Säkerhetsbrist i sakernas internet-enheter orsaken till stor DDoS-attack

Läste om detta igår... helt sjukt att man inte fattar hur enkelt det är att hacka dessa små prylar, med standard login.

Å andra sidan är det bra att någon gör tillverkarna uppmärksamma på säkerhetsbristerna genom att i praktiken demonstrera problemet.

Håller med.

E-penis är när en CS:GO spelare blir sur och hyr ett botnät för att slå ut konkurrensen... typ. Detta är ofta mer ekonomi bakom.

Var ju nån på forumet som blivit attackerad för han ville inte betala en utpressning, och hans twitch stream blev sänkt. Samma är det ju med andra malware mm... pengar är målet, och vi pratar miljoner när man ser det på global nivå.

Skulle tom gå så långt att säga att om det är en "ny" hackergrupp så är detta nog mest reklam, för de som vill anlita, för att visa vad de kan, så de kan sälja tjänsterna. Låter sjukt, men... det är den världen vi lever i.

Och ja, håller med @Osten87... det borde vara lag på att sälja IT-utrustning som ska kopplas mot internet, med tillräckligt skydd.
För vad hindrar dessa hackers från att sälja modem, kameror, och annan IP-utrustning på verkliga marknaden, med samma "bakdörrar" som Telia/BBB har i sina routrar, och sen använda dem (och påstå att det är elaka hackers som bär skulden)?

Mest skrämmande ang detta är utan tvekan moderna bilar...
Helt oskyddade, öppna CANBUS system som via bildens GPS, mobiluppkoppling och liknande kan totalt fjärrstyras. Finns inget skydd i dem...

Vad många glömmer är att även om bortser från tillverkarnas säkerhet så har vi fortfarande ett enormt problem, lösenord. Kommer inte ihåg killens namn (white-hat) men han skriver lösenords knäckar program och tittade på Adobe's (har för mig att det var adobe) läckta lösenord. Om jag minns rätt så var 80-90% utav alla användarnas lösenord med på top 1000. (Kan varit 10 000, men det är fortfarande rysligt liten nivå. Kan ha varit så att han nämnde två procentvärden, ett för 1000 och ett för 10 000. Var ett år sedan jag såg hans presentation så tag det med en nypa salt.) Då får man även tänka på att Adobe's produkter är ingenting Ingrid 65 år troligen använder, men Ingrid kan mycket väl ha några IoT prylar med antingen standard lösenord eller hundens namn.

Ny teknik, då händer det sånt här. Helt otroligt vad folk blir emotionella över något som är löst om ett par produkt-generationer.

Tycker det är väldigt mycket TLA:er för allting nuförtiden, undrar hur lång tid det kommer ta innan nån hittar på ett bättre smeknamn för IoT? Typ "interthing" eller "saknätet", ... fast bra.

EDIT: "idIoT" känns ju rätt givet, men jag vet inte vad det ska syfta på, specifikt.

Okej tänkte först att snart måste ju alla infekterade XP datorer ta slut i Bot näten men om dåliga Iot enheter kan vara med så förstår man ju varför problemet fortsätter.
I vår fiberförening rekommenderar de dessutom att Telefon gateway sitter i en switch utanför routern så att den ska få ett publikt IP...

För att de kompenserar för något?
IQ, lön, längd på organ, självförtroende, utseende, social kompetens, fantasi etc

Jag kan även tycka att dessa IoT-saker verkar vara överarbetade.
Måste de verkligen ha alla dessa funktioner?
Ju mer (onödig) funktionalitet man bygger in, desto större risk för missbruk.

Lägg även till att det ofta saknas en säker installationsinstruktion, det är inte ok att ha standard lösenord till administrativa funktioner. Ägaren/köparen har en unik fördel till sin IoT-pryl, han har fysisk tillgång. Detta borde utnyttjas vid installation.

Hejsan StarglowOne,

Att använda standardlösenord till administratörsfunktioner är knappast något du kan lägga till last på köparen.
Det är tillverkaren som borde ta sig en fem-minuters fundering och ta fram ett enkelt och säkert installationsförfarande, och inte skydda sig bakom en eula.
Det är skrämmande hur man negligerar säkerhet under installation av utrustning som skall kopplas upp. Kan nästan tycka att staten borde införa en straffskatt för det. Tex 400% dyrare för tillverkare som bidrar till risk allvarliga nätstörningar. Låt detta gälla ett år så skall vi få se....

Du tror alltså på alvar att företag väljer att inte följa standarder och att de väljer lansera produkter med minimal testing, men att det inte har något att göra med prispress?

Personligen har jag egenintresse att alla de lagar och böter du föreslår införs, mer pengar till oss som jobbar med detta

Tror också det finns en relativt stor marknad för produkter med högre kvalité, även fast det innebär högre pris (Apple hade ju ett tag runt 50 % av intäkterna för laptops, det med <10 % av marknaden, resten av marknaden verkar köra racet mot absolut botten men det ändrades som tur var för ett par år sedan).

Men i många fall finns det tyvärr en väldigt stor marknad där enda parameter verkar vara lägsta pris.

Så min invändning var inte mot att man kanske måste införa regleringar, den riktades mot att sådana regleringar kommer medföra högre pris mot kund (och tror man något annat är man extremt naiv). Alla extrakostnader i form av mer testning och eventuella böter hamnar alltid på slutkunden, vem skulle annars betala detta???

För IoT skulle man kanske i vissa lägen kunna undvika just det artikeln handlar om genom att välja enklare maskinvara. Även om det absolut går att hacka mikrokontrollers och liknande är dels deras inbördes variation en försvårande egenskap. Men framförallt så blir förödelsen man kan orsaka med en väldigt simpel pryl mindre. För just routers/hemma-gateways är inte denna väg framkomlig och tyvärr är detta en klass enheter som av naturligt skäl sitter i nätverket på ett sätt som gör dem lätta att nå samt önskvärda att ha i botnät.

Att använda sig av standardiserade inloggningar är inte vidare lämpligt när dessa enheter dessutom är skapade för att styras över nätet. Man borde kunna leverera dem liknande som routrar m.m. där de klistrar på en genererad kod på undersidan som man sedan får byta.