Редактор Habrahabr, Geektimes
0,0
рейтинг
20 января 2014 в 15:07

Разработка → Обнаружен ботнет, состоящий из «умных» телевизоров, медиацентров, ПК и… холодильника



На Хабре частенько публикуются новости и статьи тематики «умный дом», «интернет вещей» и т.п. Насколько можно судить, уже через несколько лет наши дома действительно «поумнеют», поскольку «интернет вещей» становится все реальнее с появлением новых и новых моделей устройств, способных общаться друг с другом, а также выходить в Сеть. Это хорошо, когда холодильник может сам определить, каких продуктов нет, и дозаказать все это самостоятельно, оперируя выделенным владельцем бюджетом.

Также хорошо, когда телевизор может транслировать видео прямо из Сети, а также отслеживать избранные шоу и телепередачи. Но не стоит забывать, что подключение к Сети должно быть защищенным, а производители «умной» техники далеко не всегда оснащают свои устройства хотя бы простеньким файерволом или антивирусом.

Результат не заставил себя ждать: выявленный недавно ботнет нового типа кроме обычных ПК и ноутбуков включал также представителей «умного» поколения бытовых устройств, телевизоры, медиацентры утюги и даже холодильник. Всего ботнет состоял из примерно 450 тысяч устройств (450 тысяч уникальных IP-адресов) из которых 100 тысяч — представители «умной» техники. Выявила этот ботнет компания Proofpoint.

Работал ботнет, по словам представителей компании, с 23 декабря 2013 по 6 января текущего года. За это время система отправила около 750 тысяч спам-писем. И около 25% таких сообщений было отправлено бытовой техникой. Специалисты компании даже специальное название придумали для «умных» устройств, входящих в ботнет: «вещи-боты». «Умных» устройств становится все больше, так что вскоре ко всей этой армии могут присоединиться те же утюги, скороварки и мультиварки. Ну а то, устройства-то популярные, сразу миллионы ботов можно получить.

Среди выявленных устройств есть также ARM-девайсы, есть NAS (D-LINK и Netgear), есть Dreambox, VU Duo2 Plus, и вроде как даже игровые консоли PS3/Xbox/WII.

Представители компании считают, что основная причина, по которой стало возможным создание такого типа ботнетов — слабая защищенность бытовых устройств от взлома. И даже, если производитель представляет какое-либо средство защиты, пользователь либо вообще не обращает внимание на необходимость настройки устройства, либо проводит неправильную настройку по своему разумению, а не по инструкции. О том, что пароль, выставленный производителем, нужно менять, вспоминают вообще единицы покупателей.

Via proofpoint
marks @marks
карма
170,2
рейтинг 0,0
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (67)

  • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • +10
        А это актуально для «родительский контроль» или «жральный контроль»
        • +5
          А по-моему, неплохо. Хочешь ты в 2 ночи залезть в холодильник, а оттуда свинья орёт. Таких звездюлей от семьи и соседей отгребёшь, что в следующий раз посреди ночи жрать не захочется :)
          • 0
            Лучше классическое «жрать захотел, толстая свинья?!»

            Можно даже шепотом.

            И свинья (как образ «каспера») упомянута, и весь дом не перебудит.
        • 0
          У нас была идея оснастить холодильник сканером отпечатков и камерой, чтобы при открытии холодильника после 24 часов, фотка с подписью типа "%user% залез в холодильник ночью и съел тортик" постилась во все социалки.
        • 0
          Жду, не дождусь
          image
      • +3
        Главное что бы открытие холодильника не заблокировали
      • –1
        Я один предугадал этот комментарий?
  • +7
    — Ваш холодильник спамит нас…
    — Нет — просто мы очень быстро съедаем заказанное им
    • 0
      Забавно, если у холодильника модель T-800
      • 0
        Не холодильник, но тоже техника, даже с двигателями:
        market.yandex.ru/search.xml?hid=91525&text=t-800

        Есть еще модель T1000 Pro
        • 0
          Есть еще модель T1000 Pro

          более вместительная и с дополнительным отделением для боепиво-комплекта
  • +6
    Звучит желтенько. Когда пишут про ботнет, говорят какой вирус его собрал и какую уязвимость он использовал. А тут все какие только можно устройства собрались и начали рассылать спам. Причем с каждого устройства было отправлено в среднем меньше 2х писем. Как они вобще определили что за устройства в ботнете? По письмам?
    • +5
      Увеличьте свою зарплату в 100 раз не появляясь на работе…
      ---
      написано с iхолодильника
    • 0
      Когда пишут про ботнет, говорят какой вирус его собрал и какую уязвимость он использовал. А тут все какие только можно устройства собрались и начали рассылать спам.


      Можно ж догадаться. Всё просто. В большинстве бытовой техники стоит linux embedded системы (видел в нескольких разных NAS и современных телевизорах). Доступ по стандартному логину-паролю — вот и весь хак. Ибо большинство покупающих такую технику — домохозяйки, которые не думают о необходимости менять пароль по-умолчанию. Так что такой подход довольно универсален. Всего-то небольшая база из стандартных логин\пароль к разному оборудованию
      • +1
        А этот пароль вообще можно сменить через пользовательский интерфейс?

        Обычно в такой «умной» технике пользователю доступен лишь простейший графический интерфейс и в инструкции нет никаких упоминаний о возможности доступа к ОС устройства по сети. Плюс ковыряние в прошивке лишает гарантии и нарушает лицензию.
        • 0
          А вот и некоторое подтверждение моих слов насчёт стандартных паролей

          Ну, раз специалисты говорят что нужно менять — наверное путь есть.
          Не возьмусь отвечать за все устройства, но у NAS Netgear такая опция в веб-интерфейсе предусмотрена. А NAS Synology вообще молодцы — там при первом включении устройства при его настройке требует задать пароль. Так что стандартными паролями их не похакаешь
  • +4
    Как справедливо отмечают в статье на эту тему в Компьютерре, помимо потенциально огромного в ближайшее время количества устройств, которые могут участвовать в подобного рода безобразиях, есть еще один пугающий фактор. Это — время жизни (использования) «интернет-вещей». Если смартфон/ноутбук/ОС для настольного компьютера используется лет пять максимум, то холодильник, телевизор, системы автоматизации умного дома могут эксплуатироваться и 20 лет, и даже дольше, что заведомо превысит срок выпуска новых прошивок. А теперь представьте, что сегодня ваш холодильник, еще вполне рабочий и подключенный к глобальной сети, управляется Windows 95.
    • +5
      Сущие пустяки, просто больше не будут делать столь долговечных вещей ;)
      • +4
        Вот это и пугает
        Ну и, следуя моде на блитц-вещи и блитц-информацию, краткая суть вышеуказанного рассказа:
        Он опускал монеты и всовывал руки, ноги и шею в полукруглые дыры. Автоматы напялили на него однодневные ботинки, приклеили к рубахе одноразовый воротник, пристегнули теряющиеся запонки, залепили дыры быстроотклеивающимся пластырем и всучили модную шляпу «Носи-Бросай». Когда автомат с веселым скрежетом проглатывал монету, мощный динамик выкрикивал: «Всё-Для-Вас На-Один-Раз, Всё-Для-Вас-На-Один-Раз». Железные молодчики торговали непрочной дешевкой… Вещи-однодневки. Надёжные, как веревка из теста. Долговечные, как кусок льда на раскаленной жаровне. Горсть праха, пригоршня дыма, не больше. Здесь были книги с исчезающим текстом — через неделю перед тобой белые страницы. Чернеющие газеты, которые не успеваешь прочесть и вынужден приобретать следующий ежечасный выпуск. Быстрохолодеющие утюги и легкоплавкие сковородки. Микродырявые канистры. Твердеющие подушки. Засоряющиеся краны. Духи «Коко», начинающие через неделю мерзко вонять. Гвозди из блицметалла. Бумажные телевизоры…
        <...> Следуя общему Торговому Принципу, компания «Шпиц-Такса лимитед» снабжает старых леди комнатными собачками, которые через три недели становятся бешеными. Естественно, что владелицы собачек выбрасывают их на улицу, не дожидаясь истечения гарантийного срока.
        • +1
          Иногда кажется, что человечество попадет сразу в две антиутопии.
          Преуспевающие страны попадут в «Дивной новый мир» Хаксли,
          а Украина, Россия и остальной СНГ присоединится к Северной Корее и другим, у которых Оруэлловское «1984» уже наступило.
          • 0
            Между прочим, по мнению Оруэлла к «1984» катилась старая добрая Англия. И я бы не сказал, што он ошибался.
      • 0
        Или начнут гонку пикселов градусов? литров? Что еще можно наращивать в холодильнике? Количество полочек?
        • +3
          Да много чего.
          «Четырехзонный климат-контроль создаст идеальные условия для хранения разного типа фруктов.»
          «Умный холодильник по запаху определит истекший срок хранения открытой пачки сока или упаковки сардин»
          «Инновационная технология Beer-Watchdog поможет быстро охладить пиво до нужной температуры и сообщит сигналом об окончании охлаждения»
          • 0
            > Умный холодильник по запаху определит истекший срок хранения открытой пачки сока или упаковки сардин
            Интересно, как он на Рокфор тогда будет реагировать?
            • 0
              Лишь бы на плавленый сырок не сказал: «Обнаружена новая головка сыра Рокфор».
              • 0
                И не уничтожил бы его :)
      • 0
        уже не делают — две стиральные машины индезит не проработали и 5 лет. при очень средней загрузке
    • +1
      Ерунда. Во-первых, как справедливо заметили комментаторы выше, бытовая техника сейчас не славится 25-летним сроком службы. Вон, сегодня как раз друг сетовал — трёхлетняя стиралка поломалась, сгнила пружина, поднимающая крышку. У меня дома 15-летний «сименс» — пашет как зверь, но с тех пор, думается, техника упростилась и ломается чаще.

      А во-вторых — сейчас у меня в телефоне больше вычислительной мощности, чем в настольном ПК семь лет назад. И через год телефон начнёт тормозить. А когда в массы пойдут «умные» холодильники-утюги и кто-нибудь в погоне за «свистелками» выпустит модель на Андроиде — тот тут-то и будет начало конца. Ибо холодильник будет устаревать не потому, что в нём накрылся компрессор или ссохлись уплотнители — а потому, что на нём AngryBirds тормозят.
      • 0
        Например на самсунговских смарт-ТВ есть отсоединяемый блок для апгрейда. Матрица остается, а начинку можно поменять при необходимости.
  • 0
    Это же круто. Каждая такая штука приближает нас к светлому киберпанковскому будущему, где компьютеры будут всюду, а тот, кто умеет их правильно готовить, сможет завоевать мир жить комфортно.
  • +2
    А теперь главный вопрос: как заразили всё это добро?
    1) Если есть всякие telnet, ssh и прочие системы администрирования с дефолтовыми паролями, то да. Но в тоже время вряд ли есть выделенный IP у такой техники как телевизоры и прочая бытовая техника
    2) Если пользователь сам заразил — то это надо чтобы он лез туда, что маловероятно
    3) Эксплоиты в браузерах. Насколько я понимаю для ARM платформ вряд ли чтото есть. Вернее если и есть то это очень редкость.
    так что хз
    • +1
      Теоретически возможен в принципе такой сценарий — заражение ПК, после чего сканирование локальной сети и заражение умных устройств. Но тогда с уникальными ИП адресами не понятно. Можно, конечно, домой и несколько ИПшников купить. Некоторые так и делают, но сомневаюсь, что при этом так заботиться будут о бытовой технике.
      • 0
        Скорее всего действительно сначала заразили ПК, потому пока его обнаружили… пока вычистили… он заразил холодильник и утюг. Поскольку антивирусов для холодильников не делают, то он там продолжает жить спокойной жизнью. И возможно регулярно перезаражать ПК.
    • 0
      В заумном TV от Sony (модель 2013 г.в.) при загрузке браузера появляется анимация ну оооочень напоминающая анимацию ожидания в Android 4+. Пока что все это дело часто обновляется, да и вырезали отттуда очень многое, однако…
    • +1
      1) Бытовая техника получает адрес по DHCP. Она не знает, серый он или белый. Ей всё равно.

      2) На бытовой технике стоит очень простой линукс, обкорнанный аутсорс-инженерами по техзаданию от компании-производителя. Контроль качества там есть, а вот испытаний на безопасность не проводится. Ведь практически каждый, кто вращается в этой среде, сидит за домашним роутером с NAT'ом. Кто в здравом уме будет ломать один пылесос, да ещё изнутри квартирной сети?

      3) Далеко не все провайдеры, предоставляющие свой вайфай-роутер абоненту, делают на нём NAT. Бридж проще в плане поддержки абонентов категории «я купила компьютер, а вы говорите к нему нужен какой-то системный блок!»
      Некоторые провайдеры вообще ставят вайфай-точку на подъезд, опять-таки в режиме бриджа.

      4) Просканировать весь IPv4 на какую-то уязвимость можно меньше чем за час.

      По отдельности эти пункты вполне логичны, а в сумме получаем уязвимость среднего масштаба.
  • 0
    Такое кстати уже было, так что ничего удивительного
    habrahabr.ru/post/199120/
  • +1
    Каждый раз, когда появляется новая технология, манипуляции человечества с ней напоминают манипуляции маленького ребёнка. Люди вертят ей так и сяк, прикладывают туда и сюда, травмируются, травятся и в итоге либо выбрасывают, либо, если сумеют приладить, начинают использовать, и чем дольше используют, тем более изощренно и мастерски это делают.
  • 0
    Уже давно предсказывали, что телевизор вашего соседа сможет ддосить ваш проект…
  • 0
    Не написано самое интересное: А что же случилось с этим ботнетом 6 января? Умер смертью храбрых вместе со всему приборами или образовался skynet, но вот незадача, ракет над головами я не ощущаю :-D
    • 0
      Праздники закончились, исследователи протрезвели :)

      Там ошибки в переводе:
      Работал ботнет, по словам представителей компании, с 23 декабря 2013 по 6 января текущего года. За это время система отправила около 750 тысяч спам-писем. И около 25% таких сообщений было отправлено бытовой техникой.


      В оригинале же:
      ...they observed that in a recent attack campaign, more than 25 percent of the malicious email (over 750,000 messages) came from things that were not conventional laptop or desktop computers, but rather members of the Internet of Things (IoT); a “Thingbot”-net*, as it were…

      ...a series of campaigns:

      From Dec 23rd through Jan 6th
      Three campaigns per day, approximately 100k emails per campaign
      Over 450k unique IP addresses; over 100k were from IoT devices
      Серия спам-рассылок, по три рассылки в день, примерно по 100 тысяч писем за раз.
      Итого получается две недели по 300 тысяч в день ~ 4 млн. писем всего, из них 25% с IoT — это будет больше 750 тысяч "(over 750,000 messages)".

      shevmax:
      как заразили всё это добро?
      Некоторые производители «умных телевизоров» типа Samsung и LG любят блокировать в прошивках некоторые востребованные функции типа доступа к SMB/CIFS-папкам или видеозаписи (timeshift) на дешёвых моделях, спустя некоторое время повляются левые прошивки, которые всё это дело обратно разблокируют, или сторонние приложения для установки на джейлбрейкнутые телевизоры — кто может поручиться, что там не будет трояна, который проснётся полгода спустя?

      Но лучше бы представители компании Proofpoint предоставили proof, а то может быть это спамеры развлекаются подписываясь в письмах холодильником.
  • +2
    «Чтобы открыть холодильник отправьте смс на номер»…
    • +1
      «Температура принудительно выставлена на 25 градусов. Если через 12 часов вы не отправите смс на номер ..., ваши продукты испортятся!»
  • +1
    Этому бы ботнету научиться взламывать заводы по производству электроники, чтоб запускать производство себе подобных, и получится самый настоящий вирус. На всякий случай, Слава роботам!
  • +1
    Какая ерись. ПО специфическое, под каждый девайс замучаешься писать код. И заражается чаще по вине пользователя, не думаю что кто то будет смотреть порно с кофеварки или ломать фотошоп креком с тостера.
    • +2
      ПО специфическое, но выпускается миллионными партиями — если найти дыру в ПО одного телевизора, то можно овладеть всей серией или вообще всеми телевизорами этого производителя.
      • 0
        Если дыра или баг известен то обновления исправляют. Телевизор так вообще каждые две недели обновляется.
        • 0
          Наверное, я прозвучу в диссонанс к вашему комменту — но не вся техника вообще умеет сама обновляться (имея при этом довольно развитое — и, наверняка, ломабельное — ПО + доступ в Сеть), во-вторых, не факт, что кто-то из вендоров на эти дыры вообще обращает внимание.

          Вон, купишь иной смартфон, а через полгода уже прошивку не всегда найдешь. Неужели Вы думаете, что кто-то будет париться затыкать дыры, не несущие прямой прибыли? Уверен, что никто — просто спишут модель со счетов, и все. Грубо, смысл оплачивать обновление, если это не даст прибыли? Репутационный риск, казалось бы, но припомните-ка те же смартфоны, где и аппаратных, и программных проблем обычно выше крыши — и Самсунг, и LG, и HTC порой просто забивают на патчи, что уж говорить про бытовую технику, которой пользуются домохозяйки (читай — те, кто вообще не думает о «дырах в защите»).
          • 0
            Если вещь будет нести вред и в ней не пофиксят баги, то не думаю что это скажется хорошим образом на компании. А закрывать ботнета как и везде принято, или фиксите проблему или блочат вас. В общем проблема для фантастических фильмов. Везде есть дыры и проблемные места их находят и лечат. И боты в основном живут там где есть непосредственное участие юзеров. Будь то десктоп или web интерфейс.
            • 0
              Вы таки серьезно думаете, что покупающие телевизор часто читают сводки безопасности? Люди, как часто вижу, в магазине берут телевизор по цене, толщине рамки и размеру экрана (собственно, все телевизоры работают, почти все умеют читать с флешки, почти-почти все умеют ходить в интернет — так что тут, как с фотоаппаратами ценой до 15 тысяч, «выбирайте по цвету корпуса»).

              Нет, конечно, кому-то защита телевизора важна. Но, по сути, телевизор, рассылающий спам, равно подходит для просмотра «Дома-2», как такой же, но пропатченный — так что 99% аудитории даже не будут париться.

              А еще меньше будет париться какой-нибудь самсунг, который по традиции перестает думать о проданной вещи сразу после оформления чека на нее. Их понять можно — выгоднее произвести что-то новое, и продать как новинку, чем тратить силы на вылизывание софта. И самсунг не один такой, собственно…

              «TV Update» — как звучит-то! )
              • 0
                Да пусть не сильно защищены устройства, но что то странно, если так много устройств было заражено в плане их разнообразия, что же он так не долго проработал? Прям мега хакеры сработали что чуть не с десятки брендов поломали. Это виной я думаю не открытые сорцы а логин и пароль на роутерах admin admin. Много вы вирусов встречали для телевизоров и фотоаппаратов?
                • 0
                  А Вы смеяться не будете? Вообще не встречал, честно говоря. Чую, мир ушел вперед!

                  Осталось только на микроволновке прочесть, сколько выкупа хотят, чтобы она и дальше грела мне еду, точно.
                • 0
                  del
    • +1
      С одной стороны да, с другой стороны производителю тоже не резон для каждого утюга писать свою ось. Наверняка есть какое-то унифицированное решение для всей линейки выпускаемого барахла. Просто в разные модели заливаются прошивки разной урезанности. Кроме того, все чаще производители не маются и тупо встраивают кастомный андроид, для которого вообще сорцы открыты.
  • 0
    Холодильники захватят мир.
    • 0
      А я думаю, что телевизоры. И что уже захватили :)
      • 0
        Вы не знаете откуда на самом деле пошел скайнет. Я из будущего.
  • 0
    Специально для тех, кто обеспокоен вопросом таких проблем. Ровно как и вопросами подсматривания за ними из интернета против их воли, либо отказа техники из-за Робин Гудов, её перезагружающих моя пошаговая инструкция: Пример безопасной настройки домашней локальной сети

    Один раз грамотно настройте роутер и забудьте об этих проблемах
    • 0
      NAS Synology, Dune — разрешено обращаться к сети 192.168.3.х и Интернету. Всё остальное запрещено.
      Так что запрещено-то? Если туда попадёт троян, как в верхней статье, то он сможет спокойно рассылать спам — доступ к интернету-то у него есть. Имхо, таким устройствам нужен доступ в Интернет по белым спискам, только вот кто будет следить за их актуальностью — переедет какой-нибудь видеоканал на другой сервер и внезапно вместо любимой порнушки придётся заполночь настраивать телевизор заново :)

      Мобильные устройства получают адрес из сети 192.168.88.х и могут общаться с интернетом и другими мобильными устройствами. Общения с другими подсетями запрещены.
      А значит придётся забыть о стриминге фоток и видео с мобильника или планшета на телевизор, использование мобильника в качестве пульта ДУ, запуск фильмов с NAS-а и т.п.

      Но спасибо за идею — смысл в подобной настройке имеется.
      • 0
        Имхо, таким устройствам нужен доступ в Интернет по белым спискам

        Можно и так. Хотя, по белым спискам вносить железки, которые общаются с торрентами — задачка та ещё

        Если туда попадёт троян, как в верхней статье

        Как он туда попадёт? В статье пишут, что попадёт он из-вне: Представители компании считают, что основная причина, по которой стало возможным создание такого типа ботнетов — слабая защищенность
        Это и проще всего: доступ по дефолтным логин\пароль.

        А значит придётся забыть о стриминге фоток и видео с мобильника или планшета на телевизор, использование мобильника в качестве пульта ДУ, запуск фильмов с NAS-а и т.п.

        Всё настраиваемо. Мне просто это было не нужно. Я написал под свои требования. Решение вполне масштабируемо. Никто не мешает модифицировать под свои хотелки. Или обратиться ко мне, за советом. Или с просьбой настроить за отдельную плату :)
    • 0
      > Один раз грамотно настройте роутер и забудьте об этих проблемах

      А ничего что на хабре регулярно проскакивают статьи что в роутерах очередной компании (список уже скоро закончится) нашли зашитый производителем бекдор с полным доступом к настройкам? Одно дело когда через такой роутер ломанут твой комп. Другое — когда дом в котором ты живёшь и в котором есть куча устройств, которые можно вывести из строя или поставить им экстремальный режим работы, грозящий локальной катастрофой. Да и мало ли чего можно придумать.
  • +1
    Полмиллиона IP жалко…
  • 0
    Wii, а не WII :)
  • 0
    Становится страшно жить.
  • 0
    Холодильник насмотрится порносайтов, а хозяин будет есть потом только бананы с огурцами
  • 0
    Буквально пару лет назад ко мне в гости пришла знакомая с вирусом — при подключении к инету все ужасно тормозит.
    Первая лечилка и доступ в сеть для обновлений.
    Через пару минут падает сервер и большинство устройств в сети, аля ПК. Оказалось, что вирус, несмотря на лечение, фаерволлы и антивирусы, пробрался на сервак и оттуда подключился ко всем. Отключил брандмаузер и антивирус. Происходящие ужасы можно было наблюдать в логах бранмаузера сервака, который безбожно тормозил, не фильтруя пакеты.
    Не знаю, что это было, но работы на денек он мне дал.
    И да, комп под убунтой вобще перестал выходить в сеть, так что бог его знает что это было. Правда и убунта была седьмая.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.