Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Умные и уязвимые: опасности IoT-устройств

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Умные и уязвимые: опасности IoT-устройств

Вопрос безопасности умных устройств приобрел особую актуальность в 2016 году, когда мир узнал о рекордных по своей мощности1 DDoS-атаках на французскую хостинговую компанию OVH и американского DNS-провайдера Dyn. А в конце года крупнейший ботнет Mirai захватил почти 5 млн устройств и заразил пользовательские устройства немецкой телекоммуникационной компании Deutsche Telekom. В прошлом году стало также известно об уязвимости умных посудомоек Miele2, кухонных плит AGA3 и вредоносной программе BrickerBot4, которая не только заражала устройства, но и выводила их из строя.
Владимир Кусков
Антивирусный эксперт “Лаборатории Касперского”

Огромное количество потенциально уязвимых девайсов – по данным Gartner, сейчас в мире насчитывается5 около 6 млрд умных устройств – объясняет увеличение активности злоумышленников, разрабатывающих вредоносное ПО под подобные девайсы. На май 2017 г. в коллекции "Лаборатории Касперского" было зафиксировано несколько тысяч различных образцов такого программного обеспечения, при этом около половины из них были добавлены в 2017 г. (рис. 2).


Незащищенность устройств Интернета вещей несет в себе целый ряд непосредственных угроз для конечных пользователей: от включения девайсов в ботнет до их использования в качестве промежуточного звена для совершения противозаконных действий, шпионажа с целью последующего шантажа и даже поломки устройств.

Уязвимость умных гаджетов обусловлена множеством факторов. Среди них – несвоевременный выпуск производителями обновлений ПО или их полное отсутствие. Ошибки в программном обеспечении – лазейка для злоумышленников: например, троян Persirai эксплуатировал уязвимость, характерную для более чем 1000 различных моделей IP-камер. Это позволяло ему выполнять на девайсе произвольный код с правами суперпользователя.


Другая прореха в системе безопасности устройств связана с реализацией протокола TR-0696, предназначенного для удаленного управления устройствами со стороны оператора. Его основу составляет SOAP, который при передаче команд использует формат XML. Как оказалось, уязвимость скрывалась именно в парсере команд. Данная схема заражения использовалась в некоторых версиях троянца Mirai и Hajime7, а также при заражении устройств Deutsche Telekom.

Кроме того, производители зачастую устанавливают одинаковые пароли не только для какой-то одной модели, но и для всей линейки продукции. Доходит до того, что соответствующие пары "логин/пароль" становится достаточно легко найти в свободном доступе в Интернете.

"Лабораторией Касперского" были настроены специальные IoT-ловушки (Honeypot), имитировавшие различные устройства под управлением ОС Linux. Спустя всего несколько секунд после их установления были зарегистрированы первые попытки подключения к открытому Telenet-порту, за сутки количество обращений с уникальных IP-адресов достигло отметки в несколько десятков тысяч. Большинство зафиксированных случаев (рис. 3) были связаны с использованием протокола Telnet, оставшаяся часть пришлась на долю SSH. Более половины устройств (63%), с которых совершались атаки, можно отнести к категории DVR-сервисов или IP-камер, 16% были представлены различными сетевыми устройствами и маршрутизаторами практически всех основных производителей. 1% составили Wi-Fi-репитеры и другое сетевое оборудование, ТВ-приставки, IP-телефония, выходные ноды Tor, принтеры и девайсы умного дома. 20% с точностью опознать не удалось.


Большая часть IP-адресов, инициировавших подключения к ханипотам, отвечают на HTTP-запросы. Примечательно, что в некоторых случаях на запрос отвечает не то устройство, которое атаковало ловушку. Это объясняется тем, что за одним адресом может находиться сразу несколько устройств. В ответ на запрос приходит Web-страница (это может быть панель управления устройством или, к примеру, видео с камеры), проанализировав содержание которой, можно попытаться определить тип устройства.

Поскольку на ханипотах можно увидеть только часть устройств, оценить весь диапазон девайсов аналогичного типа можно, обратившись к поисковым сервисам вроде Shodan или ZoomEye. Поиск по наиболее популярным заголовкам IP-камер, DVR и роутеров в рамках ZoomEye показал, что существуют миллионы потенциально зараженных устройств.

При этом оборудование, с которого были зафиксированы атаки на ловушки, было представлено не только домашними устройствами, но и оборудованием промышленного типа. Еще большая опасность заключается в том, что некоторые IP-адреса, с которых осуществлялись атаки, непосредственно связаны с системами мониторинга или управления устройствами в сфере промышленности и безопасности. К этой группе, среди прочего, можно отнести целый ряд объектов: от кассовых терминалов магазинов, ресторанов и заправочных станций до систем цифрового телевещания, экологического мониторинга, охраны и контроля доступа, управления электропитанием, а также программируемых контроллеров, используемых в промышленности, и даже мониторинга сейсмической станции в Бангкоке. Нельзя утверждать, что именно эти устройства заражены, однако сам факт атаки на ловушки с их IP-адресов как минимум означает заражение одного или нескольких устройств в их сети.

Стоит отметить, что большую долю зараженных устройств составляют IP-камеры и видеорегистраторы, широко распространенные в Китае, России, Бразилии, Турции и других странах. Географическое распределение устройств, с IP-адресов которых были зафиксированы атаки на ханипоты, можно увидеть на рис. 4.


Только за 2017 г. "Лаборатория Касперского" зафиксировала более 2 млн попыток взлома и более 11 тыс. уникальных адресов, с которых скачивалось вредоносное ПО для IoT.

Любопытна и динамика активности атакующих по дням недели (рис. 5): ее пик, выраженный в сканировании, переборе паролей и попытках подключения, часто приходится на вполне определенные периоды. В частности, на понедельник, который, как известно, день тяжелый. По-видимому, и для злоумышленников тоже – другого объяснения этому феномену пока найти не удалось.


События 2016 г. показали, что проблема незащищенности умных устройств перешла из разряда возможной в категорию абсолютно реальной угрозы. Количество таких девайсов уже сейчас превышает отметку в несколько миллиардов, в то время как аналитики прогнозируют их рост к 2020 г. в пределах от 20 до 50 млрд устройств.

Умные гаджеты становятся не только неотъемлемой частью нашей жизни, но и источником серьезных угроз. Как же уберечь их от атак злоумышленников? Соблюдение некоторых несложных рекомендаций – залог защищенности пользователей от большинства распространенных в настоящий момент IoT-зловредов.

Прежде всего, если это не требуется для использования устройства, не стоит открывать к нему доступ из внешней сети. Кроме того, целесообразно отключить все сетевые серверы, которые не нужны вам в процессе работы с девайсом. Прежде чем приступить к использованию устройства, необходимо сменить пароль по умолчанию на новый, устойчивый к прямому перебору. Если же на устройстве установлен стандартный или универсальный пароль, который невозможно поменять, или же не представляется возможным деактивировать предустановленную учетную запись, следует отключить сетевые серверы, в которых они используются, или закрыть сетевой доступ к ним извне. И, конечно, не забывайте регулярно обновлять прошивку используемого устройства до последней версии, если такая возможность предусмотрена.

___________________________________________
1 https://www.scmagazineuk.com/ovh-suffers-11tbps-ddos-attack/article/532197/
2 https://motherboard.vice.com/en_us/article/pg9qkv/a-hackable-dishwasher-is-connecting-hospitals-to-the- internet-of-shit
3 https://www.pentestpartners.com/security-blog/iot-Aga-cast-iron-security-flaw/
4 https://techcrunch.com/2017/04/25/brickerbot-is-a-vigilante-worm-that-destroys-insecure-iot-devices/
5 https://www.gartner.com/newsroom/id/3598917
6 https://isc.sans.edu/forums/diary/TR069+NewNTPServer+Exploits+What+we+know+so+far/21763/
7 https://securelist.com/hajime-the-mysterious-evolving-botnet/78160/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2017
Посещений: 638


  Автор
Владимир Кусков

Владимир Кусков

Антивирусный эксперт “Лаборатории Касперского”

Всего статей:  1

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.