Cum vin atacatorii cibernetici la „borcanele cu miere“ plasate de experți

Cercetători în securitate cibernetică au plasat capcane pentru hackeri. Experimentul n-a întârziat să furnizeze rezultate importante.

Cui nu îi place ideea de a-și porni mașina de spălat sau aparatul de aer condiționat înainte să ajungă acasă sau de a primi notificări de la frigider, în legătură cu ce ar trebui să cumpere de la supermarket? Nu e deloc SF, se întâmplă în realitate, chiar dacă astfel de produse nu sunt încă foarte răspândite. Însă, pe cât este de fascinant și util, pe atât de periculos se poate dovedi universul IoT.

[related]

Monitoare de supraveghere a copiilor, routere, imprimante, camere IP de supraveghere – toate acestea au fost deja folosite în atacuri la scară largă, cum a fost cazul Dyn, din octombrie 2016.

Cel mai bun îngrășământ pe care să-l aplici iarna la pomii fructiferi pentru o creștere mai bună. Când trebuie folosit

Momentul în care trebuie să adaugi balsamul în mașina de spălat pentru haine moi și mult mai parfumate. E greșit să îl pui în același timp cu detergentul

Din păcate, dispozitivele IoT sunt mană cerească pentru infractorii cibernetici, deoarece securitatea lor a fost foarte puțin luată în seamă de producători, iar câteodată lipsește cu desăvârșire. De cealaltă parte, utilizatorii au și ei alte priorități când își cumpără un dispozitiv IoT și prea puțini îi schimbă parola default sau îl protejează în spatele unui firewall.

„Borcane cu miere“ pentru atragerea „pofticioșilor“

În primăvară, am prezentat în cadrul conferinței noastre de securitate cibernetică, SAS (Security Analyst Summit), un experiment pe care l-am făcut în decursul a doi ani. Știm că dispozitivele IoT sunt vulnerabile, dar am vrut să urmărim în timp real cam ce dispozitive iau atacatorii în vizor. Prin urmare, mi-a venit ideea să montăm capcane („honeypots“) pentru infractori cibernetici, în casele oamenilor.

Am mers, evident, la prieteni și cunoscuți și i-am întrebat dacă ar fi de acord. Unii au acceptat și astfel am putut să dăm drumul proiectului nostru.

Efectiv, am plasat în casa fiecărui prieten dispozitive Raspberry Pi. Au fost configurate astfel încât să răspundă la cereri de pe internet exact în același mod în care ar răspunde o cameră IP de supraveghere, un router sau o jucărie pentru copii. Rețelele cele mai mari unde am amplasat aceste dispozitive au fost RCS & RDS, UPC, Telekom, dar și Sky Broadband din Marea Britanie.

În acești doi ani, am folosit în jur de 300 de IP-uri unice și am înregistrat aproape 13 milioane de atacuri asupra dispozitivelor noastre. Exploit-urile folosite au fost de tot felul, dar câteva dintre ele au ieșit în evidență pentru că au fost recurente.

Printre acestea se numără o vulnerabilitate descoperită în mai multe routere, prin care se pot schimba setările de DNS. Cu ajutorul ei, infractorii au încercat să îi determine pe utilizatori să intre pe site-uri false. Unele imitau Netflix, iar pe altele li se propunea să investească în Fargocoin, o criptomonedă. De cele mai multe ori, infractorii cibernetici au încercat să modifice reclamele legitime din paginile web cu unele controlate de ei, încercând astfel să-și maximizeze profiturile.

Existența acestor exploit-uri bazate pe o vulnerabilitate deloc nouă – datează din 2011 – este un indiciu că încă mai sunt dispozitive expuse și cred că astfel de atacuri nu se vor opri aici.

Record de atacuri, după confirmarea unei vulnerabilități

Dintre vulnerabilitățile recent anunțate, ne-a atras atenția cea a serverului Struts, făcută publică de Cisco și rezolvată de Apache în martie 2017. Interesant este că, fix la o zi după ce a fost anunțată, capcanele noastre au început să înregistreze tentative de a o exploata. Acestea au depășit 10.000 într-o lună.

Un alt aspect foarte interesant de-a lungul experimentului a fost că atacatorii și-au schimbat modul de acțiune, odată ce și-au dat seama că din ce în ce mai mulți cercetători folosesc aceste „honeypots“ (sau capcane). Pe parcursul mai multor luni, infractorii au schimbat de două-trei ori modul în care încercau să atace același dispozitiv.

Odată ce obțin controlul asupra dispozitivului, atacatorii cibernetici încep, de obicei, să scaneze internetul, încercând să identifice și mai multe dispozitive compromise, pe care să le adauge în „armata“ lor. Pentru a mări aria de acoperire a atacului, fiecare dispozitiv primea o listă de IP-uri pe care încerca să le atace. Listele conțineau de la 1.000 până la patru-cinci milioane de intrări (adrese IP).

Pe durata experimentului nostru, cele mai atacate țări au fost China și Coreea de Sud, fiecare depășind câte un un milion de intrări în listele primite de la atacatori. Au fost urmate de SUA (360.000) și Japonia (340.000).

În condițiile în care estimările arată că, până în 2020, vor fi 50 de miliarde de dispozitive IoT în lume, oportunitățile de atac vor crește și ele, direct proporțional. Răspunsul meu la inevitabila întrebare „care e soluția?“ este acela că produsele care sunt acum în faza de dezvoltare ar trebui să treacă printr-o verificare mult mai atentă a codului înainte de a ajunge în piață.

Producătorii ar trebui să acorde o atenție mult mai mare securității dispozitivelor lor care urmează să fie vândute. La rândul lor, utilizatorii ar trebui să schimbe parolele primite din fabricație și, dacă nu este absolut necesar, să oprească accesul din Internet la dispozitivele IoT instalate în rețeaua locală. Este o situație în care vigilența trebuie să fie de ambele părți.