Kamery útočí. To už víme, píší o tom česká i světová média, protože to je opravdu vážný problém. Umí vygenerovat tok přes jeden Tbps, poslat přes milion HTTP požadavků každou sekundu a položit i velkého poskytovatele DNS služeb a s tím i velkou část důležitých internetových služeb. Tohle víme, mnozí před tím léta varovali a nakonec to přišlo.
Překvapivé je, jak jednoduché to bylo. Používá se k tomu malware s názvem Mirai, který se zaměřuje na různá „chytrá“ zařízení obvykle využívající BusyBox. Hledá je po internetu, snaží se je napadnout, nainstalovat se dovnitř a poté dokáže páchat na povel nejrůznější druhy útoků. To zásadní ale je, že Mirai nezneužívá žádnou sofistikovanou chybu v software, nepotřebuje žádnou Špinavou krávu nebo Heartbleed.
Mirai prostě hádá výchozí hesla. Protože zdrojový kód byl zveřejněn, víme dnes naprosto přesně, jaká hesla to jsou a hlavně že je jich jen 60. Šedesát! Tak malé množství stačí k napadení půl milionu zařízení po celém světě. Je to tak krátký seznam, že může být součástí tohoto článku:
| Username | Password |
|---|---|
| 666666 | 666666 |
| 888888 | 888888 |
| admin | (none) |
| admin | 1111 |
| admin | 1111111 |
| admin | 1234 |
| admin | 12345 |
| admin | 123456 |
| admin | 54321 |
| admin | 7ujMko0admin |
| admin | admin |
| admin | admin1234 |
| admin | meinsm |
| admin | pass |
| admin | password |
| admin | smcadmin |
| admin1 | password |
| administrator | 1234 |
| Administrator | admin |
| guest | 12345 |
| guest | guest |
| mother | fucker |
| root | (none) |
| root | 00000000 |
| root | 1111 |
| root | 1234 |
| root | 12345 |
| root | 123456 |
| root | 54321 |
| root | 666666 |
| root | 7ujMko0admin |
| root | 7ujMko0vizxv |
| root | 888888 |
| root | admin |
| root | anko |
| root | default |
| root | dreambox |
| root | hi3518 |
| root | ikwb |
| root | juantech |
| root | jvbzd |
| root | klv123 |
| root | klv1234 |
| root | pass |
| root | password |
| root | realtek |
| root | root |
| root | system |
| root | user |
| root | vizxv |
| root | xc3511 |
| root | xmhdipc |
| root | zlxx. |
| root | Zte521 |
| service | service |
| supervisor | supervisor |
| support | support |
| tech | tech |
| ubnt | ubnt |
| user | user |
Jde zřejmě o celou škálu různých zařízení od zmíněných kamer, přes routery (heslo ubnt) až po dětské chůvičky nebo síťové disky. Největší část zařízení ale patří do společné kategorie, jak upozorňují lidé z Flashpointu – na tato zařízení platí přihlašovací údaje root/xc3511. Ukázalo se, že jde především o zařízení firmy Dahua Technology, která se specializuje na výrobu IP kamer.
Objevena byla ale i řada zařízení velmi různorodých výrobců, kteří spolu na první pohled nemají vůbec nic společného. Ukázalo se ale, že tito výrobci používají hardware a software od čínské společnosti XiongMai Technologies, která dodává kompletní technologii pro sestavení podobných zařízení – od kamer přes video rekordéry nebo záznamová kamerová zařízení.
Výrobce pak už jen zkompletuje „svůj“ výrobek, napálí do něj dodaný firmware a hurá do obchodu. XiongMai ovšem dodává děravý software, který otevírá integrovaný počítač světu a umožňuje jeho hromadné napadení. Mluví se o půl milionu napadených zařízení.
Problém by nebyl tak velký, kdyby zařízení nebyla jednoduše dostupná z internetu. Dodávaný firmware ale nechává otevřené rozhraní telnet, přes které je možné přístroje ovládat i na dálku. Telnet? Mysleli jste si, že je dávno mrtvý? Ale jděte, v oblasti embedded zařízení je bohužel až příliš rozšířený.
Čtěte: Telnet stále žije – alespoň na „chytrých“ zařízeních
Aby to bylo ještě horší: telnet je ve výchozím stavu zapnutý, není možné ho vypnout a je možné se k němu přihlásit pomocí výchozího hesla, které není možné změnit! To je ráj pro všechny provozovatele botnetů.
Ani to ještě není všechno, lidé z Flashpoint objevili ve firmware způsob, jak obejít přihlašování úplně: místo přihlašovací stránky Login.htm si prostě stačí nechat načíst DVR.htm. Skenovací služba Shodan navíc ukazuje, že zařízení trpících těmito chybami je na světě přes půl milionu. A to jde jen o jednoho konkrétního diletantského výrobce se špatným firmwarem. Odhady hovoří o milionech podobně děravých přístrojů připojených k internetu.
Mezi země s nejvyšším počtem zranitelných zařízení patří Vietnam (80 000), Brazílie (62 000), Turecko (40 000), Taiwan (29 000), Čína (22 000), Jižní Korea (21 000), Thajsko (16 000), Indie (15 000) a Spojené Království (14 000).
Flashpoint poznamenává, že největší část tvoří zařízení značky Dahua, ale velkou porci má na svědomí také firmware založený na produktech XiongMai. Záleží navíc na konkrétních zemích a zastoupení jednotlivých výrobků. Dahua může třeba za 65 procent napadení ve Spojených Státech, ale XiongMai má na svědomí téměř 70 procent infikovaných přístrojů v zemích jako Turecko nebo Vietnam, odkud přichází většina útočícího provozu.
Používat výchozí hesla je jako nemít žádná hesla. Uživatelé by proto měli dávat větší pozor na konfiguraci podobných přístrojů, které se jednou zapnou a už se na ně obvykle nesahá. Máslo na hlavě mají ale hlavně výrobci, kteří stále dokola dělají stejné chyby, na které se upozorňovalo už před mnoha lety. Ale je to marný, je to marný, je to marný.
Nejlepším řešením je nemít výchozí hesla vůbec. V ideálním případě by se mělo zařízení při prvním spuštění uživatele zeptat na heslo a bez této akce ho nepustit dál. Zřejmě bychom tím nevyřešili všechny problémy světa, ale aspoň by nás nikdo nemohl nachytat se spuštěnými kalhotami.
Použité zdroje
- Flashpoint: When Vulnerabilities Travel Downstream
- SecurityWeek: Over 500,000 IoT Devices Vulnerable to Mirai Botnet
- Hacker News: Source Code for IoT botnet responsible for World's largest DDoS Attack released Online
- Graham Culey: These 60 dumb passwords can hijack over 500,000 IoT devices into the Mirai botnet
- Security Affairs: More than 500,000 IoT devices potentially recruitable in the Mirai Botnet
ČLÁNKY DO MAILU