Cosa è Mirai e come proteggersi dall’attacco hacker che ha colpito Internet

Cosa è Mirai e come proteggersi dall’attacco hacker che ha colpito Internet

Mirai Attacco Hacker Proteggersi

Sicuramente lo scorso 21 Ottobre è successo un qualcosa che non si era mai visto prima d’ora: un attacco che è riuscito a mettere in ginocchio tutti i più grandi siti Web tra cui Twitter, Spotify, Netflix e molti altri ancora.

Durante la giornata di venerdì 21 Ottobre 2016, Internet è andato in parziale blackout in svariate parti del mondo. All’improvviso i siti più importanti nell’infrastruttura del World Wide Web tra cui Twitter, Netflix, Spotify, CNN e molti altri ancora hanno iniziato a smettere di funzionare in tutto il mondo.

All’inizio non si era ben capito cosa fosse successo, ma subito dopo qualche minuto si è subito iniziato a temere un attacco hacker vero e proprio, tuttavia i mandanti e le possibili cause di questa operazione non erano ancora ben chiare. Sono stati però subito in molti a pensare alla Russia e/o Cina proprio a causa delle tensioni politiche delle ultimissime settimane. Molti nomi sono spuntati fuori ma è ancora tuttavia molto prematuro cercare di costruire ipotesi.

L’unica cosa certa attualmente è che il Dipartimento di Difesa Nazionale è al lavoro, in quanto si tratta di un pericolo di tipo mondiale che non è passato certamente inosservato.

Nelle ultime ore si è comunque riusciti a capire la tipologia dell’attacco. Si tratta di un attacco DDoS (Denial Of Service) molto complesso ed esteso, che è stato realizzato tramite l’utilizzo di dispositivi che fanno parte del cosiddetto Internet of Things.

L’attacco come nome ha Mirai (che in giapponese significa Futuro), ed è stato rivendicato dall’utente Anna-Senpai, un utente ben conosciuto agli addetti ai lavori per aver organizzato altri attacchi anche in precedenza.

mirai attacco hacker dns dyn
mirai attacco hacker dns dyn

Questo attacco è stato messo in pratica entrando in possesso di dispositivi Internet of Things vulnerabili come webcam, router, videocamere, dispositivi smart home e molto altro ancora, trasformandoli in “robot-zombie” che hanno letteralmente inondato di richieste i server sparsi per il mondo, causando svariati rallentamenti o addirittura blocchi completi della rete.

L’attacco è stato direttamente indirizzato ad una delle aziende che essenzialmente si occupano della rete internet: Dyn. Si tratta della più grande azienda nel settore infrastruttura di internet. I danno si è propagato in gran parte del mondo verso centinaia di migliaia di server, mettendo la rete in ginocchio.

Il virus Mirai è in realtà molto semplice, ma l’idea è altrettanto ingegnosa. Questo virus fa a sfruttare le falle di tutti quei dispositivi IoT che hanno una vulnerabilità molto semplice: l’username e la password di fabbrica, che sono solitamente “Admin” e “Password” rispettivamente.

Anna-Senpai, l’hacker dietro il virus trojan, ha deciso di rendere pubblico il virus all’inizio di ottobre direttamente su Github. Il software, liberamente disponibile sul web, lo rende impiegabile a tutte quelle persone che hanno un minimo di conoscenza in materia. Chiunque potrebbe fare quindi nuovamente un tipo di attacco del genere: un hacker, un appassionato, uno smanettone o addirittura un governo.

Come funziona Mirai

Mirai come abbiamo detto va a sfruttare le vulnerabilità dei dispositivi internet of Things o di potenzialmente qualsiasi altro dispositivo collegato ad internet, in particolare usando gli accessi hardware “di fabbrica” per entrare in controllo di questi suddetti dispositivi, che raramente vengono modificati dai proprietari.

I dispositivi da colpire come le telecamere IP (che possono fungere anche da telecamere di sorveglianza, molto più economiche e semplici da utilizzare a differenza di quelle a circuito chiuso). Questi dispositivi possono anche essere chiamati Telecamere di Rete, e servono principalmente per la sicurezza e la sorveglianza:

Le telecamere più diffuse al mondo sono senza dubbio le Axis:

Telecamere di Rete Axis
Telecamere di Rete Axis

Telecamere di questo tipo possono avere un uplink molto ampio per trasmettere il loro segnale, e canali che sono in grado di supportarle. Le Axis sono in grado di avere un output video HD di 10 mbps. Spegnendo quindi la telecamera e andando ad agire sul traffico in entrata e uscita verso qualcun’altro, e il danno è fatto. Le piattaforme su cui si basano le telecamere di rete sono a dir poco perfette per attacchi di questo tipo.

Come proteggersi da Mirai

Adesso che il codice sorgente dell’attacco è stato rilasciato (anzi, fu rilasciato oltre due settimane prima dell’attacco) il pericolo è molto più grande, in quanto qualsiasi malintenzionato potrebbe sferrare il prossimo grande attacco alla rete, attacco che potrebbe danneggiare anche gli apparecchi coinvolti, in quanto un attacco del genere cambia gli accessi al dispositivo, e potrebbe rendere il vostro dispositivo “brickato” ovvero non più funzionante.

Cambiare User e Password Hardware dei propri dispositivi IoT

Router IoT User Password Hardware
Router IoT User Password Hardware

Al momento l’unica cosa da fare è questa:

Individuare tutti i dispositivi IoT in casa (Router, Telecamere di Rete, dispositivi Smart Home);
– Munirsi di libretto di istruzioni per trovare il nome utente e password di accesso al pannello di ognuno dei propri dispositivi;
Cambiare sia l’username e la password di accesso al pannello di controllo amministratore (utilizzare possibilmente una password alfanumerica di almeno sedici caratteri, come: !%E8f?8[BzNZ/%Rx). Gli accessi standard della casa madre, solitamente si trovano sul retro del dispositivo oppure su internet.
– Dopo aver aggiornato username e password del pannello, assicurarsi che il dispositivo abbia l’ultimissima versione del firmware e/o software.

SSH e Telnet, questi sconosciuti

Tuttavia, a causa del proliferare di dispositivi di bassissima qualità (prevalentemente da costruttori cinesi sconosciuti al grande pubblico) è possibile che nelle vostre case ci siano una serie di dispositivi che, anche dopo un cambio delle password hardware, saranno comunque totalmente insicuri, e rimarranno comunque un rischio per chi li usa e per la rete stessa, a meno che non vengano completamente scollegati dalla rete internet.

Questo accade perché mentre molti dispositivi permettono agli utenti di cambiare le password e username di default attraverso un pannello di amministrazione web che viene fornito con il prodotto, questi dispositivi possono essere comunque raggiunti attraverso “vie secondarie” come i servizi di comunicazione “Telnet” ed “SSH”.

Telnet ed SSH sono delle interfacce tramite linea di comando, e il problema principale è che per gli hardware di dubbia qualità, le password sono inserite direttamente all’interno del firmware, e gli strumenti necessari per disabilitarle o cambiarle non sono presenti. Addirittura l’interfaccia web del pannello spesso non informa nemmeno l’utente che queste credenziali esistono realmente.

Disattivare UPnP sul proprio Router o Modem/Router

disattivare upnp
disattivare upnp

Una soluzione forse ancora più efficiente, sarebbe agire alla base, ovvero direttamente sul Router. In particolare sulla funzione chiamata UPnP. L’utilizzo di queste soluzioni per semplificare l’utilizzo di internet con molti dispositivi, ha praticamente eliminato le configurazioni standard di anni fa (configurazioni molto più sicure da un punto di vista tecnico).

Quello che in pochi sanno sull’UPnP è che si tratta di una tecnologia progettata e nata insicura. Si tratta di un protocollo progettato per aprire le porte automaticamente di un firewall, per permettere ad una fonte esterna di accedere ad un server di una macchina locale protetto dal firewall.

Quindi per ottenere un grado ancora maggiore di sicurezza, oltre a cambiare tutte le password e username dei pannelli web dei dispositivi e assicurandosi di aver cambiato (ove possibile) anche gli accessi SSH e Telnet, sarebbe buona norma agire sulla sicurezza del proprio Router o Modem/Router, agendo in primo luogo (disattivando) la tecnologia UPnP.

NESSUN COMMENTO

Rispondi: