¿Participé en los recientes ataques DDoS en el servicio DNS de Dyn?

74

Era informó que el reciente ataque DDoS a gran escala que afecta a varios sitios web en los EE. UU. se realizó mediante la piratería 10s de millones de dispositivos y usarlos para el ataque.

¿Cómo se puede saber, en general, si los dispositivos fueron pirateados y utilizados en el / un ataque?

    
pregunta Thomas 26.10.2016 - 20:42
fuente

4 respuestas

38

Saber después del hecho puede ser un poco difícil si no está monitoreando activamente el tráfico de su red. Pero hay algunas cosas que puede hacer ahora para determinar si corrió el riesgo de ser un participante y mitigar la participación futura.

Como se ha mencionado en varios lugares, si su enrutador WAN / bridge / cablemodem / firewall tiene activado uPnP, definitivamente ha abierto su red local a riesgo. Deberías desactivar esto.

Para sus diversos dispositivos, si ha dejado configurada la contraseña de administrador predeterminada, se ha dejado abierto. Cambia esto.

Asegúrese de que el firmware de sus dispositivos esté actualizado y espere que se realicen más actualizaciones en un futuro próximo.

Si tiene dispositivos que no necesitan comunicarse en Internet para "llamar a casa", entonces evite que hagan esas cosas; no les dé una ruta predeterminada, agregue reglas de firewall, etc.

En la mayoría de las cuentas, los dispositivos principales infectados y utilizados fueron CCTV (por ejemplo, cámaras web). Si tiene un dispositivo de este tipo y se puede encontrar una lista de delincuentes conocidos aquí ( https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/) , puede considerar tomar alguna acción.

    
respondido por el Shackledtodesk 26.10.2016 - 21:31
fuente
16

Identificar esto puede ser un poco difícil, pero es posible.

  1. Identifique los dispositivos en su red

    Esto puede sonar trivial, pero es posible que se sorprenda al ver algunos dispositivos maliciosos que puede haber olvidado después de conectarlo al enrutador. Verifique los registros de su enrutador, los dispositivos conectados e incluso realice un barrido de nmap en la red local y encuentre todos los dispositivos activos.

  2. Identifique las interfaces de administración

    Identifique las interfaces administrativas para todos estos dispositivos. Ya que nuestro enfoque está en los dispositivos IoT, realice este paso para dispositivos que incluyen televisores, refrigeradores, cámaras IP, etc.

  3. Verifique si el acceso a la interfaz de administración está restringido.

    Es posible que esté administrando su cámara IP mediante una aplicación web, pero es probable que también tenga una interfaz que acepte conexiones SSH o Telnet. Identifique estos puertos y servicios y asegúrese de que no sean accesibles de forma remota. En otras palabras, asegúrese de que el reenvío de IP o los métodos para omitir el NAT no estén habilitados.

    Si los dispositivos están habilitados para IPv6, una restricción de firewall o un desafío de autenticación deben restringirlos para que no sean tomados de forma remota.

  4. Asegúrese de que las contraseñas débiles, las cuentas de usuario predeterminadas y las puertas traseras conocidas estén desactivadas en todas las interfaces accesibles desde el exterior.

    Las cámaras IP son famosas por este tipo de problemas.

    En resumen, no hay una manera dulce de identificar si usted era parte del grupo que redujo una parte de Internet, pero todavía hay formas de evitar que eso vuelva a suceder.

respondido por el hax 26.10.2016 - 22:21
fuente
7

El código fuente del malware es público, por lo que puede leerlo e intentar comprometer manualmente su dispositivo utilizando la misma vulnerabilidad que el malware. Si tiene éxito, es muy probable que su dispositivo ya haya participado en los ataques antes.

Por supuesto, no es infalible (el malware puede ser diseñado por alguien lo suficientemente inteligente como para tapar el agujero después de que obtenga el control del dispositivo), pero vale la pena intentarlo.

    
respondido por el André Borie 26.10.2016 - 22:57
fuente
5

La respuesta es probablemente NO:

No participaste en el ataque masivo de DDoS el viernes pasado. Los dispositivos comprometidos que se utilizaron como parte de la botnet eran en su mayoría muy viejos y sin medidas de seguridad, por ejemplo, las cámaras en la estación de gas / combustible cerca de usted (las cámaras probablemente compraron hace 10-15 años).

Lee este artículo, explica lo mismo que he dicho, pero mucho mejor: enlace

Algunas piezas del artículo:

  

El ejército de cámaras zombis responsable del caos del viernes en lugar   consiste en cámaras de seguridad industrial, del tipo que encontrarías en un   consultorio médico o estación de servicio, y los dispositivos de grabación conectados a   ellos. ¿También? Son en su mayoría antiguos, según los estándares tecnológicos.

Y:

  

"La mayoría de estos se desarrollaron en 2004 en el futuro", dice Zach   Wikholm, un desarrollador de investigación de la firma de seguridad Flashpoint que ha sido   Rastreando la causa raíz del ataque

    
respondido por el KanekiDev 28.10.2016 - 08:50
fuente

Lea otras preguntas en las etiquetas