Nie milkną echa ostatniego ataku hakerskiego, który spowodował wyłączenie wielu popularnych usług - Netflixa, Twittera czy Spotify. Po raz pierwszy na tak dużą skalę wykorzystano urządzenia niebędące tradycyjnymi komputerami.
21 października użytkownicy w Stanach zaczęli zgłaszać problem z dostępem do Spotify, Twittera, GitHub, Esty czy SoundCloud. Wkrótce dołączyli do nich niezadowoleni klienci PlayStation Network, a także odwiedzający takie witryny jak Reddit, Netflix, Amazon czy RedTube.
Jak to możliwe? Już w pierwszych momentach awarii udało się ustalić, że chodzi o atak typu DDoS - Distributed Denial of Service, czyli atak "rozproszonej odmowy usług”. Polega on na wykorzystaniu mocy obliczeniowej zawirusowanych urządzeń do łączenia się z określonym celem (w tym wypadku - serwerami DNS, kojarzącymi wpisywany w pasek adres www z odpowiednim IP) i wysyłaniu prostych zapytań. Przy odpowiednio dużej skali - tysięcy, a w powyższym przypadku, nawet milionów sprzętów, serwery nie wyrabiają się z obsługą zapytań i zostają zatrzymane.
Jak wynika z analizy firmy Flashpoint, zajmującej się bezpieczeństwem sieci Dyn, do ataku wykorzystano wirusa Mirai, którego kod źródłowy został opublikowany na początku października. Ten sam robak, zbudowany z myślą o DDoS wykorzystujących Internet Rzeczy (o tym za chwilę), był wcześniej użyty dwukrotnie - do zmasowanego zalania zapytaniami serwerów popularnego bloga o bezpieczeństwie "Krebs on Security” i francuskiej firmy hostingowej OVH. Choć na razie nie wiadomo jeszcze, jaką moc miał atak, poprzednie, wykorzystujące Mirai, przesyłały dane z prędkością 620 Gb i 1000 Gb (gigabitów) na sekundę. Dla porównania - pojedyncze łącze o mocy 620 Gbp/s pozwoliłoby na ściągnięcie 77,5 gigabajtów w sekundę.
W jaki sposób hakerom (czy raczej "crackerom”, jak określiłaby ich społeczność ekspertów) udało się uzyskać dostęp do takiej mocy? Flashpoint informuje w swoim oświadczeniu, że w wysyłaniu zapytań do Dyn brały udział także... dekodery telewizyjne oraz kamerki internetowe, działające na oprogramowaniu chińskiej firmy Hangzhou XiongMai Technologies (XM). Działanie Mirai jest bardzo proste - skanuje sieć w poszukiwaniu podłączonych do niej urządzeń, w których nie zmieniono standardowych haseł ("root”), instaluje wirusa i pozwala atakującemu na wykonanie dowolnej operacji.
W rozmowie z "Krebs on Security” Zach Wikholm z Flashpoint podkreślił, że tanie, słabo zabezpieczone urządzenia z możliwością podłączenia do internetu stanowią spore zagrożenie dla infrastruktury informatycznej. Okazuje się bowiem, że użytkownik, choć może zmienić standardowe hasło w panelu dostępu, to z urządzeniem nadal można się połączyć przez tzw. protokół SSH. Po atakach na wspominany OVH Flashpoint przeskanował internet, znajdując ponad pół miliona urządzeń podatnych na zarażenie wirusem i wykorzystanie do DDoS przez Mirai.
W obliczu takiego wydarzenia naturalnie pojawiają się pytania o bezpieczeństwo Internetu Rzeczy (IoT). W opisywanym ataku doszło jedynie do kilkugodzinnego odcięcia użytkowników od usług typu streaming video czy muzyki, ale łatwo sobie wyobrazić w przyszłości np. atak na autonomiczne pojazdy. To nie jest problem, którym zajmować się będą nasze dzieci albo dzieci naszych dzieci. To jest problem z gatunku „tu i teraz” - w perspektywie 10-15 lat coraz więcej takich samochodów będzie poruszać się po naszych drogach. Co, jeżeli pojawiające się w naszych domach lodówki i piekarniki, zdolne łączyć się z internetem i informować nas, poprzez smartfony, o liście zakupów, zostaną wykorzystane do spowodowania wypadku?
Konsorcjum w obronie Internetu Rzeczy
Choć brzmi to abstrakcyjnie, rynek IoT już teraz stara się standaryzować oprogramowanie. Autor wspomnianego bloga, Brian Krebs, twierdzi, że niezbędne będzie powołanie czegoś na kształt konsorcjum, określającego minimalne standardy i certyfikującego bezpiecznych dostawców urządzeń typu IoT. To bardzo istotna kwestia bo, jak wynika z przewidywańGartnera, już w bieżącym roku każdego dnia do sieci podłączanych jest ponad 5,5 miliona urządzeń. W ilu z nich nigdy nie zostanie zmienione podstawowe hasło? Można się tylko domyślać.
W pewnym sensie ten atak dowodzi, że Internet Rzeczy to niezwykła technologia, oferująca ogromne możliwości - a pojawiające się tu i ówdzie głosy, jakoby należało radykalnie je ograniczyć w imię bezpieczeństwa, są raczej bezzasadne. Nikt nie postuluje odłączenia internetu tylko dlatego, że korzystają z niego hakerzy, którzy każdego dnia dokonują ataków na firmy i instytucje. Zamiast więc "odcinać kończynę”, zastanówmy się, jakie kroki należy podjąć, by minimalizować ryzyko.
Serwery DNS można porównać do książki telefonicznej, kojarzącej adresy IP. Użytkownik wpisuje adres strony internetowej, łączy się z DNS, a ten z kolei odszukuje IP serwera, na którym znajduje się witryna. Ale ze stroną można połączyć się różnymi "ścieżkami” - jeżeli jedna z nich jest "zakorkowana”, można wybrać inną. Potrzeba do tego jednak innego serwera DNS, a w przypadku wielu zablokowanych w ostatnim ataku stron takiej zapasowej "książki telefonicznej” nie było. Dyn jest największym graczem na tym rynku, ale podobne usługi oferuje także Google. Po atakach za pośrednictwem Mirai wiadomo już, że PayPal poszerzy swoją infrastrukturę, dzięki czemu kolejny DDoS będzie musiał być przypuszczony ze zdwojoną siłą, by wyrządzić podobne szkody.
Portal Euractiv.com informował na początku października, że Komisja Europejska przygotowuje nowe przepisy mające regulować rynek urządzeń IoT, głównie pod kątem bezpieczeństwa. Jedną z propozycji jest wprowadzenie specjalnych certyfikatów dla sprzętów, które spełniają określone wymogi. W pracę nad przepisami zaangażowane są duże firmy technologiczne, m.in. Cisco, Bosch, Nokia czy Philips.
- Aktualnie mamy do czynienia z coraz bardziej zaawansowanymi zagrożeniami, jednocześnie coraz więcej urządzeń jest połączonych z siecią – mowa zarówno o zastosowaniach konsumenckich, jak i biznesowych. Uważam, że aktualny poziom bezpieczeństwa IT jest niewystarczający. Musimy zmienić nie tylko podejście do wykorzystania nowoczesnych technologii, ale także do kwestii ochrony przed zagrożeniami_ – _mówi Richard Curran, Dyrektor ds. Bezpieczeństwa w regionie EMEA z firmy Intel.
Można powiedzieć: dobrze, że ten atak przytrafił się właśnie teraz. Komunikujące się ze sobą sprzęty użytku domowego nie są jeszcze zupełnie powszechnym standardem, a ujawnione zagrożenie pozwoli na wprowadzenie skuteczniejszych zabezpieczeń w przyszłości.
Cooper Wang, rzecznik producenta feralnych kamerek i dekoderów, poinformował, że możliwość zdalnego łączenia się ze sprzętem (nawet tym, który ma zmienione hasło) została wyłączona w październiku 2015 roku, co oznacza, że tylko urządzenia wyprodukowane wcześniej są podatne na ataki. Jak z kolei donosi BBC, po ataku, firma Hangzhou Xiongmai wezwała swoich klientów do wymiany sprzętu na nowy, z załatanymi dziurami. Z dużą dozą prawdopodobieństwa można założyć, że w najlepszym interesie zarówno tego, jak i każdego innego producenta, będzie dołożenie wszelkich starań do zabezpieczenia produkowanych urządzeń.
Konieczność wprowadzania urozmaiconych haseł w przypadku bankowości internetowej czy skrzynki mailowej także nie pojawiła się od razu i została wymuszona rosnącą popularnością tzw. ataków "brute force” - w których wirus za hasło użytkownika podstawiał generyczny wyraz ze słownika. Z kolei pojawienie się systemu CAPTCHA wynikało z pojawienia się robotycznych algorytmów masowo generujących ruch i rejestrujących się w różnych serwisach w celu masowego generowania spamu.
Podobnie będzie z IoT - choć nawet najlepiej zabezpieczone urządzenia okazują się podatne na włamania, jeśli zawodzi "czynnik ludzki”. Rynek konsumencki wymaga edukacji i to na barkach producentów oraz marek spoczywa popularyzacja wiedzy z zakresu bezpieczeństwa. Jak każdy przełomowy wynalazek, Internet Rzeczy musi przejść swój "chrzest bojowy”, ale raczej nie powinniśmy obawiać się odwrotu od tej technologii, której ostatecznym celem jest ułatwienie życia.
Szukasz porady? Skontaktuj się z ekspertem z Asseco: +48 22 574 88 23; e-mail: piotr.fabjaniak@assecods.pl