английской речи используется фраза internet-of-things}. Обычно, хакеры не вводят все эти пароли самостоятельно, у них есть запрограммированные боты, которые делают всю тяжелую работу за них, сканируя тысячи открытых портов за час. И я полагаю, что эти боты могут сканировать открытые сервера Амазон чаще чем обычно, в поисках уязвимого устройства.

Мэттью Принц, сооснователь и СЕО Cloudfare (cloudfare.com) сказал: "Любой человек обладающий плохозащищенным устройством с IP адресом может быть уверен, что вероятность взлома этого устройства в течение недели - 100 процентов". "Вся область IPv4 адресов не настолько большая, вы можете запустить сканирование всей области и завершить его в течение нескольких часов, особенно если у вас достаточно большой ботнет. Сканирования с целью поиска уязвимостей постоянно и значительно ускорилось за последние годы"

Это не означает, что каждое Internet-of-Things устройство уязвимо. Большинство подключенных вами девайсов через домашний WiFi в безопасности - роутер "убивает" большинство входящих попыток взлома. Но вам стоит больше задуматься об устройствах подключенных напрямую к модему.

В конце концов, огромность интернет паутины больше не может защитить нас."

Оригинал: //the  atlantic . com/technology/archive/  2016/10/  we-built-a-fake-web-toaster-and-it-was-hacked-in-an-hour/505571/