web-dev-qa-db-fra.com

Ai-je participé aux récentes attaques DDoS sur le service DNS de Dyn?

Il a été rapporté que la récente attaque DDoS à grande échelle affectant plusieurs sites Web aux États-Unis a été effectuée en piratant 10s de millions d'appareils et en les utilisant pour l'attaque.

Comment peut-on en général savoir si ses appareils ont été piratés et utilisés dans l'attaque/an?

74
Thomas

Savoir après coup peut être un peu difficile si vous ne surveillez pas activement le trafic de votre réseau. Mais il y a certaines choses que vous pouvez faire maintenant pour déterminer si vous risquiez d'être un participant et pour éviter une participation future.

Comme cela a été mentionné à plusieurs endroits, si votre WAN routeur/pont/cablemodem/pare-feu a activé uPnP, vous avez définitivement ouvert votre réseau local à des risques. Vous devez de.

Pour vos différents appareils, si vous avez laissé le mot de passe administrateur par défaut, vous vous êtes laissé ouvert. Change ça.

Assurez-vous que le firmware de vos appareils est à jour et attendez-vous à ce que de nouvelles mises à jour soient publiées dans un proche avenir.

Si vous avez des appareils qui n'ont pas besoin de communiquer sur Internet pour "appeler à la maison", empêchez-les de faire de telles choses; ne leur donnez pas de route par défaut, ajoutez des règles de pare-feu, etc.

Selon la plupart des comptes, la vidéosurveillance (par exemple, les caméras Web) était le principal appareil infecté et utilisé. Si vous avez un tel appareil et une liste des délinquants connus peut être trouvée ici (https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/) =, vous pourriez envisager de prendre des mesures.

38
Shackledtodesk

L'identification peut être un peu difficile, mais possible.

  1. Identifiez les appareils de votre résea

    Cela peut sembler anodin, mais vous pourriez être surpris de voir certains appareils escrocs que vous avez peut-être même oubliés après l'avoir connecté au routeur. Vérifiez les journaux de votre routeur, les appareils connectés et même effectuez un balayage nmap sur le réseau local et trouvez tous les appareils actifs.

  2. Identifiez les interfaces de gestion

    Identifiez les interfaces administratives pour tous ces appareils. Étant donné que nous nous concentrons sur les appareils IoT, effectuez cette étape pour les appareils tels que les téléviseurs, les réfrigérateurs, les caméras IP, etc.

  3. Vérifiez si l'accès à l'interface de gestion est restreint.

    Vous pouvez gérer votre caméra IP à l'aide d'une application Web, mais il est probable qu'elle possède également une interface qui accepte les connexions SSH ou Telnet. Identifiez ces ports et services et assurez-vous qu'ils ne sont pas accessibles à distance. En d'autres termes, assurez-vous que le transfert IP ou les méthodes pour contourner le NAT ne sont pas activés.

    Si les appareils sont compatibles IPv6, une restriction de pare-feu ou un défi d'authentification doit les empêcher d'être repris à distance.

  4. Assurez-vous que les mots de passe faibles, les comptes d'utilisateur par défaut et les portes dérobées connues sont désactivés sur toutes les interfaces accessibles en externe.

    Les caméras IP sont tristement célèbres pour ce genre de problèmes.

    En bref, il n'y a aucun moyen doux d'identifier si vous faisiez partie du groupe qui a supprimé une partie d'Internet, mais il existe toujours des moyens d'empêcher que cela ne se reproduise.

16
hax

Le code source du malware est public, vous pouvez donc le lire et tenter de compromettre manuellement votre appareil en utilisant le même exploit que le malware. Si vous réussissez, il y a de fortes chances que votre appareil participe déjà aux attaques auparavant.

Ce n'est pas infaillible bien sûr (le malware peut être conçu par quelqu'un d'assez intelligent pour boucher le trou après avoir pris le contrôle de l'appareil) mais ça vaut le coup d'essayer.

7
André Borie

La réponse est donc probablement NON:

Vous n'avez pas participé à l'attaque massive de DDoS vendredi dernier. Les appareils compromis utilisés dans le cadre du botnet étaient pour la plupart très anciens et sans mesures de sécurité, par exemple les caméras de la station-service près de chez vous (les caméras ont probablement été achetées il y a 10-15 ans).

Lisez cet article, il explique la même chose que j'ai dit, mais beaucoup mieux: https://www.wired.com/2016/10/internet-outage-webcam-dvr-botnet/

Quelques morceaux de l'article:

L'armée de webcam zombie responsable du chaos de vendredi se compose à la place de caméras de sécurité industrielles, du type que vous trouverez dans le cabinet d'un médecin ou dans une station-service, et des appareils d'enregistrement qui leur sont attachés. Aussi? Ils sont pour la plupart anciens, selon les normes technologiques.

Et:

"La plupart de ces logiciels ont été développés en 2004 sur le long terme", explique Zach Wikholm, développeur de recherche au sein de la société de sécurité Flashpoint, qui a recherché la cause première de l'attaque.

5
KanekiDev