Ho partecipato ai recenti attacchi DDoS al servizio DNS di Dyn?

74

Era ha riportato che il recente attacco DDoS su larga scala che ha colpito più siti Web negli Stati Uniti è stato eseguito hackerando 10 s di milioni di dispositivi e utilizzo per l'attacco.

Come si può sapere in generale se i propri dispositivi sono stati hackerati e utilizzati in / un attacco?

    
posta Thomas 26.10.2016 - 20:42
fonte

4 risposte

38

Sapere dopo il fatto può essere un po 'difficile se non stai monitorando attivamente il tuo traffico di rete. Ma ci sono alcune cose che puoi fare ora per determinare se eri a rischio di essere un partecipante e per mitigare la partecipazione futura.

Come è stato menzionato in diversi punti, se il tuo router / bridge / cablemodem / firewall WAN ha acceso uPnP, hai sicuramente aperto la tua rete locale al rischio. Dovresti disattivarlo.

Per i tuoi vari dispositivi, se hai lasciato la password predefinita dell'amministratore impostata, ti sei lasciato aperto. Cambia questo.

Assicurati che il firmware dei tuoi dispositivi sia aggiornato e aspettati ulteriori aggiornamenti nel prossimo futuro.

Se si dispone di dispositivi che non hanno bisogno di comunicare su Internet per "chiamare casa", quindi impedire loro di fare tali cose; non dare loro un percorso predefinito, aggiungere regole firewall, ecc.

Secondo la maggior parte degli account, CCTV (ad esempio web cam) erano i dispositivi principali infetti e utilizzati. Se disponi di un dispositivo di questo tipo e di un elenco di criminali noti, puoi trovare qui ( https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/) , potresti prendere in considerazione l'idea di intraprendere un'azione.

    
risposta data 26.10.2016 - 21:31
fonte
16

Identificarlo può essere un po 'difficile, ma possibile.

  1. Identifica i dispositivi nella tua rete

    Potrebbe sembrare banale, ma potresti essere sorpreso di vedere alcuni dispositivi non autorizzati che potresti aver dimenticato dopo averlo collegato al router. Controlla i tuoi log del router, i dispositivi collegati e persino fai uno sweep nmap sulla rete locale e trova tutti i dispositivi attivi.

  2. Identifica le interfacce di gestione

    Identifica le interfacce amministrative per tutti questi dispositivi. Dal momento che ci concentriamo sui dispositivi IoT, esegui questo passaggio per dispositivi quali TV, frigoriferi, camme IP ecc.

  3. Verifica se l'accesso all'interfaccia di gestione è limitato.

    È possibile che tu stia gestendo la tua IP Cam usando un'applicazione web, ma è probabile che possa avere anche un'interfaccia che accetta connessioni SSH o Telnet. Identifica queste porte e servizi e assicurati che non siano accessibili da remoto. In altre parole, assicurati che l'IP forwarding oi metodi per bypassare il NAT non siano abilitati.

    Se i dispositivi sono abilitati per IPv6, una restrizione del firewall o una sfida di autenticazione deve impedirne il controllo remoto.

  4. Assicurati che password deboli, account utente predefiniti e backdoor noti siano disabilitati su tutte le interfacce accessibili esternamente.

    Le IP cam sono infame per questo tipo di problemi.

    In breve, non è un modo semplice per identificare se sei parte del gruppo che ha preso una parte di Internet, ma ci sono ancora modi per impedire che ciò accada di nuovo.

risposta data 26.10.2016 - 22:21
fonte
7

Il codice sorgente del malware è pubblico, quindi puoi leggerlo e tentare di compromettere manualmente il tuo dispositivo utilizzando lo stesso exploit del malware. Se ci riesci, c'è una buona probabilità che il tuo dispositivo stia già prendendo parte agli attacchi precedenti.

Ovviamente non è infallibile (il malware può essere progettato da qualcuno abbastanza intelligente da tappare il buco dopo aver ottenuto il controllo del dispositivo) ma vale la pena provarlo.

    
risposta data 26.10.2016 - 22:57
fonte
5

La risposta è così probabilmente NO:

Non hai partecipato al massiccio attacco DDoS lo scorso venerdì. I dispositivi compromessi utilizzati come parte della botnet erano per lo più molto vecchi e senza misure di sicurezza, ad esempio quelle telecamere sulla stazione di rifornimento / carburante vicino a te (le fotocamere probabilmente sono state acquistate 10-15 anni fa).

Leggi questo articolo, spiega lo stesso che ho detto, ma molto meglio: link

Alcuni pezzi dell'articolo:

The zombie webcam army responsible for Friday’s mayhem instead consists of industrial security cameras, the kind you’d find in a doctor’s office or gas station, and the recording devices attached to them. Also? They’re mostly ancient, by technological standards.

E

“Most of these were developed in 2004 on down the line,” says Zach Wikholm, a research developer at security firm Flashpoint who’s been tracking the root cause of the attack

    
risposta data 28.10.2016 - 08:50
fonte

Leggi altre domande sui tag