Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
65
К сожалению, хотя зараженные элементы определены и можно было бы остановить заражение и минимизировать потенциальный ущерб для других клиентов, источник кибератаки не идентифицирован. Следовательно, следующий этап – обмен информацией
(этап 4) – призван решить эту проблему. Марк дает согласие на передачу своих данных для будущего судебного расследования. Он надеется, что это поможет идентифицировать личность человека, ответственного за нападение. На рисунке 3.9 показан процесс обмена информацией для этого сценария в соответствии с методологией цифровой экспертизы.
Через некоторое время усовершенствованная версия вредоносной программы повреждает другие IoT-устройства. К счастью, система цифровой экспертизы сохранила информацию о начале атаки в базе данных, а также о вредоносном ПО, которое было названо вредоносной программой iSpoon. Эти данные, соотнесенные с другими наборами цифровых доказательств из внешних систем, позволяют определить происхождение вредоносного ПО и арестовать подозреваемого. Затем часть данных, предоставленных Марком и другими устройствами, используется для подготовки финального отчета (этап 5), который в итоге принимается к рассмотрению в суде. Наконец, по делу принято решение, и спустя некоторое время после его закрытия данные, предоставленные участниками, удаляются из системы цифровых доказательств (этап 6) (рисунки 3.10, 3.11).
Рисунок 3.10 – Расследование в ресторане «Тарелка и ложка»

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
66
Рисунок 3.11 – Опрос свидетелей
Хотя это гипотетический сценарий, и атака (а также приложение iSpoon) вымышлены, вполне разумно думать, что атаки такого типа могут происходить – или происходят – незаметно для пользователя [69].

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
67
3.4. Примеры сценариев атак на устройства Интернета вещей
Кибератаки могут производиться в течение всего процесса работы устройств IoT.
Уровень опасности каждого сценария атаки варьируется от низкого и среднего до высокого и критического, отражая уровень негативного воздействия, которое эти атаки могут оказать в реальной ситуации. В таблице 5 определена оценка уровня опасности возможных атак на системы IoT.
Таблица 5. Оценка уровня возможных атак на системы IoT [15]
Сценарий атаки
Уровень опасности
Атака на сетевое соединение между контроллером и исполнительным механизмом
Высокий – критический
Атака на датчики, изменение считываемых ими значений или их пороговых значений и настроек
Высокий – критический
Атака на исполнительные механизмы, изменение или саботаж их обычных настроек
Высокий – критический
Атака на системы администрирования IoT
Высокий – критический
Использование уязвимостей протокола
Высокий
Атака на устройства путем ввода команд в системную консоль
Высокий – критический
Ступенчатые атаки
Средний – высокий
Манипуляции с источником питания и использование уязвимостей при чтении данных
Средний – высокий
Вымогательство с использованием вредоносных программ
Средний критический
DDoS-атака с использованием ботнета IoT
Критический
Атака на сетевое соединение между контроллером и исполнительным механизмом
Подслушивание
– это атака, позволяющая злоумышленнику извлечь конфиденциальную и оперативную информацию, которая может быть использована для злонамеренных действий, включая последующие атаки на IoT-системы. Часто подслушивание и сбор информации являются начальным этапом кибератак, с их помощью выявляются слабые места и потенциальные точки входа атаки.
Воздействие: основной результат – утечка данных. В зависимости от среды, степень угрозы может быть ниже или выше, подслушивание может сигнализировать о готовящейся более масштабной атаке.
Связанные угрозы: прослушивание и утечка конфиденциальных данных.
Степень опасности атаки: высокая – критическая.
Атака на датчики, изменение считываемых ими значений или их пороговых значений
и настроек
Атакующий манипулирует конфигурацией датчиков, изменяя установленные на них пороговые значения, чтобы разрешить принимать значения, выходящие за пределы допустимого диапазона, что представляет серьезную угрозу для системы и устройств.
Поскольку в более крупных устройствах обычно используется множество дублирующих друг

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
68 друга датчиков, чтобы атака была эффективной, злоумышленнику необходимо скомпрометировать несколько датчиков: если бы был скомпрометирован только один, показания за пределами диапазона могли бы быть приняты. Показания могут быть скомпрометированы с помощью данных, полученных от остальных датчиков.
Воздействие: разрешение датчикам сообщать и принимать неверные значения подвергает риску IoT-среду; неисправный датчик может пропустить скачок напряжения, что приведет к физическому повреждению системы.
Связанные угрозы: атака на конфиденциальность, утечка конфиденциальных данных, изменение информации.
Степень опасности атаки: высокая – критическая.
Атака на исполнительные механизмы, изменение или саботаж их обычных настроек
Манипуляции с конфигурацией или параметрами исполнительных механизмов, заставляющие их использовать неправильные конфигурации, пороговые значения или данные, влияют на их нормальное поведение, сбивают их нормальные рабочие настройки.
Воздействие: варьируется в зависимости от задействованных механизмов. Это может повлиять на производственные процессы.
Связанные угрозы: отключение сети и компрометация вредоносными устройствами.
Атака на системы администрирования IoT
Злоумышленник пытается получить полный контроль над системой администрирования IoT-системы или IoT-устройства, что может поставить под угрозу всю среду. Реализовать подобную атаку несложно, если используются слабые пароли или пароли по умолчанию. Этот тип атаки состоит из нескольких этапов и обычно проводится скрытно.
Следует отметить, что к этому типу атаки нужно быть готовым на протяжении всего жизненного цикла устройства.
Воздействие: компрометация, манипулирование или прерывание работы определенных систем IoT могут затронуть многих людей, вызвать экологические проблемы и даже распространиться на другие системы, влияя на их коммуникации или даже отключая их.
Связанные угрозы: слабые пароли, наборы эксплойтов, атаки на конфиденциальность, вредоносные программы и DDoS-атаки.
Использование уязвимостей протокола
Этот тип обычно является промежуточным звеном при запуске других типов атак.
Эксплойты
(уязвимости) используются для получения привилегированного несанкционированного доступа к системе, что может привести к установке другого вредоносного контента или бэкдоров. Они используются как часть атаки, независимо от того, является ли целью отдельная система, устройство или целая сеть. Обнаружить эксплойты сложно, легче обнаружить действия, выполненные после того, как эксплойт был успешно реализован.
Воздействие: в случае успеха эксплойт создает точку входа в систему, в некоторых случаях с повышенными привилегиями; в противном случае система может выйти из строя или стать нестабильной. Эта атака всегда используется как часть более крупной атаки, которая может быть простой кражей данных.
Связанные угрозы: наборы эксплойтов, вредоносные программы.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
69
Атака на устройства путем ввода команд в системную консоль
При этом типе атаки злоумышленник вводит и выполняет команды с привилегиями в скомпрометированной системе через свою консоль.
Воздействие: если злоумышленник может вводить команды в устройство, возникает вероятность взлома другой машины в окружении. Это вызовет каскадный эффект в системе, и злоумышленник сможет использовать все эти устройства в злонамеренных целях.
Связанные угрозы: наборы эксплойтов, DDoS-атаки и отключения сети.
Ступенчатые атаки
Этот тип атаки – распространенный способ проведения анонимных атак. Эти атаки часто используют сетевые злоумышленники, чтобы скрыть свою личность, поскольку они запускают атаки не со своего компьютера, а с промежуточных хостов, которые они ранее скомпрометировали.
Воздействие: если злоумышленник запускает ступенчатую атаку, он может скомпрометировать совокупность узлов сети, используя их как ступеньки для передачи команд атаки.
Связанные угрозы: DDoS-атаки, подделка вредоносных устройств.
Манипуляции с источником питания и использование уязвимостей при чтении данных
Эти атаки направлены на манипулирование источниками питания и использование уязвимостей для изменения считываемых данных об электропитании. Злоумышленник может физически повредить аккумулятор устройства или кабели питания, манипулируя самим источником питания или вредоносными программами, а также способом, которым устройство считывает информацию от источника питания об уровне заряда, чтобы, например, заставить устройство считать, что уровень заряда батареи выше или ниже фактического.Некоторые типы интеллектуальных устройств могут зависеть от батарей для нормальной работы. Этот тип электропитания может показаться преимуществом перед менее обычными кабелями, но он требует учета определенных аспектов безопасности.
Воздействие: физическое вмешательство в аккумулятор может повредить его, тогда устройство вообще не сможет работать. Манипулирование способом, которым устройство считывает уровень заряда, поступающего от батареи, может привести к тому, что устройство будет считать, что уровень заряда батареи выше фактического, в результате чего оно выключается, когда заканчивается заряд, или ниже фактического, и тогда оно переходит в энергосберегающий режим работы, влияющий на производительность устройства.
Связанные угрозы: вредоносные программы, физические атаки.
Вымогательство с использованием вредоносных программ
Эти атаки осуществляются вредоносным ПО, которое навсегда блокирует доступ к данным жертвы, если не выплачен выкуп. Их можно избежать, обновляя или исправляя прошивку уязвимых устройств. Подобные атаки можно проводить и за пределами IoT- экосистемы, как, например, в случае с атакой WannaCry, которая произошла в мае
2017 года [70]. За несколько месяцев до нее был выпущен патч для уязвимости, которую использовал WannaCry. Проблема, связанная с IoT, заключается в сложности обновления или исправления прошивки различных устройств, а некоторые из них даже нельзя обновить или исправить.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
70
Воздействие: существует множество возможных целей для вымогательского ПО в IoT – злоумышленник может взять под контроль умный термостат в середине зимы и потребовать оплату для включения отопления. Он может взять под контроль электросети или системы больниц, требуя выкуп, и т.д., подвергая риску безопасность людей.
Связанные угрозы: наборы эксплойтов, DDoS-атаки, вредоносные программы, слабые пароли.
DDoS-атака с использованием ботнета IoT
Особое внимание стоит уделить данному типу атак.
Ботнет
7
является предметом исследований с 2000-х годов. Он может нанести значительный ущерб безопасности как отдельных лиц, так и предприятий. Этот тип атаки не направлен непосредственно на сами устройства IoT – они используются для атаки на другие устройства, не обязательно IoT. Сначала вредоносная программа автоматически находит уязвимые устройства IoT, заражает и объединяет их в ботнет, который затем может использоваться для DDoS-атак, перегружая серверы цели вредоносным трафиком [15].
Для предотвращения распространения ботнета пользователям или администраторам атакуемых устройств нужно исправить уязвимости своих устройств. Без возможности использования конкретной уязвимости ботнет не может увеличить свой размер. Это приводит к снижению силы его атаки. Существует два наиболее распространенных способа предотвращения атаки: отключить серверы управления и перехватить трафик атаки.
Отключение серверов управления может победить ботнет, но не сразу, а спустя некоторое время, поскольку злоумышленник может периодически менять серверы. Кроме того, если на сервер не распространяются полномочия местных правоохранительных органов, сделать это нелегко.
У этого способа есть недостаток: даже если серверы отключены, код ботнета все еще активен в системе и может быть впоследствии повторно использован другими.
Перенаправление трафика на заданный сервер (англ. sinkholing) происходит тогда, когда ботнет атакует конкретную жертву. Это требует сотрудничества вышестоящих интернет- провайдеров. Необходимо также идентифицировать уникальную сигнатуру этого трафика [71].
Осенью 2016 года поставщик сетевых сервисов Dyn, который обслуживает ведущих интернет-гигантов, таких как Netflix и Twitter, подвергся масштабной DDoS-атаке. Позднее было обнаружено, что при атаке использовалась вредоносная программа-ботнет Mirai. Это была та же самая программа-ботнет, которая 19 сентября 2016 года атаковала французскую хостинговую компанию OVH. Как полагают, OVH стала первой жертвой DDoS-атаки со стороны ботнета Mirai, пиковая скорость атаки составила 1 Тбит/с, что является одним из самых больших показателей в истории. Всего через день после атаки на OVH, ботнет Mirai проводит DDoS-атаку на сайт журналиста и эксперта по кибербезопасности Брайана Кребса
Krebs on Security, во время которой скорость трафика превысила 620 Гбит/с, что делает эту атаку одной из крупнейших в истории по объему трафика [72].
Вредоносная программа Mirai предназначена в основном для IoT-устройств – видеорегистраторов, маршрутизаторов и камер видеонаблюдения. Эти устройства недорогие, имеют слабую защиту и обычно неизменяемые заводские настройки. Кроме того, поскольку
7
Ботнет (англ. botnet) – это сеть из ботов – зараженных компьютеров или устройств, управляемых бот- мастером (хакером) удаленно.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
71 встроенное программное обеспечение доступно только для чтения, код Mirai может оставаться только в DRAM устройства; перезагрузка устройства стирает код. Учитывая большое количество уязвимых устройств и тот факт, что эти уязвимости невозможно исправить, атаки на основе Mirai превратились в бомбу замедленного действия, которую никто не может обезвредить.
Под давлением средств массовой информации некоторые производители заявили, что были вынуждены отозвать уязвимые устройства, связанные с этой массивной DDoS-атакой.
Например, Hangzhou Xiongmai Technology отозвала с рынка США 4,3 млн камер видеонаблюдения [71, 73]. Хотя компания тратит много времени и усилий, чтобы исправить ситуацию, в результате ей удается только смягчить последующие атаки, потому что у пользователей устройств нет желания содействовать этой работе. Они не хотят тратить время на упаковку устройств и отправку их обратно, поскольку Mirai не влияет на нормальную работу зараженных устройств. Как следствие, в обращении остается огромное количество уязвимых устройств. Производитель может продавать миллионы таких устройств по всему миру, и поэтому связываться с каждым пользователем, чтобы решить эту проблему, он не будет.
Заражение устройств ботнетом Mirai
На рисунке 3.12 изображен процесс заражения ботнетом Mirai
Рисунок 3.12 – Процесс заражения ботнетом Mirai [71]
Mirai отличается от традиционных вредоносных программ для ботнетов технологией заражения. Ботнет Mirai используется не для непосредственного заражения устройств, а только для сканирования и сбора уязвимостей устройств, реальную атаку для внедрения ботнетов запускает сервер.
Mirai состоит из трех модулей: бота, сканирования и загрузки. На рисунке 3.12 показана архитектура Mirai, а также поток информации и взаимосвязь между этими модулями. Бот –
Возобновление сканирования
Модуль сканирования
Отправка пустой информации
Модуль загрузки
Имплантирование бота
Модуль бота

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
72 это программа, запущенная на устройствах-жертвах. Он сканирует другие устройства в сети
Internet. Если он находит устройства, имеющие уязвимость, информация об них будет загружена в модуль сканирования, который работает на заранее известном сервере. Эта информация включает в себя учетные данные для входа, IP-адрес устройства, уязвимые порты и т.д. После получения этой информации модуль сканирования отправляет ее в модуль загрузки, который работает на том же сервере. Затем модуль загрузки использует эту информацию для заражения целевого устройства и внедрения бота.
Модуль «бот» – это модуль атаки, который выполняет DDoS-атаки на выбранный сервер. Он также используется для сканирования Интернета в поисках других уязвимых устройств и сбора информации. Модуль «бот» реализует ряд функций:
 предотвращение перезагрузки устройства. Бот Mirai существует только в памяти устройства. Если устройство перезагружается, бот исчезает. Чтобы этого не происходило, бот записывает команду запроса «0x80045704» в сторожевой таймер устройства, чтобы запретить перезагрузку в случае зависания системы;
 скрытие процесса. Mirai использует случайную строку, чтобы скрыть имя своего процесса;
 предотвращение повторного заражения. Бот открывает порт 48101 и привязывается к нему. Если другой бот захочет привязаться к этому порту, Mirai обнаружит это. Так образом, Mirai гарантирует, что на устройстве запущен только один бот;
 блокировка портов. Mirai закрывает порты 23 (telnet), 22 (ssh), 80 (http), чтобы заблокировать атаки других вредоносных программ-ботнетов;
 проверка на наличие других вредоносных программ. Бот сканирует систему, чтобы найти следы присутствия других вредоносных программ. Обладая привилегиями root,
Mirai способен уничтожать другие вредоносные процессы;

DDoS-атака. Боты подключаются к серверу и ждут команды, чтобы атаковать целевой сервер.
Модуль сканирования отвечает за отправку информации, собранной ботами, в модуль загрузки в формате: «IP-адрес:порт» и «имя пользователя:пароль».
Модуль загрузки получает данные от модуля сканирования и выполняет атаку на каждое уязвимое устройство [71].
Защита от Mirai
В январе 2017 года было предложено внедрить так называемого белого Mirai в уязвимое устройство. Это решение наследует большую часть кода от Mirai. Примечательно, что, как и вредоносный Mirai, «белый» Mirai активно сканирует соседние уязвимые устройства и заражает их. В результате блокирования портов зараженные устройства становятся невосприимчивыми к любой другой подобной атаке. Таким образом, блокирующий модуль убивает бота Mirai. Однако существует временной промежуток между внедрением «белого»
Mirai и закрытием портов. Этот промежуток времени позволяет оригинальному Mirai заразить конкретное устройство [71]. Если бот Mirai уже находится в устройстве, ни один из распространителей вируса не может быть имплантирован в это устройство. Поскольку бот
Mirai сначала закрывает порты для удаленного доступа, то другого способа, кроме сотрудничества с производителем, для получения доступа к этому устройству не существует.
В согласованный промежуток времени пользователь использует компьютер, чтобы зайти на специальную веб-страницу, управляемую производителем, а затем перезагружает уязвимое