В последнее время к интернету подключаются не только компьютеры и смартфоны — все больше стиральных машин, тостеров, кофеварок и холодильников оснащаются доступом к сети для облегчения жизни их хозяевам. Умный кондиционер можно удаленно попросить заранее остудить квартиру, а умную посудомойку — запустить процесс мытья посуды. Но уязвимостями в программном обеспечении этих устройств активно пользуются злоумышленники. Как такие системы могут нарушить работу целого сегмента глобальной сети.

Многие крупные интернет-сервисы 21 октября 2016 года оказались недоступными на территории США. «Лежала» социальная сеть Twitter, стриминговый сервис Netflix, интернет-магазин Amazon и другие известные сайты. Неизвестные злоумышленники, атаковавшие серверы хостинговой компании Dyn, по сути на несколько часов отключили интернет по всему восточному побережью Штатов.

Огромное количество взломанных устройств одновременно посылали на серверы этих площадок терабайты бесполезных данных, парализуя таким образом их работу. Подобные атаки для хостинговых компаний — дело привычное, но на этот раз необычными были масштабы проблемы и несколько сюрпризов. Помимо того что американские власти привычно посчитали инициаторами атаки русских хакеров, в ней участвовали не обычные компьютеры, а устройства интернета вещей: умные камеры, роутеры, телевизионные приставки и даже тостеры.

Каким образом их удалось взломать и присоединить к ботнету? К интернету подключено такое огромное количество устройств, что шансы подвергнуться атаке (тем более успешной) у отдельно взятой из них чрезвычайно малы. Корреспондент издания The Atlantic Эндрю Макгил решил провести эксперимент: посмотреть, как скоро попытаются взломать его умный тостер.

Тостер-приманка

Для своего эксперимента Макгил взял в аренду виртуальный сервер Amazon и замаскировал его таким образом, чтобы в сети он выглядел как плохо защищенное устройство, запрашивающее при подключении к нему логин и пароль. В реальности залогиниться в него было невозможно, однако в журнал сервера заносились IP-адрес компьютера, пытающегося это сделать, и введенная им информация.

Макгил полагал, что после запуска приманки атаки придется ждать несколько дней, однако уже через 40 минут некто попытался взломать его машину. Конечно, это был не человек, а бот, подбирающий наиболее часто используемые стандартные пароли, которые производители оборудования устанавливают по умолчанию. Следующая попытка последовала через десять минут, и примерно через тот же промежуток времени они повторялись в дальнейшем.

Макгил отмечает, что его эксперимент не был чистым, так как он разместил свой виртуальный тостер на сервере Amazon, диапазон IP которых известен — а значит, и атакуют их чаще. Тем не менее сейчас хакерские боты могут просканировать хоть весь интернет — ведь в их распоряжение мощности огромного количества взломанных устройств, и каждый новый девайс позволяет ботнету более эффективно осуществлять сканирование.
Mirai

Ботнет, который использовался для атаки 21 октября, называется Mirai, и он действительно специализируется в основном на нестандартных устройствах, подключенных к интернету, — от телевизоров до холодильников. Почему хакерам выгодно их взламывать? Вычислительная мощность таких систем мала, а программное обеспечение специализировано, зато устройства интернета вещей существенно проще взломать, так как большинство их создателей, похоже, даже не считают нужным усложнять цикл разработки и заниматься внедрением на первый взгляд бесполезных функций защиты холодильника или тостера от хакеров.

Заводские имена и пароли, использующиеся для доступа к подобным устройствам, давно известны злоумышленникам. Как говорится в заявлении британской компании PenTestPartners, занимающейся консультациями по вопросам информационной безопасности, атака 21 октября показывает, к чему ведет такое пренебрежение. «Мы много раз говорили, что интернет вещей породит идеальные ботнеты: эти устройства легко скомпрометировать, сложно пропатчить, и их владельцы вряд ли когда-нибудь догадаются о взломе», — предупреждает фирма.

Первая ласточка

Атака, поставившая на колени американский сегмент интернета, — не первый инцидент, в котором участвовал ботнет Mirai. В первый раз его мощь обрушилась на сайт эксперта по интернет-безопасности, журналиста Брайана Кребса, который ранее неоднократно говорил о возможности использования интернета вещей для таких атак. Скорее всего, некий хакер, прочитав его статьи, написал код Mirai, а потом решил зло подшутить над Кребсом.

В этой DDoS-атаке участвовали два ботнета на основе Mirai, каждый из них по большей части состоял из веб-камер, уязвимость которых хорошо известна злоумышленникам. Масштабы ее на тот момент были рекордными: в общей сложности в ней принимали участие около полутора миллионов устройств, а объем трафика составлял 660 гигабит в секунду.

Важно отметить, что обычная DDoS-атака производится за счет использования скомпрометированных серверов, которые на каждый входящий пакет данных генерируют несколько «мусорных» (ничего не значащих) запросов, таким образом постоянно увеличивая их количество.

Mirai ведет себя иначе. Большая часть запросов, которые посылают взломанные устройства интернета вещей, — прямые, одиночные и имеющие конкретное значение, просто атакующих инстанций в данном случае очень много. Именно поэтому генерируемый ими трафик крайне сложно отфильтровать.

Выхода нет

Ботнет Mirai взламывал устройства по протоколу удаленного доступа Telnet. Но не стоит думать, что если выключить его и придумать некие меры защиты, то злоумышленники не найдут другую лазейку. К сожалению, заделать все дыры в безопасности программного обеспечения сегодня просто невозможно. Хакеры найдут их, взломают и используют. Поскольку речь идет о неконтролируемых устройствах, хозяева которых не собираются с ними возиться, меняя прошивки и пароли, то однажды обнаруженная дыра останется в них навсегда.

Новые модели умных чайников, термостатов и кофеварок будут защищены от нападения Mirai, но уязвимы для атак более современных ботнетов. В отличие от популярных компьютерных ОС, большинство которых почти насильно заставляет пользователей обновлять защиту безопасности, среднестатистический владелец умного устройства вряд ли задумается над обновлением прошивки своего чайника.

PenTestPartners призывают производителей таких устройств ввести более агрессивную процедуру установки патчей, но это вряд ли решит проблему в обозримом будущем. Мало кто меняет стиральную машину, холодильник или тостер чаще, чем раз в пять лет: эти вещи служат долго. Их программное обеспечение по определению имеет не одну и не две уязвимости, и рано или поздно это обнаружат вездесущие хакеры.

Источник: lenta