IoT

  • Създателят на Satori е осъден на 13 месеца затвор

    На 13 месеца във федерален затвор в САЩ е осъден 22-годишен хакерза ролята му в създаването на зловреден код на ботнетизползван в големи Distributed Denial of Service (DDoS) атаки. 

    Ботнет мрежата Satori е наследник на скандалния зловреден софтуер Miraiкойто придобива контрол върху уязвими “IoT” устройства. Самите създатели на Mirai бяха арестувани и осъдени през 2018 г. 

    „Киберпрестъпниците зависят от анонимността, но остават видими в очите на правосъдието“, е заявил американският прокурор Шродер. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Mukashi – проверете дали не сте част от най-новия ботнет

    Последен ъпдейт на 4 май 2020 в 11:58 ч.

    Накратко:

    • IoT остават уязвими на атаки най-вече заради неглижиране от страна на собствениците си и заради краткия период на поддръжка от производителите си
    • Заради това, ботмрежи с „умни“ устройства са в основата на едни от най-големите DDoS атаки в света
    • Един от водещите зловредни кодове, инфектиращи IoT устройства – Mirai – се завръща с ново име – Mukashi и променен подход на действие
    • Как да защитите IoT устройствата, които използвате: започнете със смяна на фабричните им потребителско име и парола

    По материала работиха: Валентин Манев, Георги Павлов

    Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.

    Рекордни DDoS атаки

    Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.

    Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях  са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.

    В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:

    1. Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
    2. След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
    3. В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
    4. Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.

    Най-новият наследник

    Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.

    На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.

    Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?

    Какво прави този вид ботмрежи специални?

    Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери  могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.

    Борбата срещу botnet мрежите продължава

    Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.

    Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.

    В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.

    Какво можем да направим, за да се защитим?

     

    • Не използвайте креденшълите по подразбиране. Винаги променяйте паролите и имената на акаунтите по подразбиране на всичките си устройства (като телефони, рутери, смарт телевизори), за да ограничите възможността да станете част от проблема т.е. да станете част от ботмрежа.
    • Използвайте уникални и сложни (дълги и съдържащи различни по вид символи) пароли. По-голямата част от така наречените “хаквания” се дължат на човешка грешка, поради недоглеждане или поради слаби пароли.
    • Прилагайте ъпдейтите за вашите устройствата. Много от нас често забравят, че това е една от най-важните мерки, които може да предприемем срещу това да бъдем компрометирани. А поддръжката е една от ахилесовите пети на IoT устройствата – обикновено производителите им не ги поддържат твърде дълго и спират да запушват уязвимости за по-стари устройства.
    • Ограничете достъпа до устройствата си. Не е нужно целият свят да има достъп до вашия smart климатик или телевизор, нали?
  • Хакер публикува списък с над 500 хил. потребителски имена и пароли за сървъри и IoT устройства

    Последен ъпдейт на 23 януари 2020 в 01:11 ч.

    Хакер е публикувал списък с IP адреси, потребителски имена и пароли на над 515 хил. сървъра, домашни рутера и IoT* устройства, съобщава zdnet.com. С тази информация всеки може да управлява устройствата и да ги използва за свои цели – включително и за осъществяване на DDoS атаки. Това е и най-големият публикуван списък с Telnet данни за достъп до момента.

    За достъп до откритите устройства, хакерът е използвал:

    1. фабрично зададените потребителско име и парола
    2. списък с лесни за отгатване пароли

    Списъкът е публикуван от DDoS оператор – организация, която се наема с цел осъществяване на атаки за отказ на услуга срещу конкуренти или потенциални цели на „клиента“. На въпрос защо информацията е направена публично достояние, отговорът е бил „ъпгрейд на услугата“. „Преминаваме от IoT ботмрежи към нов модел, който разчита на сървъри от доставчици на cloud услуги,“ коментира хакерът.

    Информацията в списъка датира от октомври и ноември 2019 г., въпреки че част от устройствата в него вече са със сменени IP адреси или пароли. Ако се сдобиете с данните за достъп не ги използвайте – неоторизираното логване в чуждо устройство е престъпление. 

    * IoT е съкращение от интернет на нещата

  • Уязвимост в остарял Android позволява подслушване през кухненски робот

    Кухненски робот, дистрибутиран от Lidl в Западна Европа, може да бъде използван за подслушване на собствениците си.

    Причината за уязвимостта е използваната остаряла версия на Android. Благодарение на това, устройството Monsieur Cuisine Connect може да бъде използвано за подслушване на разговорите и всичко друго, случващо се в кухнята на домакинството.

    Към момента кухненският помощник не се продава от веригата в България.

    Предисмтвото на Monsieur Cuisine Connect, е че позволява да бъде свързано в WiFi мрежа и да показва рецепти, свалени от интернет, директно на 7-инчовия си сензорен дисплей. Устройството разполага с вграден микрофон и високоговорител и работи с Android 6.0, версия на операционната система, която не е ъпдейтвана от октомври 2017 г. 

    Благодарение на вградения микрофон, Monsieur Cuisine Connect може да бъде управляван с глас. Добрата новина, че самият микрофон е деактивиран по подразбиране, но опасността от злоупотреба с него е напълно реална.

    Това е и поредният пример за уязвимост на IoT устройство – която наглед безобидна, може да доведе много сериозни последици за собствениците му.

  • Узявимост в софтуер за IoT устройства може напълно да ги компрометира

    Операционната система FreeRTOS има уязвимости, които позволяват изтичане на данни, компрометиране и блокиране на устройствата. Софтуерът може да се използва от много свързани към интернет устройства, включително и медицински уреди.

    Анализаторите на Zimperium са открили общо 13 уязвимости, които засягат както FreeRTOS, така и нейните разновидности OpenRTOS и SafeRTOS. „Тези уязвимости позволяват на хакерите да блокират устройствата, да източат данни от паметта им, както и да инсталират и задействат зловреден код, който напълно да ги компрометира“, посочват от компанията.

    Zimperium не дава повече технически детайли за уязвимостите. Такива ще се публикуват след около месец, за да може междувременно разработчиците да ъпдейтнат FreeRTOS до версия 1.3.2, в която уязвимостите са отстранени.

    Софтуер с широко приложение

    FreeRTOS се използва предимно в устройства, които работят с микроконтролери: например сензори, фитнес тракери, измервателни уреди и т.н. Според Zimperium операционната система намира приложение в много индустрии: умни градове, производство на автомобили, авиокосмическа индустрия, здравеопазване.

    През 2017 г. Amazon придоби контрол върху FreeRTOS и в момента го предоставя безплатно на разработичците (има и платена версия). Плановете на компанията е да развива проекта като операционна система, която позволява на редица устройства лесно да се свързват към облака.

    Милиарди IoT устройства

    Няма официална статистика за броя на устройствата, които използват FreeRTOS. От Zimperium посочват, че операционанта система е „пазарен лидер“ в своя сегмент.

    Броят на свързаните към интернет устройства ще достигне 31 млрд. през 2018 г. по данни на IHS Markit. Голяма част от тях няма да са смартфони и преносими компютри, а уреди, които досега никога не са имали връзка с интернет. Което може да означава всичко от камери за видеонаблюдение през кухненски уреди до водомери и медицински устройства като глюкомери.

    Това неизбежно поставя и въпроса за сигурността на тези устройства, някои от които изпълняват животоспасяващи функции. За немалка част от потребителите идеята някой да хакне пейсмейкъра им все още звучи еретично. Но това е част от новата реалност, която интернет на нещата създава.

  • Torii е ботмрежа, която задминава Mirai по сложност

    Последен ъпдейт на 4 октомври 2018 в 05:13 ч.

    Новооткрит малуер използва различни техники, за да остане незабелязан и да изгради ботмрежа от свързани към интернет устройства. Ботнетът е засечен първо от Веселин Бончев от Националната лаборатория по компютърна вирусология (НЛКВ) към БАН.  Наречен е Torii, тъй като използва Tor мрежата, за да атакува устройства.

    Бончев съобщава за ботнета на 20 септември, след като го засича със своя honeypot. Бончев публикува туит за откритието си, а Avast прави последващ анализ на новооткрития ботнет.

    Според Avast Torii засега не е използван за DDoS атаки, спам или копаене на криптовалути, показва проучване на компанията за киберсигурност Avast. Това, което го прави значим, е че за разлика от така популярния ботнет Mirai, използва по-сложни техники за заразяване на устройства. Mirai беше открит през август 2016 г. и засягаше различни устройства като домашни рутери и свързани към интернет камери. Заплахата от него стана значително по-голяма, след като кодът на малуера беше публикуван в интернет за свободно сваляне. Това даде възможност лесно да бъде копиран, модифициран и разпространяван.

    Ботмрежа от ново ниво

    „За разлика от Mirai, QBot  и техните производни, този ботнет се опитва да действа по-скрито и да остане на устройството, след като се инсталира на него. Засега той не прави нещата, които един ботнет обичайно прави – например да осъществява DDoS атаки и да копае криптовалути. Вместо това той притежава богат арсенал от функции за извличане на чувствителна информация и архитектура, способна да изпълнява различни команди и кодове. И всичко това се случва чрез криптирана комуникация“, посочват от Avast.

    Според проучването Torii може да засегне голям брой устройства и работи на устройства с различни архитектури на процесора, включително MIPS, ARM, x86, x64, PowerPC, SuperH и други. Предполага се, че малуерът функционира поне от декември 2017 г.

    Как протича атаката

    Заразяването протича на няколко етапа. В първия етап малуерът открива свързани към интернет устройства и ги тества за слаби потребителски имена и пароли. Когато получи достъп до устройството, Torii се опитва да открие архитектурата на неговия процесор и инсталира пейлоуд. Тъй като има възможност да инсталира пейлоуд за различни и широко използвани процесори, това увеличава значително способността му да засяга голям брой устройства. Инсталирането на пейлоуд става на два етапа и според Avast се използват поне 6 метода, за да се гарантира, че зловредният код ще остане на заразеното устройство.

    Другото, което отличава Torii, е, че атаката на устройствата започва от изходни Tor нодове (сървъри, които са част от Tor мрежата). когато се инсталира на едно устройство, малуерът комуникира с командни сървъри чрез криптирана връзка. Анонимизирането помага на ботнета да остане под радара и да не привлича внимание.

    „Очевидно е, че Torii е пример за еволюцията на малуера, насочен към интернет на нещата. Неговата сложност е на ниво, каквото не сме виждали досега. След като зарази устройство, Torii изпраща много информация към командния сървър. Освен това. докато има връзка с командния сървър, авторите на атаката могат да стартират зловреден код в заразеното устройство. Това предполага, че Torii може да се превърне в модулна платформа в бъдеще“, коментират от Avast.

  • Нов метод за маскиране на DDoS атаки ги прави в пъти по-опостушителни

    Последен ъпдейт на 28 юни 2018 в 11:49 ч.

    Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:

    UDP-based Amplification Attacks
    ProtocolBandwidth Amplification Factor
    Memcache50000
    NTP556.9
    CharGen358.8
    DNSup to 179 [48]
    QOTD140.3
    Quake Network Protocol63.9
    BitTorrent4.0 – 54.3 [49]
    SSDP30.8
    Kad16.3
    SNMPv26.3
    Steam Protocol5.5
    NetBIOS3.8

    Източник: Wikipedia

    За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.

    Вече не може да разчитаме на това 

    Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.

    На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.

    UPnP е протокол с дълго минало и множество проблеми касаещи сигурността

    За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.

    Какви са евентуалните проблеми с UPnP:

    1. В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
    2. Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
    3. Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.

    Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име  – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.

    От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.

    Маскиране на DDoS атака чрез UPnP пренасочване на портове

    В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.

    Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?

     

    1. Откриване на общодостъпни UPnP устройства
      С помощта на IoT търсачката shodan.io, резултатът за българското пространството

    За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.

    1. Ето така изглежда XML който UPnP сервира

    1. Промяна на правилата за пренасочване на портове
      В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила.

      Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.

     

    1. Стартиране на замаскираната атака
      С направеното до тук, атаката следва следният сценарий:
      1. Уязвимият рутер получава DNS заявка на UDP/1337;
      2. Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
      3. DNS сървъра отговаря на заявката като със sourse port UDP/53;
      4. Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.
    Source: Imperva

    В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)

    Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.

    Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Какви опасности крие един „умен“ дом или офис

    Последен ъпдейт на 28 юни 2018 в 01:15 ч.

    „Интернет на нещата“ (IoT, Internet of Things) е феномен, който за много хора означава да се възползват от предимствата на свързани с интернет устройства, които могат да контролират отдалечено. Целта: да улесним живота си и дори да спестим разходи – като например контролираме отвсякъде кога и на каква температура да работи климатикът, например.

    Дали обаче тази технология е безопасна? Има само един начин да разберем – като проверим или като някой провери вместо нас. В случая, този някой са анализаторите на ESET, които са тествали възможностите за защита на 20 различни устройства, свързани в един „умен дом“ – а производителите са марки като Amazon, d-Link, Nokia, Sonos, TP-Link и други.

    Пълните резултати от експеримента можете да видите тук. А обобщението може да прочетете по-долу.

    Личното ви пространство става все по-малко лично

    Нуждата на IoT устройствата да ви следят и да събират информация за поведението ви не е най-големия проблем на умните домове. Както показват резултатите от проучването, основният проблем се крие в уязвимостите, открити в по-голямата част от тестваните устройства. С други думи – нямате пълна гаранция, че информацията ви отива само там, където я изпращате.

    Последното е особено важно в случаите, в които сте се възползвали от предимствата на на IoT не за дома, а за офиса си.

    Трудно, но не и невъзможно

    Предвид казаното по-горе, мога ли да вярвам на умния си дом или офис? Да, разбира се.

    А мога ли да имам сигурен умен дом или офис? Да, разбира се. Изграждането на защитена система от IoT устройства е напълно постижима задача, стига да знаете какво правите – или да работите с някой, който знае какво прави. В противен случай, рискувате да създадете база данни с вашите навици, предпочитания и лични (бизнес) данни, която  да е защитена точно толкова, колкото може да бъде непромокаем един гевгир.

    Никое приложение или устройство не може да ви гарантира пълна сигурност, независимо какво казва производителят. Но начинът, по който инсталирате, конфигурирате и работите с тези устройства може да намали риска от работата с тях и да ви позволи да се възползвате от предимствата им.

    Интелигентен дом с интелигентни избори

    Ако сте готови да внесете лека футуристична нотка в ежедневието си и искате интернет да е и на вашите неща, то трябва да знаете как да избирате:

    • Проверете за потенциални и минали уязвимости с просто търсене онлайн. Най-добре е да го направите на английски като следвате следните шаблони:

    [име на устройството] security vulnerability

    [име на устройството] privacy breach

    [име на устройството] data leak

    • Проверете дали и колко често производителят обновява фърмуера (вградения софтуер) на устройството, което сте избрали. Можете да проверите на сайта на производителя, да следите бюлетини или да използвате търсачка.
    • Четете – да, курсорът на мишката ви се отплесва към „Accept Terms & Conditions” в момента, в който видите правен текст, но това няма да направи устройството ви по-сигурно.
    • Не прекалявайте с данните, които споделяте с устройствата си или услугите, които използвате чрез тях. Отнасяйте се с тях като с човек, който обслужва нуждите ви, а не стар познат.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • 5 съвета за по-защитени IoT устройства

    Последен ъпдейт на 28 юни 2018 в 01:27 ч.

    Светът е IoT (Internet oThings или интернет на нещата). На практика, това са всички умни и свързани с интернет устройства – от IP камери, през рутери и принтери, чак до „умни“ крушки за лампи. Проблемът с тях е, че средностатистическия потребител не би имал и най-беглата идея как да ги подсигури срещу експлоатиране. А те съхраняват критична за него локация, която в грешните ръце може да бъде силно оръжие срещу самия потребител.

    Нагледен пример за последното през последните две години са множество масирани атаки, идващи от ботмрежи, изградени изцяло от IoT устройства и изтеклите лични и дори интимни снимки.

    Защитата на такива устройства не е нещо непостижимо – дори обратното. Ето няколко съвета, които ще ви помогнат да спите спокойно в свят, в който дигитална рамка за снимки може да шпионира вас и организацията ви (да, системни администратори, следващите редове са специално и за вас – защото смарт часовниците във офиса ви сигурност далеч не са изключение):

    1. Избягвайте устройства, които рекламират Peer-to-Peer (P2P) функционалност

    Причината за това е, че такива устройства използват изключително несигурен начин за свързване и са достижими отдалечено, дори и зад защитна стена. Те винаги търсят начин да се свържат към глобална, обща мрежа, за да могат потребителите да ги достъпват без значение къде са. Това обаче оставя зееща пролука в сигурността, която само чака да бъде експлоатирана.

    2. Винаги променяйте фабричните настройки

    Целта на занятието е да се избегнат или изключат функции, които са апетитни за атакуващите (като UPnP – Universal Plug n’ Play, който може да минава през защитната ви стена, без да знаете).

    За да сте сигурни, винаги можете да проверите кои портове са отворени и достъпни през IP адреса ви. Можете да проверите IP адреса си тук и да използвате този инструмент на Censys като изберете IPv4 от падащото меню на страницата, въведете IP адреса си и натиснете „търси“.

    От страна на антивирусния ви софтуер, най-добър избор би било използването на такъв с допълнително подсигуряване на мрежи и използване на интернет.

    3. Обновявайте firmware-a на устройствата си

    Вече сме писали неведнъж по темата – но по-голямата част от IoT устройствата обикновено се купуват и съществуването им се забравя от собственика (а понякога – и от производителя). Да, немалка част от авторите на IoT устройства предоставят на всичките си потребители обновления, които или подобряват сигурността, или поправят софтуерни грешки. Най-добре е дори, преди да включите устройството си в мрежата, да проверите дали фърмуеъра е последна версия.

    4. Променяйте фабричните пароли

    Факт е, че при някои устройства дори и това не би помогнало поради лошото внедряване на други мерки за сигурност или липсата им. Освен ако не искате всички да виждат огромен надпис „Добре дошли!“ над устройството ви, то първото нещо, което трябва да правите с ново устройство е промяната на фабричните име и парола – което важи с особена сила за WiFi рутера ви, особено, ако мрежата ви е незащитена с парола (Мрежата ви е незащитена с парола!? Поправете го още докато четете този текст). За жалост, голяма част от продуктите, които хората използват днес, имат и недокуметирани „задни вратички“, които принципно са акаунти за разработчици, чиито име и парола често са общо достояние.

    5. Не свързвайте устройствата си директно с интернет

    Това значи, че устройството ви не трябва да е последната стъпка преди световната мрежа – без защитна стена. Напредъкът във функционалността на IoT устройствата се случва прекалено бързо, за да се осигури максималното (или поне някакво) ниво на сигурност за всички устройства. Ако използвате рутер, то той най-вероятно има вградена защитна стена – дръжте всички устройства зад нея.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • IoT доведоха до 91% ръст на DDoS атаките през 2017 г.

    Последен ъпдейт на 28 юни 2018 в 01:29 ч.

    Смарт-часовници, телевизори, хладилници, печки и много други IoT устройства в комбинация с наличието на услуги под наем са основните причини за над 90% ръст в броя на засечените през 2017 г. DDoS атаки от Corero Network Security.

    DDoS или атака за отказ от услуга представлява забавяне или спиране на услуга, сайт или сървър след изпращането на огромен брой заявки за обработка, което води до невъзможност на сървъра да смогне с обема информация (повече за този тип атаки научете от нашия речник).

    8.4 млрд. причини

    Интернетът на нещата (както се превежда на български език IoT) и експлоатирането му за генериране на спам и фишинг атаки, както и на интернет трафик като цяло, не е нещо ново или невероятно. Подобни устройства са често експлоатирани, тъй като все още защитата им не е на толкова високо ниво, колкото на компютри и смартфони, например – а един смарт-телевизор има завидни възможности като устройство от гледна точка хардуерна мощност. Дори един домашен WiFi рутер (които са сред най-често компроментираните устройства) може да бъде използван за подобни негативни цели.

    Така се получава следната ситуация: според Gartner към края на 2017 г. в света работят около 8.4 млрд. IoT устройства, а до края на 2018 г. броят им ще порасне  до 11.2 млрд. (или с над 30%). Не е ясно каква част от тях имат някаква защита –  съответно каква част от тях могат (или са) използвани за осъществяване на нелегални дейности, обикновено без знанието на собствениците им. Но е факт, че само няколко години след стартът на масовото им навлизане на пазара, те вече са фактор – първо в разпращането на спам, а вече и DDoS атаките.

    Осезаемо повече

    Данните на Corero Network Security показват, че през третото тримесечие на миналата година, са засичани средно 237 атаки месечно – с 35% повече спрямо първото тримесечие и с 91% повече спрямо началото на годината.

    Естествено, не само IoT устройствата имат дял в това – на дневен ред е и възможността за наемане на услуги, които осъществяват DDoS атаки. На практика – подобна услуга може да бъде наета срещу по-малко от 100 долара, с които да се спре функционирането на сайт или да се забави значително, твърдят от Corero.

    Успешни примери

    Като успешен пример за рисковете, пред които стои IoT светът, е ботмрежата Reaper, която експлоатира уязвимости  в редица онлайн камери и рекордери – и която бе използвана за подобни атаки през 2017 г.

    В началото на декември се „събуди“ и мрежата Satori – като само за ден беше засечено наличието ѝ на 280,000 различни IP адреса (бота). А малко по-късно – около Коледните празници – беше публикуван и варианта на кода, който е бил използван от мрежата (иронично или не, Satori на яонски означава „събуждане“).

    А 2018 г. едва сега започва…

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button