Интеллектуальных вещей, подключенных к Интернету, сейчас уже достаточно много, и это уже становится проблемой. Естественно, все боятся, что интеллектуальные тостеры будут в отместку за плохое электропитание «пережаривать» тосты, а злобные интеллектуальные холодильники портить продукты. Однако угроза от IoT-устройств в другом. Оказалось, что они могут легко объединяться в стаи с помощью зомби-агентов и целой стаей нападать на жертвы через киберпространство, т. е. по всему миру.
Предпосылки для этого были давно. Дело в том, что хотя самих устройств миллионы, производителей сотни и, казалось бы, разнообразие таково, что создать универсального зомби-агента сложно, построены IoT-устройства на базе операционных систем, которых всего несколько штук. Именно это и позволяет массово атаковать устройства разных производителей, поскольку они используют в основном одни и те же операционные системы и библиотеки.
Кроме того, у производителей IoT-устройств оказалась очень неприятная привычка поставлять устройства с одинаковыми или предсказуемыми административными паролями admin. Поэтому первые атаки на IoT-устройства, собственно, предполагали просто использование данных паролей для проникновения в систему и внедрение в операционную систему. Оказалось, что владельцы устройств не читают инструкций и оставляют без изменения предустановленные пароли, хотя в рекомендациях четко сказано – «сменить пароль администратора». Неожиданно, да?
Впрочем, игры с паролями по умолчанию кончились этим летом, когда были опубликованы исходные коды зомби-агента сети, которая получила название Mirai. Первоначально код был предназначен для заражения IP-видеокамер одного китайского производителя и организации DDoS-атак, однако после публикования его стали стремительно модифицировать, что позволило атаковать уже массу других производителей и расширять зомби-сеть. Осенью случилось несколько достаточно неприятных инцидентов, которые продемонстрировали потенциал IoT как источника кибер-зомби-апокалипсиса.
Наиболее неприятный инцидент для всего Интернета произошел в октябре [1] – зомби Mirai атаковали одного из регистраторов доменных имен Dyn, который регистрировал домены для целого ряда глобальных сервисов, таких как Twitter, Reddit, Spotify, Etsy, Box, Shopify, SoundCloud, Github, Airbnb, Freshbooks, Heroku. В результате эти ресурсы на время атаки оказалось недоступны, что, вполне возможно, сказалось на всей мировой экономике.
В ноябре атаки были продолжены. При этом было обнаружено, что зомби-сетей, которые пользуются агентом Mirai, уже больше десятка. В частности, в ноябре зомби-сетью, получившей название Mirai #№14, была атакована африканская страна Либерия. Обнаружилось, что Интернет там, хотя и предоставляется двумя «независимыми» провайдерами, подключен по одному кабелю. Поэтому хакеры атаковали оборудование, которое обслуживает именно этот кабель, и вывели из киберпространства целое государство. Комментаторы отмечают, что для ресурсов Mirai #№14 это была скорее «легкая тренировка перед завтраком» – серьезные атаки ждут нас впереди.
Тогда же, в ноябре произошел и более опасный инцидент уже с немецким оператором, о котором написал, в частности The Register [2]. Тут следует отметить, что до этого зомби-агенты Mirai были предназначены прежде всего для скоординированных нападений на отказ в обслуживании (DDoS), но атака на Deutsche Telekom была другой – зомби-агенты пытались перехватить протокол дистанционного управления TR-064, который работает по порту номер 7547 и который оператор применял для конфигурирования широкополосных маршрутизаторов, установленных у пользователей. По сведениям The Register, к данной атаке уязвимым оказалось большинство используемого оператором оборудования: маршрутизаторы Eir D-1000 компании ZyXEL, DSL-3780 компании D-Link (их в основном и использовал Deutsche Telekom) и некоторые модели таких производителей, как T-Com/T-home (SpeedPort), MitraStar и Digicom. Если раньше для создания зомби-сети Mirai отдельно проводилось заражение, а потом нападение, то теперь вербовку новых зомби взяли на себя сами агенты Mirai. И это куда большая угроза для всего мира, чем «русские хакеры» (ТМ).
Впрочем, американцы, чья DARPA отрабатывала защиту от зомби-апокалипсиса, предложили ответную меру. NIST выпустил рекомендации Special Publication NIST 800-160 [3], в которых перечислил требования по разработке безопасных IoT-устройств. Это набор принципов безопасной разработки, которые предполагают наличие системы обновления программного обеспечения, контроля написанного кода, своевременное обнаружение и исправление слабых конфигураций (паролей по умолчанию) и другие достаточно очевидные для специалистов ИБ требования. Правда, требований по защите облачной части и коммуникаций в документе практически нет, а с коммуникациями и «облаком» может быть связана значительная часть уязвимостей облачных IoT-решений. Тем не менее, если американцам удастся убедить всех разработчиков IoT-устройств и сервисов следовать этим рекомендациям (хотя бы китайцев), то Интернет станет намного безопаснее. Однако, несмотря на постоянно сокращающиеся циклы разработки, произойти это может минимум года через два, а пока лучше не покупать интеллектуальных тостеров и холодильников.
[1] https://habrahabr.ru/company/eset/blog/313444/
[2] http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
[3] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160.pdf