Nezabezpečená IoT zařízení s výchozím heslem jsou cílem škodlivého kódu Silex, který je patrně dílem 14letého chlapce odněkud z Evropy a který vystupuje pod pseudonymem „Light The Leafon“ anebo „Light The Sylveon“. Na kódu se ještě podíleli „Alx“ a „Skiddy“.
Účelem Silexu je zničit zranitelná IoT zařízení, aby se do nich nedostali jiní hackeři. Silex používá velké množství příkazů ke zničení napadeného zařízení. Doma je raději nezkoušejte.
(zdroj: bleepingcomputer)
O souhlasu s účelem tam nic nevidím, jen ten (pravděpodobný) účel.
Osobne bych napsal, ze udajnym ucelem bylo to a to, je to mnohem presnejsi a tak je to rovnez v originalnim clanku
Přesně tak. Malware není k ničemu "účelný", nemá "účel". Svoji oběť si vybírá za cíl.
Ono to pak vyznívá, jako by měl "ochránit", aby se tam nedostali jiní. (Eutanazie jako ochrana ultima ratio).
Ve skutečnosti je to forma digitálního terorismu, má za účel upozornit na zneužitelnost zranitelných zařízení. Stejně jako jiný terorista zesiluje hlas svého názoru skrz hromadné škody na ostatních, kteří s tím nemají společného nic, než že si to pořídili.
Prostě mě zaujala stylisticky trochu nešťastná formulace. Zločin by se měl nazývat zločinem a zločinec zločincem.
Neslovíčkař, když sis před tím neprosvištěl slovíška.
Pleteš účelnost a účelovost.
https://www.twitter.com/_larry0/status/1143632160978608128
28. 6. 2019, 15:03 editováno autorem komentáře
presneji, neprepise jen filesystem (systemoveho oddilu), ale prepise cele (tedy vcetne rozdeleni) zarizeni sda (disk nebo USB Flash), mmc0 (eMMC nebo microSD? nejsem si jist, jak je "IoT" zarizeni maji, beznejsi je mmcblkX), mtdX (NAND Flash)...
takze (krome pripadnejch user dat na usb/disku) to zlikviduje krome systemu bootloader, hw info jako mac adresu a pro oziveni bude pravdepodobne potreba rozebrat a pres (pokud jsou dostupne) rx/tx piny pomoci serial komunikace odbrickovat... pro mnoho lidi to takto muze zkoncit jako znicene zarizeni protoze nemaji zkusenosti/povedomi o takovemto oziveni a bezne/jine metody nezaberou...
Myslím si, že civilní odpovědnost by měla mít přednost před tou trestní. Aspoň tím směrem se vyvíjelo právo (v USA dávno, v Evropě až na socialistický blok). Jenže ona nastala dost zásadní změna. Před padesáti lety mohl mladý uličník vykopnout mičudou okno, poškodit veřejné prostranství, ukrást něco, co sám nebo s kamarády odnesl.
Ineternet (a digitální sítě vůbec) posunuly situaci třemi směry: 1. klepnutím do klávesnice lze napáchat škody v hodnotě naprosto nepředstavitelné a ve skutečnosti nesplatitelné. 2. poškozený není jeden, ale mohou jich být tisíce až miliony, každý v jiné zemi a se škodou bagatelní (pár stokorun, nízkých tisíců). 3. škodu může způsobit i náctiletý, který má ve svém věku čas, pružný mozek, ale ještě necítí zodpovědnost.
Je poměrně nereálné předpokládat, že by byl někdo schopen za život splatit desti či stamiliony škod. Ani pro nás (pro okolní společnost) není nijak výhodné vyrobit si dalšího nenávratně zadluženého - oběti nedostanou nic, a ještě všichni budeme z daní platit jeho existenční minimum. Nehledě na to, že s velkou pravděpodobností si vytvoříme dalšího člena šedé zóny - bez oficiálního zaměstnání, který neodvede daně.
Bohužel z těchto úvah mi vychází, že odpovědni by měli být především výrobci a vendoři SW. Ti jediní totiž mohou situaci ovlvinit tím, že budou vynakládat úsili (= peníze) do předcházení kybernetickým hrozbám.
Kdysi musely vzniknout stavební normy, povinnost projektování, schvalování, dozorování. Od té doby se domy staví dráž, ale nepadají nám na hlavu. Stejně vznikly normy elektrické, plynařské. Automobily je nutno neustále zlepšovat, aby se předcházelo škodám na majetku a životech.
Něco podobného podlě mě bude musít přijít i u digitálních technologí. Na počítačové bezpečnosti jsme závislí stejně, jako na domech co pevně stojí, plynu, co nevybuchuje a autech, co dobře brzdí.
Domnívám se, že se to jednou v daleké budoucnosti dotkne i opensource. I když si stavíte dům, plyn nebo elektřinu svépomocí, i tak zůstává povinnosti dodržet projekt a projít kolaudací a revizemi. K tomuto mechanismu neexistuje analogie ani u uzavřeného, ani u opensource softwaru. U uzavřeného sw si ještě dovedu představit, že ho firma dokáže nechat např. auditovat před release, ale u sw, který vyrábějí desítky dobrovolníků nevím, jak by se to dalo realizovat.
Taky ale vidím, že kdykoliv chce někdo udělat jakýkoliv krok ke kontrole internetu, zvedá se vlna nevole s tím, že se jedná o zásah do svobod. Čekám, že bude muset dojít k několika velkým blackoutům a ožebračení mnoha lidí, než bude vůle se tím zabývat. Kontrolní mechanismy jsou součástí demokratických systémů, a kontrolní orgány jsou samy kontrolovány. Přiměřená ochrana / kontrola není totalita. Totalita je, když o ní neotřesitelně rozhoduje jediná kasta - a od toho jsme snad jak v Evropě, tak v Severní Americe daleko.
Když už by někoho měli zavírat kromě pachatele, tak výrobce za to, že dá ven firmware, který si nevynutí nastavení alespoň hesla, když už ne i loginu.
Takové srágory tady byly dávno: co si pamatuju (měl jsem v ruce), tak ADSL modem Edimax (admin/admin, změna nevyžadována) měl by default povolenou administraci z venku (a tehdy ještě na ADSL byly běžně veřejné IP adresy). Ta administrace z venku byla docela překvapení.
To je právě ten otazník co tam mám na konci.
Jenže - když v autě vyletíš ze silnice, může za to jeho výrobce a nebo ty jako řidič? Ve vyhlášce je jasně psané že máš přizpůsobit jízdu stavu a povaze vozovky, no a ten net je hodně rozbitá okreska plná děr a jiných nebezpečí... Samozřejmě jako řidič musíš znát předpisy a umět ovládat vozidlo, ale co musí znát a umět uživatel nějaké takovéhle krabičky?
Nesedí ten příměr. Když analogii s autem, tak co třeba: auto se nebude zamykat, dokud nezadám na palubním počítači nějaký vlastní kód. S něčím takovým ať jde výrobce do míst, kde záda ztrácejí své slušné jméno.
Kromě toho, jde to. Třeba VDSL2 modem Zyxel nebo router UPC: napřed musím zadat své nové heslo (které musí mít jistou minimální délku a ještě se skládat ze 3 kategorií znaků), a pak teprve můžu vůbec něco udělat - tedy zprovoznit. Vzápětí nastavuji WiFi a zase, heslo mě nenechá zadat jakékoliv (WiFi heslo předdefinované z výroby je nějaké náhodné, tohle dělat nemusím, ale když, tak mě to ani tady nenechá udělat úplnou kravinu).
Myslím, že to autory firmwaru nijak nebolelo, a hned jsou možné chyby uživatele slušně eliminovány.
A ještě ty zmíněné modemy/routery mají na IPv4 NAT s prázdnou tabulkou forwardovaných portů a na IPv6 firewall, který nepovoluje žádné příchozí spojení zvenku.
30. 6. 2019, 17:30 editováno autorem komentáře
Principiálně sedí. Na auto děláš zkoušky a dostaneš řidičák. Na internet se ti může připojit kdokoliv, i analfabet, internet má dost obrázků :-D Dnes ti router zprovozní i školák od vedle a počítač se připojí raz dva. Doba didaktiků skončila, dokonce jsou lidé co nemají ani email, stačí jim facebook :-/ a mobil. Dnes většina uživatelů internetu IT nerozumí.
@Radovan
A přesně to je jedna z věcí na kterou tento případ ukazuje. Nevyřešené odpovědnosti - aspoň do nějaké míry. Např. ta pistole musí mít pojistku a např. odolnost proti pádu (bez výstřelu), existuje norma na to jak s ní máš zachazet, tak stejně je norma na zbraňové trezory, pokud musiš mít apod. Toto asi krom požárních norem chybí a vzpomenu si na to vždy když někdo uvádí počet IoT zařízení nebo jejich odhady do budoucnosti.
