En liste som inneholder påloggingsinformasjon for 515 000 enheter er lekket online

Nyheter om cybersikkerhet har en tendens til å bli dominert av overskridende ransomware-utbrudd og forkrøplende kryptokjettingskampanjer, ikke bare fordi dette er blant de vanligste angrepstypene, men også fordi de gir gode historier. Det er en annen type nettkriminalitet, som imidlertid kan være like ødeleggende, men som ofte blir liggende utenfor mainstream-oppmerksomheten.

Distribuerte denial of Service (ofte forkortet som DDoS) angrep er ikke spesielt spektakulære, og du kan hevde at sammenlignet med ransomware, er gjenopprettingsprosessen DDoS ofre må gjennomgå mye kortere og mye rimeligere. Som angrepet på DNS-leverandøren Dyn fra oktober 2016 demonstrerte, kan DDoS imidlertid være et veldig kraftig våpen. Takket være en liste over påloggingsinformasjon som ble lekket forrige uke, kan det nå være mye enklere å bruke det.

En nettkriminalitet lekker mer enn en halv million kombinasjoner av brukernavn og passord

ZDNets Catalin Cimpanu rapporterte søndag at en ikke navngitt nettkriminell har brukt "et populært hackeforum" for å dumpe en massiv trove innloggingsdata. Spredt over flere TXT-filer, inneholder den IP-adressene og Telnet brukernavn og passord som angivelig kan tillate at nettkriminelle overtar ikke mindre enn 515 tusen internett-tilkoblede sluttpunkter. De fleste av dem er IoT-enheter.

Telnet, som noen av dere kanskje husker, ble også brukt av Mirai, skadelig programvare som samlet et stort antall IoT-dingser til et massivt botnet og brukte det til å starte noen av historiens største DDoS-angrep, inkludert den på Dyn. Det er en sårt utdatert kommunikasjonsprotokoll, og den har noen få sikkerhetsproblemer som gjør den upassende for bruk i dag. Likevel fortsetter IoT-leverandører å ansette Telnet, og hackere trenger ingen andre invitasjoner.

Personen som lekket de 515 000 brukernavnene og passordene fortalte ZDNet at han hadde brukt påloggingsdataene for å rekruttere enhetene til et botnett, som han deretter leide ut til andre nettkriminelle i den hensikt å sette i gang DDoS-angrep. Denne typen virksomheter er ganske populær i cyber-undergrunnen, og noen kriminelle tjener en pen krone ut av det, mens andre havner bak stolpene.

Personen som lekket 515 000 brukernavn og passordpar, gjorde det ikke fordi han var redd for å komme i trøbbel. Han gjorde det fordi han hadde oppgradert oppsettet, og han trengte ikke lenger dataene. Tilsynelatende mener han at virksomheten hans er vellykket fordi han sa til ZDNet at fra nå av vil hans DDoS-for-hire-tjeneste stole på servere med høy ytelse leid fra skytjenesteleverandører.

Misbruksavdelingene til nevnte skyleverandører kan være lurt å følge nærmere med hvem som bruker serverne sine fra nå av, fordi oppgraderingen fra IoT-enheter til alvorlig kraftig maskinvare vil gi mye mer omfattende DDoS-angrep. I mellomtiden må vi komme tilbake til de lekkasjeopplysningene og se hva slags skade de kan gjøre.

Hvor farlige kan de lekkede brukernavnene og passordene være?

Som vi allerede nevnte, ble listen over IP-er, brukernavn og passord publisert på et hackingsforum, noe som betyr at wannabe-nettkriminelle som planlegger å starte et DDoS-angrep ikke engang trenger å gå til det såkalte mørke nettet eller betale noe penger for å få det de trenger. Ting er kanskje ikke så enkelt som det.

Etter å ha oppdaget dataene lastet Catalin Cimpanu ned dem, men av juridiske grunner bestemte han seg for å ikke bekrefte gyldigheten ved å logge seg på intetanende menneskers enheter. Det må imidlertid sies at i det minste kanskje ikke noen av legitimasjonene og IP-adressene lenger er brukbare. Videre har Cimpanu delt informasjonen med sikkerhetsforskere som er i ferd med å oppdage eierne av noen av IP-adressene og informere dem om lekkasjen. Det er med andre ord vanskelig å si hvor farlig de utsatte dataene er. Det vi vet med sikkerhet, er hvordan det endte der det er akkurat nå.

Å samle inn informasjonen som ville tillate kompromiss med mer enn en halv million enheter krever ikke noen faktisk hacking. Å få IP-er er like enkelt som å kjøre en skanning gjennom en spesialisert søkemotor, og som for brukernavn og passord, er det to typer av dem. Noen er standardopplysningene som enhetene kommer ut av boksene med, og resten er tilpassede, men lett å gjette brukernavn og passord som eierne av enhetene har angitt.

Dette fremhever den virkelige saken. Mange hevder at spredningen av IoT-enheter gjør DDoS-angrep lettere, men sannheten er litt annerledes. Problemet ligger ikke hos det økende antallet gadgets på vårt Wi-Fi-nettverk. Det ligger i det faktum at vi ikke er villige og/eller ikke klarer å sikre dem ordentlig.