Умните джаджи (IoT) правят живота ти по-лесен и намаляват времето ти пред екрана на смартфона. Изследвания обаче показват, че те са податливи на манипулация, което дори може да ти причини физически дискомфорт и стрес.
Ето няколко начина да те хакнат
През Bluetooth: той за това е направен, за свързване с други устройства, които не винаги са добронамерени
Когато софтуерът на устройството е лошо програмиран или удостоверяването/криптирането е слабо
През приложения – лошо написани или злонамерени
През бекенд сървърите на облачните доставчици
Какво от това
Това, че умните джаджи са синхронизирани с различни други приложения. И това автоматично означава, че хакнатото IoT устройство отваря широк достъп на злонамерените лица и те могат да:
Откраднат или манипулират данните ти
Продадат на трети лица информацията ти
Проследяват местоположението ти
Получат достъп до дома ти
Препоръки за предпазване
Можеш да сведеш до минимум рисковете, описани по-горе, като спазваш някои добри практики:
Ubiquiti, водещ производител на безжично мрежово оборудване и IoT устройства, е обвинен в прикриване на сериозно нарушение на сигурността.
През януари 2021 г. компанията информира, че е установила неоторизиран достъп до системите си в облака, но потребителите й не са засегнати от това. Все пак клиентите бяха помолени да променят паролите си и да активират двуфакторно удостоверяване (2FA).
Твърди се, че нападателите са получили пълен администраторски достъп до AWS (Amazon Web Services) сървърите на компанията, включително до идентификационните данни за достъп на потребителите. Това потенциално компрометира всяка мрежа с Ubiquiti оборудване, настроено да бъде контролирано чрез облачната услуга на компанията.
Ubiquiti все така твърди, че дори да става дума за по-сериозен инцидент, клиентска информация не е засегната, и отново приканва към смяна на паролите за достъп и към активиране на 2FA.
Рансъмуер атака спря дейността на водещия IoT (интернет на нещата) производител Sierra Wireless. Засегнати са ИТ системите на компанията и производствения процес. Към момента на публикуване на тази новина, уеб сайтът не е достъпен.
Компанията създава широк спектър от комуникационно оборудване – шлюзове, рутери, клетъчни модеми, модули и интелигентни решения за свързване за IoT устройства.
Не се разкрива как е стартирала атаката и дали са засегнати данни на клиенти.
На 13 месеца във федерален затвор в САЩ е осъден22-годишен хакер, за ролята му в създаването на зловреден код на ботнет, използванв големи DistributedDenialof Service (DDoS) атаки.
Ботнет мрежата Satori енаследник на скандалниязловреденсофтуерMirai, който придобива контрол върху уязвими “IoT” устройства. Самите създатели на Mirai бяха арестувани и осъдени през 2018 г.
„Киберпрестъпниците зависят от анонимността, но остават видими в очите на правосъдието“, е заявил американският прокурор Шродер.
По материала работиха: Валентин Манев, Георги Павлов
Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.
Рекордни DDoS атаки
Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.
Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.
В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:
Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.
Най-новият наследник
Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.
На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.
Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?
Какво прави този вид ботмрежи специални?
Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.
Борбата срещу botnet мрежите продължава
Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.
Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.
В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.
Какво можем да направим, за да се защитим?
Не използвайте креденшълите по подразбиране. Винаги променяйте паролите и имената на акаунтите по подразбиране на всичките си устройства (като телефони, рутери, смарт телевизори), за да ограничите възможността да станете част от проблема т.е. да станете част от ботмрежа.
Използвайте уникални и сложни (дълги и съдържащи различни по вид символи) пароли. По-голямата част от така наречените “хаквания” се дължат на човешка грешка, поради недоглеждане или поради слаби пароли.
Прилагайте ъпдейтите за вашите устройствата. Много от нас често забравят, че това е една от най-важните мерки, които може да предприемем срещу това да бъдем компрометирани. А поддръжката е една от ахилесовите пети на IoT устройствата – обикновено производителите им не ги поддържат твърде дълго и спират да запушват уязвимости за по-стари устройства.
Ограничете достъпа до устройствата си. Не е нужно целият свят да има достъп до вашия smart климатик или телевизор, нали?
Хакер е публикувал списък с IP адреси, потребителски имена и пароли на над 515 хил. сървъра, домашни рутера и IoT* устройства, съобщава zdnet.com. С тази информация всеки може да управлява устройствата и да ги използва за свои цели – включително и за осъществяване на DDoS атаки. Това е и най-големият публикуван списък с Telnet данни за достъп до момента.
За достъп до откритите устройства, хакерът е използвал:
фабрично зададените потребителско име и парола
списък с лесни за отгатване пароли
Списъкът е публикуван от DDoS оператор – организация, която се наема с цел осъществяване на атаки за отказ на услуга срещу конкуренти или потенциални цели на „клиента“. На въпрос защо информацията е направена публично достояние, отговорът е бил „ъпгрейд на услугата“. „Преминаваме от IoT ботмрежи към нов модел, който разчита на сървъри от доставчици на cloud услуги,“ коментира хакерът.
Информацията в списъка датира от октомври и ноември 2019 г., въпреки че част от устройствата в него вече са със сменени IP адреси или пароли. Ако се сдобиете с данните за достъп не ги използвайте – неоторизираното логване в чуждо устройство е престъпление.
Кухненски робот, дистрибутиран от Lidl в Западна Европа, може да бъде използван за подслушване на собствениците си.
Причината за уязвимостта е използваната остаряла версия на Android. Благодарение на това, устройството Monsieur Cuisine Connect може да бъде използвано за подслушване на разговорите и всичко друго, случващо се в кухнята на домакинството.
Към момента кухненският помощник не се продава от веригата в България.
Предисмтвото на Monsieur Cuisine Connect, е че позволява да бъде свързано в WiFi мрежа и да показва рецепти, свалени от интернет, директно на 7-инчовия си сензорен дисплей. Устройството разполага с вграден микрофон и високоговорител и работи с Android 6.0, версия на операционната система, която не е ъпдейтвана от октомври 2017 г.
Благодарение на вградения микрофон, Monsieur Cuisine Connect може да бъде управляван с глас. Добрата новина, че самият микрофон е деактивиран по подразбиране, но опасността от злоупотреба с него е напълно реална.
Това е и поредният пример за уязвимост на IoT устройство – която наглед безобидна, може да доведе много сериозни последици за собствениците му.
Операционната система FreeRTOS има уязвимости, които позволяват изтичане на данни, компрометиране и блокиране на устройствата. Софтуерът може да се използва от много свързани към интернет устройства, включително и медицински уреди.
Анализаторите на Zimperium са открили общо 13 уязвимости, които засягат както FreeRTOS, така и нейните разновидности OpenRTOS и SafeRTOS. „Тези уязвимости позволяват на хакерите да блокират устройствата, да източат данни от паметта им, както и да инсталират и задействат зловреден код, който напълно да ги компрометира“, посочват от компанията.
Zimperium не дава повече технически детайли за уязвимостите. Такива ще се публикуват след около месец, за да може междувременно разработчиците да ъпдейтнат FreeRTOS до версия 1.3.2, в която уязвимостите са отстранени.
Софтуер с широко приложение
FreeRTOS се използва предимно в устройства, които работят с микроконтролери: например сензори, фитнес тракери, измервателни уреди и т.н. Според Zimperium операционната система намира приложение в много индустрии: умни градове, производство на автомобили, авиокосмическа индустрия, здравеопазване.
През 2017 г. Amazon придоби контрол върху FreeRTOS и в момента го предоставя безплатно на разработичците (има и платена версия). Плановете на компанията е да развива проекта като операционна система, която позволява на редица устройства лесно да се свързват към облака.
Милиарди IoT устройства
Няма официална статистика за броя на устройствата, които използват FreeRTOS. От Zimperium посочват, че операционанта система е „пазарен лидер“ в своя сегмент.
Броят на свързаните към интернет устройства ще достигне 31 млрд. през 2018 г. по данни на IHS Markit. Голяма част от тях няма да са смартфони и преносими компютри, а уреди, които досега никога не са имали връзка с интернет. Което може да означава всичко от камери за видеонаблюдение през кухненски уреди до водомери и медицински устройства като глюкомери.
Това неизбежно поставя и въпроса за сигурността на тези устройства, някои от които изпълняват животоспасяващи функции. За немалка част от потребителите идеята някой да хакне пейсмейкъра им все още звучи еретично. Но това е част от новата реалност, която интернет на нещата създава.
Новооткрит малуер използва различни техники, за да остане незабелязан и да изгради ботмрежа от свързани към интернет устройства. Ботнетът е засечен първо от Веселин Бончев от Националната лаборатория по компютърна вирусология (НЛКВ) към БАН. Наречен е Torii, тъй като използва Tor мрежата, за да атакува устройства.
Бончев съобщава за ботнета на 20 септември, след като го засича със своя honeypot. Бончев публикува туит за откритието си, а Avast прави последващ анализ на новооткрития ботнет.
My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…
First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h
Според Avast Torii засега не е използван за DDoS атаки, спам или копаене на криптовалути, показва проучване на компанията за киберсигурност Avast. Това, което го прави значим, е че за разлика от така популярния ботнет Mirai, използва по-сложни техники за заразяване на устройства. Mirai беше открит през август 2016 г. и засягаше различни устройства като домашни рутери и свързани към интернет камери. Заплахата от него стана значително по-голяма, след като кодът на малуера беше публикуван в интернет за свободно сваляне. Това даде възможност лесно да бъде копиран, модифициран и разпространяван.
Ботмрежа от ново ниво
„За разлика от Mirai, QBot и техните производни, този ботнет се опитва да действа по-скрито и да остане на устройството, след като се инсталира на него. Засега той не прави нещата, които един ботнет обичайно прави – например да осъществява DDoS атаки и да копае криптовалути. Вместо това той притежава богат арсенал от функции за извличане на чувствителна информация и архитектура, способна да изпълнява различни команди и кодове. И всичко това се случва чрез криптирана комуникация“, посочват от Avast.
Според проучването Torii може да засегне голям брой устройства и работи на устройства с различни архитектури на процесора, включително MIPS, ARM, x86, x64, PowerPC, SuperH и други. Предполага се, че малуерът функционира поне от декември 2017 г.
Как протича атаката
Заразяването протича на няколко етапа. В първия етап малуерът открива свързани към интернет устройства и ги тества за слаби потребителски имена и пароли. Когато получи достъп до устройството, Torii се опитва да открие архитектурата на неговия процесор и инсталира пейлоуд. Тъй като има възможност да инсталира пейлоуд за различни и широко използвани процесори, това увеличава значително способността му да засяга голям брой устройства. Инсталирането на пейлоуд става на два етапа и според Avast се използват поне 6 метода, за да се гарантира, че зловредният код ще остане на заразеното устройство.
Другото, което отличава Torii, е, че атаката на устройствата започва от изходни Tor нодове (сървъри, които са част от Tor мрежата). когато се инсталира на едно устройство, малуерът комуникира с командни сървъри чрез криптирана връзка. Анонимизирането помага на ботнета да остане под радара и да не привлича внимание.
„Очевидно е, че Torii е пример за еволюцията на малуера, насочен към интернет на нещата. Неговата сложност е на ниво, каквото не сме виждали досега. След като зарази устройство, Torii изпраща много информация към командния сървър. Освен това. докато има връзка с командния сървър, авторите на атаката могат да стартират зловреден код в заразеното устройство. Това предполага, че Torii може да се превърне в модулна платформа в бъдеще“, коментират от Avast.
Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:
За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.
Вече не може да разчитаме на това
Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.
На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.
UPnP е протокол с дълго минало и множество проблеми касаещи сигурността
За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.
Какви са евентуалните проблеми с UPnP:
В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.
Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.
От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.
Маскиране на DDoS атака чрез UPnP пренасочване на портове
В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.
Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?
Откриване на общодостъпни UPnP устройства С помощта на IoT търсачката shodan.io, резултатът за българското пространството
За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.
Ето така изглежда XML който UPnP сервира
Промяна на правилата за пренасочване на портове В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила. Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.
Стартиране на замаскираната атака С направеното до тук, атаката следва следният сценарий:
Уязвимият рутер получава DNS заявка на UDP/1337;
Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
DNS сървъра отговаря на заявката като със sourse port UDP/53;
Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.
Source: Imperva
В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)
Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.
Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.
