IoT powered by ALLIED TELESIS — April 23, 2019 at 8:03 am

Atacurile de tip botnet reprezintă o amenințare pentru ecosistemul IoT

by

Hacker in Front of Computer Laptop Security Technology

Tehnologia conectată joacă deja un rol dominant în viața noastră de zi cu zi. De la telefoane mobile la tablete, dispozitivele inteligente ne permit să comunicăm cu prietenii și familia, să fim la curent cu ceea ce se întâmplă în lume, să ne distrăm, să accelerăm productivitatea la locul de muncă și multe altele. Dar, deși ecosistemul conectat este destul de expansiv în 2019, este pe cale să devină și mai mare în următorii ani. Suntem în vârful unei ere când aproape totul din jurul nostru are posibilitatea de a opera prin internet, cum ar fi aparatele de uz casnic, mașinile, echipamentele de birou, infrastructura orașelor și dispozitivele medicale.

Cu toate acestea, în timp ce tehnologia IoT oferă o mare oportunitate, aceasta cauzează, de asemenea, o problemă majoră de securitate. Hackerii exploatează din ce în ce mai mult dispozitivele conectate pentru a culege date sensibile, a trimite spam, a prelua controlul rețelelor și a lansa atacuri cibernetice în întreaga lume. Atacurile de tip botnet au devenit obișnuite, iar CenturyLink Threat Research Lab estimează că 195 000 de astfel de atacuri au loc în fiecare zi, iar Accenture estimează costul mediu la 390.752 dolari. Este clar că extinderea continuă a ecosistemului IoT înseamnă mai multe puncte de acces potențiale și zone slabe care trebuie atenuate.

În mod tradițional, infractorii au folosit programe malware pentru a infecta dispozitivele. Cu toate acestea, pe măsură ce ecosistemul conectat se extinde, iar noile tehnologii intră pe piață, aceștia găsesc diferite moduri de a lansa atacuri mai complexe și mai devastatoare. Atacurile de tip botnet sunt un bun exemplu în acest sens. Atacurile de tip botnet sunt deosebit de provocatoare, deoarece ele evoluează de-a lungul timpului și se formează în mod constant noi forme, unul dintre ele fiind TheMoon. Anchetatorii de la Lotus Labs Black CenturyLink au descoperit recent un nou modul de botnet IoT numit TheMoon, care vizează vulnerabilitățile în routerele din rețelele de bandă largă. Astfel, acestea exploatează un serviciu ce poate fi folosit pentru a ocoli filtrarea pe internet sau pentru a observa sursa traficului pe internet, ca parte a altor acțiuni rău intenționate. Atackerii folosesc atacuri de tip botnet, cum ar fi TheMoon, pentru o serie de infracțiuni, inclusiv forțarea brută a identității, frauda cu publicitate video și obfuscația generală a traficului.

Astfel, toate rețelele și toate dispozitivele au nevoie nu numai de niveluri ridicate de monitorizare a securității și de actualizări regulate, ci și niveluri de încredere cunoscute în cadrul unui sistem. Iar aceste niveluri de încredere încep să fie construite în sus de producătorii de cipuri, precum și de industria de dispozitive și de software. Dar și așa, numărul atacurilor este în creștere, ceea ce ilustrează în mod clar este că nu am reușit să învățăm din trecut. În urmă cu aproximativ 15 ani, am avut puncte wireless de acces vândute fără criptare activată și cu parole implicite. Securitatea era disponibilă, însă a cerut utilizatorilor să fie suficient de conștienți de faptul că la pornire e nevoie de configurarea și schimbarea setărilor implicite. În mod surprinzător, mulți nu au făcut acest lucru, iar exploatarea punctelor de acces neprotejate a fost obișnuită ca rezultat. Astfel, rețelele wireless deveniseră sinonime cu vulnerabilitatea, încât poziția s-a schimbat în cele din urmă, iar producătorii s-au mutat în mod implicit pentru a permite securitatea în afara rețelelor locale.

În prezent ecosistemul IoT se confruntă cu o situație similară, exercitând presiuni asupra producătorilor pentru a dezvolta mecanisme de securitate mai robuste pentru a proteja utilizatorii. Dispozitivele IoT sunt livrate fie fără securitate, fără a fi activată, fie cu valori implicite universale, iar toate acestea le fac vulnerabile la utilizarea incorectă, inclusiv posibilitatea de a se înscrie în botneturi. Mergând înainte, punctul fundamental este că dispozitivele IoT trebuie să aibă securitate disponibilă și nu poate fi lăsată la discreția utilizatorilor individuali. În acest sens, anul trecut, Departamentul pentru Digital, Cultură, Mass-media și Sport și Centrul Național de Securitate Cyber a emis un cod de practică pentru securitatea dispozitivelor IoT pentru consumatori. Aceasta propune un set de 13 practici pe care dezvoltatorii, producătorii și comercianții cu amănuntul pe care ar putea să le adopte pentru a îmbunătăți securitatea, primele fiind eliminarea setărilor implicite universale pentru numele de utilizator și parolele.

Deși nu există nici o soluție strictă pentru reducerea riscului de botneturi, există o serie de bune practici utile. Când implementăm un dispozitiv de tip IoT de orice tip, cele trei zone importante trebuie să înceapă cu un acces strict cu acreditare, strategia de actualizare pentru modificările firmware-ului și de ce adrese URL și adresa IP are nevoie dispozitivul pentru funcționare.

Atunci când dispozitivele IoT sunt implementate într-un mediu de afaceri, cele mai bune practici impun utilizarea unui segment separat de rețea cunoscut sub numele de VLAN. Acest lucru permite echipelor IT să monitorizeze atât traficul cunoscut, cât și necunoscut, care afectează dispozitivele. De asemenea, permite echipelor să se asigure că traficul de rețea provine din locații cunoscute. De exemplu, dacă un proiector de sală de conferințe este accesibil prin Wi-Fi, rețeaua pe care dispozitivul o folosește ar trebui să fie limitată doar la utilizatorii interni și autentificați. Accesul public la dispozitiv ar trebui să fie întotdeauna restricționat. Urmând acest model, exploatarea dispozitivului ar necesita un atacator rău intenționat pentru a compromite mai întâi un computer care aparține unui utilizator autentificat. De asemenea, trebuie realizate  audituri IT regulate ale rețelelor IoT, pentru a se asigura că sunt prezente numai dispozitive cunoscute, cu identificarea dispozitivului reintrodusă într-un inventar de active care conține o listă actuală de versiuni de firmware și o listă a componentelor open source utilizate în acel firmware. Aceste obiective trebuie confirmate împreună cu furnizorii ca fiind legitimi prin confirmarea funcției lor. Odată confirmată, rețeaua IoT unde dispozitivul asociat cu firmware-ul este configurat poate să aibă restricții privind firewall-ul, permițând accesul dispozitivelor IoT numai la dependențele API cunoscute. Aceste sarcini ar trebui considerate ca parte a unui model general de acces la dispozitive compatibile cu principii de încredere zero.

Dacă un lucru este sigur, amenințarea cu botneturi va crește doar atunci când ecosistemul conectat se va extinde rapid și vor intra pe piață noi tehnologii conectate. Și în timp ce atacatorii vor continua să găsească noi modalități de a prelua controlul asupra rețelelor și de a exploata botneturi, există modalități clare în care experții și organizațiile IT pot atenua riscurile, în special problema îmbunătățirii mecanismelor slabe de securitate.

Tags