IoT & Mirai
Oct. 28th, 2016 01:10 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
tasicНа прошлой неделе достаточно известную сеть anycast серверов компании Dyn уложили (ну поштормили) с помощью IoT, также известную как Internet of Things. Т.е. группа китайских видеокамер уложила DNS сервис достаточно известной компании. Люди говорят, что было это сделано с помощью Mirai, исходные коды которой можно найти на github. В обсуждении этого инцидента на RIPE meeting звучали предложения о том, что код в камеры нужно писать аккуратнее и прочее такое инженерное. Все эти предложения натолкнули на следующие мысли.
Обсуждение "что нужно сделать с софтом в вещах" достаточно бессмысленно, потому что вряд ли кто из производителей будет это делать. Здесь присутствуют разные цели. Большинство собравшихся на RIPE meeting людей представляют продавцов "большого" Интернет в разнообразных его проявлениях, как то ISP, IXP, DNS operators, иногда E-SHOPS и прочее, и прочее, требующее для своей работы глобального интернета. В свою очередь, продающим дивайсы, составляющие IoT, "большой" интернет обычно не нужен. Им нужно какое-нибудь локальное коннективити, позволяющее увидеть этот дивайс с ближайшего другого дивайса. В большинстве своем, люди, покупающие и ставящие такие дивайсы, очень слабо знакомы с принципами построения сети. Поэтому для успешной продажи таких дивайсов, проданный дивайс должен уметь цепляться к любым, самым извращенным, конфигурациям, которые только может придумать мозг [не]человеческий, в процессе подключения пользователя к интернет. И чем легче он это делает, тем успешнее будут его продажи. Но для того, чтобы это делать, дивайс должен быть неразборчив в связях, как последний народный депутат. И продавцам этих дивайсов по большому счету совершенно фиолетово, как будет себя чувствовать "большой интернет", пока их дивайс коннектится к рядом стоящей коробочке и виден пользователю в локальной сети. И для этого пользователю (и продавцу соответственно) совершенно незачем оберегать DNS, раутинг и прочие сущности, определяющие жизнь "большого интернет". Поэтому заселить Mirai на большинство таких дивайсов, судя по всему не представляло особой сложности -- они не сопротивлялись, они сделаны для другого. И мне кажется, что если исходить из этих предпосылок, можно несколько лучше защититься от IoT в будущем. В ближайшем будущем. Но тут на арену выходит IPv6...
Обсуждение "что нужно сделать с софтом в вещах" достаточно бессмысленно, потому что вряд ли кто из производителей будет это делать. Здесь присутствуют разные цели. Большинство собравшихся на RIPE meeting людей представляют продавцов "большого" Интернет в разнообразных его проявлениях, как то ISP, IXP, DNS operators, иногда E-SHOPS и прочее, и прочее, требующее для своей работы глобального интернета. В свою очередь, продающим дивайсы, составляющие IoT, "большой" интернет обычно не нужен. Им нужно какое-нибудь локальное коннективити, позволяющее увидеть этот дивайс с ближайшего другого дивайса. В большинстве своем, люди, покупающие и ставящие такие дивайсы, очень слабо знакомы с принципами построения сети. Поэтому для успешной продажи таких дивайсов, проданный дивайс должен уметь цепляться к любым, самым извращенным, конфигурациям, которые только может придумать мозг [не]человеческий, в процессе подключения пользователя к интернет. И чем легче он это делает, тем успешнее будут его продажи. Но для того, чтобы это делать, дивайс должен быть неразборчив в связях, как последний народный депутат. И продавцам этих дивайсов по большому счету совершенно фиолетово, как будет себя чувствовать "большой интернет", пока их дивайс коннектится к рядом стоящей коробочке и виден пользователю в локальной сети. И для этого пользователю (и продавцу соответственно) совершенно незачем оберегать DNS, раутинг и прочие сущности, определяющие жизнь "большого интернет". Поэтому заселить Mirai на большинство таких дивайсов, судя по всему не представляло особой сложности -- они не сопротивлялись, они сделаны для другого. И мне кажется, что если исходить из этих предпосылок, можно несколько лучше защититься от IoT в будущем. В ближайшем будущем. Но тут на арену выходит IPv6...
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-10-28 12:50 pm (UTC)а) состав участников не ограничивается продавцами, ISP, IXP и DNS.
б) изолирование девайсов - штука хорошая, но в концепт IoT не очень вписывается.
в) история с CG-NAT и IPv6 openness насчитывает уже больше десятилетия.
no subject
Date: 2016-10-28 10:03 pm (UTC)Я сказал, что в составе участников преобладают люди, которых большей частью заботит общая устойчивость-инфраструктура интернет. Перечисленные типы компаний просто пошли как пример. Считаешь что не так? Можем попробовать посмотреть список посетивших RIPE. Но даже без этого списка должен сказать, что конечно на RIPE meeting может занести людей, которых эти вопросы не интересуют, но они там будут людьми случайными и долго не задержатся.
> изолирование девайсов - штука хорошая, но в концепт IoT не очень вписывается.
Разверни мысль? Хочешь сказать, что IoT нужен глобальный интернет? Конечно, существуют варианты, когда нужно обратится к камере на даче с работы. Не спорю. Но фишка в том, что продавец с чистой совестью и честной мордой лица может отвечать покупателю, что камера подключена, а как пользователь из интернета до нее доберется, это его (пользователя) (и возможно его провайдера) дело. А камеру он этому пользователю продал качественную и работающую. И что самое интересное, это будет правда.
> история с CG-NAT и IPv6 openness насчитывает уже больше десятилетия.
А пожалуйста, только расскажи мне, по какому протоколу была атака на Dyn? IPv6 или IPv4? И почему?
no subject
Date: 2016-10-31 07:30 pm (UTC)атака на Dyn была по v4/tcp. почему - я до конца не понял.
no subject
Date: 2016-10-31 08:44 pm (UTC)Так понятно, почему по v4. V6 не настолько распространена, чтобы производители дивайсов могли полагаться на эту сеть, а соответственно и атакующие, которые полагаются на IoT, используют работающее на данном этапе решение.