Miles de webcams chinas secuestradas fueron el ejército tras el ciberataque que tumbó a WhatsApp

El masivo ciberataque que este pasado viernes logró tumbar Twitter y WhatsApp (entre otras muchas de las mayores páginas y servicios de Internet) no habría alcanzado sus titánicas dimensiones sin la colaboración de una vasta red de cámaras y dispositivos de grabación de vídeo secuestrados por la persona o las personas detrás de este suceso.

Según ha reconocido el fabricante chino Hangzhou Xiongmai Technology, una firma especializada en webcams y sistemas de videovigilancia conectados, el uso de contraseñas inseguras utilizadas por defecto en sus productos permitió utilizarlos para crear una poderosa botnet Mirai que hizo hincar la rodilla a la empresa de servicios DNS Dyn lanzando contra sus servidores varias oleadas de ataques de denegación de servicio o DDoS.

Todavía se desconoce el motivo de este ataque. Dada la cantidad de sitios web afectados, parece improbable que se buscara bloquear el acceso a una página concreta.

De acuerdo con Hangzhou Xiongmai, la vulnerabilidad que permitió ganar acceso a sus dispositivos fue parcheada en septiembre de 2015. Desde entonces, sus productos piden al usuario que cambie la contraseña por defecto, dificultando así su uso por parte de cibercriminales. No obstante, todavía hay una gran cantidad de cámaras y grabadoras antiguas con el viejo firmware instalado; un hecho que fue explotado con consecuencias más que obvias para millones de internautas. Según Dyn, sus técnicos observaron "decenas de millones de direcciones IP individuales asociadas con la botnet Mirai que tomaron parte en el ataque".

Para evitar futuros problemas, Hangzhou Xiongmai ha emprendido una campaña mediante la cual retirará del mercado estadounidense varios productos potencialmente vulnerables. Es necesario señalar que la firma no solo fabrica cámaras, sino también los componentes necesarios que después son utilizados por otras compañías para crear sus propios dispositivos. Purgar el mercado de estos dispositivos no será sencillo.

Si bien es fácil señalar con el dedo a Hangzhou Xiongmai por este ataque, lo cierto es que las medidas típicamente implementadas en los dispositivos que forman parte del denominado Internet de las cosas han sido criticadas duramente por expertos desde hace años. Desde frigoríficos inteligentes a televisores y pulseras cuantificadoras, numerosos dispositivos conectados a Internet están expuestos a ser controlados de forma remota, haciendo posible el robo de información personal o su utilización por millones para lanzar ataques como el sucedido la pasada semana.

Fuente: Reuters
El peligro de las botnets y el IoT ... sólo fueron esas camaras en el ataque ?
cercata escribió:El peligro de las botnets y el IoT ... sólo fueron esas camaras en el ataque ?

Son al menos las identificadas. Me temo que no he podido encontrar un listado de dispositivos ni nada parecido. Lo último que se dice es que podrían haber "alquilado" los servicios de varias botnets.
Dentro del código del malware usado (Mirai) están estos credenciales:
Imagen
Todo lo que este conectado a la red puede servir para hacer todo tipo de ataques. Televisores, camaras ips, routers, discos duros nas.....etc..
DeVlL escribió:Todo lo que este conectado a la red puede servir para hacer todo tipo de ataques. Televisores, camaras ips, routers, discos duros nas.....etc..



Si y los hechos lo demuestran
Alejo I escribió:
cercata escribió:El peligro de las botnets y el IoT ... sólo fueron esas camaras en el ataque ?

Son al menos las identificadas. Me temo que no he podido encontrar un listado de dispositivos ni nada parecido. Lo último que se dice es que podrían haber "alquilado" los servicios de varias botnets.


Como curiosidad también añadir que las dichosas cámaras de seguridad fueron las responsables del DOS masivo sufrido hacia OVH desde la red de movistar.

De hecho por culpa de eso los usuarios de movistar no podemos usar en condiciones normales servicios de OVH, a pesar de haber aumentado el ancho de banda e implementar triquiñuelas para mitigar los efectos del DOS sigue activo y jodiendo.

Webs y demás servicios que no son críticos con la latencia son usables.
Juegos online contra servidores en OVH son infumables.
skynet esta despertando de su largo letargo ........ veréis veréis cuando se alíen china y microsoft ...... va a temblar el "internet de las cosas ".

O eso o es un ataque de putin para que Trump gane [+risas] [+risas] [+risas]
Las nuevas guerras son digitales

https://threatmap.fortiguard.com/

shooting_star escribió:skynet esta despertando de su largo letargo ........ veréis veréis cuando se alíen china y microsoft ...... va a temblar el "internet de las cosas ".

O eso o es un ataque de putin para que Trump gane [+risas] [+risas] [+risas]


los ataques en internet no son nuevos. De vez en cuando ocurre alguno muy sonado pero todos los días a todas horas son constantes
Bilkoff escribió:Dentro del código del malware usado (Mirai) están estos credenciales:
Imagen

Muchas gracias, ya veo que es genérico, pero coincidirá que esas camaras es lo que mas abunda.
supremegaara escribió:Las nuevas guerras son digitales

https://threatmap.fortiguard.com/

shooting_star escribió:skynet esta despertando de su largo letargo ........ veréis veréis cuando se alíen china y microsoft ...... va a temblar el "internet de las cosas ".

O eso o es un ataque de putin para que Trump gane [+risas] [+risas] [+risas]


los ataques en internet no son nuevos. De vez en cuando ocurre alguno muy sonado pero todos los días a todas horas son constantes


Por eso se debería aprender sobre el tema en las escuelas. Ya lo decían los simpsons:

Imagen
Luego la gente dice que no cambia las contraseñas "porqué no tiene nada que ocultar"
Greenbow escribió:Luego la gente dice que no cambia las contraseñas "porqué no tiene nada que ocultar"


Hay una cosa que si tienen que ocultar, la abismal ignorancia que tienen en materia de seguridad. Es más la personas que no haya echo los deberes en este tema, debería ser responsable. Es como si una persona que mantiene una subestación eléctrica provoca una gran avería por no estar a lo que tiene que estar o por hacer mal las cosas. Ponerse a fumar, al lado de combustibles, tocar cables que no debe, tocar con algo metálico un transformador cuando no debe, no mirar si está trabajando un compañero y encender lo que no debe,...

Salu2
Nova6K0 escribió:
Greenbow escribió:Luego la gente dice que no cambia las contraseñas "porqué no tiene nada que ocultar"


Hay una cosa que si tienen que ocultar, la abismal ignorancia que tienen en materia de seguridad. Es más la personas que no haya echo los deberes en este tema, debería ser responsable. Es como si una persona que mantiene una subestación eléctrica provoca una gran avería por no estar a lo que tiene que estar o por hacer mal las cosas. Ponerse a fumar, al lado de combustibles, tocar cables que no debe, tocar con algo metálico un transformador cuando no debe, no mirar si está trabajando un compañero y encender lo que no debe,...

Salu2


Sin duda tendrían que responder de conocer el riesgo. Lo que pasa que no conocen el riesgo. Ello puede ser excusable hasta cierto punto (es más fácil ser ignorante en ciberseguridad que en gasolina inflamable), pero lo que no hay derecho es a este "orgullo de no saber" que tanto caracteriza a ciertos individuos.
Whatsapp, Twitter, etc... no cayó, lo que cayó fue el servidor DNS de los cuales dependían. Técnicamente, los servidores de los servicios citados seguían online. El titular es un "poco" sensacionalista.
Debería obligar siempre a cambiar la contraseña, que la que viene por defecto caduque a los 3 días de conectarse, etc y con cada aparato un librito pequeño explicando la importancia para la seguridad que tiene
una cosa es no ocultar nada y otra es usar la contraseña por defecto.
coyote escribió:Whatsapp, Twitter, etc... no cayó, lo que cayó fue el servidor DNS de los cuales dependían. Técnicamente, los servidores de los servicios citados seguían online. El titular es un "poco" sensacionalista.


...ya llegó el que se queja de todo. A ver, para que entiendas un poco a la gente común que no vive amargada en la cueva... ¿Te funcionaba WhatsApp? No. ¿La gente común (que repito, no es de cueva) conoce la empresa DynDNS, o directamente sabe qué es un DNS? No. ¿WhatsApp depende de DynDNS? Sí. ¿Qué pasa si DynDNS se cae? Que WhatsApp va tras él.

¿Te sigue pareciendo sensacionalista? Porque a mí no; mi teléfono no se conectaba a WhatsApp. Repito, la app no funcionaba. WhatsApp estaba tumbado. Repito, atención, no funcionaba. No de no. WhatsApp no se conectaba, NO.

Todo masticadito. Joder, qué a gusto me he quedao [+risas] .
Pongas como te pongas, el servidor de la app no estaba caído. De hecho, si conocías la IP de Twitter podías acceder, aunque como tiene tanto subdominio lo hacía mal, pero ir iba. Que la gente no entienda eso me la pela, personalmente. De Whatsapp ni me enteré, será porque no lo uso. Repito, a mi me sigue pareciendo sensacionalista el título, pero puestos a comentar, mejor ni comento nada mas.

Por cierto, que algunos servicios no tenga un servidor DNS de backup es de cutres.
coyote escribió:Pongas como te pongas, el servidor de la app no estaba caído. De hecho, si conocías la IP de Twitter podías acceder, aunque como tiene tanto subdominio lo hacía mal, pero ir iba. Que la gente no entienda eso me la pela, personalmente. De Whatsapp ni me enteré, será porque no lo uso. Repito, a mi me sigue pareciendo sensacionalista el título, pero puestos a comentar, mejor ni comento nada mas.

Por cierto, que algunos servicios no tenga un servidor DNS de backup es de cutres.



Verdades como puños. Debes ser el único que tiene tanto tiempo libre como para tener un .txt lleno de las IPs de las webs que usa (y que ya me dirás cómo lo aplicas a un servicio como, de nuevo, WhatsApp).

Mejor cómprate el periódico, que eso lo pagas y por lo tanto puedes quejarte y montarte el circo. Ya se te ha dicho que a efectos prácticos está caído, e ya. Además, de nuevo volvemos al tema de que si un servicio depende de DynDNS y este último no funciona, el otro va tras él. Tú mismo has reconocido que twitter funcionaba como cual escopeta de feria. Incluso accediendo por IP.

Respecto a lo otro de un servicio DNS de backup, no se como funciona el tema así que no me meto, quizás ahí sea en lo único que lleves razón.
Editado por [erick]. Razón: alusiones personales
Vanitas escribió:Debes ser el único que tiene tanto tiempo libre como para tener un .txt lleno de las IPs de las webs que usa (y que ya me dirás cómo lo aplicas a un servicio como, de nuevo, WhatsApp).

Se llama cache, en windows por ejemplo, lo puedes ver con el comando ipconfig /displaydns. También lo suelen tener los otros sistemas operativos incluidos Android e iOS. A mi whatsapp me ha funcionado perfectamente todo el tiempo.
Greenbow escribió:
Nova6K0 escribió:
Greenbow escribió:Luego la gente dice que no cambia las contraseñas "porqué no tiene nada que ocultar"


Hay una cosa que si tienen que ocultar, la abismal ignorancia que tienen en materia de seguridad. Es más la personas que no haya echo los deberes en este tema, debería ser responsable. Es como si una persona que mantiene una subestación eléctrica provoca una gran avería por no estar a lo que tiene que estar o por hacer mal las cosas. Ponerse a fumar, al lado de combustibles, tocar cables que no debe, tocar con algo metálico un transformador cuando no debe, no mirar si está trabajando un compañero y encender lo que no debe,...

Salu2


Sin duda tendrían que responder de conocer el riesgo. Lo que pasa que no conocen el riesgo. Ello puede ser excusable hasta cierto punto (es más fácil ser ignorante en ciberseguridad que en gasolina inflamable), pero lo que no hay derecho es a este "orgullo de no saber" que tanto caracteriza a ciertos individuos.


La página, compañero, no me deja (dice que ya he valorado demasiados mensajes) pero +1, diría más bien +1.000 ;-)

Salu2
Skynet a la vuelta de la esquina... Seguramente invención de chinos, americanos o rusos para tener controlado hasta al gato de la abuela... [enfa]
sev39lora escribió:una cosa es no ocultar nada y otra es usar la contraseña por defecto.

O en el caso de las empresas que tumbaron, usar el mismo servidor DNS para todo [carcajad]
23 respuestas