Comments 31
Описание войны ботнетов чем-то напоминает игрушку Liquid War.
Не вижу иного пути, чем на гас.уровне запрещать ввоз уязвимых устройств в страну.
И кто будет принимать решение о их узвимости?
Я вот вполне уверен что меньше от этого девайсов не станет но зато появится офигенная статья для отмыва денег.
Я вот вполне уверен что меньше от этого девайсов не станет но зато появится офигенная статья для отмыва денег.
Проблема коррупции существует всегда. Но это не значит, что ничего не надо делать.
Если у верховной власти есть желание сделать — вполне возможно создать квалифицированную комиссию и выработать критерии уязвимости. Например, есть такой вариант: «система не работает, пока ей не сменят дефолтный пароль» — и по этому критерию можно легко отсекать уязвимые устройства.
Комиссию хорошо бы сделать международной, т.к. такие решения должны приниматься синхронно по всему миру.
А если уязвимость выявляется уже после начала продаж — то на это должна существовать ответственность владельца, который обязан эксплуатировать устройство так, чтобы оно не совершало преступлений. Если же квалификации не хватает — то устройство надо сдать изготовителю.
Если у верховной власти есть желание сделать — вполне возможно создать квалифицированную комиссию и выработать критерии уязвимости. Например, есть такой вариант: «система не работает, пока ей не сменят дефолтный пароль» — и по этому критерию можно легко отсекать уязвимые устройства.
Комиссию хорошо бы сделать международной, т.к. такие решения должны приниматься синхронно по всему миру.
А если уязвимость выявляется уже после начала продаж — то на это должна существовать ответственность владельца, который обязан эксплуатировать устройство так, чтобы оно не совершало преступлений. Если же квалификации не хватает — то устройство надо сдать изготовителю.
А если уязвимость выявляется уже после начала продаж — то на это должна существовать ответственность владельца, который обязан эксплуатировать устройство так, чтобы оно не совершало преступлений.
Типичный владелец таких устройств — какой-нибудь сантехник дядя Вася, который кипил какой-нибудь роутер для того, чтобы смотреть котиков в ютубе со своего нового смартфона. Данный роутер настроил ему одноклассник его сынишки (который в силу возраста и сам не на много дальше ушёл от дяди Васи по знаниям в этой области). Он вообще не в курсе, что есть такое понятие, как информационная безопасность, и тем более, что об этом существуют какие-либо форумы. На подобные посты в СМИ он реагирует как на что-то его не касающееся, либо просто начинает обожествлять хакеров, а также за компанию свой роутер и смартфон. Также прогнозирует светлое будущее одноклассника сынишки и планирует своего отправить учиться в ИТ. Так вот вопрос, какой с него спрос? Он не знает, как эксплуатировать такое устройство правильно. Также он вообще не в курсе, что он его эксплуатирует неправильно. И даже более: он вообще не догадывается о том, что стоящий мирно на книжном шкафу роутер и лежащий на столе новенький смартфон могут кому-нибудь навредить в принципе.
Ну так вполне очевидно, что если устройство способно навредить окружающим — то это устройство надо признать потенциально опасным. Типичный пример таких устройств — это автомобиль, охотничье оружие, радиоизлучающие приборы и многое другое. И регулируется это известными методами — например, для вождения автомобиля надо получить права, за опасное вождение (например, нетрезвым) наказывают.
Значит, роутерам надо присвоить класс опасности. Роутеры безопасного класса может покупать и настраивать любой желающий, т.к. производитель поручился, что роутер вредить не будет; и производитель будет отвечать материально, если этот роутер кому-то навредит.
Роутер опасного класса может брать только человек с правами — и за вред от кривой настройки будет владелец роутера.
Значит, роутерам надо присвоить класс опасности. Роутеры безопасного класса может покупать и настраивать любой желающий, т.к. производитель поручился, что роутер вредить не будет; и производитель будет отвечать материально, если этот роутер кому-то навредит.
Роутер опасного класса может брать только человек с правами — и за вред от кривой настройки будет владелец роутера.
1) Как Вы собрались отличать безопасный роутер от небезопасного?
2) Как вы будете регулировать такие ситуации, когда вчера безопасный роутер стал сегодня потенциально опасным? Хочу отметить, ни один производитель ПО не будет Вам гарантировать корректность его работы.
3) Что должно включать обучение на получение прав настройки? Информационная безопасность, знание сетевого оборудования или весь курс какой-нибудь специальности вроде прикладной информатики?
4) Кто и как это будет контроллировать? Автомобиль ездит по дорогам в общественном месте. Стоит отметить, где-нибудь в поле в принципе можно и без прав гонять. А в и-нете получается так, что все анонимны, т.е. везде это поле.
5) Стоит отметить, в отличие от автомобилей и оружия, ПО и железо довольно быстро обновляются и приобретают новые фичи, которым тоже нужно учить. С какой частотой нужно проводить дообучение? Опять же, как контроллировать, прошёл ли данный человек его или нет?
6) Учитывая п. 5 будет ли вообще смысл в этом обучении, если придётся по сути каждые прибл. пол года — год доучиваться?
7) Добавим ещё на последок кучу злоупотреблений вроде урезания возможностей безопасных роутеров.
В общем, в Вашей идеи вопросов больше, чем ответов.
2) Как вы будете регулировать такие ситуации, когда вчера безопасный роутер стал сегодня потенциально опасным? Хочу отметить, ни один производитель ПО не будет Вам гарантировать корректность его работы.
3) Что должно включать обучение на получение прав настройки? Информационная безопасность, знание сетевого оборудования или весь курс какой-нибудь специальности вроде прикладной информатики?
4) Кто и как это будет контроллировать? Автомобиль ездит по дорогам в общественном месте. Стоит отметить, где-нибудь в поле в принципе можно и без прав гонять. А в и-нете получается так, что все анонимны, т.е. везде это поле.
5) Стоит отметить, в отличие от автомобилей и оружия, ПО и железо довольно быстро обновляются и приобретают новые фичи, которым тоже нужно учить. С какой частотой нужно проводить дообучение? Опять же, как контроллировать, прошёл ли данный человек его или нет?
6) Учитывая п. 5 будет ли вообще смысл в этом обучении, если придётся по сути каждые прибл. пол года — год доучиваться?
7) Добавим ещё на последок кучу злоупотреблений вроде урезания возможностей безопасных роутеров.
В общем, в Вашей идеи вопросов больше, чем ответов.
а чем МежIoTНадзор будет лучше РосКомНадзора?
А чем вам поможет, что розетка с чайником будут не из России к сайту обращаться, а из Белорусии или Болгарии?
Я полагаю, что тут надо создавать международную структуру (см.мой коммент выше). Тогда уязвимые устройства будут выпиливаться по всему миру синхронно.
Если же какое-то государство не пожелает присоединиться к договору о выпиливании уязвимых устройств — то все запросы, идущие из этого государства, можно смело отправлять в топку (ipfw рулит).
Если же какое-то государство не пожелает присоединиться к договору о выпиливании уязвимых устройств — то все запросы, идущие из этого государства, можно смело отправлять в топку (ipfw рулит).
Будет работать либо как Китай (опустить железный занавес и сделать Чебурнет — чистый, прозрачный, с доступом по паспорту), либо как ООН (чуть менее чем никак — все формально вступят в соглашение, но выполнять никто не будет). Ещё примеры ко второму варианту: законы о соблюдении авторского права, соглашение о сокращении выбросов CO2 и т. д.
Что-то не воодушевляет меня ни один из двух вариантов.
Что-то не воодушевляет меня ни один из двух вариантов.
Плохая идея, но ради интереса предположим что запретили и все устройства теперь проверяются на границе перед ввозом.
Вот купил я чайник с веб-доступом. Ввезен легально, обвешан сертификатами, безопасен. Спустя два месяца появляется 0-day на какой-нибудь OpenSSL. Что делать? Отзывать все ввезеные чайники? А если мне надоело каждый раз логиниться в веб-интерфейс и я поставил пароль 12345. Делать поквартирный обходи и проверять настройки?
Вот купил я чайник с веб-доступом. Ввезен легально, обвешан сертификатами, безопасен. Спустя два месяца появляется 0-day на какой-нибудь OpenSSL. Что делать? Отзывать все ввезеные чайники? А если мне надоело каждый раз логиниться в веб-интерфейс и я поставил пароль 12345. Делать поквартирный обходи и проверять настройки?
Даже если предположить, что такой запрет действительно достиг цели, это лишь будет гарантировать, что из конкретной страны не будет проводится атака.
Получается ценники для проведения такого нагрузочного тестирования:
— 1 000 000 рублей за 700 ГБит/сек (600 000 адресов);
— 130 000 рублей за ~23 ГБит/сек (20 000 адресов).
Если попробовать посчитать такое с помощью AWS m4.large (450 МБит/сек, 8 ГБайт ОЗУ) — $0.069 за час.
Получится, что теоретически для часового тестирования из 100 таких машин (100 адресов) понадобится $7 (500 рублей), и можно будет развить скорость в ~23 ГБит/сек.
Значит, если самостоятельно настроить сервер на защиту от DDoS, оттюнить сервер, выставить лимиты, то хватит 500 рублей для часа тестирования и пусть 5000 рублей для всего тестирования.
А если стоит задача проверить, как с защитой справляется внешний сервис, который сможет забанить даже 20 000 адресов, то понадобится 130 000 рублей, чтобы выстрелить в самого себя.
— 1 000 000 рублей за 700 ГБит/сек (600 000 адресов);
— 130 000 рублей за ~23 ГБит/сек (20 000 адресов).
Если попробовать посчитать такое с помощью AWS m4.large (450 МБит/сек, 8 ГБайт ОЗУ) — $0.069 за час.
Получится, что теоретически для часового тестирования из 100 таких машин (100 адресов) понадобится $7 (500 рублей), и можно будет развить скорость в ~23 ГБит/сек.
Значит, если самостоятельно настроить сервер на защиту от DDoS, оттюнить сервер, выставить лимиты, то хватит 500 рублей для часа тестирования и пусть 5000 рублей для всего тестирования.
А если стоит задача проверить, как с защитой справляется внешний сервис, который сможет забанить даже 20 000 адресов, то понадобится 130 000 рублей, чтобы выстрелить в самого себя.
А давайте быстро найдём виноватого! Производители роутеров!!! Кто мешает генерить пароль на админу при первом запуске? Сантехнику дяде Васе пофигу какой у него пароль там. Ему раз настроили и забыл. А его племяннику руки ограничить сложностью пароля! Если вдруг решит поменять! А государство должно обязать такие вещи производителя делать!!! Представьте что будет лет через 10. Когда даже в глубинке будет канал по гигабиту. И каких размеров будут атаки.
А ничего что часто пароль зашит наглухо и если даже меняется, то сбрасывается при перезагрузке на дефолтный?
Я только что придумал отличный способ решить эту проблему!
Нужно просто создать Международный Комитет По Устранению Уязвимостей. Пусть у них будет криптоключ длинный, стойкий, хороший. И сайт. Комитет будет отслеживать уязвимости и исправлять прошивки. А всех производителей обязать, чтобы их техника ежедневно обращалась на сайт Комитета, и если там есть обновление для этой техники, подписанное ключом Комитета, то техника принудительно его скачивает и обновляет свою прошивку.
А лучше и практичнее даже сделать в каждой стране по Комитету, и если производитель хочет, чтобы его чайники продавались в этой стране — то пусть зашивает в чайник ключ Комитета этой страны, а иначе чайник на границе не пустят.
Нужно просто создать Международный Комитет По Устранению Уязвимостей. Пусть у них будет криптоключ длинный, стойкий, хороший. И сайт. Комитет будет отслеживать уязвимости и исправлять прошивки. А всех производителей обязать, чтобы их техника ежедневно обращалась на сайт Комитета, и если там есть обновление для этой техники, подписанное ключом Комитета, то техника принудительно его скачивает и обновляет свою прошивку.
А лучше и практичнее даже сделать в каждой стране по Комитету, и если производитель хочет, чтобы его чайники продавались в этой стране — то пусть зашивает в чайник ключ Комитета этой страны, а иначе чайник на границе не пустят.
Странно, что до сих пор нет ботнета для управляемых через облако лампочек и умных розеток. А уж с айпи-камер сколько можно вытащить, если использовать их не только для ддоса…
На самом деле достаточно просто заставить провайдеров резать исходящую скорость до 64кбит в секунду (Чуть побольше для каких-нибудь крупных ресурсов).
И соответственно разрешать большую по запрос), и рубить обратно если чувак вдруг стал часть ботнета.
И соответственно разрешать большую по запрос), и рубить обратно если чувак вдруг стал часть ботнета.
Имхо надо провайдеров обязать периодически сканировать своих клиентов, выявлять есть ли бреши у клиента, скан портов, проба паролей по словарю (дефолтовые) и уведомлять об этом.
Мой провайдер как-то мне прислал письмо, что я спамлю кого-то. На самом деле я писал скриптик, который просто проверял существует ли заданный email адрес или нет (форма регистрации клиента). От силы запустил для теста раз так 20 :) и через неделю пришло мне письмо (бумажное), что мол, Вы заканчивайте там, иначе отключим «газ».
Мой провайдер как-то мне прислал письмо, что я спамлю кого-то. На самом деле я писал скриптик, который просто проверял существует ли заданный email адрес или нет (форма регистрации клиента). От силы запустил для теста раз так 20 :) и через неделю пришло мне письмо (бумажное), что мол, Вы заканчивайте там, иначе отключим «газ».
Вот-вот! И на SQL-инъекции пусть проверяют.
ИМХО, но заставлять это делать провайдеров не нужно. Как минимум потому что уже есть организации, которые это делают и используют результаты проверок как раз в целях предупреждения эксплуатации дыр. Кроме того мне видится целесообразным чтобы компании, занимающиеся кибербезопасностью объединились в этом вопросе и сканировали бы сеть совместными усилиями. Координировать такую деятельность на высшем уровне мог бы например МСЭ или другая организация. Или вообще можно обойтись без координации и просто организовать совет на базе консорциума и всё :) Провайдер же это всё таки труба для данных, заставлять его заниматься безопасностью это всё таки не совсем корректно, а вот заставить реагировать на сообщения от от «совета» можно ;)
Sign up to leave a comment.
Монополия на DDoS: Два хакера создали ботнет из 1 млн устройств на базе Mirai