Security
ddos

Verdediging tegen IoT-botnet begint bij default-settings

'Admin, Admin' is belangrijke boosdoener

24 oktober 2016

'Admin, Admin' is belangrijke boosdoener

De DDoS-aanval van afgelopen vrijdag die een groot aantal websites wereldwijd onbereikbaar maakte, zal niet de laatste zijn. Op zwarte markten worden inmiddels volop IoT-botnets aangeboden. Het maakt vooral duidelijk dat de beveiliging niet op orde is.

Beveiliger RSA vond eerder deze maand een aanbieding voor een enorm IoT-botnet. Voor 7500 dollar kan een botnet gehuurd worden dat – volgens de aanbieder – 1 terabit aan verkeer kan genereren.  Dat is bijna even veel aanvalskracht als werd gebruikt bij de grootste DDoS-aanval ooit, die begin oktober werd gedaan op de Franse hosting provider OVH. Daarbij werd ruim 1 terabit aan verkeer gegenereerd. 

De miljarden slecht beveiligde apparaten waaruit het IoT bestaat, maken steeds grotere en zwaardere DDoS-aanvallen mogelijk. Volgens Gartner zijn er inmiddels 6 miljard en zijn het er in 2020 al zeker 20 miljard. Bij de aanval van vrijdag waren volgens de aangevallen DNS-aanbieder Dyn tientallen miljoenen verschillende IP-adressen betrokken. 

Wachtwoord

Een belangrijke oorzaak voor het gemak waarmee deze aanvallen gedaan kunnen worden is de slechte beveiliging van de vele IoT-apparaten. Akamai, dat zich specialiseert in beveiliging tegen DDoS-aanvallen, waarschuwde eerder deze maand al voor DDos-aanvallen met IoT-apparaten die gebruik maken van een jarenoud lek in OpenSSH waar al jaren patches voor beschikbaar zijn, maar die in veel gevallen nog steeds niet zijn aangebracht. Of dat lek ook bij deze aanval is gebruikt, is nog niet duidelijk. Maar het geeft wel aan dat een belangrijke taak in de verdediging bij de gebruiker ligt, vindt Hans Nipshagen van Akamai: “Admin, admin. Dáár ligt een belangrijk deel van het probleem. De apparaten worden geleverd met default gebruikersnamen en wachtwoorden. Die moet je onmiddellijk veranderen als je ze gaat gebruiken.” Want de default settings maken het voor aanvallers wel erg eenvoudig om de apparaten te infecteren waardoor ze in het botnet kunnen worden opgenomen.

Maar het ligt niet alleen aan de slechte beveiliging van IoT-apparaten. Beveiligingsexperts stellen in Forbes dat sites als Twitter, Amazon Web Service en PayPaul ook veel beter voorbereid hadden moeten zijn op een aanval als deze. Ze hadden in elk geval moeten zorgen voor een back-up DNS-provider. Websites kunnen dan voor meer routes zorgen via de DNS naar hun sites. Als er één route afgesloten is door een teveel aan verkeer als gevolg van de DDoS-aanval, wat vrijdag gebeurde bij de aanval op Dyn, kan de tweede DNS-provider een andere route naar de site aanbieden. 

TTL te kort

Langere TTL-waarden (Time to Live) zouden ook de problemen voor eindgebruikers minder ernstig kunnen maken bij een DDoS-aanval. Een DNS kan er voor kiezen webadressen niet via een authoritatieve DNS-server te routeren, maar gebruik te maken van een in de cache opgeslagen response van een server in de buurt. Dat is vaak sneller. De tijd dat die response opgeslagen blijft, heet TTL. Hoe korter die TTL is, hoe sneller die route is afgesloten als een DNS-server uit de lucht wordt gehaald door een DDoS-aanval. Een lange TTL, van zeg 24 uur, werkt dan goed als de DDoS-aanval niet langer dan een dag duurt. Overigens wijst Nipshagen van Akamai erop dat bij een langere TTL het ook langer duurt voordat maatregelen beschikbaar zijn die genomen worden tegen de DDoS-aanval.

Lees meer over
1
Reacties
Tom 24 oktober 2016 18:59

Allemaal heel erg waar natuurlijk, maar het helpt ons geen bal.
Het gros van de eindgebruikers / consumenten is noch in staat noch geïnteresseerd om de configuratie van zijn apparaatjes uit te voeren. Daarbij komt dat hoe kleiner en energiezuiniger IoT-devices worden, hoe beperkter en dieper embedded de software wordt, dus minder ruimte voor gemakkelijke UI's, update en config functies.

Als je dat werk aan fabrikanten overlaat loop je direct een hel binnen van beveiliging en privacy issues.
En dan nog: een partij als KPN is er meester in om bij elk onderhoud van een apparaat alle default instellingen terug te zetten. Wel zo makkelijk voor hun, en de klant geeft het wijzigen van admin,admin na de 3e keer vanzelf op. Want je blijft niet aan de gang.

Ziehier in een notedop de grootste valkuil van IoT, zeker in combinatie met IPv6. Ik maak me zorgen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.