Tingenes botnet

Botnettet Mirai har gått gangen i nyhetene etter flere store tjenestenekt-angrep (DDoS) i løpet av en måneds tid. Det som skiller Mirai fra tidligere botnet er at denne ikke bruker infiserte datamaskiner, men utnytter svakheter i tingenes internett-utstyr som nettkameraer og digitale TV-opptakere.

Mirai er utviklet spesielt for å oppdage dårlig sikrede enheter, og koble seg til dem ved hjelp av en liste bestående av 60 enkle, vanlige, og standard brukernavn og passord. Som for eksempel "admin" og "12345".

Ifølge utvikleren av bornettet var dette nok til å la botnettet overta over 380.000 enheter. Kildekoden er sluppet på nettforumet Hackforums.

Krever passordbytte

Sikkerhetsekspertene advarar nå om at det kommer til å bli flere botnets som Mirai dersom produsentene ikke klarer å gå bort fra standard passord på slike enheter.

En løsning er å kreve passordbytte ved installasjon, selv om dette selvsagt ikke er noen garanti for et sterkere passord enn det som kommer pre-konfigurert.

Sikkerhetskonsulenten Tim Matthews i Imperva advarer også produsentene mot å tillate fjerntilgang til slike enheter.

- I noen tilfeller har et netkamera 15 forskjellige skadevare-infeksjoner, sier han til Computerworlds nyhetstjeneste.

Sikkerhetseksperten Brian Krebs har publisert en liste over produkter som kan være i Mirais målgruppe, basert på listen med brukernavn og passord som står oppført i botnettets kildekode.

Massivt angrep

Krebs sin sikkerhetsblogg var forøvrig ett av de aller første nettstedene som ble rammet av tjenestenektangrep fra det nye botnettet, med payload på over 620 Gbps. Dette var det største angrepet noen hadde sett.

Rekorden ble slått noen dager senere, da det franske it-selskapet OVH ble angrepet med payload på uhørte 1 Tbps.

Angriperen skal ikke ha brukt det samme botnettet som rammet Krebs, og dette nye botnettet skal ifølge BBC bestå av hele 1,2 millioner eneter.

I tillegg viser hendelsesanalyser at bare en liten del av botnettene ble brukt i angrepene.