Android-enheter värvas till DDoS-botnät över Tor-nätverk

Jo, jag håller med rent principiellt men så har det ju tyvärr aldrig varit gällande de här "smarta" prylarna.

I något läge måste det bli stopp på det... Finns väl risk att det innebär en generell prishöjning, dock.

Förstår att man vill ha få saker framme men en appletv eller Nvidia shield är iaf rätt små. Blir oftast inte fler fjärrkontroller heller, antingen använder man bara den till tvn eller bara den till externa enheten.

Klart det vore enklast om det inbyggda i tvn är lika bra men det är Många nya modeller som kommer ut varje år som ska uppdateras. Säger sig självt att det kan läggas mer tid på några få enheter som alla använder istället och blir då generellt mer säkert och funkar bättre.

Tänk om Android fick säkerhetsuppdateringar lika länge som en Windowsinstallation....

Det enda rimliga lösningen är att även konsument routers får en vettig brandväggsfunktion som tar kontroll över hemmanätverket. Det torde vara en smal sak att identifiera Ddos attacker av en enhet som sitter nära källan.

Det är inte enkelt att skilja ddos från normal trafik, även om du har mycket dyrare utrustning att jobba med. För att öht veta att attacken är distribuerad behöver du oftast ha perspektiv från målet för attacken eller någonstans i närheten.

Att stoppa någon form av ”smart” brandvägg i en konsumentrouter skulle antagligen ge en mängd falsklarm och felaktigt blockerad trafik, vilket bara skulle få konsumenterna att slänga sagda router på återförsäljaren och köpa ett annat märke.

Helt korrekt.

Eller...

Titta gärna på NAT Slipstreaming v2.0. Det går ut på att lura brandväggen till att öppna vilken port som helst in till det lokala nätet, till exempel 5555. Så vitt jag kan utläsa går det att utföra inte bara mot den dator där browsern finns, utan hela subnätet, dvs även en TV på samma subnät.

Som jag läser artikeln är förutsättningarna för en lyckad attack:

• Offret surfar till en elak sajt eller blir serverad elak reklam från en sajt man surfar till. Attacken initieras från webbläsaren, på insidan av brandväggen.

• Routern/brandväggen bygger på netfilter, dvs kernel-delen av Linux-brandväggen, vilket i princip alla konsument-routrar gör.

• Routern kör NAT för IPv4. Det verkar inte vara en förutsättning att man surfar över IPv4, IPv6 går lika bra så länge man inte kör ren IPv6 på sitt lokala nät.

• Routern har aktiverat stöd (kör netfilter-kernelmoduler) för vissa specifika protokoll. Exemplet i artikeln är SIP (IP-telefon) och routern Netgear Nighthawk R7000. Det är oklart för mig hur vanligt det är att konsumentroutrar aktiverat något av de potentiellt lättlurade protokollen i brandväggen.

Det finns en testsida här, för att kolla om attacken fungerar. Observera att man måste starta netcat (nc-kommandot) med rätt parametrar för att lyssna på en känd port för att kunna simulersa en attack. 3306 är förifyllt, det är en port MySQL kör på, så har man det installerat är den upptagen.

Testsidan fungerar inte på min standardinstallation av OpenWRT 19.06 eftersom paketet kmod-nf-ipvs-sip inte är installerat som default. Och jag orkar inte installera det för att testa.