Internet rzeczy obejmuje urządzenia i usługi codziennego użytku, które łączą się z siecią. Przywykliśmy już do tego, że robią tak urządzenia multimedialne (telewizory, aparaty fotograficzne, konsole do gier). Coraz bardziej oswajamy się też z piekarnikami, lodówkami, dziecięcymi zabawkami i innymi zwykłymi domowymi sprzętami, które stają się “smart”. Niestety wraz z naszą wygodą rosną również zagrożenia. Mimo, że nie odnotowano jeszcze ataku na masową skalę w tym sektorze, to już wiemy, że w ubiegłym roku ktoś wpadł na pomysł by urządzenia należące do IoT mogły stać się narzędziem ataku.
Botnet Mirai
Idea botnetu była znana i wykorzystywana przez cyberprzestępców już od dawna. Polega ona na przejmowaniu cudzych komputerów lub innych urządzeń i zaprzęganiu ich do pracy w sieci kontrolowanej przez hakera. Takie komputery, nazywane botami, bez wiedzy właścicieli zajmują się rozprowadzaniem wirusów, rozsyłaniem spamu, przeprowadzają tysiące drobnych włamań do sieci firm i instytucji, wykradając dokumenty potencjalnie przydatne dla przestępców. Tropienie i eliminowanie botnetów to jedno z ważnych zadań policji i zespołów ds. bezpieczeństwa. Nowością, która pojawiła się w 2016 r. było stworzenie botnetu nie z komputerów, ale z drobniejszych urządzeń, np. kamerek internetowych i domowych nagrywarek DVR. Procesory tych urządzeń nie nadają się do wykonywania skomplikowanych zadań. Ale każde z nich ma własny adres IP i może połączyć się z wyznaczonym serwerem. Jeśli bardzo wiele urządzeń zrobi to jednocześnie, to serwer może zostać przeciążony. Na tym polegają ataki DDoS (ang. distributed denial of service - rozproszona odmowa usługi). 17 sierpnia 2016 roku Mirai zaatakował firmę Incapsula, sprzedającą m.in. usługi ochrony przed atakami typu DDoS. “Według informacji opublikowanych przez Incapsulę, zaatakowało ich ponad 49 tysięcy urządzeń IoT: głównie kamer internetowych, ale także urządzeń DVR i routerów. Atak osiągnął poziom 280 Gbps” - mówi Przemek Jaroszewski, kierownik zespołu CERT Polska, działającego w instytucie badawczym NASK jako część Narodowego Centrum Cyberbezpieczeństwa. Kolejny spektakularny atak botnet przypuścił w sierpniu na stronę Briana Krebsa, dziennikarza śledczego zajmującego się tematyką bezpieczeństwa informacji. Wykorzystane do tego celu zostały przede wszystkim kamery internetowe i systemy DVR typu SOHO (Small Office/Home Office).
A później Mirai został opublikowany w internecie...
Kod źródłowy Mirai został upubliczniony pod koniec września 2016 roku. Od tego momentu powstało wiele odrębnych botnetów Mirai, zarządzanych przez różne osoby. Według Briana Krebsa, który przeprowadził własne śledztwo w sprawie ustalenia autorstwa Mirai, za botnet odpowiedzialni są dwaj młodzi Amerykanie. Mieli oni stworzyć Mirai na potrzeby swojej firmy, zajmującej się ochroną serwerów gry Minecraft przed atakami DDoS. Prawdopodobnie główną przyczyną powstania botnetu była walka o rynek między firmami świadczącymi usługi ochrony. Możliwe, że według zamysłu autorów, skuteczne ataki na serwery chronione przez konkurencję miały skłonić klientów do wybrania właśnie ich firmy. “Na razie trudno jednoznacznie potwierdzić prawdziwość tych hipotez. Jednak wydają się one dość prawdopodobne” - ocenia Przemek Jaroszewski.
Niszczycielska fala
Ataki DDoS nie wydają się przeciętnemu internaucie szczególnie groźnym przestępstwem. Nie raz i nie dwa spotkaliśmy się z odmową usługi, bo strona była przeciążona. DDoS nie niszczy infrastruktury, nie wykrada poufnych danych. Po prostu czasowo blokuje dostęp do serwera. Jednak, jak podkreśla szef CERT Polska, to tylko brzmi niewinnie. “Może dojść do naprawdę poważnych problemów, gdy ofiarą ataku DDoS jest firma, od której zależą realne interesy innych firm, np. dostawca usług internetowych, bank, giełda papierów wartościowych. Przykładem jest atak Mirai na przedsiębiorstwo Dyn, świadczące usługi związane z infrastrukturą DNS” - mówi. Zdarzenie miało miejsce 21 października. Z usług tej firmy korzystało wtedy wiele popularnych serwisów internetowych, jak np. Spotify, Reddit, New York Times czy Wired. Przerwę w ich działaniu odczuło wielu internautów na całym świecie. Szacowana liczba botów biorących udział w tym ataku to około 100 tysięcy, a ich lokalizacja geograficzna była rozproszona. Część z nich mogła pochodzić z Polski, bo i tu eksperci zaobserwowali aktywność botnetu. W okresie od 29 października do 31 grudnia 2016 r. zespół CERT Polska obserwował średnio 7283 urządzenia przejęte przez hakerów dziennie. Rekordem było 14054 botów jednego dnia.
Nie takie wcale inteligentne
Wielu specjalistów ds. bezpieczeństwa zarzuca producentom urządzeń typu “smart” lekceważenie ryzyka. Wprowadzane na rynek nowości oferują nowe ciekawe funkcje, są przyjazne z obsłudze i ładne, ale zabezpieczeniami nie mogą się pochwalić. W wielu modelach hasła ustawione przez producenta są bardzo łatwe do odgadnięcia (“0000”, “1234” itp.). Nie istnieją łatwe w użyciu systemy zabezpieczające, zaprojektowane specjalnie dla tych urządzeń. Także użytkownicy nie są świadomi zagrożenia. Dlatego eksperci prognozują, że ataki na te urządzenia będą się powtarzać. Mirai skanuje internet w poszukiwaniu nowych urządzeń, na które stara się zalogować przy użyciu zestawu domyślnych lub łatwych do odgadnięcia loginów i haseł. Sądząc po skali dotychczasowych ataków, nie napotyka specjalnych problemów.
Artykuł powstał w ramach akcji informacyjnej „Wprost” i NASK – „Cyberbezpieczni tylko razem”. Ostrzegamy przed niebezpieczeństwami w sieci, tłumaczymy, jak ich unikać i jak reagować. Kolejne artykuły ukażą się już wkrótce.