Nowości w branży bezpieczeństwa

2019: prognoza bezpieczeństwa Avast, część 1: Internet Rzeczy

Threat Intelligence Team, 24 stycznia 2019

W pierwszej części prognoz na 2019 r. eksperci Avast omawiają największe zagrożenia dotyczące Internetu rzeczy (IoT).

 

Łańcuch jest tak silny jak jego najsłabsze ogniwo. To stwierdzenie jest także prawdziwe w świecie zabezpieczeń. W tym roku zauważyliśmy rozwijający się trend — jeśli zabezpieczenia choć jednego urządzenia w domu lub małej firmie (zazwyczaj routera) zostaną naruszone, to naruszenie zabezpieczeń pozostałych urządzeń w sieci staje się łatwe. Urządzenia podłączone do Internetu — znane jako Internet rzeczy (IoT) — to najszybciej rozwijająca się kategoria urządzeń w historii. Obecnie coraz trudniej jest kupić sprzęty i urządzenia domowe, które nie mają funkcji połączenia z Internetem.

Urządzenia IoT, takie jak światła, ekspresy do kawy, inteligentne głośniki czy zamki do drzwi, będą stymulować rozwój ataków ukierunkowanych na wykorzystywanie luk i słabych punktów ich konfiguracji, wad zabezpieczeń i niskiego poziomu zainteresowania klientów ustawieniami. Z tego względu główny nurt naszych prognoz opiera się na założeniu, że infiltracja urządzenia IoT może łatwo doprowadzić do złamania zabezpieczeń sieci, w której znajdują się urządzenia IoT podłączone do zaatakowanych modemów.

Wraz z rozpoczęciem nowego roku publikujemy trzyczęściową serię dotyczącą prognoz na 2019 r. Bazując na wnioskach i obserwacjach zespołu firmy Avast ds. analizowania zagrożeń, omówimy Internet rzeczy, zagrożenia mobilne oraz sztuczną inteligencję. W tym pierwszym poście skoncentrujemy się na najważniejszych prognozach dotyczących zagrożeń Internetu rzeczy w 2019 r. z uwzględnieniem nadal aktualnych zagrożeń z 2018 r.

avast-protection
Podsumowanie miesięcznych prób ataków w 2018 r. według urządzenia i typów zablokowanych ataków

Internet rzeczy (narażonych na atak)

Kategoria IoT rozwija się w błyskawicznym tempie i to nie bez powodu — mimo że jedna osoba ma zazwyczaj jednego laptopa i jeden telefon komórkowy, może mieć w domu mnóstwo urządzeń połączonych: od dzwonka do drzwi przez centrum rozrywki po zabezpieczenia. Według organizacji Juniper Research do 2020 r. liczba urządzeń połączonych przekroczy 38,5 miliarda.

Na ilustracji przedstawiono przykładowe marki i usługi, które mogą występować w inteligentnym domu:

Avast_Security_Predictions_Smart_Home

W nadchodzących latach trend w kierunku urządzeń inteligentnych będzie tak wyrazisty, że trudno będzie kupić sprzęty czy elektronikę domową, które nie będą połączone z Internetem.   

Jak pokazują wyniki wielu naszych badań, zabezpieczenia nie są niestety priorytetem podczas produkcji tych urządzeń. Mimo że urządzenia inteligentne największych marek zawierają całkiem sensowne wbudowane funkcje zabezpieczeń, niektórzy deweloperzy oszczędzają na tym obszarze, aby obniżyć koszt zakupu dla klientów. To błędne założenie, gdyż inteligentny dom jest jedynie tak bezpieczny jak jego najsłabsze ogniwo. Historia lubi się powtarzać i przewidujemy, że złośliwe oprogramowanie ukierunkowane na IoT stanie się bardziej wyrafinowane i niebezpieczne, podobnie jak to miejsce w przypadku komputerów i urządzeń mobilnych.

Ataki na routery

Każda osoba mająca w domu połączenie z Internetem korzysta z routera, do którego podłącza się komputery, telefony i urządzenia IoT. Routery są powszechne i pełnią ważną funkcję, lecz rzadko spełniają wymagania najnowszych standardów bezpieczeństwa. W rzeczywistości, gdy dostawca Internetu zainstaluje router, większość ludzi więcej o nim nie myśli, chyba że wystąpią problemy z dostępem do sieci.

Badania Avast pokazują, że 60% użytkowników na całym świecie nigdy nie logowało się do swojego routera ani nie aktualizowało jego oprogramowania sprzętowego, co potencjalnie naraża ich na całkiem proste ataki. Główny problem polega na tym, że gdy atakujący uzyskuje dostęp do routera, wykorzystując znaną lukę w zabezpieczeniach lub słabe poświadczenia uwierzytelniania, to ma dostęp nie tylko do routera, ale także do wszystkich urządzeń podłączonych do sieci, w której ten router się znajduje.

Routery okazały się być prostymi i owocnymi celami rosnącej fali ataków. Choć duża liczba ataków na routery opiera się na wariantach bazy kodów Mirai (opublikowanej przez jej twórcę krótko po udanych atakach z września 2016 r.), wiele z nich jest bardziej złożonych, co wskazuje na niepewną przyszłość bezpieczeństwa sieci domowych.

W 2018 r. odnotowaliśmy nie tylko wzrost liczby ataków za pomocą złośliwego oprogramowania ukierunkowanych na routery, ale także zmiany w charakterystyce tych ataków. Złośliwe oprogramowanie zazwyczaj przejmowało routery w celu przeprowadzenia ataku typu „rozproszona odmowa usługi” (DDoS), tak jak ataki Mirai. Współczesne ataki wykorzystują jednak złośliwe oprogramowanie do zainfekowania urządzenia i otwarcia linii komunikacji z serwerem sterowania i kontroli bez podejmowania natychmiastowych działań.

Tak było w przypadku ataków VPNFilter i Torii. Po zainfekowaniu routera złośliwe oprogramowanie nasłuchuje ruchu sieciowego, oznacza sieć i podłączone do niej urządzenia oraz zezwala serwerowi sterowania i kontroli na wysyłanie nowych obciążeń oraz instrukcji na urządzenie. Pod tym względem złośliwe oprogramowanie bardziej przypomina platformę niż wirusa. To „uplatformowienie” złośliwego oprogramowania otwiera wiele możliwości ataku, takich jak „płatność za instalację”, „DDoS na zamówienie”, a nawet stary, dobry spam.

Dalsze skutki luk w zabezpieczeniach routerów

Routery nadal będą celami ataków i będą wykorzystywane nie tylko do uruchamiania złośliwych skryptów czy szpiegowania użytkowników, lecz będą także służyć jako pośrednie ogniwa w atakach łańcuchowych. W przypadku kampanii Mikrotik proste przekonfigurowanie routera pozwoliło na zainfekowanie całej sieci wewnętrznej. Złośliwe oprogramowanie zainstalowało analizatory JavaScript we wszystkich przeglądarkach znajdujących się za routerem.

Ten atak uwidocznił także potencjalnie bardziej niepokojący trend, ponieważ routery znajdują się nie tylko w naszych domach, lecz są także używane przez wielu mniejszych dostawców Internetu. Zaatakowany router może potencjalnie zainfekować setki lub nawet tysiące podłączonych do niego urządzeń. W takiej sytuacji bardzo trudno byłoby ustalić źródło ataku.

Bardziej modułowe złośliwe oprogramowanie IoT

Na wczesnym etapie rozwoju złośliwe oprogramowanie na komputery było bardzo proste. Większość złośliwego oprogramowania IoT także powstaje z myślą o bardzo konkretnych celach, takich jak gromadzenie botnetów w celu przeprowadzenia ataku DDoS. Podobnie jak złośliwe oprogramowanie na komputery złośliwe oprogramowanie IoT będzie się jednak rozwijać i dostosowywać swój sposób działania — od programów o jednym przeznaczeniu do wielozadaniowych platform zdolnych do obsługi zorganizowanych kampanii typu „płatność za instalację”.

Ciche zainfekowanie i przyczajenie się może być korzystniejsze niż natychmiastowe spieniężenie sieci. Po przejęciu kontroli nad dużą liczbą urządzeń IoT autorzy złośliwego oprogramowania mogą dowolnie zmienić przeznaczenie swoich botów, aby osiągnąć jak największe zyski.

Bardziej wyrafinowane techniki rozpowszechniania

Spodziewamy się coraz większej liczby złośliwych programów, które będą infekować urządzenia IoT za pośrednictwem przeglądarki. Ataki przeglądarkowe na komputery i telefony komórkowe, tzw. fałszerstwa żądania międzywitrynowego (Cross Site Request Forgery), już się zdarzają, lecz nie są jeszcze bardzo popularne. W tym scenariuszu użytkownik odwiedza stronę ze złośliwym kodem JavaScript, który skanuje lokalną sieć użytkownika, znajduje urządzenie z lukami w zabezpieczeniach i je infekuje. To może być skuteczny sposób na zainfekowanie niewidocznego w Internecie urządzenia, np. znajdującego się za translatorem adresów sieciowych.

Złośliwe oprogramowanie IoT jako serwer proxy

Obecnie autorzy złośliwego oprogramowania IoT na ogół osiągają zyski przez kopanie kryptowalut lub ataki DDoS na zamówienie. Nie jest to jednak najbardziej rentowne podejście. Uważamy, że coraz więcej twórców złośliwego oprogramowania IoT zacznie infekować bardziej zaawansowane i interesujące urządzenia, takie jak telefony komórkowe, tablety i komputery.

Przykładem może być zainfekowanie routera w celu wstrzyknięcia kodu JavaScript lub innego złośliwego obciążenia do ruchu dostarczanego do użytkownika. Zainfekowany router może także zostać użyty jako serwer proxy, umożliwiający nawiązanie połączenia z innymi użytkownikami lub urządzeniami w Internecie oraz przeprowadzenie ataku. Wykorzystując łańcuch zainfekowanych urządzeń, które prawie nie mają funkcji rejestrowania, osoby atakujące mogą ukryć swoją oryginalną lokalizację, podobnie jak robią to serwery proxy anonimizacji.

Złośliwe oprogramowanie IoT przestanie obsługiwać architekturę x86

Architektura x86, jeden z najbardziej popularnych zestawów instrukcji zgodny z poprzednimi wersjami, jest używana od momentu jej wprowadzenia przez firmę Intel w latach 70. Coraz więcej urządzeń działa jednak w oparciu o alternatywne struktury, dlatego wydaje się logiczne, że autorzy złośliwego oprogramowania przestaną uwzględniać krok dotyczący architektury x86, aby utrudnić dostawcom zabezpieczeń odtworzenie kodu źródłowego. Istnieje wiele środowisk próbnych do sprawdzenia przenośnych plików wykonawczych (PE) i formatów ELF x86 (Executable and Linkable Formats), jednak większość ma problemy z obsługą innych architektur.

Pomimo zawartych w tych prognozach ostrzeżeń uważamy, że kwitnący rozwój Internetu rzeczy to ekscytujący moment w ewolucji technologicznej. Wystarczy rozsądnie podchodzić do każdego nowego urządzenia wprowadzanego do naszego życia oraz odpowiednio je zabezpieczyć. Aby lepiej przygotować się do technologicznej przyszłości, pobierz i przeczytaj pełny raport  po angielsku,„Prognozy Avast na 2019” lub sprawdź pozostałe dwa wpisy na blogu: prognozy bezpieczeństwa na 2019 Avast: część 2 i 3.