パスワードを忘れた? アカウント作成
13308599 story
セキュリティ

Raspberry Piを狙うマルウェアが登場 23

ストーリー by hylom
とりあえずデフォルトパスワードは変えましょう 部門より
あるAnonymous Coward曰く、

小型・廉価なボードPCである「Raspberry Pi」をターゲットにしたマルウェアが登場したそうだ(ZDNet JapanHOT HARDWARESlashdot)。

このマルウェアは「Linux.MulDrop.14」と名付けられており、外部からのSSH接続を許可しているRaspberry Piデバイスを狙い、デフォルトのログイン名/パスワードでログインを試みるという。もしログインに成功した場合、パスワードを別の物に変更した後ほかのデバイスを探索するという。

また、感染後に暗号通貨のマイニングを始めるという話もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月13日 16時47分 (#3227103)

    最も多いユーザ名は依然として"root"だけど、いつからか"pi"もかなり多くなってる印象。
    そもそもRaspberry pi に使われてるraspbianのデフォルト設定は、非常にセキュアじゃなかった。

    ・ログイン名とログインパスワード決め打ち
    ・ログインユーザはsudo(8)でパスワードを求められずに任意のコマンドを実行できる

    要するに、脆弱性云々に関係なく、簡単に(リモート)ログインできるし、一旦ログインしたらなんでもできてしまう。
    リンク先にあるように、最近のイメージではsshdのデフォルト設定は無効になったそうだが、↑はたぶんそのままのはず

    # 個人的にはパスワードを変えるとともに、sshdのパスワード認証を無効にして、公開鍵認証に変更していた

    • by Anonymous Coward

      sshd鍵認証にせずに公開するようなあほたれ用のマシンじゃないのに
      雑誌が無責任に取り上げて無知な読者を唆したのが原因だよね
      同様な記事書いてるブログも同罪か

      分かってないと後悔するのが基本なLinux文化もってのも
      反論の余地なしではあるのだけれど

      だれも責任取らないから
      悪党おいしいですになっちゃうんだよねぇ

      # そうだIPアドレスを証拠に取りしまろう

      • IPアドレス128.168.0.1を所持している人が逮捕されちゃう!!!

        親コメント
        • by Anonymous Coward

          IBM(に買収されたとこ)?

      • by Anonymous Coward

        いやあれは学校で基本的なコンピュータ科学の教育を促進する為に作られたデバイスなんだからあほたれ用に設計されたマシンだろ。
        教育用コンピューターを不用心に重要なネットワークに繋ぐアホが悪いのは同意だけど。

        # セキュリティにあまり配慮しないこういう不用心な設計はアカデミック的おおらかさとでも言うのかな。

        • 安全性を担保するのは運用技術。
          で、下位層の制御は簡単だって事を身を持って知る事がまず肝要じゃないかな?
          繋がったデバイスが、いとも簡単にリモート制御出来る事を知ってれば、乗っ取られた時の深刻性も肌で理解出来ようというもの。

          で、その上でリモート制御をブロックしようとしたら、どれだけ穴だらけなのかを知って慄然とすると思う。
          もはや、パスワード付けたから安全って世界じゃない。
          真のセキュリティは、厳密に設計された階層構造と、その構造を維持しつつメンテナンスする運用技術で得れる物。
          知識を得るのは簡単だが、運用技術は一朝一夕で身に付く物じゃないし、誰もが必要とするスキルでもない。

          「ルーターの内側だから安全」なんて能天気者がセキュリティ責任者になったりしたら被害は甚大だから、システム全体を把握出来る人材を大量に育成して、そこからセキュリティのエキスパートを選別して行くのが正攻法だと思うが。

          --
          -- Buy It When You Found It --
          親コメント
        • by Anonymous Coward

          確かに性善説の教育って害悪な気もする
          嫌な意味で経済に貢献してくれそうではあるけれど

          # 信じる者はすくわれるよね足元を

    • by Anonymous Coward

      scott/tigerをつかえばいいじゃない
      #使用には年間保守ライセンスが必要となり、更新時には調整料金が上乗せされます。

  • by Anonymous Coward on 2017年06月13日 15時26分 (#3227039)
    正直、Pi3の性能で採掘するのはすごく厳しいけど、数の力でなんとかしようということなのですかね。
    • by Anonymous Coward

      パイが大きければいいのですよ

      # 小さいパイには夢が詰まって

      • by Anonymous Coward

        # 大きいパイには脂肪が詰まって

        • by Anonymous Coward

          違いますよ大きいパイにも小さいパイにもピーターラビットのお父さんが詰まってるんですよ。
          #台数を確保できれば利益は出るでしょうね。

  • by Anonymous Coward on 2017年06月13日 15時50分 (#3227062)

    古典的ですな。ディストリのデフォルトID:PWを乗っ取るというお話なんで。
    >狙うのは、デフォルトのログイン名「pi」とパスワード「raspberry」が使われているRaspberry Piボードだ。
    ルーターの内側にいるような普通の使い方していたらなんくるないさ

  • by Anonymous Coward on 2017年06月13日 16時26分 (#3227087)

    ラズパイなら、冷水なのに風呂が沸いたと知らせたり、いつまでも人が入っているトイレだらけにしたり、そんないろいろなマルウェアの活躍の場があるだろうに!!

    • by Anonymous Coward

      そういう用途に使われてるラズパイを見てみたい

  • やっぱiOSじゃねえとな

    • by Anonymous Coward

      どこらへんが面白いのかを、誰か解説してください

      • by Anonymous Coward

        彼の存在自体、かな。

    • by Anonymous Coward

      ios なんかAppleの独自コードが追加されてて全くセキュアじゃない
      素のFreeBSDじゃないとだめ
      ラズパイ用のFreeBSDも出てることだし

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...