Suma wszystkich strachów bezpieczeństwa IT na 2018 rok

Siri lub Alexa w 2018 roku mogą się stać celem ataków hackerskich - twierdzi Leszek Tasiemski z firmy F-Secure. Prawdopodobnie będą to przy tym ataki komercyjne, mające na celu przejęcie tej usługi jako pośredniczącej do dostępu do ciekawszych lub cenniejszych dla hackera zasobów. Zeszłoroczne ataki np. aktywacja poprzez reklamy na serwisie YouTube lub ultradźwięki, były jedynie próbami wykorzystania chwilowych podatności. Obecnie zaś, jak uważa ekspert, mogą nastąpić ataki w pełni profesjonalne.

Istotniejsze mogą być jednak w 2018 roku ataki na urządzenia należące do Internetu Rzeczy (Internet of Things =IoT). Obecnie urządzenia IoT to w głównej mierze sprzęt AGD i RTV, ale zdarzają się też zabawki i systemy profesjonalne np. czujniki sklepowe. Jest to doskonały środek dla hakerów do budowy niemal niewykrywalnych botnetów i to olbrzymich rozmiarów; jak wiadomo, największy jak do tej pory botnet jakim był Mirai, właśnie złożony był z urządzeń ioT i zawierał ich 13 mln jednostek.

Warto odnotować pierwsze próby wykorzystywania exploitów dla aplikacji smartfonowych służących do zdalnego monitorowania samochodów oraz próby hakingu samochodów z zainstalowanymi aplikacjami IoT pozwalającymi na zdalny dostęp. Obecnie, mimo iż udane, są to tylko próby. Jest jednak tylko kwestią czasu, kiedy zmienią się one w profesjonalne ataki na samochody.

W grudniu 2017 roku analitycy z 360 netlab ujawnili nowy botnet, zestawiony właśnie z urządzeń IoT - Satori. Botnet ten zbudowano korzystając z malware o nazwie Satori, które z kolei oparto na kodzie Mirai; warto przypomnieć, że kod Mirai jako open source został opublikowany i wiele grup przestępczych zaraz zaczęło go wykorzystywać.

Satori występuje w trzech wariantach. Pierwszy z nich sprawdza adresy IP pod kątem możliwości logowania się poprzez telnet i znanych haseł. Jeśli po zalogowaniu malware zyskuje dostęp do powłoki systemu, uruchamia polecenie "/bin/busybox satori" albo "/bin/busybox SATORI".

W drugim wariancie oprócz funkcjonalności pierwszego, występuje też paker, utrudniający wykrycie statyczne oraz w słowniku hasło "aquario". Ponieważ jest to domyślne hasło dla urządzeń bezprzewodowych w Ameryce Południowej, ten wariant Satori był zapewne dedykowany na tamtejszy rynek i miał tam tworzyć botnety. Trzeci wariant Satori, to wariant drugi, ale wykorzystujący poza telnetem podatności klasy RCE: CVE-2014-8361 i CVE 2017-17215, przy czym ta druga to klasyczna podatność 0 day, a wiec w momencie ataku mało znana lub nieznana i bez metod zabezpieczania się przed nią. Jest to pierwsze malware dla IoT, wykorzystujące atak 0 day, dość popularny w zwykłych malware dla PC. W przypadku tego malware zestaw komendowy jest już rozbudowany z możliwościami wykonywania poleceń zdalnych, pobierania oprogramowania ze zdalnych lokalizacji (trojany lub inne malware), polecenia penetrowania systemu lub sieci.

Analitycy z Palo Alto Networks (Unit42) wykazali, że malware Internet of Things staje się coraz bardziej zaawansowane i skomplikowane jednocześnie. Mirai wykorzystywał tylko hasła domyślne, znane lub słabe, podobnie jak GafGyt. Jak na owe czasy to wystarczało, producenci jeszcze nie widzieli sensu w lepszym zabezpieczeniu urządzeń IoT. Ponieważ pierwsze botnety z nich złożone pokazały, że się mylili, zostały zmienione hasła i ich polityki oraz dodano programy konfiguracji bezpieczeństwa. Grupy konstruujące malware dla IoT zaczeły wobec tego wykorzystywać znane już podatności, czego wcześniej nie robiły, bowiem istniały prostsze i tańsze wektory ataku. Producenci IoT wobec tego starają sie podatności zamknąć i w efekcie wytwórcy malware zaczynają sięgać po ataki 0 day, co w jakiś sposób odtwarza ewolucję malware dla PC.

Istnieje jednak cała grupa urządzeń, które nadal będą podatne na bardzo proste ataki. To urządzenia IoT, tanie, proste i pochodzące od małych i średnich producentów dalekowschodnich. Określenie "małych i średnich" może być tu mylące; przy tamtejszej skali produkcji osiągniecie poziomu miliona urządzeń jednego typu nie jest niczym specjalnym, zaś producent może być tamtejszą firmą średniej wielkości. Tego typu kamery czy czujniki IoT są przy tym bardzo proste, z wbudowanym systemem, którego konfiguracja następuje w momencie montażu i jest niemal automatyczna, bezpieczeństwo niemal nie istnieje, ze względu na 2-3 bardzo proste hasła, znane od dawna zarówno w branży jak i wśród hakerów.

Oczywiście z samych takich urządzeń nie da się stworzyć wysokosprawnego botnetu, ale działający botnet można zestawić. Nigdy przy tym nie wiadomo, gdzie takie tanie kamery czy czujniki są instalowane - Kongres chce zablokować instalowanie przez instytucje i organizacje publiczne w Stanach Zjednoczonych urządzeń IoT, zwłaszcza kamer, nie pochodzących od certyfikowanych pod względem bezpieczeństwa producentów. Kampanię tą ożywiło zwłaszcza odkrycie agentów FBI, że tanie i praktycznie niezabezpieczone chińskie kamery zostały zamontowane na parkingu blisko Kapitolu, gdzie często zostawiają swoje auta kongresmani. Także europejskie instytucje publiczne i agendy rządowe, chcą periodycznej analizy podatności urządzeń IoT oraz takich zmian konstrukcji i obsługi, aby aktualizacja była łatwa i prosta (obecnie jest trudna, czasem nawet niemożliwa).

Innym problemem, o którym z kolei mówią analitycy TrendMicro odnosząc je właśnie do obecnego roku, są krytptowaluty. Względny sukces akcji posadawiania na przejętych stronach internetowych koparki CoinHive, kopiącej kryptowalutę Monero, przy rosnącej bańce spekulacyjnej tego typu walut, na pewno pchnie następnych chętnych w kierunku instalowania koparek nie tylko Monero, ale i innych walut (choć CoinHive jest obecnie najłatwiej dostępna). Ataki, według analityków z niemal wszystkich firm bezpieczeństwa, mogą dotyczyć także miejsc przechowywania i dystrybucji kryptowalut, jak portfele (także sprzętowe), kantory i mieszarki, jak to choćby stało się niedawno w przypadku ataku na słoweński NiceHash.

Analitycy F-Secure z kolei twierdzą iż nie można pomijać tradycyjnych już zagrożeń jak ransomware, phishing, adware czy SPAM. Bardziej w zakres inżynierii społecznej wchodzą predykcje o wyjątkowym w obecnym roku rozpowszechnianiu manipulacji sieciowych oraz tzw. fake news czyli tworzenie postprawdy, co ma wywołać zamierzony przez aktorów manipulacji wpływ na opinię publiczną. Chodzić będzie przy tym o takie zamazanie granicy pomiędzy prawdą a fałszem, aby nie można było odróżnić manipulacji i "fałszywki" do prawdziwej informacji i to nie tylko zwykłemu czytelnikowi, ale także mediom.

Marek Meissner