Наличие большого количества незащищенных устройств Интернета вещей с высокой вычислительной мощностью делает их легкой и привлекательной мишенью для злоумышленников, создающих масштабные ботнеты — сети зараженных компьютеров («ботов», или «зомби») со своей инфраструктурой управления, используемые для вредоносной активности, например для организации DDoS-атак (см. врезку).

В ноябре 2013 года исследователи из Symantec обнаружили Linux-червь Darlloz, который, пользуясь уязвимостью скриптового языка PHP, передавался на устройства Интернета вещей: домашние маршрутизаторы, телеприставки, камеры безопасности, принтеры и промышленные системы управления технологическими процессами. А в январе 2014 года был обнаружен вариант того же вируса-червя со встроенным механизмом «добычи» криптовалюты [1]. В сентябре 2016 года ботнет, построенный с помощью вредоноса Mirai [2] и, возможно, самый большой на данный момент [3], стал источником атаки мощностью 600 Гбит/с на блог Брайана Кребса — журналиста, специализирующегося на публикациях о киберпреступности. В том же месяце посредством ботнета на основе Mirai была устроена DDoS-атака против французского провайдера веб-хостинга OVH, которая достигла рекордной мощности, составившей, по оценкам, от 1,1 до 1,5 Тбит/с. Тактика действий Mirai проста: пользуясь списком из 62 стандартных имен пользователей и паролей, задаваемых производителями устройств по умолчанию, вредонос получает доступ к домашним маршрутизаторам, сетевым камерам видеонаблюдения и цифровым видеорегистраторам, у которых, как правило, менее надежная защита, чем у других потребительских устройств Интернета вещей.

Риски безопасности в Интернете вещей

Вероятность атак на устройства Интернета вещей предсказывалась исследователями. Если сравнивать Интернет вещей с традиционными компьютерными системами, то их риски безопасности выше по ряду причин:

  • системы Интернета вещей не имеют четкого периметра и непрерывно меняются;
  • для систем Интернета вещей характерна высокая гетерогенность средств и протоколов связи, программных и аппаратных платформ;
  • устройства Интернета вещей могут быть автономными и управлять другими устройствами;
  • в системах Интернета вещей могут присутствовать «вещи», изначально не рассчитанные на подключение к Сети;
  • системы Интернета вещей или их части могут быть физически незащищенными и управляться несколькими инстанциями;
  • в отличие от мобильных приложений, на установку и действия которых требуется разрешение пользователя, в системах Интернета вещей подобные детализированные запросы привилегий не всегда возможны ввиду огромного количества самих устройств.

Многие системы Интернета вещей лишены даже элементарных механизмов безопасности. В таблице перечислены типичные уязвимости, обнаруженные в рамках проекта Open Web Application Security. Исследование, проведенное компанией HPE в июле 2014 года, показало, что в среднем устройства Интернета вещей имеют по 25 различных уязвимостей. В частности, 80% устройств не требовали паролей достаточной сложности и длины, 70% не шифровали трафик локальной и дистанционной связи, а 60% имели уязвимые пользовательские интерфейсы или микропрограммное обеспечение.

Распространенные уязвимости устройств Интернета вещей
Распространенные уязвимости устройств Интернета вещей

 

Методы защиты

Чтобы предотвратить превращение устройств Интернета вещей в «зомби», необходимо пользоваться стандартными мерами, позволяющими защититься от наиболее распространенных угроз. В бюллетене, опубликованном в октябре 2016 года Компьютерной группой реагирования на чрезвычайные ситуации США (US-CERT), приводятся следующие рекомендации:

  • изменить пароли, заданные по умолчанию, на надежные;
  • установить свежие заплаты безопасности на устройства Интернета вещей;
  • отключить технологию Universal Plug and Play (UPnP) на маршрутизаторах, если нет реальной необходимости пользоваться ею;
  • обеспечить мониторинг трафика на портах 2323/TCP и 23/TCP, чтобы воспрепятствовать попыткам получения несанкционированного контроля над устройствами Интернета вещей с помощью протокола Telnet;
  • отслеживать аномалии трафика на порту 48101, который часто используется инфицированными устройствами для пересылки атакующим сведений о результатах попыток распространения вредоносов.

 

Ботнеты

Ботнет — это автоматизированная сеть скомпрометированных компьютеров (ботов), на которых работают вредоносные программы под управлением «ботмастера», хозяина сети. Ботнеты могут выполнять различные функции, включая рассылку спама по электронной почте, осуществление DDoS-атак, взлом паролей, протоколирование нажатий на клавиши и добычу криптовалют. Боты могут сканировать диапазоны сетевых адресов и передаваться на другие машины, пользуясь уязвимостями и слабыми паролями. На скомпрометированное устройство устанавливается компактная программа, которую в дальнейшем активирует ботмастер: в определенное время он отдает ботам в сети команду — например, начать массовую отправку запросов на указанный сайт с целью лишения его возможности выполнять запросы от легитимных пользователей. Первые ботнеты имели централизованную архитектуру, в которой ботмастер работал на одном или нескольких центральных серверах, но, поскольку такие ботнеты можно было выводить из строя путем остановки их серверов, появились альтернативные архитектуры, основанные на одноранговых сетях. Примерами ботнетов такого типа являются GameOver Zeus, Sality, ZeroAccess и Kelihos.

Поскольку для работоспособности ботнета критически важна связь с управляющим сервером, для сокрытия его местонахождения применяется методика «потока» доменных имен (domain fluxing). Каждый бот независимо от остальных генерирует по заданному алгоритму список псевдослучайных доменных имен, а затем пытается связываться с доменами из этого перечня в определенном порядке, пока какая-либо из попыток не окажется успешной: доменному имени будет сопоставлен IP-адрес, и сервер по этому адресу выдаст отклик, отвечающий протоколу ботнета. Для управляющих серверов ботмастеру достаточно зарегистрировать лишь несколько доменов из всего списка.

 

 

Конечным пользователям участники группы US-CERT рекомендуют покупать оборудование Интернета вещей только у компаний, имеющих опыт в области безопасности, и при этом уточнять коммуникационные возможности устройств, чтобы знать, как снизить риск их заражения вредоносными программами. Однако подобные рекомендации подходят лишь в качестве первой линии защиты и при ограниченном масштабе взаимодействия с устройствами Интернета вещей. Кроме того, нужны методики автоматизированного управления безопасностью таких устройств.

Есть и такая проблема: даже если устройства Интернета вещей имеют уже известные уязвимости в ПО, заплаты могут не устанавливаться в течение очень длительного времени. Поэтому особую важность приобретает применение средств распознавания вторжений. Вместе с тем, поскольку многие устройства не обладают мощными процессорами и достаточной памятью, анализ, необходимый для распознавания вторжений, скорее всего, придется осуществлять на шлюзовом оборудовании.

Долгосрочная стратегия безопасности Интернета вещей

Mirai стал первым из ботнетов нового класса, которые используют устройства и системы Интернета вещей. Но внедрение средств защиты неизменно вызывает появление новых способов атак, таких, например, как недавние DDoS-атаки с усилением, в которых использовались подставные IP-адреса источника, чтобы затруднить идентификацию организаторов. Поэтому уже скоро можно ожидать появления более сложных атак, чем Mirai, с еще более разрушительными последствиями. В частности, поскольку многие системы и устройства Интернета вещей имеют подвижные части и обладают способностью менять физическое окружение, атаки против них могут создавать серьезные риски и угрозу человеческой жизни. Разработка методов обеспечения безопасности должна стать приоритетным направлением исследований.

Меры по защите от обычных ботнетов можно разделить на три категории: предотвращение, мониторинг и реагирование. Предотвращение заражения ботами — наиболее эффективный метод защиты. Он реализуется с помощью антивирусов, работающих совместно с системами предотвращения вторжений, межсетевыми экранами, фильтрами контента, технологиями инспекции и составления «белых списков» приложений. Важную роль играет просвещение пользователей, ведь вредоносы нередко распространяются из-за их ошибок, в том числе из-за неосмотрительного открытия прикрепленных файлов. К примеру, Locky — вирус-вымогатель, который подключал компьютеры к ботнету, распространялся в рамках крупномасштабной кампании спамерских рассылок по электронной почте.

Но устройства могут быть заражены и несмотря на наличие средств безопасности, поэтому необходимо следить за поведением сети и устройств для обнаружения аномальных событий и тенденций, потенциально свидетельствующих об угрозе. Для анализа поведения сети требуется ПО, устанавливаемое локально или предоставляемое в виде сервиса, которое будет непрерывно наблюдать за потоками данных от маршрутизаторов и других источников, отмечая расхождения объема трафика с установленными базовыми показателями, следить за распределением пропускной способности, использованием протоколов и т. п. Пользователи тоже могут принимать более активное участие в распознавании угроз, сигнализируя о признаках заражения компьютеров вроде замедления процессов загрузки и выключения, частых сбоев, необъяснимых сообщений об ошибках и необычно медленной работе.

При обнаружении признаков DDoS-атаки или инфекции важно быстро отреагировать, чтобы свести к минимуму ущерб и предотвратить дальнейшее распространение вредоноса. Действия при этом могут быть как самыми простыми вроде отключения предположительно зараженного компьютера, так и более сложными, включая отслеживание, анализ и отключение ботнетов. Средства слежения за поведением сети сами могут принимать определенные меры, в частности, переадресовывать потенциально вредоносный трафик на другие хосты с помощью протокола Border Gateway Protocol и других механизмов маршрутизации. Но для более сложных операций (например, отключения ботнета) может понадобиться участие специализированных компаний и, возможно, правоохранительных органов.

Развертывание различных защитных систем — задача непростая, учитывая огромное количество устройств Интернета вещей и уязвимостей, поэтому важно также дорабатывать существующие механизмы безопасности, включая шифрование, аутентификацию, контроль доступа, защиту сетей и приложений, адаптируя их для экосистемы Интернета вещей. В частности, необходимы методы и средства анализа прошивок на наличие брешей, таких как «черные входы» для обхода процедуры аутентификации. Нужны также средства обнаружения, идентификации и мониторинга самих устройств. Например, эксплуатацию устройств Интернета вещей ботнетом Mirai могли бы предотвратить механизмы обязательного использования сильных паролей и белые списки адресов, с которыми устройствам разрешено общаться.

Вместе с тем определиться, какое именно сочетание методик и инструментов необходимо для защиты конкретных систем Интернета вещей, непросто ввиду большого разнообразия применений. Кроме того, выбор может зависеть от уже используемых процессов управления программным обеспечением. Разумно предположить, что компании, выпускающие устройства Интернета вещей для применений, связанных с риском раскрытия конфиденциальных сведений или создания угроз безопасности, проводят обязательный анализ защищенности прошивок, однако производители потребительских продуктов такого рода этого могут и не делать. Поэтому стратегия безопасности должна включать тщательный анализ всех рисков.

Созданные к сегодняшнему дню устройства Интернета вещей обычно выполняют небогатый набор действий над входными данными достаточно ограниченного диапазона и характеризуются предсказуемым поведением. Это частично упрощает задачу разработки стандартных механизмов распознавания аномалий, указывающих на атаки или компрометацию устройств. Для масштабируемости соответствующий мониторинг следует осуществлять с помощью специализированных маршрутизаторов или шлюзов Интернета вещей.

***

Несмотря на то что большинство систем Интернета вещей являются закрытыми и узкоспециализированными, они создают серьезные проблемы безопасности по причине большого количества и разнообразия устройств, средств связи, коммуникационных протоколов и программных решений. Поэтому даже тестирование таких систем на защищенность может вызвать немалые трудности. Помимо проблем с масштабируемостью и интероперабельностью, для экосистем Интернета вещей характерны и другие сложности, связанные с тем, что в них задействованы многие стороны, каждая из которых выполняет операции, влияющие на безопасность, в том числе по присвоению идентификаторов устройствам, установке заплат и т. п. В крупных распределенных системах с множеством отдельных управляемых доменов, несмотря на все трудности, необходимо вести учет информации, отвечающей за обеспечение безопасности, в том числе о криптоключах и разграничении ответственности.

Литература

  1. S.K. Bansal. Linux Worm Targets Internet-Enabled Home Appliances to Mine Cryptocurrencies. The Hacker News, 19 Mar. 2014. URL: thehackernews.com/2014/03/linux-worm-targets-internet-enabled.html (дата обращения: 15.05.2017).
  2. D. Goodin. Record-Breaking DDoS Reportedly Delivered by >145K Hacked Cameras. Ars Technica, 28 Sept. 2016. URL: arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever (дата обращения: 15.05.2017).
  3. KrebsOnSecurity Hit with Record DDoS. Blog. 21 Sept. 2016. URL: krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos (дата обращения: 15.05.2017).

Элиза Бертино (bertino@purdue.edu) — профессор, Университет Пердью, Найим Ислам (nayeem.islam@gmail.com) — вице-президент, исследовательское подразделение Qualcomm.

Elisa Bertino, Nayeem Islam, Botnets and Internet of Things Security. IEEE Computer, February 2017, IEEE Computer Society. All rights reserved. Reprinted with permission.