Open Source & Sikkerhet

En snill orm prøver å fikse internett

En nyutviklet programvare viser hvordan man kan fikse enheter som er sårbare for Mirai-botnettet. Illustrasjon: Henrik Lied/Eric Fischer

De siste månedene har det distribuerte viruset Mirai herjet rundt om på nettet, og tatt ned store nettsider og kritisk infrastruktur. Et nytt forskningsprosjekt viser hvordan man kan sette en stopper for viruset.

Mirai er et botnett som infiserer en rekke internettilkoblede dingser, og bruker disse dingsene til å angripe nettsider og nettleverandører med stor kraft.

De internettilkoblede dingsene som kan infiseres av Mirai har sitt opphav i Kina, og det er produsenten Hangzhou Xiongmai Technology Co. som står bak mange av de sårbare enhetene. Grunnen til at disse enhetene enkelt kan infiseres av Mirai, er at de kommer med en liste forhåndsdefinerte administrasjonspassord som ikke enkelt kan endres. Mirai-viruset kan derfor bruke denne listen med passord for å få administratortilgang til dingsene, og dermed kontroll over enheten.

cctv photo
Titusenvis av overvåkningskameraer baserer seg på programvare som kan utnyttes av Mirai-botnettet. Illustrasjonsfoto: Rafael Parrsie/Flickr

Siden det er over 100 000 av disse usikrede enhetene som er tilkoblet nettet, utgjør Mirai en stor fare for nettets sikkerhet.

Og fram til nå har det ikke vært noen enkle måter å ordne dette problemet på. Det prøver Leo Linsky å gjøre noe med.

Anti-orm

Linksy la nylig ut koden til et «anti-Mirai»-botnet på GitHub, som bruker botnettets egen kode for fikse sikkerhetshullene i de sårbare enhetene.

Linksy har rett og slett gått gjennom Mirai-botnettets opprinnelige kode, og skrevet det om til å bytte passordene på sårbare enheter til noe nytt og tilfeldig, slik at det opprinnelige botnettet Mirai ikke er i stand til å overta disse enhetene.

Koden til et anti-Mirai-botnet er lagt ut på Github.
Koden til et anti-Mirai-botnet er lagt ut på Github.

Denne typen kode kalles en anti-orm, og er generelt sett noe som sikkerhetsbransjen tar avstand fra. Det er flere grunner til dette, men den mest åpenbare er kanskje at du uansett begår et lovbrudd ved å logge deg på noen andres enhet uten tillatelse.

Gjennom tidene har flere anti-ormer gått rundene på nettet. Blant de mest kjente er anti-Santy, som fikset store sikkerhetshull i den populære forumprogramvaren phpBB. Men også denne ormen forårsaket problemer for eierne av forumene, og førte til både nedetid og rare serverfeil.

The ethics of this are interesting. While probably technically illegal to run, would you have any legal defence for running it? For example, if you can prove that you’re only ‘closing the door’ on an already-compromised node, is this any defence?

erazmus på Netsec@Reddit

Likevel er det flere som tar til orde for at problemene Mirai forårsaker er så massive, at det kan være verdt å tenke på om denne anti-ormen bør slippes løs på nettet.

Anti-Mirai-ormens største problem er at en eventuell restart av de sårbare dingsene stiller passordet tilbake til fabrikkinnstillingene, som gjør enheten sårbar mot det opprinnelige angrepet.

Hva tenker du om denne «løsningen» for å fikse internett?

2 kommentarer

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Betalest