Bezpečnostní novinky

Kyberútočníci se nechali nachytat na honeypotech od Avastu

Threat Intelligence Team, 1. dubna 2019

Výzkumníci Avastu rozmístili 500 IoT zařízení s otevřeným portem a za pouhé čtyři dny se útočníci pokusili o 23 milionů útoků na honeypoty

V neděli 24. února, v předvečer začátku konání veletrhu Mobile World Congress 2019, bezpečnostní pracovníci společnosti Avast, jmenovitě Martin Hron, Vladislav Iliushin, Libor Bakajsa a Anna Shirokova uvedli do pohybu experiment, a to rozmístění 500 honeypotů v 10 zemích po celém světě, které by mohly běžet po dobu veletrhu (čtyři dny) a dále. Cílem bylo zachytit počet pokusů o spojení, které potenciální útočníci provedli na tyto honeypoty v naději, že uvnitř na ně budou číhat cenné údaje. Honeypoty, podobné internetovým pastičkám na myši, byly záměrně zřízeny s otevřenými porty, které se obvykle nacházejí v zařízeních připojených k internetu, aby oklamaly útočníky, kteří je naskenovali, s úmyslem, že se připojují k routerům, chytrým televizorům, bezpečnostním kamerám nebo jiným chytrým zařízením. Výsledky byly lepší (nebo horší), než se očekávalo.

S blížícím se koncem veletrhu MWC, ve čtvrtek 28. února v 16:00, tým zaznamenal 23,2 milionů pokusů o připojení k těmto honeypotům. Jinými slovy, mezi 500 falešnými IoT zařízeními instalovanými na internetu bylo provedeno 23,2 milionů potenciálních útoků ze strany zločinců. To je 11 588 pokusů o připojení na zařízení za den. Nejčastěji byly skenovány tři porty, které se obvykle nacházely v zařízeních pro streamování Chromecastu, dále Google Smart Home Speakers (port 8088), port 22 (SSH) a port 23 (Telnet), které jsou často přítomny v routerech. To není nijak zvlášť překvapivé. Podle našeho nejnovějšího průzkumu patří zařízení pro streamování mezi nejrozšířenější a nejzranitelnější chytrá zařízení v domácnostech. Bezpečnost routerů je také důvodem ke znepokojení. Z 11 milionů routerů skenovaných Avastem v září 2018 mělo 60 % slabé přístupové údaje nebo zranitelnosti softwaru.

honeypots-mwc

Pokusy o spojení ve 12:37 ve čtvrtek 28. února

Odkud tedy tyto potenciální útoky na naše honeypoty pocházely a kdo byl cílem? Z našich údajů mezi první tři nejvíce „napadané“ země patřily Irsko, Německo a Spojené státy (podrobnosti v tabulce níže), zatímco tři nejagresivnější země z hlediska provedených skenů byly Spojené státy, Čína a Francie.

Země Spojení na honeypoty během čtyř dnů konání veletrhu
Irsko 218,851
Německo 162,868
Spojené státy 159,532

Konkrétní přisouzení aktivit je však v kybernetické bezpečnosti zřídkakdy jasné. Technologie, jako jsou virtuální privátní sítě (VPN), nechvalně známá síť TOR nebo proxy připojení přes již infikované zařízení, jsou techniky, které útočníci často používají k zamlžení svého původu. Za čtyři dny jsme pozorovali nejvíce útoků ze serverů umístěných ve Spojených státech, Číně a Nizozemsku.

Nejste cílem… anebo jste?

Účelem honeypotu je zachytit kyberkriminální aktivitu a poté zkoumat metody útoku. Existují k oklamání útočníků, aby si mysleli, že zařízení, na která se zaměřují, jsou skutečná a obsahují skutečná data. Ale co kdyby tato zařízení byla skutečná a nebyly to pouze návnady? Co kdyby se jednalo o váš domácí router nebo inteligentního asistenta, které byly na zranitelnosti kontrolovány téměř 12 000krát denně? Vaše domácí síť je tak silná jako pověstný nejslabší článek řetězu, a jak roste počet chytrých zařízení připojených k síti, tím je tento řetěz slabší. Pokud by se během čtyř dnů provedlo na 500 falešných IoT zařízeních 23,2 milionu potenciálních útoků, představte si objem, který můžeme očekávat v příštím roce, kdy bude na planetě 38,5 miliardy skutečných chytrých zařízení. Pokud vezmeme v potaz průměrný počet spojení, které byly provedeny na jediný honeypot v daný den veletrhu a měřítko až do celkového počtu instalací IoT zařízení očekávaných v příštím roce, bude to znamenat více než 446 bilionů pokusů o připojení po celém světě během 24 hodin, pokud tato zařízení zůstanou veřejně přístupná z internetu. To je samozřejmě extrémní scénář, ale jasná známka toho, že se blížíme kybernetické epidemii.

Podle institutu Ponemon je šance, že zažijete kybernetický útok, jedna ku čtyřem. To je pravděpodobnější než hození jakéhokoliv daného čísla na šestistranné kostce. Proč tedy ta apatie vůči kybernetické bezpečnosti, kdy pravděpodobnost mluví v neprospěch bezpečnosti našich osobních údajů? Problém je částečně emocionální. Většina lidí si myslí, že nezáleží na tom, zda je jejich chytrá televize, chytrý reproduktor nebo žárovka doma zranitelná, protože se nepovažují za cíl. Koneckonců, proč by se měl kyberzločinec zajímat o pořady, které sledujete, hudbu, kterou posloucháte, a jak často svítíte? To je docela rozumný argument, dokud nepochopíte věci v širších souvislostech. Představte si, že útočník kompromituje váš chytrý kávovar, který je připojen do stejné sítě jako váš chytrý reproduktor a chytrý asistent. Pokud vezmeme v potaz, že převzetí kontroly nad celou domácí sítí trvá pouze do doby, než je hacknut jeden přístroj, může být hacknutý kávovar použit jako vstupní bod, který útočníkovi umožní také komunikovat s vaším inteligentním reproduktorem a vydávat hlasové příkazy, které vybízí reproduktor k tomu, aby zadával objednávky prostřednictvím vašeho účtu, a potenciálně tak vysaje vaši kreditní kartu.

Představte si, že váš domov je „zabezpečen“ chytrým zámkem u dveří, který je integrován s vaším inteligentním asistentem a otevírá a zavírá hlavní vchod. Místo vašeho domova bylo objeveno ve firmwaru vašich chytrých žárovek, protože přidružená aplikace na vašem telefonu ukládá fyzické souřadnice GPS do žárovek od doby, kdy byly instalovány. Vaše domácí adresa byla nyní ohrožena a použitím stejného procesu útoku jako výše, útočník odešle požadavek od chytrého asistenta (Alexy), aby otevřel vaše přední dveře.

Jak se lze bránit?

Výše uvedené scénáře sice mohou znít jako dystopie, nicméně jsou věrohodné. Již dříve jsme viděli skutečné příklady škodlivého IoT softwaru, jenž napadl téměř milion routerů společnosti Deutsche Telecom a přerušil internetové připojení zákazníků. Mnoho dalších variant stejného malwaru, známého jako Mirai, bylo použito ke spuštění DDoS (Distributed Denial of Service) útoků na oblíbených doménách webových stránek nebo k využití výpočetního výkonu IoT zařízení k těžbě kryptoměn. Přesto není nutné propadat beznaději. Navzdory nárůstu počtu útočníků, kteří se snaží svézt na vlně nebezpečnosti IoT a následnému nárůstu pátrání kyberzločinců po nejslabším článku v řetězu, lze hrozby zmírnit tak, že budeme dbát na to, čemu často říkáme základní digitální hygiena.

Tak jako biologický virus, který se šíří z jednoho hostitele na druhého a proti němuž se lze chránit něčím tak jednoduchým, jako je mytí rukou, i škodlivý IoT virus může být zastaven stejně elementárními kroky. Níže jsou uvedeny dvě praktiky, které každý může - a měl by - provádět, aby radikálně snížil riziko, že se stane obětí počítačové kriminality:

1. Silná hesla: Nastavte na svých routerech, Wi-Fi a IoT zařízeních silná hesla. Vytvářejte silná a jedinečná hesla neobsahující osobní údaje. Pokud je to možné, měla by hesla obsahovat alespoň 10 nebo více znaků a v ideálním případě by měla obsahovat čísla a speciální znaky a neměla by mít vztah k dané osobě nebo ke službě, kterou chrání.

2. Aktualizace firmwaru: Aktualizace firmwaru routeru a IoT zařízení, kdykoliv je aktualizace dostupná, je nezbytná. Aktualizace často obsahují záplaty, které opravují chyby zabezpečení zařízení a zabraňují kyberzločincům ve využití zranitelností za účelem získání přístupu. Před zakoupením zařízení vyhledejte na webové stránce dodavatele softwarové záplaty zabezpečení. Pokud dodavatel záplaty nevydává a neučinil tak už jeden nebo dva roky, je velmi pravděpodobné, že zařízení, které chcete zakoupit, je již zranitelné.