Ende November 2018
druckten Büro- und Heimdrucker auf der ganzen Welt
eine Nachricht, in der sie aufgefordert wurden, PewDiePie YouTube zu abonnieren. Es geschah natürlich ohne das Wissen der Besitzer der Drucker, und höchstwahrscheinlich hatte PewDiePie nichts damit zu tun. Ein Angreifer, der sich TheHackerGiraffe nennt, hat über 50.000 Drucker angegriffen, die so konfiguriert sind, dass ihre Internet Printing Protocol- und Zeilendrucker-Daemon-Dienste über das Internet zugänglich sind. Die Liste der anfälligen Drucker wurde mit der speziellen Suchmaschine Shodan.io erstellt, der Rest war eine Frage der Technologie.
Der Angriff auf Drucker endete nicht: Smart-TVs wurden später gehackt, und kürzlich Nest-Webcams mit ähnlichen Links zu PewDiePie. Dieses allgemein bedeutungslose Unterfangen führte zur Entstehung eines rein kriminellen
Dienstes für das "Drucker-Guerilla-Marketing". Lassen Sie uns mehr über diese Vorfälle sprechen und gleichzeitig die Unterschiede zwischen normalen Sicherheitsforschern und solchen IoT-Vandalen diskutieren.
Eine Nachricht, die auf Zehntausenden von Druckern auf der ganzen Welt gedruckt wurde, sah ungefähr so aus:
Der Hacker Giraffe, der für das Hacken verantwortlich ist, teilte bereitwillig die Details des Angriffs auf seinem Twitter mit (später wurden alle Nachrichten gelöscht). Er hat die Liste der anfälligen IP-Drucker von Shodan auf einen Fünf-Dollar-Cloud-Server hochgeladen, auf dem er mithilfe einer Kombination aus Open Source-Software eine PDF-Datei zum Drucken und Anzeigen einer Hack-Nachricht auf dem Druckerbildschirm gesendet hat. Nur eine Woche nach dieser Aufführung haben Forscher von GreyNoise ein weiteres Dokument abgefangen, dessen Massendruckanforderung von einer einzigen IP gesendet wurde, wie folgt:
Das Dokument bot die Dienste des "Guerilla-Marketings" an - ein Analogon von Anzeigen auf Asphalt, sozusagen nur im digitalen Raum. Solche Ereignisse treten tatsächlich selten auf. Sie können den Druckervorfall mit der
Sicherheit der Router vergleichen. In diesem Fall wird das Hacken des Geräts normalerweise nicht angekündigt, sondern nur ein leiser Gewinn. Es ist interessant, dass dieselbe „Giraffe“ der Öffentlichkeit die Bedingungen ehrlicher Sicherheitsforscher erklärte - beispielsweise „die Öffentlichkeit informiert“ über die Risiken falsch konfigurierter Geräte. Die Öffentlichkeit wurde natürlich informiert, aber in einer idealen Welt liegt der Weg zur Verbesserung der Sicherheit in der Zusammenarbeit mit Druckerherstellern und deren Installateuren - zumindest lohnt es sich herauszufinden, warum sich herausstellt, dass der lokale Druckdienst auf das Web blickt.
Vorfälle mit der Erwähnung des abscheulichen PewDiePie-Videobloggers wurden in diesem Jahr fortgesetzt. Mitte Januar wurde das Atlas-Multiplayer-Spiel
angegriffen , da ähnliche Nachrichten das Abonnieren von YouTube forderten. Und letzte Woche hat Motherboard
ein Video veröffentlicht, in dem Nest-Netzwerkkameras gehackt werden. Sicherheitslücken in der Nest-Infrastruktur wurden nicht genutzt. Stattdessen wurde die Methode zum Füllen von Anmeldeinformationen angewendet - ein Versuch, ein Kennwort für Ihr persönliches Konto basierend auf durchgesickerten Datenbanken auszuwählen. Wenn Sie sich fragen, wie genau Ihr Passwort ab dem
nächsten Leck verwendet wird , dann zum Beispiel so. Dies ist kein groß angelegter Angriff, aber der Hacker hat es geschafft, ungefähr 300 Accounts zu knacken. Durch den Zugriff auf Ihr Nest-Konto können Sie Ihre IoT-Heimgeräte steuern und nicht nur den Videostream von den Kameras abfangen, sondern auch über diese mit den Eigentümern kommunizieren. Soundnachrichten zum Abonnieren ermutigt ... Nun, Sie verstehen.
Unmittelbar nach Neujahr durchsuchte derselbe „Giraffe-Hacker“ das Netzwerk, um nach ungeschützten Geräten zu suchen, die das Chromecast-Protokoll unterstützen, Set-Top-Boxen auf dem Fernseher oder Smart-TVs. Insgesamt wurden mehrere Zehntausende von Geräten gefunden, auf denen ein Befehl zum Abspielen eines Videos übertragen wurde, in dem alles zum selben aufgerufen wurde. Aus diesen Geschichten ergeben sich zwei Schlussfolgerungen. Erstens ist es ratsam, IoT nicht aus dem lokalen Netzwerk herauszulassen. Dies ist ein mittelmäßiger Rat, da die Entscheidung, eine Verbindung zu externen Servern herzustellen, normalerweise vom Hersteller des Smart-Geräts für Sie getroffen wird. Zweitens kann ein ähnlicher Hacker-Actionismus eingesetzt werden, um den Ruf von Menschen oder Unternehmen zu zerstören. PewDiePie hat einen zweifelhaften Ruf, aber das ist nicht der Punkt: Nach bedeutungslosen Aktionen für die PR werden die neu entdeckten Methoden von der Kriminalität übernommen. Besonders so einfach.
Zum Schluss noch ein Thread von Twitter. Der Forscher beschloss, sich den Code des Open-Source-7-Zip-Archivierers anzusehen, der für die Erstellung geschützter Archive verantwortlich ist. Solche Archive können nur mit Passwörtern geöffnet werden und der Inhalt wird mit dem AES-Algorithmus verschlüsselt. In extrem emotionalen Ausdrücken berichtet der Forscher Folgendes: Die Implementierung des Verschlüsselungsalgorithmus ist alles andere als ideal, es wird ein unzuverlässiger Zufallszahlengenerator verwendet. Darüber hinaus wird die Zuverlässigkeit der Open-Source-Software insgesamt in Frage gestellt - schließlich war der falsche Algorithmus in Sichtweite. Die Eigenschaften von Entwicklern, die über paranoide "Hintertüren" im Verschlüsselungssystem sprechen, werden diskutiert, anstatt den Mindeststandards ihren eigenen Code hinzuzufügen.
Aber im Gegensatz zu allen vorherigen Geschichten scheint dies gut zu enden: Der gleiche Forscher
hat den Entwicklern einen Fehler
gemeldet und ihnen geholfen, die Situation zu beheben (was eigentlich nicht so schlimm ist). Wenn wir über die Ethik im Bereich der Informationssicherheit sprechen, dürfen wir nicht vergessen, dass Menschen unterschiedlich sind und auf verschiedene Probleme beim Schutz von Software und Geräten auf unterschiedliche Weise reagieren, auch auf diese Weise - etwas ungezügelt. Ethisches Hacken ist in erster Linie ein Wunsch, einen Fehler oder eine Sicherheitslücke zu beheben. Es ist jedoch nicht in Ordnung, Schwachstellen zu verwenden, um Clowns auf Kosten ahnungsloser Opfer zu organisieren.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.