IoT-боты: восстание умных машин. Современные вызовы безопасности сети Интернет

promitei96

Местный
Регистрация
4 Ноя 2016
Сообщения
300
Реакции
673
том, что Интернет вещей потенциально опасен и несет колоссальные угрозы, специалисты в сфере информационной безопасности говорили еще год назад, но только «горячая» осень привлекла к этой проблеме внимание общественности. Недавние DDoS-атаки на сайт Кребса (из-за которых Akamai отказалась его хостить) и DNS-хостера Dyn, парализовавшие американский интернет, доказали, что «умные» вещи в руках злоумышленников — мощное оружие для кибернападений, страшное своей мощностью, бесконтрольностью и анонимностью.
21.10.2016 была зафиксирована беспрецедентная DDoS-атака в истории современного Интернета. Она началась около 14:00 по МСК на DNS-провайдер Dyn, и хотя официальные представители компании-жертвы не раскрывают ее мощность, но эксперты по безопасности уверенно заявляют о том, что поток паразитного трафика превысил отметку в 1 Tbps.
Мощность атак на серверы в Азиатско-Тихоокеанском регионе, Южной Америке, Восточной Европе и западной части США достигала 1,2 Тбит/с. Для сравнения — сентябрьская атака на сайт Кребса была в 2 раза слабее, а прошлогодняя рекордная атака, зафиксированная Arbor Networks — в 2,4 раза.
Пользователи из США начали наблюдать перебои с доступом к топовым ресурсам англоязычного сегмента интернета. Среди них Twitter, Reddit, Yelp, Imgur, PayPal, Airbnb, Pinterest, Shopify, Soundcloud, Spotify, GitHub, Heroku, Etsy, Box, Weebly, Wix, Squarespace, CPAN, NPM, Basecamp, Twilio, Zoho, HBO, CNN, Starbucks, Yammer и пр.
Главной отличительной чертой этой атаки стало то, что она осуществлялась по протоколу TCP, хотя ранее настолько мощные атаки генерировались только по UDP (это подтверждает анализ данных, прдеставленный в отчетах нашей компании — все мощность простейшего UDP-флуда
У Вас недостаточно прав для просмотра ссылки. Войдите или зарегистрируйтесь.
). Более того, аналогичными способами сейчас атакуют наших клиентов — исходный код трояна был слит в открытый доступ, развязав хакерам, хактивистам и просто киберхулиганам руки.
Еще одна особенность DDoS-атак при помощи IoT — мусорный трафик лился не только по TCP, но и по GRE — протоколу туннелирования сетевых пакетов, разработанному компанией Cisco Systems. С помощью протокола GRE создается непрерывное соединение между двумя узлами (маршрутизаторами) через общедоступную сеть. Протокол GRE может быть использован для создания простой частной сети (VPN), между пользователями, подключенными через сеть провайдера, или между пограничными маршрутизаторами в среде провайдера, для обмена обновлениями таблиц маршрутизации.

Данный протокол не поддерживает шифрование передаваемых данных, однако все равно повсеместно используется. Виртуальные GRE-туннели создаются для объединения сетей различных операторов и провайдеров связи, чтобы не прокладывать физические каналы (т.е. кабели). Это удобно, если точки соединения географически сильно удалены друг от друга. VPN же приобрели популярность у широкого круга пользователей, т.к. позволяют обходить блокировку торрентов и других запрещенных ресурсов.

GRE flood зафиксировал CDN-провайдер Akamai при атаках на сайт Кребса. Системой DDoS-GUARD примерно в то же время был отражен GRE флуд, мощность которого превысила 270 Гбит/сек. Ранее про атаки GRE-пакетами в открытом доступе не было информации.

2626472.jpg


2626474.jpg


Разумеется, такая сложная и мощная атака была оперативно изучена. Удалось выяснить, что основой ботнета стали камеры китайской компании Xiongmai. То есть, как бы странно это не звучало, но фактически сервера Dyn не выдержали нашествия китайских веб-камер. Сам ботнет работал под управлением червя Mirai. Он сканирует Интернет в поисках IoT-устройств, подбирает пароль, используя список слабых вариантов, а после взлома IP-камеры и домашнюю сетевую аппаратуру приобщают к ботнету для проведения DDoS-атак.

Есть предположение, что ответственность за проведенный масштабный DDoS лежит на форумчанах с Hackforums — дилетантах, увлекающихся взломом (aka скрипт-кидди). Именно на этом ресурсе в конце сентября 2016 года некий Anna-Senpai опубликовал исходный код Mirai. Ну а после того, как Мираи стал достоянием общественности, найти злоумышленников стало практически невозможно. После публикации разоблачения в СМИ тема с форума исчезла.

В свою очередь, китайский производитель Xiongmai отозвал из продажи более 500 000 веб-камер для «умного» дома, которые были использованы для генерации зловредного трафика. Решение сильное, но насколько оправданное..? Попробуем разобраться.

IoT — это сеть для «общения» различных электронных устройств, имеющих возможность подключения к Интернету и «электронные мозги». Сюда относятся маршрутизаторы, видеорегистраторы, IP-камеры и многие другие гаджеты, которые можно подключить к wi-fi и имеющие IP-адрес. Ключевая особенность IoT и источник опасности — система функционирует самостоятельно, без вмешательства и контроля человека.

По оценке MIT Technology Review Business Report, к 2020 году количество «умных» вещей превысит число смартфонов и персональных компьютеров (!)

2626478.jpg


С этими прогнозами согласны и в Cisco IBSG. По их оценке, к 2020 году к Интернету будет подключено 50-60 миллиардов «вещей». На сегодняшний день количество устройств подключенных к интернету вещей составляет более 10 миллиардов. И все эти устройства находятся в зоне риска, несут потенциальную угрозу нашей с Вами безопасности.

Они функционируют на различных ОС: Windows Embedded, Windows 10, Linux, Android. Однако многие производители предпочитает ставить в свою продукцию бесплатный Linux с открытым исходным кодом. Это легко понять — дистрибутивы Linux идеально подходят для Интернета вещей: не требуют много места на диске, поддерживают сенсорные устройства и беспроводную связь, имеют настраиваемую под конкретные задачи структуру, В IoT-устройствах используются ряд специализированных linux дистрибутивов Linux Lite, LXLE, OpenWrt, Ostro Linux, uClinux и пр. По данным VDC Research, уже в следующем году на Линуксе с открытым кодом будет работать более 64% IoT-устройств, т.е. большая доля

2626482.jpg


Если говорить про Linux для ПК — это одна из самых защищенных от взлома систем, в связи с невысокой популярностью у юзеров-обывателей. По статистике компании StatCounter, Linux используют всего лишь 1,47% пользователей десктопов и всего лишь 0,46% — смартфонов и планшетов. Таким образом, хакерам попросту не интересен такой узкий сегмент.

Но диаметрально противоположная ситуация — с IoT-устройствами. Их не только больше — они гораздо хуже защищены. В отличие от десктопов, смартфонов и планшетных компьютеров, не все «умные» вещи имеют привычный для пользователя интерфейс (дисплей плюс клавиатура), поэтому далеко не каждый человек без специальной подготовки сможет самостоятельно диагностировать заражение (проверить сетевые подключения, монитор активности и пр.). А файрволов, антивирусов для IoT попросту никто не разрабатывает и не выпускает.

По сути, такие «умные» вещи — это серийно производимые боты, а поскольку их СЛИШКОМ много, уязвимости каждого уже нереально проанализировать, чтобы предупредить угрозу. 25 октября 2016 года компания SAS Institute Inc. поделилась результатами европейского исследования: 22% респондентов отметили проблемы с безопасностью как основные для сегмента IoT.

Картина вырисовывается следующая: китайские заводы в стремлении сэкономить на ПО и сделать продукцию максимально дешевой, бесконтрольно обеспечивают мир практически готовыми аппаратными ботами. Используя их уязвимости, хакеры организуют DDoS-атаки с широчайшим географическим распределением и совершенно невообразимой суммарной мощности, которая в несколько раз превышает мощность «традиционных» атак посредством взломанных ПК или серверов.

Провайдерам защиты приходится идти экстенсивным путём — наращивать мощности и увеличивать количество точек присутствия. Другой защиты от IoT-ботов сейчас нет. Именно поэтому, чтобы защитить наших клиентов, мы занимаемся внеплановым расширением емкости сети, в связи с острой необходимостью быть готовыми к новым вызовам со стороны Интернета вещей.
 
Назад
Сверху