Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

15 декабря 2016 г.

Новый голос в пользу планирования безопасности IoT

Базирующийся в Вашингтоне, округ Колумбия, аналитический центр, занимающийся вопросами защиты критически важных объектов, присоединился к призывам урегулировать обеспечение безопасности подключенных к Интернету устройств на государственном уровне.

В опубликованном на прошлой неделе отчете Института технологий критической инфраструктуры (Institute for Critical Infrastructure Technology, ICIT) сказано, что основной причиной недавних DDoS-атак с ботнета Mirai является нерадивость производителей IoT-устройств, которые не учитывают кибербезопасность на стадии разработки, по умолчанию задавая слабые или хорошо известные пароли в качестве защиты. Проблема тем более настоятельна, что слив исходного кода Mirai сильно упростил проведение мощных DDoS для злоумышленников; этот инструмент теперь в равной мере доступен всем злоумышленникам: и скрипт-кидди, и криминальным элементам, и спонсируемым государством хакерам.

Решение данной проблемы эксперты, как и Брюс Шнайер, видят в государственном регулировании, пусть даже ценой замедления инноваций в области Интернета вещей. «По нашему мнению, для обеспечения долговременного эффекта наиболее целесообразной мерой будет не изменение рынка, стремящегося избежать нормирования, но национальное регулирование, — пишут авторы отчета Джеймс Скотт (James Scott) и Дрю Спэниел (Drew Spaniel). — Регулирование на уровне государства может вызвать перекос или оказаться пагубным как для рынков, так и для потребителей. Регулирование в отношении IoT-устройств со стороны Соединенных Штатов окажет влияние на глобальные тренды и экономики в IoT-пространстве, так как все заинтересованные стороны ведут деловые операции в США, работают напрямую с американскими производителями или полагаются на экономику США».

Mirai — это зловред, отыскивающий IoT-устройства и приобщающий их к DDoS-ботнету посредством подбора паролей для получения доступа. Как отметили исследователи, риски повышает тот факт, что Mirai является простой в использовании платформой разработки, облегчающей кастомизацию атак.

«Ответственность за наличие уязвимостей в Интернете, в том числе Интернете вещей, несут поставщики услуг DNS, интернет-провайдеры и производители IoT-устройств, которые пренебрегают интеграцией безопасности в свои проекты за отсутствием экономических стимулов, — сказано в отчете ICIT. — Они предпочитают перекладывать риски и последствия на ничего не подозревающих пользователей. В результате IoT-ботнеты продолжают расти и эволюционировать».

Публикация ICIT почти совпала по времени с новой атакой Mirai. На сей раз жертвами заражения стали домашние роутеры, используемые в сети британского телеоператора TalkTalk. Компания Incapsula (дочка Imperva), клиент которой тоже пострадал в ходе этой кампании, зафиксировала резкий рост трафика на сайте своего подопечного — более 8,6 тыс. запросов в секунду. После скачка входящий поток снизился до устойчивых 200–1000 запросов в секунду. Как оказалось, мусорный трафик исходит с 2398 устройств (IP-адресов), размещенных на территории Великобритании.

«Такое распределение IP необычно для DDoS-ботнетов, — пишут эксперты в блоге. — Появление региональной бот-сети с большой долей вероятности указывает на то, что в каком-то устройстве, поставляемом местно и в розницу, имеется уязвимость. В данном случае быстрый скан обнаружил огромное количество зараженных домашних роутеров, 99% которых работают в сети TalkTalk Telecom. Таким образом, мы получили и искомое устройство, и дистрибьютора».

Эксперты Incapsula не смогли с уверенностью сказать, что столкнулись с тем же вариантом Mirai, который атаковал DSL-модемы Deutsche Telekom, но некоторые свидетельства говорят в пользу этого предположения. Так, например, на всех роутерах TalkTalk порт 7547 оказался закрытым, но поиск с помощью Shodan обнаружил, что этот порт везде был открыт за пару дней до начала DDoS-атаки. Тем временем атака на Deutsche Telekom показала, что Mirai после заражения устройства закрывает порт 7547, чтобы ввести в заблуждение аналитиков. «Это явный признак того, что перед нами тот же вариант Mirai, который проникает на устройство и закрывает за собой дверь», — пишут исследователи.

TalkTalk со своей стороны уже залатала брешь и произвела сброс настроек на всех своих роутерах.


Источник: Threatpost | Новости ИБ