Файл: Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов.pdf

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
69
Атака на устройства путем ввода команд в системную консоль
При этом типе атаки злоумышленник вводит и выполняет команды с привилегиями в скомпрометированной системе через свою консоль.
Воздействие: если злоумышленник может вводить команды в устройство, возникает вероятность взлома другой машины в окружении. Это вызовет каскадный эффект в системе, и злоумышленник сможет использовать все эти устройства в злонамеренных целях.
Связанные угрозы: наборы эксплойтов, DDoS-атаки и отключения сети.
Ступенчатые атаки
Этот тип атаки – распространенный способ проведения анонимных атак. Эти атаки часто используют сетевые злоумышленники, чтобы скрыть свою личность, поскольку они запускают атаки не со своего компьютера, а с промежуточных хостов, которые они ранее скомпрометировали.
Воздействие: если злоумышленник запускает ступенчатую атаку, он может скомпрометировать совокупность узлов сети, используя их как ступеньки для передачи команд атаки.
Связанные угрозы: DDoS-атаки, подделка вредоносных устройств.
Манипуляции с источником питания и использование уязвимостей при чтении данных
Эти атаки направлены на манипулирование источниками питания и использование уязвимостей для изменения считываемых данных об электропитании. Злоумышленник может физически повредить аккумулятор устройства или кабели питания, манипулируя самим источником питания или вредоносными программами, а также способом, которым устройство считывает информацию от источника питания об уровне заряда, чтобы, например, заставить устройство считать, что уровень заряда батареи выше или ниже фактического.Некоторые типы интеллектуальных устройств могут зависеть от батарей для нормальной работы. Этот тип электропитания может показаться преимуществом перед менее обычными кабелями, но он требует учета определенных аспектов безопасности.
Воздействие: физическое вмешательство в аккумулятор может повредить его, тогда устройство вообще не сможет работать. Манипулирование способом, которым устройство считывает уровень заряда, поступающего от батареи, может привести к тому, что устройство будет считать, что уровень заряда батареи выше фактического, в результате чего оно выключается, когда заканчивается заряд, или ниже фактического, и тогда оно переходит в энергосберегающий режим работы, влияющий на производительность устройства.
Связанные угрозы: вредоносные программы, физические атаки.
Вымогательство с использованием вредоносных программ
Эти атаки осуществляются вредоносным ПО, которое навсегда блокирует доступ к данным жертвы, если не выплачен выкуп. Их можно избежать, обновляя или исправляя прошивку уязвимых устройств. Подобные атаки можно проводить и за пределами IoT- экосистемы, как, например, в случае с атакой WannaCry, которая произошла в мае
2017 года [70]. За несколько месяцев до нее был выпущен патч для уязвимости, которую использовал WannaCry. Проблема, связанная с IoT, заключается в сложности обновления или исправления прошивки различных устройств, а некоторые из них даже нельзя обновить или исправить.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
70
Воздействие: существует множество возможных целей для вымогательского ПО в IoT – злоумышленник может взять под контроль умный термостат в середине зимы и потребовать оплату для включения отопления. Он может взять под контроль электросети или системы больниц, требуя выкуп, и т.д., подвергая риску безопасность людей.
Связанные угрозы: наборы эксплойтов, DDoS-атаки, вредоносные программы, слабые пароли.
DDoS-атака с использованием ботнета IoT
Особое внимание стоит уделить данному типу атак.
Ботнет
7
является предметом исследований с 2000-х годов. Он может нанести значительный ущерб безопасности как отдельных лиц, так и предприятий. Этот тип атаки не направлен непосредственно на сами устройства IoT – они используются для атаки на другие устройства, не обязательно IoT. Сначала вредоносная программа автоматически находит уязвимые устройства IoT, заражает и объединяет их в ботнет, который затем может использоваться для DDoS-атак, перегружая серверы цели вредоносным трафиком [15].
Для предотвращения распространения ботнета пользователям или администраторам атакуемых устройств нужно исправить уязвимости своих устройств. Без возможности использования конкретной уязвимости ботнет не может увеличить свой размер. Это приводит к снижению силы его атаки. Существует два наиболее распространенных способа предотвращения атаки: отключить серверы управления и перехватить трафик атаки.
Отключение серверов управления может победить ботнет, но не сразу, а спустя некоторое время, поскольку злоумышленник может периодически менять серверы. Кроме того, если на сервер не распространяются полномочия местных правоохранительных органов, сделать это нелегко.
У этого способа есть недостаток: даже если серверы отключены, код ботнета все еще активен в системе и может быть впоследствии повторно использован другими.
Перенаправление трафика на заданный сервер (англ. sinkholing) происходит тогда, когда ботнет атакует конкретную жертву. Это требует сотрудничества вышестоящих интернет- провайдеров. Необходимо также идентифицировать уникальную сигнатуру этого трафика [71].
Осенью 2016 года поставщик сетевых сервисов Dyn, который обслуживает ведущих интернет-гигантов, таких как Netflix и Twitter, подвергся масштабной DDoS-атаке. Позднее было обнаружено, что при атаке использовалась вредоносная программа-ботнет Mirai. Это была та же самая программа-ботнет, которая 19 сентября 2016 года атаковала французскую хостинговую компанию OVH. Как полагают, OVH стала первой жертвой DDoS-атаки со стороны ботнета Mirai, пиковая скорость атаки составила 1 Тбит/с, что является одним из самых больших показателей в истории. Всего через день после атаки на OVH, ботнет Mirai проводит DDoS-атаку на сайт журналиста и эксперта по кибербезопасности Брайана Кребса
Krebs on Security, во время которой скорость трафика превысила 620 Гбит/с, что делает эту атаку одной из крупнейших в истории по объему трафика [72].
Вредоносная программа Mirai предназначена в основном для IoT-устройств – видеорегистраторов, маршрутизаторов и камер видеонаблюдения. Эти устройства недорогие, имеют слабую защиту и обычно неизменяемые заводские настройки. Кроме того, поскольку
7
Ботнет (англ. botnet) – это сеть из ботов – зараженных компьютеров или устройств, управляемых бот- мастером (хакером) удаленно.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
71 встроенное программное обеспечение доступно только для чтения, код Mirai может оставаться только в DRAM устройства; перезагрузка устройства стирает код. Учитывая большое количество уязвимых устройств и тот факт, что эти уязвимости невозможно исправить, атаки на основе Mirai превратились в бомбу замедленного действия, которую никто не может обезвредить.
Под давлением средств массовой информации некоторые производители заявили, что были вынуждены отозвать уязвимые устройства, связанные с этой массивной DDoS-атакой.
Например, Hangzhou Xiongmai Technology отозвала с рынка США 4,3 млн камер видеонаблюдения [71, 73]. Хотя компания тратит много времени и усилий, чтобы исправить ситуацию, в результате ей удается только смягчить последующие атаки, потому что у пользователей устройств нет желания содействовать этой работе. Они не хотят тратить время на упаковку устройств и отправку их обратно, поскольку Mirai не влияет на нормальную работу зараженных устройств. Как следствие, в обращении остается огромное количество уязвимых устройств. Производитель может продавать миллионы таких устройств по всему миру, и поэтому связываться с каждым пользователем, чтобы решить эту проблему, он не будет.
Заражение устройств ботнетом Mirai
На рисунке 3.12 изображен процесс заражения ботнетом Mirai
Рисунок 3.12 – Процесс заражения ботнетом Mirai [71]
Mirai отличается от традиционных вредоносных программ для ботнетов технологией заражения. Ботнет Mirai используется не для непосредственного заражения устройств, а только для сканирования и сбора уязвимостей устройств, реальную атаку для внедрения ботнетов запускает сервер.
Mirai состоит из трех модулей: бота, сканирования и загрузки. На рисунке 3.12 показана архитектура Mirai, а также поток информации и взаимосвязь между этими модулями. Бот –
Возобновление сканирования
Модуль сканирования
Отправка пустой информации
Модуль загрузки
Имплантирование бота
Модуль бота

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
72 это программа, запущенная на устройствах-жертвах. Он сканирует другие устройства в сети
Internet. Если он находит устройства, имеющие уязвимость, информация об них будет загружена в модуль сканирования, который работает на заранее известном сервере. Эта информация включает в себя учетные данные для входа, IP-адрес устройства, уязвимые порты и т.д. После получения этой информации модуль сканирования отправляет ее в модуль загрузки, который работает на том же сервере. Затем модуль загрузки использует эту информацию для заражения целевого устройства и внедрения бота.
Модуль «бот» – это модуль атаки, который выполняет DDoS-атаки на выбранный сервер. Он также используется для сканирования Интернета в поисках других уязвимых устройств и сбора информации. Модуль «бот» реализует ряд функций:
 предотвращение перезагрузки устройства. Бот Mirai существует только в памяти устройства. Если устройство перезагружается, бот исчезает. Чтобы этого не происходило, бот записывает команду запроса «0x80045704» в сторожевой таймер устройства, чтобы запретить перезагрузку в случае зависания системы;
 скрытие процесса. Mirai использует случайную строку, чтобы скрыть имя своего процесса;
 предотвращение повторного заражения. Бот открывает порт 48101 и привязывается к нему. Если другой бот захочет привязаться к этому порту, Mirai обнаружит это. Так образом, Mirai гарантирует, что на устройстве запущен только один бот;
 блокировка портов. Mirai закрывает порты 23 (telnet), 22 (ssh), 80 (http), чтобы заблокировать атаки других вредоносных программ-ботнетов;
 проверка на наличие других вредоносных программ. Бот сканирует систему, чтобы найти следы присутствия других вредоносных программ. Обладая привилегиями root,
Mirai способен уничтожать другие вредоносные процессы;

DDoS-атака. Боты подключаются к серверу и ждут команды, чтобы атаковать целевой сервер.
Модуль сканирования отвечает за отправку информации, собранной ботами, в модуль загрузки в формате: «IP-адрес:порт» и «имя пользователя:пароль».
Модуль загрузки получает данные от модуля сканирования и выполняет атаку на каждое уязвимое устройство [71].
Защита от Mirai
В январе 2017 года было предложено внедрить так называемого белого Mirai в уязвимое устройство. Это решение наследует большую часть кода от Mirai. Примечательно, что, как и вредоносный Mirai, «белый» Mirai активно сканирует соседние уязвимые устройства и заражает их. В результате блокирования портов зараженные устройства становятся невосприимчивыми к любой другой подобной атаке. Таким образом, блокирующий модуль убивает бота Mirai. Однако существует временной промежуток между внедрением «белого»
Mirai и закрытием портов. Этот промежуток времени позволяет оригинальному Mirai заразить конкретное устройство [71]. Если бот Mirai уже находится в устройстве, ни один из распространителей вируса не может быть имплантирован в это устройство. Поскольку бот
Mirai сначала закрывает порты для удаленного доступа, то другого способа, кроме сотрудничества с производителем, для получения доступа к этому устройству не существует.
В согласованный промежуток времени пользователь использует компьютер, чтобы зайти на специальную веб-страницу, управляемую производителем, а затем перезагружает уязвимое