Hlavní navigace

Ovládnout 500 000 kamer není věda, stačí hádat výchozí hesla

25. 10. 2016
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Linuxový malware Mirai ovládl přes půl milionu zařízení připojených k internetu a útočí s nimi na různé cíle. Pozoruhodné na něm je, že funguje úplně triviálně: prostě hádá hesla.

Kamery útočí. To už víme, píší o tom česká i světová média, protože to je opravdu vážný problém. Umí vygenerovat tok přes jeden Tbps, poslat přes milion HTTP požadavků každou sekundu a položit i velkého poskytovatele DNS služeb a s tím i velkou část důležitých internetových služeb. Tohle víme, mnozí před tím léta varovali a nakonec to přišlo.

Překvapivé je, jak jednoduché to bylo. Používá se k tomu malware s názvem Mirai, který se zaměřuje na různá „chytrá“ zařízení obvykle využívající BusyBox. Hledá je po internetu, snaží se je napadnout, nainstalovat se dovnitř a poté dokáže páchat na povel nejrůznější druhy útoků. To zásadní ale je, že Mirai nezneužívá žádnou sofistikovanou chybu v software, nepotřebuje žádnou Špinavou krávu nebo Heartbleed.

Mirai prostě hádá výchozí hesla. Protože zdrojový kód byl zveřejněn, víme dnes naprosto přesně, jaká hesla to jsou a hlavně že je jich jen 60. Šedesát! Tak malé množství stačí k napadení půl milionu zařízení po celém světě. Je to tak krátký seznam, že může být součástí tohoto článku:

Username Password
666666 666666
888888 888888
admin (none)
admin 1111
admin 1111111
admin 1234
admin 12345
admin 123456
admin 54321
admin 7ujMko0admin
admin admin
admin admin1234
admin meinsm
admin pass
admin password
admin smcadmin
admin1 password
administrator 1234
Administrator admin
guest 12345
guest guest
mother fucker
root (none)
root 00000000
root 1111
root 1234
root 12345
root 123456
root 54321
root 666666
root 7ujMko0admin
root 7ujMko0vizxv
root 888888
root admin
root anko
root default
root dreambox
root hi3518
root ikwb
root juantech
root jvbzd
root klv123
root klv1234
root pass
root password
root realtek
root root
root system
root user
root vizxv
root xc3511
root xmhdipc
root zlxx.
root Zte521
service service
supervisor supervisor
support support
tech tech
ubnt ubnt
user user

Jde zřejmě o celou škálu různých zařízení od zmíněných kamer, přes routery (heslo ubnt) až po dětské chůvičky nebo síťové disky. Největší část zařízení ale patří do společné kategorie, jak upozorňují lidé z Flashpointu – na tato zařízení platí přihlašovací údaje root/xc3511. Ukázalo se, že jde především o zařízení firmy Dahua Technology, která se specializuje na výrobu IP kamer.

Objevena byla ale i řada zařízení velmi různorodých výrobců, kteří spolu na první pohled nemají vůbec nic společného. Ukázalo se ale, že tito výrobci používají hardware a software od čínské společnosti XiongMai Technologies, která dodává kompletní technologii pro sestavení podobných zařízení – od kamer přes video rekordéry nebo záznamová kamerová zařízení.

Výrobce pak už jen zkompletuje „svůj“ výrobek, napálí do něj dodaný firmware a hurá do obchodu. XiongMai ovšem dodává děravý software, který otevírá integrovaný počítač světu a umožňuje jeho hromadné napadení. Mluví se o půl milionu napadených zařízení.

Problém by nebyl tak velký, kdyby zařízení nebyla jednoduše dostupná z internetu. Dodávaný firmware ale nechává otevřené rozhraní telnet, přes které je možné přístroje ovládat i na dálku. Telnet? Mysleli jste si, že je dávno mrtvý? Ale jděte, v oblasti embedded zařízení je bohužel až příliš rozšířený.

Čtěte: Telnet stále žije – alespoň na „chytrých“ zařízeních

Aby to bylo ještě horší: telnet je ve výchozím stavu zapnutý, není možné ho vypnout a je možné se k němu přihlásit pomocí výchozího hesla, které není možné změnit! To je ráj pro všechny provozovatele botnetů.

Ani to ještě není všechno, lidé z Flashpoint objevili ve firmware způsob, jak obejít přihlašování úplně: místo přihlašovací stránky Login.htm si prostě stačí nechat načíst DVR.htm. Skenovací služba Shodan navíc ukazuje, že zařízení trpících těmito chybami je na světě přes půl milionu. A to jde jen o jednoho konkrétního diletantského výrobce se špatným firmwarem. Odhady hovoří o milionech podobně děravých přístrojů připojených k internetu.

Mezi země s nejvyšším počtem zranitelných zařízení patří Vietnam (80 000), Brazílie (62 000), Turecko (40 000), Taiwan (29 000), Čína (22 000), Jižní Korea (21 000), Thajsko (16 000), Indie (15 000) a Spojené Království (14 000).

Flashpoint poznamenává, že největší část tvoří zařízení značky Dahua, ale velkou porci má na svědomí také firmware založený na produktech XiongMai. Záleží navíc na konkrétních zemích a zastoupení jednotlivých výrobků. Dahua může třeba za 65 procent napadení ve Spojených Státech, ale XiongMai má na svědomí téměř 70 procent infikovaných přístrojů v zemích jako  Turecko nebo Vietnam, odkud přichází většina útočícího provozu.

CS24 tip temata

Používat výchozí hesla je jako nemít žádná hesla. Uživatelé by proto měli dávat větší pozor na konfiguraci podobných přístrojů, které se jednou zapnou a už se na ně obvykle nesahá. Máslo na hlavě mají ale hlavně výrobci, kteří stále dokola dělají stejné chyby, na které se upozorňovalo už před mnoha lety. Ale je to marný, je to marný, je to marný.

Nejlepším řešením je nemít výchozí hesla vůbec. V ideálním případě by se mělo zařízení při prvním spuštění uživatele zeptat na heslo a bez této akce ho nepustit dál. Zřejmě bychom tím nevyřešili všechny problémy světa, ale aspoň by nás nikdo nemohl nachytat se spuštěnými kalhotami.

Použité zdroje

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.