För några veckor sedan rapporterade vi om den oerhört kraftfulla ddos-attack som drabbade it-säkerhetsbloggaren Brian Krebs webbplats krebsonsecurity.com. Attacken som uppnådde hiskeliga 665Gbps kröntes snabbt till tidernas värsta attack. Rekordet stod sig dock bara en dryg vecka innan den franska molntjänstleverantören OVH attackerades med en data-tsunami på över 1Tbps.
Precis som i attacken mot Krebs, utnyttjade angriparna oskyddade enheter i det så kallade Sakernas Internet. Efter närmare undersökningar har flera säkerhetsforskare slagit fast att det sannolikt handlar om gigantiska botnät bestående av främst hundratusentals övervakningskameror, men menar att det även innehåller så triviala saker som uppkopplade glödlampor.
Inledningsvis var det något oklart exakt hur angriparna lyckats ta kontroll över så många uppkopplade enheter, men nu pekar det mesta på att de använt sig av ett skadligt program som kallas Mirai. Det handlar om ett relativt enkelt konstruerat virus som söker av nätet efter uppkopplade enheter som antingen levererats utan lösenord, eller med enbart enkla default-lösenord. Hittar viruset sådana (vilket den utan tvekan verkar göra i överflöd) loggar det in och installerar sin skadliga kod.
Mirai, som förmodligen utvecklats och hittills även kontrollerats av en grupp eller ett fåtal aktörer har nu dessutom läckt ut på nätet. Säkerhetsföretaget Incapsula som övervakat utvecklingen tror att det är upphovsmännen själva som lagt ut källkoden till Mirai på ett hackerforum. Efter att källkoden lades upp inträffade ett flertal mindre attacker med hjälp av Mirai-infekterade enheter, förmodligen för att flera gärna ville testa sin nya leksak. Incapsula befarar att vi däremot inom den närmaste framtiden kommer få se fler enormt kraftfulla attacker.
Massiva attacker kan bli vardag
Flera andra säkerhetsföretag är inne på samma spår, och menar att när nu 1Tbps-gränsen sprängts riskerar attacker av den magnituden bli standard snarare än undantag. Det kommer att sätta mycket hårdare press på de säkerhetslösningar och content delivery-system som lovar att skydda mot överbelastningsattacker. Akamai, som får ses som världens största aktör på den banan, hade som vi vet svårt att hantera (åtminstone på ekonomiskt försvarbart sätt) attacken mot Brian Krebs, och om dubbelt så kraftfulla attacker blir vardag vet vi inte hur det slutar.
Men det allra största och allvarligaste problemet är förstås att så många uppkopplade enheter står helt öppna för att utnyttjas. Det skulle så klart kunna undvikas om admins slutade ignorera riskerna med att behålla default-lösenord. Eller om leverantörerna slutade sätta default-lösenord och kodade in ett lösenordstvång innan enheterna kan tas i bruk.