IoT

  • Ползваш фитнес тракер, живееш в „умна“ къща – безопасно ли е

    Умните джаджи (IoT) правят живота ти по-лесен и намаляват времето ти пред екрана на смартфона. Изследвания обаче показват, че те са податливи на манипулация, което дори може да ти причини физически дискомфорт и стрес.

    Ето няколко начина да те хакнат

    • През Bluetooth: той за това е направен, за свързване с други устройства, които не винаги са добронамерени
    • Когато софтуерът на устройството е лошо програмиран или удостоверяването/криптирането е слабо
    • През приложения – лошо написани или злонамерени
    • През бекенд сървърите на облачните доставчици

    Какво от това

    Това, че умните джаджи са синхронизирани с различни други приложения. И това автоматично означава, че хакнатото IoT устройство отваря широк достъп на злонамерените лица и те могат да:

    • Откраднат или манипулират данните ти
    • Продадат на трети лица информацията ти
    • Проследяват местоположението ти
    • Получат достъп до дома ти

    Препоръки за предпазване

    Можеш да сведеш до минимум рисковете, описани по-горе, като спазваш някои добри практики:

    За всички устройства:

    За смартфона:

    • Сваляй приложения само от официалните магазини (PlayStore, Apple Store), защото контролът на сигурността им е завишен
    • Редовно ъпдейтвай софтуера на смартфона
    • Не прави jailbreaking/rooting
    • Разрешавай достъп само на наистина необходими приложения
    • Инсталирай AV софтуер

    За умната къща :

    • Не синхронизирай преносими устройства с входната си врата
    • Направи отделна Wi-Fi мрежа за гости
    • Периодично инсталирай най-актуалния фърмуер на всички устройства
    • Задължително смени фабричните пароли, които са по подразбиране
  • Потребителите на Ubiquiti може да са в риск

    Ubiquiti, водещ производител на безжично мрежово оборудване и IoT устройства, е обвинен в прикриване на сериозно нарушение на сигурността.

    През януари 2021 г. компанията информира, че е установила неоторизиран достъп до системите си в облака, но потребителите й не са засегнати от това. Все пак клиентите бяха помолени да променят паролите си и да активират двуфакторно удостоверяване (2FA).

    Няколко месеца по-късно експертът по сигурността Брайън Кребс съобщава в блога си, че инцидентът е далеч по-сериозен, дори „катастрофален“.

    Твърди се, че нападателите са получили пълен администраторски достъп до AWS (Amazon Web Services) сървърите на компанията, включително до идентификационните данни за достъп на потребителите. Това потенциално компрометира всяка мрежа с Ubiquiti оборудване, настроено да бъде контролирано чрез облачната услуга на компанията.

    Ubiquiti все така твърди, че дори да става дума за по-сериозен инцидент, клиентска информация не е засегната, и отново приканва към смяна на паролите за достъп и към активиране на 2FA.

  • Водещ IoT производител е ударен от криптовирус

    Рансъмуер атака спря дейността на водещия IoT (интернет на нещата) производител Sierra Wireless. Засегнати са ИТ системите на компанията и производствения процес. Към момента на публикуване на тази новина, уеб сайтът не е достъпен.

    https://www.sierrawireless.com/

     

    Компанията създава широк спектър от комуникационно оборудване – шлюзове, рутери, клетъчни модеми, модули и интелигентни решения за свързване за IoT устройства.

    Не се разкрива как е стартирала атаката и дали са засегнати данни на клиенти.

  • Създателят на Satori е осъден на 13 месеца затвор

    На 13 месеца във федерален затвор в САЩ е осъден 22-годишен хакерза ролята му в създаването на зловреден код на ботнетизползван в големи Distributed Denial of Service (DDoS) атаки. 

    Ботнет мрежата Satori е наследник на скандалния зловреден софтуер Miraiкойто придобива контрол върху уязвими “IoT” устройства. Самите създатели на Mirai бяха арестувани и осъдени през 2018 г. 

    „Киберпрестъпниците зависят от анонимността, но остават видими в очите на правосъдието“, е заявил американският прокурор Шродер. 

    [button color=“green“ size=“big“ link=“https://thehackernews.com/2020/06/ddos-botnet-hacker-jailed.html“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Mukashi – проверете дали не сте част от най-новия ботнет

    Последен ъпдейт на 4 май 2020 в 11:58 ч.

    Накратко:

    • IoT остават уязвими на атаки най-вече заради неглижиране от страна на собствениците си и заради краткия период на поддръжка от производителите си
    • Заради това, ботмрежи с „умни“ устройства са в основата на едни от най-големите DDoS атаки в света
    • Един от водещите зловредни кодове, инфектиращи IoT устройства – Mirai – се завръща с ново име – Mukashi и променен подход на действие
    • Как да защитите IoT устройствата, които използвате: започнете със смяна на фабричните им потребителско име и парола

    По материала работиха: Валентин Манев, Георги Павлов

    Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.

    Рекордни DDoS атаки

    Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.

    Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях  са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.

    В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:

    1. Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
    2. След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
    3. В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
    4. Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.

    Най-новият наследник

    Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.

    На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.

    Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?

    Какво прави този вид ботмрежи специални?

    Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери  могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.

    Борбата срещу botnet мрежите продължава

    Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.

    Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.

    В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.

    Какво можем да направим, за да се защитим?

     

    • Не използвайте креденшълите по подразбиране. Винаги променяйте паролите и имената на акаунтите по подразбиране на всичките си устройства (като телефони, рутери, смарт телевизори), за да ограничите възможността да станете част от проблема т.е. да станете част от ботмрежа.
    • Използвайте уникални и сложни (дълги и съдържащи различни по вид символи) пароли. По-голямата част от така наречените “хаквания” се дължат на човешка грешка, поради недоглеждане или поради слаби пароли.
    • Прилагайте ъпдейтите за вашите устройствата. Много от нас често забравят, че това е една от най-важните мерки, които може да предприемем срещу това да бъдем компрометирани. А поддръжката е една от ахилесовите пети на IoT устройствата – обикновено производителите им не ги поддържат твърде дълго и спират да запушват уязвимости за по-стари устройства.
    • Ограничете достъпа до устройствата си. Не е нужно целият свят да има достъп до вашия smart климатик или телевизор, нали?
  • Хакер публикува списък с над 500 хил. потребителски имена и пароли за сървъри и IoT устройства

    Последен ъпдейт на 23 януари 2020 в 13:11 ч.

    Хакер е публикувал списък с IP адреси, потребителски имена и пароли на над 515 хил. сървъра, домашни рутера и IoT* устройства, съобщава zdnet.com. С тази информация всеки може да управлява устройствата и да ги използва за свои цели – включително и за осъществяване на DDoS атаки. Това е и най-големият публикуван списък с Telnet данни за достъп до момента.

    За достъп до откритите устройства, хакерът е използвал:

    1. фабрично зададените потребителско име и парола
    2. списък с лесни за отгатване пароли

    Списъкът е публикуван от DDoS оператор – организация, която се наема с цел осъществяване на атаки за отказ на услуга срещу конкуренти или потенциални цели на „клиента“. На въпрос защо информацията е направена публично достояние, отговорът е бил „ъпгрейд на услугата“. „Преминаваме от IoT ботмрежи към нов модел, който разчита на сървъри от доставчици на cloud услуги,“ коментира хакерът.

    Информацията в списъка датира от октомври и ноември 2019 г., въпреки че част от устройствата в него вече са със сменени IP адреси или пароли. Ако се сдобиете с данните за достъп не ги използвайте – неоторизираното логване в чуждо устройство е престъпление. 

    * IoT е съкращение от интернет на нещата

  • Уязвимост в остарял Android позволява подслушване през кухненски робот

    Кухненски робот, дистрибутиран от Lidl в Западна Европа, може да бъде използван за подслушване на собствениците си.

    Причината за уязвимостта е използваната остаряла версия на Android. Благодарение на това, устройството Monsieur Cuisine Connect може да бъде използвано за подслушване на разговорите и всичко друго, случващо се в кухнята на домакинството.

    Към момента кухненският помощник не се продава от веригата в България.

    Предисмтвото на Monsieur Cuisine Connect, е че позволява да бъде свързано в WiFi мрежа и да показва рецепти, свалени от интернет, директно на 7-инчовия си сензорен дисплей. Устройството разполага с вграден микрофон и високоговорител и работи с Android 6.0, версия на операционната система, която не е ъпдейтвана от октомври 2017 г. 

    Благодарение на вградения микрофон, Monsieur Cuisine Connect може да бъде управляван с глас. Добрата новина, че самият микрофон е деактивиран по подразбиране, но опасността от злоупотреба с него е напълно реална.

    Това е и поредният пример за уязвимост на IoT устройство – която наглед безобидна, може да доведе много сериозни последици за собствениците му.

  • Узявимост в софтуер за IoT устройства може напълно да ги компрометира

    Операционната система FreeRTOS има уязвимости, които позволяват изтичане на данни, компрометиране и блокиране на устройствата. Софтуерът може да се използва от много свързани към интернет устройства, включително и медицински уреди.

    Анализаторите на Zimperium са открили общо 13 уязвимости, които засягат както FreeRTOS, така и нейните разновидности OpenRTOS и SafeRTOS. „Тези уязвимости позволяват на хакерите да блокират устройствата, да източат данни от паметта им, както и да инсталират и задействат зловреден код, който напълно да ги компрометира“, посочват от компанията.

    Zimperium не дава повече технически детайли за уязвимостите. Такива ще се публикуват след около месец, за да може междувременно разработчиците да ъпдейтнат FreeRTOS до версия 1.3.2, в която уязвимостите са отстранени.

    Софтуер с широко приложение

    FreeRTOS се използва предимно в устройства, които работят с микроконтролери: например сензори, фитнес тракери, измервателни уреди и т.н. Според Zimperium операционната система намира приложение в много индустрии: умни градове, производство на автомобили, авиокосмическа индустрия, здравеопазване.

    През 2017 г. Amazon придоби контрол върху FreeRTOS и в момента го предоставя безплатно на разработичците (има и платена версия). Плановете на компанията е да развива проекта като операционна система, която позволява на редица устройства лесно да се свързват към облака.

    Милиарди IoT устройства

    Няма официална статистика за броя на устройствата, които използват FreeRTOS. От Zimperium посочват, че операционанта система е „пазарен лидер“ в своя сегмент.

    Броят на свързаните към интернет устройства ще достигне 31 млрд. през 2018 г. по данни на IHS Markit. Голяма част от тях няма да са смартфони и преносими компютри, а уреди, които досега никога не са имали връзка с интернет. Което може да означава всичко от камери за видеонаблюдение през кухненски уреди до водомери и медицински устройства като глюкомери.

    Това неизбежно поставя и въпроса за сигурността на тези устройства, някои от които изпълняват животоспасяващи функции. За немалка част от потребителите идеята някой да хакне пейсмейкъра им все още звучи еретично. Но това е част от новата реалност, която интернет на нещата създава.

  • Torii е ботмрежа, която задминава Mirai по сложност

    Последен ъпдейт на 4 октомври 2018 в 17:13 ч.

    Новооткрит малуер използва различни техники, за да остане незабелязан и да изгради ботмрежа от свързани към интернет устройства. Ботнетът е засечен първо от Веселин Бончев от Националната лаборатория по компютърна вирусология (НЛКВ) към БАН.  Наречен е Torii, тъй като използва Tor мрежата, за да атакува устройства.

    Бончев съобщава за ботнета на 20 септември, след като го засича със своя honeypot. Бончев публикува туит за откритието си, а Avast прави последващ анализ на новооткрития ботнет.

    Според Avast Torii засега не е използван за DDoS атаки, спам или копаене на криптовалути, показва проучване на компанията за киберсигурност Avast. Това, което го прави значим, е че за разлика от така популярния ботнет Mirai, използва по-сложни техники за заразяване на устройства. Mirai беше открит през август 2016 г. и засягаше различни устройства като домашни рутери и свързани към интернет камери. Заплахата от него стана значително по-голяма, след като кодът на малуера беше публикуван в интернет за свободно сваляне. Това даде възможност лесно да бъде копиран, модифициран и разпространяван.

    Ботмрежа от ново ниво

    „За разлика от Mirai, QBot  и техните производни, този ботнет се опитва да действа по-скрито и да остане на устройството, след като се инсталира на него. Засега той не прави нещата, които един ботнет обичайно прави – например да осъществява DDoS атаки и да копае криптовалути. Вместо това той притежава богат арсенал от функции за извличане на чувствителна информация и архитектура, способна да изпълнява различни команди и кодове. И всичко това се случва чрез криптирана комуникация“, посочват от Avast.

    Според проучването Torii може да засегне голям брой устройства и работи на устройства с различни архитектури на процесора, включително MIPS, ARM, x86, x64, PowerPC, SuperH и други. Предполага се, че малуерът функционира поне от декември 2017 г.

    Как протича атаката

    Заразяването протича на няколко етапа. В първия етап малуерът открива свързани към интернет устройства и ги тества за слаби потребителски имена и пароли. Когато получи достъп до устройството, Torii се опитва да открие архитектурата на неговия процесор и инсталира пейлоуд. Тъй като има възможност да инсталира пейлоуд за различни и широко използвани процесори, това увеличава значително способността му да засяга голям брой устройства. Инсталирането на пейлоуд става на два етапа и според Avast се използват поне 6 метода, за да се гарантира, че зловредният код ще остане на заразеното устройство.

    Другото, което отличава Torii, е, че атаката на устройствата започва от изходни Tor нодове (сървъри, които са част от Tor мрежата). когато се инсталира на едно устройство, малуерът комуникира с командни сървъри чрез криптирана връзка. Анонимизирането помага на ботнета да остане под радара и да не привлича внимание.

    „Очевидно е, че Torii е пример за еволюцията на малуера, насочен към интернет на нещата. Неговата сложност е на ниво, каквото не сме виждали досега. След като зарази устройство, Torii изпраща много информация към командния сървър. Освен това. докато има връзка с командния сървър, авторите на атаката могат да стартират зловреден код в заразеното устройство. Това предполага, че Torii може да се превърне в модулна платформа в бъдеще“, коментират от Avast.

  • Нов метод за маскиране на DDoS атаки ги прави в пъти по-опостушителни

    Последен ъпдейт на 28 юни 2018 в 11:49 ч.

    Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:

    UDP-based Amplification Attacks
    Protocol Bandwidth Amplification Factor
    Memcache 50000
    NTP 556.9
    CharGen 358.8
    DNS up to 179 [48]
    QOTD 140.3
    Quake Network Protocol 63.9
    BitTorrent 4.0 – 54.3 [49]
    SSDP 30.8
    Kad 16.3
    SNMPv2 6.3
    Steam Protocol 5.5
    NetBIOS 3.8

    Източник: Wikipedia

    За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.

    Вече не може да разчитаме на това 

    Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.

    На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.

    UPnP е протокол с дълго минало и множество проблеми касаещи сигурността

    За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.

    Какви са евентуалните проблеми с UPnP:

    1. В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
    2. Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
    3. Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.

    Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име  – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.

    От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.

    Маскиране на DDoS атака чрез UPnP пренасочване на портове

    В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.

    Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?

     

    1. Откриване на общодостъпни UPnP устройства
      С помощта на IoT търсачката shodan.io, резултатът за българското пространството

    За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.

    1. Ето така изглежда XML който UPnP сервира

    1. Промяна на правилата за пренасочване на портове
      В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила.

      Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.

     

    1. Стартиране на замаскираната атака
      С направеното до тук, атаката следва следният сценарий:
      1. Уязвимият рутер получава DNS заявка на UDP/1337;
      2. Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
      3. DNS сървъра отговаря на заявката като със sourse port UDP/53;
      4. Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.
    Source: Imperva

    В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)

    Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.

    Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button