Internet Rzeczy siedliskiem zarazy

Przeczytaj także: Przez stare luki wprost do domowego IoT

Opracowany przez F5 Labs raport The Hunt for IoT dowodzi, że znakomita większość spośród 26 wykrytych thingbotów to klony botnetu Mirai. Dane Baffin Bay Networks wskazują z kolei, że Europa jest tym regionem, w którym w zainfekowanych urządzeniach IoT znajdziemy najwięcej odpowiadających za rozprzestrzenianie się infekcji skanerów Mirai.

Z raportu wynika również, że wśród urządzeń Internetu Rzeczy, które w sposób szczególny narażone są na działalność thingbotów, znajdują się tak popularne dziś rozwiązania jak routery domowe i firmowe (SOHO), kamery IP, cyfrowe urządzenia nagrywające (DVR), rejestratory monitoringu wizyjnego (NVR) i telewizje przemysłowe czy dozorowe (CCTV).

Poziom zagrożenia jest zatem spory i bagatelizowanie go jest krokiem w złym kierunku, zwłaszcza że ataki z wykorzystaniem thingbotów charakteryzują się nie tylko szerokim spektrum możliwości, ale też stosunkowo niskimi kosztami.

Wystarczy, że na urządzeniu IoT zostanie raz zainstalowany malware, żeby bot kontaktował się z serwerem i zaczął pobierać jego polecenia (najczęściej dotyczące przeprowadzenia ataków DDoS). Ponadto, thingboty angażują serwery proxy do zbierania informacji z ruchu pomiędzy urządzeniami, szyfrowanego ruchu, kopania kryptowalut oraz przeprowadzania ataków na aplikacje internetowe. Podobne usługi sprzedawane są już nawet na Instagramie. Młodociani hakerzy budują i sprzedają botnety w abonamencie już od 5 dolarów miesięcznie.

Podczas testów przeprowadzonych przez naszych kolegów z F5 Labs na urządzeniach Internetu Rzeczy stosowanych we wdrożeniach infrastruktury krytycznej (np. zapewniających usługi internetowe dla flot ratunkowych) – aż 62 proc. z badanych struktur zostało uznanych za podatne na zagrożenia. Warto zwrócić uwagę, że powinny to być najbezpieczniejsze urządzenia i systemy. Tymczasem liczba wszystkich urządzeń IoT, łącznie z tymi „mniej bezpiecznymi” ma osiągnąć szacunkowo 20 miliardów sztuk do końca przyszłego roku – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Skala podatności, a tym samym wykorzystania do ataków jest więc bezprecedensowa – dodaje.

Thingboty celują w urządzenia Internetu Rzeczy używając http oraz publicznie dostępnych, uniwersalnych protokołów (UPnP, HNAP, SSH) – na marginesie, te usługi nie powinny być w ogóle publicznie dostępne. 30% nowo odkrytych thingbotów próbuje się dostać do IoT poprzez typowe podatności i ekspozycje, które są uwzględnione na CVE – dostępnej publicznie liście możliwych wejść.

Czekanie aż producenci IoT zaczną dostarczać bezpieczne produkty czy pokładanie zaufania we wdrażanie kontrolerów bezpieczeństwa jest stratą czasu. Biznes już teraz musi sam się bronić. Warto zacząć od zabezpieczenia się przed najczęstszym typem ataków ze strony thingbotów, czyli DDOS. Dla obrony przed tego typu atakami, najlepszym rozwiązaniem jest skorzystanie z usług dostawcy zabezpieczeń typu cloud scrabbing. Wynika to głównie z tego, że wielkość tego typu ataków przekracza możliwości większości sieci (poza dostawcami usług i bankami). Są to ataki powszechne, bo ich przeprowadzenie jest tanie, kosztują ok. 20 dolarów – komentuje Ireneusz Wiśniewski. - W drugiej kolejności mamy ataki na aplikacje internetowe – te wymagają ochrony zaporami sieciowymi z wykrywaniem botów (mechanizmy behawioralne) i blokowaniem ruchu pochodzącego od nich. Produkty IoT z niewiadomymi podatnościami lub zabezpieczeniami poniżej normy trzeba poddawać testom i kwarantannie lub usuwać ze struktury biznesowej – podsumowuje Ireneusz Wiśniewski.