Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Webbkameror rekryteras till botnät

Spektakulära överbelastningsattacker belyser problemet med default-lösenord i uppkopplade saker.

Den senaste månaden har ett botnät vid namn Mirai fått mycket uppmärksamhet. Det användes antagligen för att överbelasta bland annat IT-säkerhetsbloggen Krebs on Security i slutet av september. Den 30 september släpptes källkoden för Mirai fritt tillgänglig.

Hur fungerar botnäten?

Botnätet Mirai sprider sig som en mask genom att varje infekterad enhet skannar vidare efter andra åtkomliga enheter. De försöker göra Telnet-inloggningar på port 23 med vanligt förekommande par av användarnamn och lösenord. Botnätet Carna spred sig på samma sätt 2012 och användes för att göra internetomfattande portskanningar. Andra botnät har särskilda datorer som har resurser att skanna och rekrytera nya enheter på fler sätt, till exempel inloggningsförsök mot SSH samt utnyttja sårbarheter i andra tjänster.
Efter lyckat intrång stänger Mirai av alla tjänster på port 22, 23 och 80, d.v.s. SSH, Telnet och webb. SSH och Telnet är två sätt att via kommandotolk logga in på och använda de program som finns på en enhet.
Därefter hämtas skadlig kod där en kontrollserver finns angiven. När den infekterade enheten kontaktat kontrollservern kan kommandon skickas ut för att generera attacktrafik mot ett visst mål. Läs gärna mer om liknande botnät och utveckling i länken till Flashpoint nedan.

Hur kan kameran vara åtkomlig från internet?

En vanlig situation illustreras i bilden nedan.
Bild på kamera i privat nät
Kameran är ansluten till en hemmarouter med sladd eller wifi. Den ingår därmed i ett så kallat privat nät. Routerns internet-sida har en publik IP-adress men dess andra sida och de ingående enheterna har IP-adresser som inte kan kontaktas från internet.

Kameran är, liksom andra enkla uppkopplade saker, tillverkad för att köpas, kopplas in och fungera. Användaren kan förväntas vilja komma åt webbkameran från datorer eller mobiler som inte är anslutna till samma privata nät. Det finns flera tekniker som stödjer detta. Om routern använder UPnP kan kameran göra sig tillgänglig på routerns internet-sida. En annan teknik kallas UDP hole punching. Tillverkaren programmerar kameran att kontakta en server med jämna mellanrum - anslutningar som tillåts genom de flesta routrar eftersom de är utåtgående. När användaren kontaktat samma server och angett kamerans serienummer uppmanar servern kameran (genom anslutningen som kameran initierade) att kontakta användarens dator direkt.

Vad göra?

På kort sikt kan användare uppmanas att

  • göra en återställning av enheten, t.ex. kameran, för att ta bort eventuell befintlig skadlig kod och dess efterverkningar.
  • leta upp enhetens webbgränssnitt, byta dess lösenord samt försöka stänga av tjänster som Telnet och SSH.
  • göra en återställning av sin router, för att ta bort eventuell befintlig skadlig kod och dess efterverkningar.
  • leta upp sin routers webbgränssnitt, byta dess lösenord samt försöka stänga av UPnP.

Vid nyanskaffning - välj leverantörer som ger enheterna unika lösenord som vanligtvis återfinns skrivna på enhetens utsida.

Information om botnät av uppkopplade saker. Av Flashpoint och Level 3 Threat Research Labs 2016-08-25
https://www.flashpoint-intel.com/attack-of-things

Botnätet Carna. Upphovsmannens egen beskrivning.
http://internetcensus2012.bitbucket.org/paper.html