13:18
18/1/2014

Niedawno informowaliśmy Was o chińskich żelazkach i czajnikach, które w środku posiadały dodatkowe moduły mające na celu włamywanie się do sieci Wi-Fi ich właścicieli. Potem na jaw wyszło, że z podobnych technik korzysta NSA… A teraz okazuje się, że tzw. IoT (ang. “Internet of Things”), czyli inteligentny sprzęt AGD/RTV podpięty do internetu może wysyłać spam — ktoś rzekomo zainfekował 100 000 tego typu urządzeń i połączył je w zarządzalny botnet. Lepiej przyjrzyjcie się swojej lodówce…

Internet of Things (that spam & hack)

Na przełomie grudnia 2013 i stycznia 2014, Proofpoint rzekomo zaobserwował kampanię spamową o wielkości 750 000 e-maili. Wiadomości miały zostać rozesłane z ok. 100 000 urządzeń AGD/RTV, takich jak domowe routery, telewizory i — jak utrzymuje firma — co najmniej jedną lodówkę. Botnetowi nadano nazwę “thingbots”.

Zła lodówka jest zła

Zła lodówka jest zła

To, że powstaje malware na nowoczesne AGD/RTV (czyli takie, które da się podpiąć do internetu) nie jest niczym zaskakującym. Sprzęt ten w większości przypadków pracuje bowiem pod kontrolą jakiegoś systemu operacyjnego opartego najczęściej na minidystrybucjach Linuksa lub Windows embedded. Skalę tego typu ataków świetnie ilustrują ostatnie przypadki problemów z telewizorami Samsunga, czy też włamania na routery TP-Linka, Pentagramu i D-Linka — wszystkie miały wspólny mianownik — system operacyjny ZyNOS, który pozwalał każdemu poznać aktualne hasło administratora.

Jak stworzono botnet “Thingbots”?

Wracając do ataku spamu, jego charakterystyka była bardzo ciekawa — a przynajmniej tak przedstawia ją Proofpoint, bo — i to trzeba wyraźnie podkreślić — firma nie podzieliła się na razie żadnymi dowodami.

Wedle analizy ataku wykonanej przez Proofpoint, żadne z urządzeń nie wysłało więcej niż 10 wiadomości, co utrudniało blokadę źródła spamu po adresie IP. Dodatkowo, okazuje się, że na większość urządzeń udało się dostać za pomocą domyślnego loginu i hasła — a więc przynajmniej części botnetu nie zbudowano w oparciu o zaawansowane techniki włamań/infekcji ani znane podatności w firmwarach urządzeń, chociaż pracownicy Proofpointa w wywiadzie dla Ars potwierdzili, że przestępcy skorzystali też z exploitów.

Zła lodówka jest zła

Zła lodówka jest zła

Czy atak rzeczywiście miał miejsce, czy to ściema?

Co do tego, że teoretycznie, wszystko co przedstawia firma Proofpoint mogło się zdarzyć nie ma wątpliwości. Zaufanie do informacji prasowej podważa jednak brak jakichkolwiek informacji na temat tego jakie konkretnie urządzenia/systemy brały udział w ataku, gdzie znajdowało się C&C botnetu, ani jak firma oszacowała liczbę urządzeń.

Przyciśnięty przez redaktora Ars, szef zespołu bezpieczeństwa Proofpointa, zdradził że lodówki, routery, i telewizory odkryto wykonując …skan adresów IP, z których pochodził spam. Tyle tylko, że domowe sieci mogą być NAT-owane, a w takim przypadku spam wysłany przez zainfekowany komputer domownika wyjdzie z adresu IP, pod którym będzie odpowiadał router. Dodatkowo, część z wiadomości mogło posiadać podrobione nagłówki i wskazywać w zasadzie na dowolny adres IP (np. należący do lodówki). Nie wspominając już o tym, że jeśli spam odebrano na kilka dni przed wykonaniem skanu, to adres IP spamera mogło już posiadać inne, zupełnie niezwiązane z atakiem urządzenie…
Zła lodówka jest naprawdę zła

Zła lodówka jest naprawdę zła

Jedyna nadzieja, żeby utrzymać mit spamującej, złośliwej lodówki, to cierpliwe oczekiwania na opublikowanie próbek i dowodów przez Proofpoint. Ponoć firma “sprawdza czy ma te dane i może je opublikować“…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

34 komentarzy

Dodaj komentarz
  1. Jeszcze kilka lat i lodówka sama mnie powiadomi poprzez e-mail o tym że mleko się skończyło…

    • Gorzej jak sama nowe zamówi (mimo że stare “skisło” na wskutek nie-picia), i na podstawie rozpoznawania twarzy zacznie wydzielać racje żywnościowe zgodne z wytycznymi ministerstwa zdrowego odżywiania się ;)

    • Wczoraj Amazon opatentowal dostarczanie zakupow zanim sie je zamowi…

    • Jakie kilka lat ? Od jakiegoś czasu już można taki sprzęt sobie kupić i postawić w kuchni…

    • Panowie, takie rozwiązania już są stosowane – zalecam
      zapoznać się z tematyką inteligentnych domów. Czajnik się włącza
      sam, brama wjazdowa się otwiera a światła zapalają w całym domu jak
      tylko samochód właściciela (namierzany przez GPS) zbliża się do
      domu. a czujniki sprawdzają czego brakuje w lodówce, zamawiają w
      sklepach internetowych i tylko gospodarz dostaje maila którego ma
      potwierdzić.

    • strach pomyśleć co taka zainfekowana lodówka mogła by do
      domu zamówić

  2. Niedługo ataki DDoS Będą przeprowadzane za pomocą lodówek, albo tosterów.

    • Uważaj, bo ktoś Ci zrobi DOSa na lodówkę – takie przymusowe odchudzanie.

  3. ………moje wsteczne lusterko w Ranault nie działa…myślę, że jest zajęte wysyłaniem spamu..to wszystko wyjaśnia:)

  4. Producenci mogliby zacząć blokować pracę urządzenie, dopóki user nie zmieni hasła domyślnego na jakiś “silny”

    • A serwisy byłyby pełne od sprzętu, które przyniesie
      użytkownik, twierdząc że router nie działa. :P

    • To nie jest wcale zly pomysl, tylko trzeba by go prawidlowo zaimplementować. Trzeba by wymyśleć jakąś procedurę startową urządzenia, która wymuszalaby zmianę hasla. No a potem dochodzi klasyczny problem pt. jakie mam haslo (w tym przypadku do lodówki). :)

  5. Mając inteligentny sprzęt można czuć się nieswojo. Lodówka nie zamówi mrożonek bo skrzynkę odbiorczą zaspamuje telewizor. Telewizor bedzie prowadził wojne elektroniczną z bramą wjazdową a odkurzacz wyśle exploity do sterownika oświetleniem. A myszka włamie się do sieci WiFi i wyłączy ogrzewanie w domu.

    Choć ja bym umieścił botnet w choinkach świątecznych. Ileż danych one mogłyby zebrać…

  6. Wkraczamy na nowy poziom zagrożeń pochodzących z internetu. Nie długo będzie można zdalnie podprowadzić komuś samochód z przed domu, albo zmanipulować piekarnik niemiłemu sąsiadowi, tak żeby zamiast lekko krwistego indyka wyszedł moooocno przypieczony.

  7. Czyżby autor był bronym?
    @Topic czekam na Ddos przeprowadzony przez prysznic.

    • To że kucyk jakiś tam nie znaczy że od razu brony i Bóg wie co ;) Jak napije się wódki to jestem alkoholikiem?
      Pomału spełnia się horror, który w dzieciństwie sobie wyobrażałem :D Drzwi od łazienki się zamykaja (oczywiście szczelne), odkręca się wrząca woda i… :D

  8. Interesujące, niewątpliwie. Jednakże, jedno mnie zastanawia – po co tak mocno rozbudowywać telewizory? Czemu telewizor nie ma być zwykłym…telewizorem? Przecież, jeżeli ktoś będzie potrzebował czegoś więcej, to zawsze można podpiąć go do Raspberry Pi – a i prawdopodobnie będzie to tańsze rozwiązanie.

    • Bo telewizor jako taki kończy swój żywot, żeby dalej się sprzedawały trzeba przerobić je na mocno przerośnięte netbooki. Wychowanego na i-necie pokolenia (np mnie) siedzenie i bezmyślne gapienie się w ekran nie interesuje, byle smarpthon czy tablet są tańsze i oferują większe możliwości (np brak konieczności dopasowania się do programu na który zamierzamy się bezmyślnie pogapić, to my ustalamy porę a nie inni).

      ps wracając do “prawie jak inteligentnego” sprzętu domowego, jeszcze trochę i dostaniemy maila od własnych trampek że zdecydowanie za długo w nich nie biegaliśmy, więc rozważają wyprowadzkę ;)

    • > Przecież, jeżeli ktoś będzie potrzebował czegoś więcej, to zawsze można podpiąć go do Raspberry Pi – a i prawdopodobnie będzie to tańsze rozwiązanie.
      To ma nie byc tansze, to ma przynosic jak najwiekszy zarobek producentowi. Znaczaca czesc konsumentow nie czerpie przyjemnosci z DIY, oni chca miec po prostu fajny TV ktory dziala po wyjeciu z pudelka.

  9. Właśnie wyrzuciłem swoją lodówkę – bo stała podejrzanie
    blisko routera. Zresztą stara już była, a ponieważ za oknem zima,
    więc jakoś sobie bez niej poradzę. Tylko żeby mnie nie obgadywała z
    innymi sprzętami na śmietniku! ;-)

    • A wiesz, że za wyrzucenie sprzętu AGD na śmietnik należy ci się mandat?

  10. Czy Pinkie Pie z pierwszego obrazka coś łączy z gościem,
    który znalazł exploit na chrome? ;)

  11. Witam Moze na wstępie pokrótce się przedstawię. Jestem
    elektronikiem-konstruktorem. Od kilkunastu lat sercem i duszą
    oddany temu co naprawę kocham- elektronice, lub używając
    kolokwializmu “kabelka”. Od pewnego czasu obserwuję pewną tendencję
    występującą w szeroko rozumianych środkach masowego raz…
    przepraszam przekazu. tendencja owa, polega na A) Swoistym
    straszeniu przeciętnych obywateli wizją krwiożerczych korporacji
    umieszczających w swych urządzeniach fragmenty oprogramowania
    mającego za zadanie, w najlepszym przypadku ma sie rozumieć,
    autodestrukcyjne danego urządzenia. A wszystko po to, ażeby
    potencjalny nabywca “w te pędy” poleciał do sklepu i zakupił nowe.
    TAk jak juz wspomnailem, kilkanaście lat projektuję elektronikę i
    nikt nigdy nie prosil mnie o umieszczenie czegoś podobnego.
    Jednakże gwoli ścisłości, ku uciesze gawiedzi miłującej spiskowe
    teorie dziejów, przyznaje że zarówno cześć elektroniczną urządzenia
    jak też mechanikę można wykonać w taki sposób by działała byle jak
    i przez krótki okres czasu. Czyni to się poprzez dobór elemętow
    (wystarczy porównać w katalogach maksymalna temp pracy podzespołu
    lub podatność na inne czynniki środowiskowe). Dobór rozwiązań
    ochronnych (np antyprzepięciowych), rodzaj źródła zasilania,
    rozmieszczenie elemętow składowych, rodzaj obudowy. Bardzo duże
    znaczenie dla niezawodności produktu ma także doświadczenie
    konstruktora. Jednakże czyni się to w celu obniżenia całościowych
    kosztów produkcji. W 99 procentach dotyczy to wyłącznie rynku
    produktów konsumenckich. Czyli rynku na ktorym pani Zosia pragnie
    mieć co roku nowy, pięknie się mieniący telefon. Jeśli co roku pani
    Zosia zmienia, to na co jej produkt który będzie działał bez
    zarzutu 20 lat? A że przez takie Panie Zosie rosną nam toksyczne
    góry elektrośmieci.. pani Zosi to nie interesuje.. B) Wiele kanałów
    informacyjnych wręcz straszy swoich odbiorców wizją domów które
    same z siebie blokują drzwi i okna jednocześnie otwierając kurki
    gazem… Tak kreowana wiza rzeczywistości wpływa na co mniej
    wyrobionych technicznie odbiorców w spsob zgoła negatywny. Panu
    Michałowi “trol” używając wyszukiwarki Shodan uruchomił o 3 w nocy
    na cały regulator zestaw audio- więc następnego dnia caly
    podekscytowany pan Michał opowiada kolegą ową historię. Zu st do
    ust biegnie informacja. Na końcu łańcuszka mamy już przerażającą
    historię o tym jak Pan Michał ledwo uszedł z życiem bo go ścigała
    samobieżna Deska klozetowa… Rozumiem że większość czytelników
    tego forum to znakomici specjaliści od security IT-dobrej klasy
    programiści. Więc w jakimś sensie “moi koledzy po fachu ale od
    dużych komputerów”. Doskonale wiedzą zatem że urządzenie
    zaopatrzone w taki czy inny system procesorowy wykonuję ściśle
    zaprogramowane czynności. Jeśli chodzi o systemy wybudowane (a
    takimi są systemy procesorowe z wbudowanymi stosami tcp) to jeśli
    tylko zostały zaopatrzone w odpowiednie oprogramowanie to owszem,
    mogly by dokonywać przedstawionego w artykule ataku. Wszystkich
    zainteresowanych tematem zapraszam do lektury miesięcznika
    Elektronik oraz EP i EDW. A teraz kilka słów do Pana Piotra. Do
    Krakowa przyjeżdżam regularnie ale nigdy jeszcze nie zawitałem do
    siedziby Niebezpieczniaka :) Czy posiadacie na sprzedaż jakieś
    gadżety typu koszulki kubki itp? Swoja droga w minione wakacje, w
    pasażu handlowym w pobliżu Arki Pana stal sobie w pewnym oddziale
    banku infomat. Infomat z “wywalonym” oesem. Uwaga uwaga windows
    98… Dostęp był do calego systemu… Ktoś nawet zlitował się nad
    bankowcami i napisał w notatniku na ekranie żeby to naprawili. Ale
    butni bankowcy nic.. Infomat stal sobie tak jeszcze z dwa tygodnie
    aż ktoś wyciągnął kabel zasilający. Natomiast urzędzie pracy na
    wąwozowej bez większego problemu z info matów można “wyjść w świat”
    bez przełamywania jakich kolwiek zabezpieczeń. Pozdrawiam

    • Odnośnie A:
      To, co przedstawiles to ilustracha sprzezenia popyt-podaz. Urzadzenia sa projektowane z zalozeniem pewnego czasu zycia (w przypadku telefonow i laptopow ok. 3 lat) i jest to fakt. Z drugiej strony-nie byloby problemem przedluzenia tego czasu, gdyby konsumenci przy kupowaniu nowego sprzetu kladli nacisk na jego trwalosc a nie na wyglad/szybkosc CPU/bajery/efekt “nowosci”. Z trzeciej strony-postawa “mas” kupujacych rzeczone produkty kreowana jest przez napedzany miliardami dolarow przemysl marketingowy, ktory usilnie przekonuje nas, ze nowe=lepsze. Przemysl sponsorowany z kieszeni korporacji produkujacych wzmiankowany sprzet… Nie jest to zadna spiskowa teoria-ot, w takich czasach po prostu zyjemy. Mozna jedynie modlic sie o zwiekszenie swiadomosci konsumentow i zwiekszenie ich odpornosci na wszechogarniajaca medialna papke…

      Odnośnie B:
      Niebezpiecznik, jako strona o charakterze popularno-specjalistycznym (tragiczny zlepek slow, ale wiecie o co mi chodzi-serwis nie do konca masowy i nie do konca stricte specjalistyczny ;) ) umieszcza rowniez newsy, ktore niekoniecznie sa specjalnie sensacyjne, ale dobrze brzmia na stronie glownej. Kazdy swiadomy czytelnik wie, ze nalezy te doniesienia traktowac z dystansem i raczej jako ciekawostke. Tym bardziej, ze (dzieki Bogu) redakcja poki co unika umieszczania tresci w tabloidowym stylu.

      Pozdrawiam!

  12. Wizja terminatora jest coraz blizej ;)

    Skynet przejmuje powoli dowodzenie ;)

  13. Wiecie co? Jestem w wieku dwidziestu siedmiu lat chyba zbyt staroświecki, ale nie widzę celu w podłączaniu mikrofalówki pod internet (chyba jedynie jako jammer wifi). Wiem jedno; jeśli rynek zmusi mnie do zakupu smart(tfu!)urządzeń, to pierwsze co zrobię to pozbawię je łączności ze światem. Nie dlatego że boję się nsa czy innych służb, ale po prostu lubię kiedy nóż służy do krojenia chleba, telefon do komunikacji, a aparat do robienia zdjęć. I znacznie wygodniej mi ‘na piechotę’ podłączyć aparat pod komputer celem zgrania zdjęć i wrzucenia ich na chomika by pokazać znajomym z drugiego końca Polski jaką śliczną pszczółkę ustrzeliłem na kwiatku na balkonie.
    Czujnik deszczu w samochodzie uważam za zbędny gadżet, bo to JA chcę decydować o częstotliwości machnięć wycieraczek. Systemy parkowania? Od tego mam lusterka i penisa by dobrze parkować. Asystent zmiany pasa? Mhm, – ‘samochodzie, zmieńmy pas, stwierdziłem, że lewym pojedziemy szybciej’. -‘ależ kierowco, rozważże tę opcję, zmiana pasa powoduje zagrożenie w ruchu, pozostańmy na prawym’.
    Lodówka do zamiawiana żarcia? Litości, marketów nie ma?
    Do czego co wszystko zmierza? Chyba do całkowitego rozleniwienia nas jako ludzi i wyręczenia z podcierania dupy. Bardzo dobrze że jakaś grupka hakerów infekuje ten cały smart-syf, niech masy się trwożą kupując urządzenia w obecnej formie, może ktoś w końcu w korporacji jednej z trzecią ruszy puściochą i stwierdzi ‘dajmy im opcje kupienia takiej… prostej… chłodzącej… lodówki :)’. Takiego prostego telewizora na kanały, pralki do brudnych skarpet i pieprzonego noża do krojenia pieprzonego chleba na pieprzone kromki, MANUALNIE.
    Do czego to doszło?! Do tego, że nie mogę znaleźć dla siebie telefonu, bo 99% rynku opanowane jest przez gówniane smartzabawki na systemie od wielkiego brata, pozostały jeden procent to Samsung Solid dla emertów. Lubię pisać smsy i maile w ilościach hurtowych, a także korzystać z jabbera i czasem zalogować się na domowego Debiana- i co mam kupić? Tak, starą nokię z uberwygodną qwerty, bo przecież Samsung ch@t nie nadaje się do połowy zastosowań, a możliwości jego dopasowania do siebie ograniczają się zmiany fontów na Choko-cookie.
    Stać mnie przykładowo na współczesny samochód, ale nie wsiądę do niego jak do obecnego 14letniego fiata i odpalę jak zawsze, o nie. Muszę się z nim przywitać, potwierdzić tożsamość a jeszcze lepiej chuchnąć w kierownicę, przecież mogę być wczorajszy. A wy, ludzie, kupujcie ten cały nowoczesny bullshit w głębokim przekonaniu że ‘nowe to niezawodne i na lata’ i pokazujcie wielkim szefom w słupkach sprzedaży że ich z dupywyjęte pomysły były jednak trafne i trzeba rozwijać te technologie.

    • Jeśli szukasz nie-smart i solidnego phona na lata, to obczaj Cat B25 lub poczekaj na B100…

  14. Boje się wiedzieć, co za niedługo będzie wysyłało spam xD

  15. Teorie spiskowe teoriami spiskowymi – ale spiski istnieją.
    Za spiskami stoją olbrzymie pieniądze. Polecam film “Spisek
    żarówkowy” na serwisach typu yt. Taki ot wierzchołek góry lodowej
    (a ostatnio ledowej…)

  16. Badania aktywnosci mioelektrycznej mozgu wskazuja, ze zanim swiadomie bedziemy chcieli cos zrobic, aktywowane sa obszary mozgu odpowiadajace za uzyskanie potencjalu gotowosci do wykonania czynnosci. Wiec nastepny patent powinnien tyczyc sie nie tyle swiadomego zamowienia produktu, ale odgadniecie uzyskania potencjalu gotowosci ;)))

  17. Ten ostatni obrazek to z jakiegoś JAV tentacle? :3

  18. Trochę do pośmiania się, trochę do zadumy nad poziomem “dziennikarzowania”:
    http://www.tvn24.pl/atak-hakerski-na-firmy-na-calym-swiecie-uzyli-do-niego-lodowki,389535,s.html

    Jednym słowem: hide yo termostat, hide yo zamek elektroniczny cause they hackin’ everything out here

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: