Hlavní navigace

Postřehy z bezpečnosti: lehce napadnutelné IoT zařízení

Martin Čmelík

V tomto díle se podíváme na 12 let starou chybu OpenSSH postihující 2 miliony IoT zařízení, na trojského koně Acecard požadujícího selfie s občanským průkazem, na dešifrování 1024bitového klíče a mnoho dalšího.

V minulých postřezích jsem si psali o rekordním DDoS útoku, který dosahoval hodnoty 1,1 Tbps a že obsahoval cca 145 tisíc IoT zařízení. Převážně se jednalo o kamery a DVR a poté se na internetu i objevil seznam výchozích hesel, který stačil k ovládnutí většiny z nich.

Akamai zveřejnila zprávu o tom, jak některé skupiny používají 12 let starou chybu OpenSSH k tomu, aby plně ovládly miliony IoT zařízení na internetu. Z IoT (Internet of Things), či IosT (Internet of stupid Things) se tak stane IouP (Internet of Unpatchable Things), čili zařízení, které se pravděpodobně nikdy nebudou aktualizovat a slouží jako proxy pro škodlivé akce či útoky.

Útok nazvali SSHowDowN Proxy a skupiny se specializují na NAS servery, CCTV, DVR, NVR, satelitní antény, routery, ADSL modemy apod. Výše zmíněná chyba v OpenSSH je z roku 2004 (CVE-2004–1653) a opravena byla začátkem roku 2005. Akamai předpokládá, že pomocí SSHowDowN jsou napadeny dva miliony zařízení.

Jen částečně se těmto problémům můžete vyhnout tím, že přestanete kupovat IoT na Alibabě a DealExtremu a budete preferovat alespoň trochu známé firmy, kde je alespoň malá šance, že budou vydávat případné opravy. Tím, že nebudete vašemu termostatu či zásuvce dávat veřejnou IP adresu (mají používat call-home funkci), úplně vypnete administraci z internetu a veškeré služby, které by směrem do internetu měly poslouchat, zablokujete. Dost také pomáhá, pokud si předem přečtete, co na daném zařízení běží za systém. Když už ne na stránkách výrobce, tak z jiných zdrojů. Pokud na vašem WiFi routeru běží např. fork OpenWRT a podle historie je vidět, že několikrát za rok se uvolňují aktualizace, tak můžete být poměrně klidní. Dále existuje několik distribucí, či prostředí pro IoT zařízení, jako Zephyr, Ubuntu Snappy, Google Brillo, Windows 10 IoT či RIOT. Pokud výrobce HW zmíní některou z nich, tak pravděpodobně pochopil, že nemá smysl se starat o bezpečnostní chyby firmware/OS a že je rozumnější soustředit se na výsledný produkt. I tak ale zkontrolujte frekvenci aktualizací.

Naše postřehy

Na DNS záznamy populární služby BlockChain.Info byl veden cílený útok a ze serverů CloudFlare byly přesměrovány na levný webhosting. Zřejmě se podařilo změnit SOA záznamy u registrátora domény a tím způsobit nedostupnost služeb. Postižených bylo přibližně 8 milionů uživatelů, protože jejich Bitcoin peněženka patří mezi nejpopulárnější.

Před rokem jsme v postřezích psali o způsobu, jak NSA dokázala dešifrovat trilióny VPN, HTTPS, SSH, či SMTPS spojení. Problémem bylo nedodržení všech postupů při implementaci protokolu Diffie-Hellman, kdy se používaly známé skupiny prvočísel. Výzkumníkům se nyní povedlo tento postup replikovat. Trvalo jim to dva měsíce a na problému pracovalo 3 000 procesorů, ale nakonec dokázali dešifrovat 1024bitový privátní klíč. S 2048bitovým klíčem je problém 16milionkrát složitější a trval by několik let.

Trojan Acecard šířící se na platformě Android se snaží od lidí získat nejen bankovní údaje, ale požaduje také selfie fotografii, na které před sebou držíte občanský průkaz. Tím pak mají útočníci dostatek k informací k tomu, aby provedli ilegální transakce, či ovládli vaše internetové účty.

Na webu Kaspersky se objevil pěkný článek zmiňující pět mýtu o machine learningu ve spojení s kyberbezpečností. Já bych jen doplnil/upozornil, že machine learning je nyní buzz slovem a všichni výrobci bezpečnostních technologií ho velice rádi používají, protože to zní jako něco z budoucnosti, co pomůže vytvořit první AI (resp. AGI). Dnešní ANI umí řídít auta, rozumí tomu co říkáte (Siri, Cortana, Viv [YT], …), rozeznává tváře, umí řídit drony a diagnostikovat stav/nemoc pacienta (lépe než doktor). Ačkoliv bezpečností řešení společnosti používá jen statistickou, sekvenční, či heat-map analýzu, tak se nebojí tomu říkat machine learning a za „inovativní technologii“ požadovat miliony dolarů. Ptejte se jich jak přesně jejich ML technologie funguje, jaký používá feature learning pro trénování agenta a jaký typ neuronových sítí. Spousta lidí se nechá opít rohlíkem a spousta společností lže.

Microsoft uvolnil security patch bundle opravující 10 chyb, z toho pět zero-day se aktivně využívá na internetu (MS16–118, MS16–119, MS16–120, MS16–121 a MS16–126). Patch bundle je nový a kontroverzní způsob šíření bezpečnostních aktualizací, kdy je nainstalujete buď všechny, nebo žádnou a nemáte již možnost vybrat jen některé. Co se týče bezpečnostních aktualizací, tak uživatelé/admini by neměli mít možnost si vybírat. Pokud je riziko reálné, tak se musí daný produkt opravit, jinak tím ohrožují i ostatní.

Kvůli chybě v systemd dokáží lokální uživatelé na Linuxu způsobit DoS útok. Stačí k tomu tento příkaz (případně ve smyčce):

NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

systemd je seriál zde na Rootu. Z bezpečnostního hlediska je to nebezpečná a komplexní služba, která nenásleduje bezpečnostní praktiky psaní kódu (privilege separation, fail-safe design, …). Benefity jsou popsány zde.

Ve zkratce

Pro pobavení

Našli jste v článku chybu?

18. 10. 2016 11:50

Jenda (neregistrovaný)

> Tím, že nebudete vašemu termostatu či zásuvce dávat veřejnou IP adresu

Myslím, že si už zase někdo spletl maškarádu a firewall.

> Jen částečně se těmto problémům můžete vyhnout tím, že přestanete kupovat IoT na Alibabě a DealExtremu

Přijde mi, že aktualizace nevydává nikdo, a je jedno, kdo to vyrobil/prodává.

> Co se týče bezpečnostních aktualizací, tak uživatelé/admini by neměli mít možnost si vybírat. Pokud je riziko reálné, tak se musí daný produkt opravit, jinak tím ohrožují i…

17. 10. 2016 6:44

„ S 2048bitovým klíčem je problém 16milionkrát složitější a trval by několik let.“

Hmm, to „několik“ je docela eufemismus, pokud původní útok trval dva měsíce. I kdybych počítal s výměnou hardwaru každé dva roky a Moorovým zákonem, dostávám se skoro na 50 let.

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Komu musí od ledna zvýšit mzdu?

Komu musí od ledna zvýšit mzdu?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?