Men kan vi stole på de gode intensjonene?
Sikkerhetsanalytikere har oppdaget et nytt botnett som har tingenes internett som mål, botnettet har fått navnet “Hajime“.
Hajime konkurrerer med det store Mirai-botnettet, som tok over en stor andel IoT-enheter i fjor.
Sikrer enhetene
Det som er spesielt med Hajime, er at selve botnett-viruset ikke har noen skadelig funksjonalitet, utenom funksjonaliteten som lar den spre seg videre. Tvert imot har den funksjonalitet som sikrer enhetene den infiserer, slik at disse bl.a. ikke kan infiseres av Mirai.
I tillegg legger Hajime igjen denne meldingen inne i systemet til enheten:
Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED
Stay sharp!
Kan vi stole på Hajime?
Dette har fått enkelte til å stille seg spørsmålet om det å bli infisert av dette botnettet egentlig kan være en bra ting? Svaret fra ekspertene har imidlertid vært et klart nei.
Dette er det flere grunner til:
- Botnett-viruset er svært modulært, det vil si at det er enkelt for de som står bak og legge til eller fjerne funksjonalitet. Så bare fordi det ikke gjør noe skadelig i dag, kan det godt komme til å gjøre det i morgen, dersom de som står bak finner ut at de heller ønsker å tjene penger på å f.eks. selge tjenestenektangrep eller sende ut spam.
- Botnettet er bygd opp på en måte som gjør det vanskelig å bekjempe. Bl.a. benytter den hele det eksisterende botnettet i kommandostrukturen, i et såkalt peer-to-peer-nettverk. Dette gjør det veldig vanskelig å ta ned botnettet, man kan bli nødt til å lokalisere og rense alle de infiserte maskinene for å gjøre botnettet ubrukelig. I tillegg skjuler selve botnett-viruset seg veldig godt på de infiserte enhetene.
- Endringene botnett-viruset gjør på infiserte enheter for å sikre dem er ikke permanente. Dersom man foretar en omstart av hele enheten blir både Hajime-viruset og endringene borte. Det betyr imidlertid at enheten er sårbar igjen, og kan da godt komme til å bli infisert av Hajime på nytt, eller av det langt mer ondsinnede botnettet Mirai.
Cyberkriminelle kan dra nytte av sikkerhetsfolks arbeid
En annen ting som er verdt å merke seg med denne saken, er hvordan sikkerhetsanalytikere utilsiktet kan komme til å hjelpe cyberkriminelle.
Tidlig i livssyklusen til Hajime ble det foretatt en analyse og publisert en rapport om denne. I rapporten ble det blant annet presentert en del feil, såkalte bugs i kildekoden til botnett-viruset, og det ble også publisert en rekke signaturer, som kan benyttes av blant annet antivirus-programvare for å gjenkjenne botnett-viruset.
Mye tyder på at skaperen av Hajime har lest denne rapporten, og gjort seg god bruk av innholdet. I den eksisterende versjonen av botnettet er nemlig alle feilene som ble oppdaget fikset, og botnett-viruset er endret slik at ingen av signaturene som ble gitt ut kan brukes.
I akkurat dette tilfellet er det ikke sikkert at det har gjort så mye skade, men tanken om at sikkerhetsanalytikere kan fungere som en slags gratis test-personell og feilfinnere for cyberkriminelle er urovekkende.
NorSIS anbefaler
- Sjekk med produsentene av dine IoT-enheter, finn ut om de trenger oppdateringer og sikkerhetsfikser, og få vite hvordan du oppdaterer.
- Dersom du mistenker at en av dine enheter er blitt infisert med skadelig programvare, ta kontakt med produsenten for å få hjelp til å rense enheten og sikre den slik at det ikke gjentar seg.
- Ikke koble IoT-enhetene din på nett om du ikke har behov for det.
- Endre standardpassord der det er mulig, bruk sterke passord.
- Vurder å skifte ut gamle og utdaterte IoT-enheter med kjente sårbarheter, og ta sikkerhet med i betraktningen om du vurderer å gå til innkjøp av en ny IoT-enhet.