Online kiszivárgott egy 515 000 eszköz bejelentkezési információit tartalmazó lista
A kiberbiztonsági hírekben általában a címsoros ransomware kitörések és a kriptoktámogató kampányok dominálnak nemcsak azért, mert ezek a leggyakoribb támadások, hanem azért is, mert nagyszerű történeteket hoznak létre. Van azonban egy másik típusú számítógépes bűnözés, amely ugyanolyan pusztító hatású lehet, de gyakran a média mainstream figyelmen kívül hagyja.
Az elosztott szolgáltatásmegtagadási támadások (gyakran DDoS-ként rövidítve) nem különösebben látványosak, és azt állíthatja, hogy a ransomware-hez képest a DDoS-áldozatok helyreállítási folyamata sokkal rövidebb és sokkal olcsóbb. Ahogyan a Dyn DNS-szolgáltató ellen 2016. október óta elkövetett támadás kimutatta, a DDoS nagyon erős fegyver lehet. A bejelentkezési hitelesítő adatoknak a múlt héten kiszivárogtatott listájának köszönhetően mostantól sokkal könnyebb lesz használni.
A kiberbűnözés több mint félmillió felhasználónév és jelszó kombinációt szivárogtat be
A ZDNet Catalin Cimpanu vasárnap jelentette, hogy a meg nem nevezett kiberbűnözők "népszerű hackelési fórumot" használtak a bejelentkezési adatok hatalmas példányának eldobására. Számos TXT fájlban elterjedve tartalmazza az IP-címeket és a Telnet felhasználóneveket és jelszavakat, amelyek állítólag lehetővé teszik a számítógépes bűnözők számára, hogy kevesebb, mint 515 ezer internetes kapcsolatú végpontot vegyenek át. Legtöbbjük IoT-eszközök.
A Telnetet, amint közületek közületek emlékszik, a Mirai is használta, amely hatalmas bothálózatba gyűjtött sok IoT-modult, és elindította a történelem legnagyobb DDoS-támadásait, köztük a Dyn-en. Szomorúan elavult kommunikációs protokoll, és van néhány biztonsági rése, amely miatt nem megfelelő a mai életkorban történő használatra. Ennek ellenére az internet-kereskedők továbbra is alkalmazzák a Telnetet, és a hackereknek nincs szükségük második meghívásra.
Az a személy, aki kiszivárogtatta az 515 ezer felhasználónevet és jelszót, azt mondta a ZDNet-nek, hogy a bejelentkezési adatokkal botnetekbe toborozta az eszközöket, amelyeket aztán más számítógépes bűnözőknek bérelt ki a DDoS támadások indítása céljából. Ez a fajta üzlet nagyon népszerű a számítógépes metróban, és egyes bűnözők elég fillért keresnek belőle, mások végül rács mögé kerülnek.
Az a személy, aki kiszivárogtatta az 515 ezer felhasználónév- és jelszópárt, nem tette meg, mert félt, hogy bajba kerüljen. Azért tette, mert frissítette a telepítését, és nincs szüksége az adatokra. Nyilvánvalóan úgy véli, hogy üzleti vállalkozása sikeres, mert azt mondta a ZDNet-nek, hogy mostantól bérbeadása céljából készített DDoS-szolgáltatása a felhőalapú szolgáltatóktól bérelt nagy teljesítményű szerverekre támaszkodik.
Az említett felhőszolgáltatók visszaélésellenes osztályai fokozottabban szeretnék figyelni arra, hogy ki mostantól használja kiszolgálóikat, mivel az IoT-eszközökről a komoly teljesítményű hardverekre való frissítés sokkal lényeges DDoS-támadásokat fog eredményezni. Időközben vissza kell térnünk a kiszivárogtatott hitelesítő adatokhoz, és meg kell vizsgálnunk, milyen károkat okozhatnak.
Mennyire veszélyesek lehetnek a kiszivárgott felhasználónevek és jelszavak?
Mint már említettük, az IP-k, a felhasználónevek és a jelszavak listáját egy hackelési fórumon tették közzé, ami azt jelenti, hogy a DDoS támadás elindítását tervező wannabe-bűnözőknek nem kell még az úgynevezett sötét webre menniük, vagy fizetniük pénzt, hogy megszerezzék azt, amire szükségük van. Lehet, hogy a dolgok nem olyan egyszerűek.
Az adatok felfedezése után Catalin Cimpanu letöltötte azokat, de jogi okokból úgy döntött, hogy nem erősíti meg azok érvényességét azáltal, hogy bejelentkezik a gyanútlan emberek eszközeibe. Azt kell azonban mondani, hogy a hitelesítő adatok és az IP-címek legalább egy része már nem használható. Ezenkívül a Cimpanu megosztotta az információkat biztonsági kutatókkal, akik jelenleg felfedezik néhány IP-cím tulajdonosát, és tájékoztatják őket a szivárgásról. Más szavakkal, nehéz megmondani, mennyire veszélyesek a kitett adatok. Azt biztosan tudjuk, hogy az a helyzet, ahová került, hol van most.
Az olyan információk gyűjtése, amelyek lehetővé teszik a több mint félmillió eszköz veszélyeztetését, nem igényelt tényleges feltörést. Az IP-k megszerzése ugyanolyan egyszerű, mint a szkennelés végrehajtása egy speciális keresőgépen, és a felhasználói nevek és jelszavak esetében kétféle lehet. Néhányan azok az alapértelmezett hitelesítő adatok, amelyekkel az eszközök a dobozokból jönnek ki, a többi pedig az egyedi, de könnyen kitalálható felhasználónevek és jelszavak, amelyeket az eszközök tulajdonosai állítottak be.
Ez rávilágít a valódi problémára. Sokan azt állítják, hogy az IoT eszközök elterjedése megkönnyíti a DDoS támadásokat, ám az igazság egy kicsit más. A probléma nem a Wi-Fi hálózatunkon megjelenő egyre növekvő számú eszközön rejlik. Az a tény, hogy nem hajlandóak vagyunk és/vagy nem tudjuk biztosítani őket megfelelően.