Bricking the Internet of Things

Fórumok

Sziasztok!

Egy elméleti kérdést szeretnék feltenni számotokra és kíváncsi vagyok a véleményetekre. Ez a kérdés már rengetegszer felmerült bennem és már kezd érdekelni ki, mit gondol róla.

Érdekel a jogi, etikai és személyes vélemények is.

Az alap felállás:

Az Internet of Things elterjedésével rengeteg olyan eszköz érhető el az interneten, amelyek a felhasználó hozzá nem értéséből adódóan teljesen alap beállításokkal, régi, sebezhető firmware verzióval, alapértelmezett felhasználónév/jelszó párossal hatalmas támadási felületet adnak, amelyeket igen előszeretettel ki is szoktak használni a fekete kalapos urak, script kiddie-k, kormányok, stb... Jelenleg a legnagyobb botnet hálózatok nem mezei PC-kből, hanem IoT eszközökből, router-ekből és egyéb hálózati eszközökből állnak.

Felvetés:

Mi lenne ha néhány hozzáértő a védekezésből átmenne támadásba?

Első lépcsőben egy hagyományos botnet felállást kell elérni, amelyek aktívan pásztázzák az internetet és keresik a sebezhető eszközöket.
Mikor ez már megvan egy ideje, akkor jöhet a "támadás" második lépcsője, ami terjedhet a segítéstől a teljes megsemmisítésig.

Gondolok itt olyanra, hogy a segítés alatt mondjuk a sebezhető firmware-t frissíti a botnet-ünk, a legfrissebbre ezzel megszüntetve az eddigi lyukakat.
Tovább lépve ha lehetőség van egy üzenet hagyás a felhasználónak és egy poweroff az eszközre, ezzel lekapcsolva az internetről. Néhány ilyen kényszer leállás csak feltűnne az üzemeltetőnek.
A végső lépcső a teljes megsemmisítés lenne, amikor is már semmi nem vált be. Nincs újabb firmware, felhasználó továbbra is hagyta az interneten, továbbra is admin/admin jelszó, akkor jöhet az eszköz brickelése. Hibás firmware feltöltése, format c:, amit csak el lehet képzelni. Végül is majd csak egy biztonságosabb eszközt szerez be a felhasználó.

Szerintetek?

Hozzászólások

Szerkesztve: 2021. 10. 11., h – 17:12

Marmint Grey Hat kategoriaju IoT botnet?

Itt ugye van egy kis gond: minel kevesebb eszkozod van, amivel fel tudsz deriteni, annal kisebb esellyel talalsz serulekeny eszkozt. Itt eros grafelmeleti es etikai problemak adodnak.

  • Mi van, ha "rendbetettel" minden serulekeny eszkozt, amit talaltal?
  • Mikor "teszed rendbe" a talalt serulekeny eszkozt? Mielott meg kereset tobbet, vagy csak utana?
  • Mi van, ha olyan serulekeny eszkozt talalsz, ami csak egy masikon keresztul elerheto?

Első gondolatra én úgy tervezném, hogy minden eszköz egy időzített bomba...

Fertőzés, terjesztés, "robbanás". Tehát egy ideig, legyen napok, hetek, hónapok minden eszköz beszáll a feltérképezésbe, majd ha letelt az ideje, akkor "self destruct"...

 

Az elsődleges cél az internet felőli támadási felületek megszüntetése. Tehát jelenleg az én gondolataimban nem szerepelnek az adott eszközzel egy hálózaton lévő dolgok. Ha közvetlen internet felől nem érem el őket, akkor azok nem érdekelnek. Ha van egy ház amelyikben minden ajtó tárva nyitva van, de csak a főbejáraton keresztül lehet bemenni, akkor a főbejáratot kell behatolás biztossá tenni.

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Lehet nemes a szándék, attól még a fent vázolt dolog törvénybe ütközik.

Ha ezzel nem törődünk, felhasználóként _én_ annak örülnék, ha valahogy értesítést kapnék és aztán én megcsinálhatom, amit kell, vagy ha valahol regisztrálhatnék, hogy távolról mehet az eszköz frissítése. Pl. azt tudnám elképzelni, hogy a gyártó telepíthetne regisztráció után új fw-t. De ugye ez az a gyártó, ami rossz alapbeállításokkal adta ki az eszközt, szóval nem tartom addig vissza a lélegzetem, amíg nem frissítenek.

Annak nem örülnék, ha kérdés nélkül firmware-t változtatna valaki az eszközömön, mert ki tudja, lehet, hogy épp tesztelek valamit, vagy valami kritikus dolog van rábízva, és felrobban az erőmű vagy leáll a lélegeztetőgép az intenzíven, vagy kinyílik a bank vészkijárata éjszaka. Vagy az új firmware-rel nem működik valami, amit addig használtam. Lehet, hogy direkt nem tettem fel.

Azt el tudnám fogadni, ha valaki a default jelszót távolról megváltoztatná az átjáróház eszközökön, a szolgáltatás lekapcsolása nélkül.

Persze a kérdés, hogy ez nem eső után köpönyeg talán? Ha egy botnet már bejutott, megfertőzte az eszközt, akkor az, hogy most átírom a jelszót, sok vizet nem zavar, max. a felhasználó fog szívni, ha az admin/admin belépés már nem működik.

Egyébként pl. a szolgáltatótól kapott routeremet a szolgáltató rendszeresen frissíti, kérdés nélkül. És kritikus dolgokat amúgy se lehet rábízni, mert firmware frissítés nélkül is előfordul, hogy csak úgy újraindul (állítólag akkor, amikor a forgalmazásban hibát/zavart észlel).

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

És mond csak, hányadik figyelmeztetésre gyújthatom fel a bmw-t, aminek a tulajdonosa bszik ismerni az indexet? (Az autós példa mindig autentikus infós kérdésre. :P )

"Biztos én vagyok a béna, de csak azt sikerül elérnem, hogy kikapcsol a monitor."

Eleve miért érhető el minden az internet irányából? Eleve miért van upnp bekapcsolva? Eleve a szolgáltatói routerek miatt a legtöbb háztartás nincs veszélyben. 

Szerkesztve: 2021. 10. 11., h – 19:14

Ha valakik hanyagsagbol nem zarjak be a kocsijaikat, amiket szanaszet hagynak, majd ezekkel buncselekmenyeket kovetnek el masok (pl. rendszamot leszedve belehajtanak egy bankba), akkor:

- van-e jogom az autokat nyitogatva megallapitani melyik van nyitva.

- tehetek-e ra cetlit miszerint ez nyitva van

- egy honapnyi nyitvaleves utan odabetonozhatom-e az aszfalthoz hogy ne okozzanak vele kart.

- vegso esetben teleonthetem-e betonnal (brick) a kocsit?

Bmw-s index miatt hoztam ezt az autos példát 

@BCsabaEngine

Inkabb kezdodjon ugy, hogy vannak olyan autogyartok, akik olyan autokat gyartanak, amiket egy ido utan nem lehet bezarni.

Szerintem nem nyitogathatsz autokat, mert te sem szeretned, hogyha kinyitogatnak a nem bezarhato autodat, azzal az indokkal, hogy esetleg valaki ezzel a jovoben kart okozna masnak.

A gyartokat kellene ravenni szerintem, hogy javitsak ki az eszkozeiket.

Én egyébként úgy tudom, hogy az autót ha utcán parkolunk, akkor kötelező bezárni. Például ha mondjuk bemászik egy gyerek, de nem tud kimászni és megfő a napon, akkor az is felelős lesz valamennyire, aki nyitva hagyta a kocsiját. (Javítsatok ki ha tévedek!)

Ennek analógiájára lehetne büntetni az ismert sebezhetőséggel rendelkező online eszközöket is, ha van rá útmutatás, hogy hogyan kell azt javítani. Nem mondom, hogy szeretném ha ilyen lenne (mert akkor például emiatt is esetleg lehetetlen volna saját főzésű szoftvert használni, mert annak nem lenne nyilvános hibalistája vagy ilyesmi), csak hangosan gondolkodom.

Ha frissited az SW-t es foltozod a lyukat akkor hogyan jutunk el a megsemmisitesig?

Vannak és voltak is ilyenek, pl.: Wifatch, de a BASHLITE -nak is volt ilyen verziója, ami benézett, patchelt, scannelt egyet hogy továbbhaladjon majd inaktiválta magát

// Happy debugging, suckers
#define true (rand() > 10)