Dispositivi IoT con IP pubblico?

6

La mia comprensione dei worm come Mirai è la seguente:

  1. Prova a telnet / ssh in IP casuali utilizzando le credenziali utente / pass predefinite di vari produttori di router / IoT
  2. Se entri, fai cose cattive ™.

Sembra che gli obiettivi siano in genere dispositivi domestici / di consumo, che si trovano su una LAN domestica. Da Wikipedia:

[Mirai] primarily targets online consumer devices such as remote cameras and home routers.

Quindi ecco cosa non capisco. Perché una fotocamera / stampante / qualsiasi dispositivo remoto avrebbe mai avuto un IP pubblico? Sarebbero accessibili solo tramite NAT attraverso il gateway, giusto? Quindi una richiesta telnet sulla porta 23 non l'avrebbe mai raggiunta!

Ad esempio. Supponiamo di aver acquistato una fotocamera con credenziali telnet "root: 123456". Lo collego al mio wifi. Perché è importante per un worm Mirai al di fuori della rete che possiedo questa fotocamera vulnerabile? Se il worm ha provato a telnet con il mio IP pubblico, sarebbe solo in grado di provare a telnet nel mio router, non nella fotocamera!

    
posta Elliot Gorokhovsky 04.12.2016 - 00:50
fonte

2 risposte

2

Anche se tali dispositivi non devono essere esposti direttamente, ciò può accadere e non solo attraverso l'impostazione sciatta o UPnP.

Un router compromesso, malware interno, malversazione di driveby, ecc. possono tutti creare un vuoto nella rete interna.

Inoltre, può accadere occasionalmente che le modifiche apportate a reti protette in altro modo possano inavvertitamente esporre risorse interne. Questo è particolarmente probabile quando le persone iniziano a sperimentare con IoT.

Infine, è possibile che i dispositivi consumer siano dotati di un servizio Internet fornito dal fornitore per ottenere una connessione remota "sicura" e che potrebbe non essere adeguatamente protetta. Ad esempio, molti NAS sono dotati di un modo per accedervi da remoto senza dover creare regole firewall in entrata. Il NAS si connette a un server del fornitore e ti connetti anche quando remoto tramite alcuni servizi web o app. Molti dispositivi IoT consumer sono dotati di servizi simili che consentono l'accesso da telefoni cellulari (luci remote, controlli di riscaldamento, ecc.)

    
risposta data 04.12.2016 - 18:04
fonte
1

Il problema deriva da persone che desiderano poter accedere alla propria videocamera da Internet. Invece di usare una strategia più sicura, la espongono ad internet tramite un port forwarding (o dio non voglia che uPnP lo faccia). Poiché questi dispositivi sono spazzatura mal gestita, ciò rappresenta un grave rischio. Non sono solo le password predefinite, ci sono probabilmente anche diversi attacchi zero day antichi.

Per definizione un router è connesso direttamente a Internet, quindi qualsiasi vulnerabilità in quel dispositivo è pronta per un drive tramite attacco.

    
risposta data 04.12.2016 - 12:53
fonte

Leggi altre domande sui tag