Zagrożenia w internecie rzeczy
Dziś pora na kolejny temat z dotyczącego kończącego się roku Raportu CERT Orange Polska. Tym razem zdecydowanie na czasie – o zagrożeniach w rosnącym jak na nieźle nakarmionych drożdżach Internecie Rzeczy. Oczywiście jak zawsze zapraszamy do lektury całego raportu, który znajdziecie tutaj.
Wiele napisać można o powodach i ideach przyświecających koncepcji integracji przedmiotów użytkowych wewnątrz zarządzającej nimi sieci. Wiele napisać można o rodzącym się z tego biznesie, jego jasnych i tych zdecydowanie ciemniejszych stronach. Teorii spiskowych już teraz jest wiele, a w latach kolejnych powstanie ich jeszcze więcej.
Niezależnie jednak od prawdziwego powodu, producentom urządzeń wchodzących w skład internetu rzeczy, nie spędza snu z powiek konieczność ich zabezpieczenia. Poza samą kwestią dziurawego software-u, użytkownicy rzadko kiedy otrzymują jakiekolwiek wskazówki dotyczące konieczności zmiany hasła po inicjalnej konfiguracji czy notyfikacje w przypadku wypuszczenia na rynek aktualizacji operującego na urządzeniach oprogramowania. Ten problem zmultiplikowany jest do potęgi trzeciej, gdy do czynienia mamy z tańszymi, chińskimi alternatywami do reklamowanych na rynku urządzeń, a których dostępność jest wprost proporcjonalna do liczby ich podatności.
Takie otwarte na oścież furtki sprawiają, że cyberprzestępcom trudno oprzeć się pokusie skorzystania z zaproszenia. Inteligentne urządzenia są o wiele łatwiejsze do przejęcia od komputerów osobistych, a odgrywają niekiedy równie ważną rolę w domowej infrastrukturze.
Ze względu na niską świadomość nikt też nie spodziewa się, że jego pralka zamiast prania zacznie kopać walutę dla cyberprzestępcy, a niewinnie wyglądająca lodówka weźmie udział w ataku na największą firmę hostingową w Polsce.
Najbardziej narażone na ataki są oczywiście domowe urządzenia sieciowe, ale ataki bynajmniej nie zatrzymują się na nich. Przestępcy uderzają w nasłuchujące na protokołach Telnet, SSH i RDP porty, łamiąc bez trudu domyślne hasła dostępowe. Gdy już uzyskają kontrolę nad jednym z przedmiotów, rozprzestrzeniają się dalej korzystając z nadal powszechnej usługi SMB w wersji 1 dokładając kolejne pionki do sieci zombie tworzonych botnetów.
Poza tymi żelaznymi podatnościami obserwowaliśmy też w sieci ataki z wykorzystaniem portu 7547, wykorzystywane do rozprzestrzenia hybryd zeszłorocznych malware-ów z rodziny Mirai i Hajime między innymi w kampaniach na rutery Mikrotika pracujące pod systemem RouterOS w wersjach poniżej 6.38.4.
Pomimo najczęściej bardzo niewielkich możliwości obliczeniowych również sektor iOT wykorzystany był do kopania kryptowalut (podatności CVE-2014-8361, CVE 2017-17215 na niektórych routerach Huaweia czy luki w bezpieczeństwie interfejsu zdalnego zarządzania do koparki Etherum – Claymore, umożliwiającej podmianę portfela kopiącego na portfel cyberprzestępcy).
Najczęściej spotykanym zagrożeniem identyfikowanym w sieci Orange był jednak atakujący urządzenia sieciowe VPNFilter. Ten malware, między innymi za sprawą swojej modułowej struktury wyróżniał się od innych spotykanych w IoT zagrożeń. Tylko w 2018 kilkukrotnie wzbogacał swój kod o nowe funkcje. Potrafił nie tylko wykradać dane dostępowe przetwarzane na urządzeniu, ale także wstrzykiwać złośliwy kod w odwiedzane strony, uruchamiać się w harmonogramie zadań Crontaba czy umieszczać swoją konfigurację w pamięci NVRAM, w celu utrudnienia wyczyszczenia zainfekowanego urządzenia. Dodatkowo, aby chronić swoje serwery C2 przed identyfikacją, do komunikacji VPNFilter wykorzystuje węzły sieci TOR, a niektóre instrukcje potrafi pobierać w spreparowanych, zawierających osadzony kod, zdjęciach modelek umieszczanych na popularnym serwisie hostującym zdjęcia (photobucket.com).
Powyższy przykład tylko potwierdza, że zagrożenia na IoT wzrastają nie tylko względem ilości, ale przybierają również na jakości, a poza tradycyjnym wykorzystaniem ich do ataków DDoS, przestępcy coraz częściej sięgają też po inne metody kradzieży lub wyłudzenia środków od cryptojackingu na atakach Man-in-The-Middle kończąc.
Dlatego tak ważnym jest by podczas instalacji jakiegokolwiek urządzenia mającego pośrednie lub bezpośrednie wyjście do internetu, stosować tych kilka podstawowych środków ostrożności:
- ograniczyć lub wyłączyć dostęp do urządzeń z innych niż lokalna sieci, a jeśli zdalny dostęp jest konieczny – wykorzystać do niego klienta VPN i dwuskładnikową autentykację.
- pamiętać o zmianie lub ustawianiu haseł, z tych w które urządzenia wyposażone są fabrycznie na nowe, najlepiej nie krótsze niż 8 alfanumerycznych znaków z uwzględnieniem małych i dużych liter oraz znaków specjalnych.
- zamknąć, nawet w sieci lokalnej, wszystkie niewykorzystane porty. Jeżeli przy dostępie do rutera nie posługujesz się protokołem telnet czy ssh, nie należy pozostawiać tej furtki otwartej dla niechcianego gościa.
Niewykluczone że już wkrótce liczba zainstalowanych w domach inteligentnych urządzeń przekroczy całkowitą liczbę populacji globu. W takim wypadku o własnym bezpieczeństwie trzeba pomyśleć już teraz, zanim będzie za późno.