אבטחת IoT: הזומבים של ה-IoT אוכלים את האינטרנט במהירות
מאת:
אלכס דבריס וטים סקאט (בתמונה), 9.10.16, 11:41
מתקפות מניעת שירות - DDoS היו מאז ומתמיד בעיה עבור אתרי אינטרנט פופולריים, אבל ההתקפות, שהגיעו לחדשות ושראינו בשבועות האחרונים, הן סיפור שונה, שמנהלי אבטחה ורשתות צריכים לקחת אותו בחשבון.
עדכון 23.10.16: האקרים ביצעו מתקפת DDoS ענקית של עשרות מיליוני פניות בו זמנית על אתר התשתית Dyn ושיתקו אתרים מרכזיים בארה"ב ובקנדה (כמו אמזון ופייפאל). הם גייסו מיליוני מכשירים (כמו מצלמות אבטחה, מערכות הקלטה וכד' ) המקושרים לאינטרנט באנמצעות IoT (מכשירים המחוברים לרשת). כתבה זו התריעה על הבעיה כבר ב-9.10.16. הפרטים להלן:
ההתקפה הראשונה, שהגיעה לחדשות, הייתה על הבלוג
Kerbsonsecurity.com של בריאן קרבס, אחד מאתרי החדשות המובילים כיום בתחום אבטחת המידע. התקפת ה-
DDoS הייתה בהיקף של 620 גיגה בשנייה, שעלתה לבעלים אקמאי (
(Akamai, יותר מדי כסף מכדי להגן מפניה, וגרמה ל-
Kerbsonsecurity.com לרדת מהרשת למשך יומיים. המקור: מצלמות רשת, שנפרצו ופעלו כזומבים של
DDoS.
המתקפה השנייה הייתה על
OVH, ספק הוסטינג צרפתי, שהצליח לעמוד במתקפה של 1.5 טרה בשנייה. הטענה של החברה, שההתקפה הגיעה מ-145,000 מצלמות ו-
DVR-ים שנפרצו, תואמת לאבחון של אקמאי.
מעבר לסדר הגודל שלהן, מה עוד שונה במתקפות אלה?
IoT – האינטרנט של הדברים.
עלייתו של ה-
IoT הביאה עמה היקף עצום של אביזרים
devices עוצמתיים בעלויות נמוכות מאוד. צי של 150,000 אביזרי בקרה ושליטה, מהווה פלטפורמה אדירה עבור תוקף. לעתים קרובות האביזרים מפוזרים באינטרנט, מה שמקשה על מעקב וניטור שלהם.
ניתן לפרוץ בקלות לאביזרים כגון מצלמות. לאביזרים יש אורך חיים ארוך יחסית, והקושחה מעודכנת רק לעתים נדירות
. כך, שאביזרים נותרים לעתים קרובות פגיעים להתקפות גם הרבה אחרי שהפרצות הידועות בהם כבר תוקנו.
לקושחה ניתן לבצע הנדסה לאחור (
reverse engineering), או מתוך אביזר דומה שנרכש, או באמצעות הורדת עדכוני קושחה. אביזרים רבים גם משתמשים בשמות משתמש וסיסמאות מסוימים כברירת מחדל, מה שהופך את הדברים לפשוטים אף יותר.
לא קשה למצוא מטרות. אתרים כגון
shodan.io הופכים מציאת האביזרים באינטרנט לדבר טריוויאלי.
אבטחת אביזרים
ישנם תהליכים מומלצים בהם ניתן להשתמש כדי לאבטח אביזרים. אם לציין חלק מהם: זהות אביזר, תצורת ברירת מחדל מאובטחת, עדכונים מאובטחים, והגנה על משאבים. אלה עובדים היטב עבור דגמים חדשים.
אבל בואו נהיה מציאותיים: בינתיים, יש באינטרנט מיליוני אביזרים
שאינם מאובטחים כראוי, והם נמצאים שם כבר שנים. תיקון הוא כמעט בלתי אפשרי. אפילו אם הפתרון המושלם להקשחת אביזרים היה זמין כבר מחר, הוא לא היה עוזר לאלה.
לאבטחת אביזרים יש יתרונות עבור בעלי אביזרי
IoT, כגון הגנה על נכסים. אבל אין להם את המוטיבציה למנוע התקפות
DDoS על אתרים שאינם קשורים אליהם.
הגנה על נכסים
העמדה הטובה ביותר להגנה היא בדרך כלל על נכסים. באירועי
Krebs ו-
OVH, אתר אינטרנט היה הנכס תחת התקפה, וראינו את הספק נוקט בפעולה.
אך המוטיבציה לאבטחת אביזרים תגיע מבעלי אביזרי
IoT, שהנכסים שלהם נמצאים תחת איום. במהלך האירועים האחרונים, לבעלי אביזרי
IoT לא היה ברור באופן מידי שהנכסים שלהם נמצאים תחת איום. אבל ככל שאביזרי
IoT פגיעים ובלתי מוגנים ישמשו יותר לצרכי התקפות, הדברים יהפכו ברורים יותר.
כיצד? ע"י הכרה בכך, שאתרי האינטרנט המשמשים כיעד לתקיפה, אינם הנכסים היחידים שש להגן עליהם, וכי אמצעי ההגנה, שיינקטו על נכסים אחרים, ישפיעו על בעלי
IoT.
רוחב פס הוא נכס. ייתכן, שגידול רוחב פס של בין 1 ל-30 מגה בשנייה עבור אביזר
IoT יחיד המשתתף במתקפה, לא ייראה יקר במיוחד לבעלים של האביזר. אבל עם מאות אלפי אביזרים כאלה יחדיו, ההוצאה של תמיכה בטרהבייט אחד או שניים נוספים, תביא כמעט בוודאות לנקיטה בפעולה הגנתית על נכסי רשת.
הגנה על נכסי רשת מפני אביזרי
IoT שנפרצו, יכולה ללבוש צורות שונות, אבל עבור הבעלים של נכסי הרשת, ההגנה הראשונה תהיה בדרך כלל הגבלת הגישה לאביזרים חשודים. בנקודה זו הבעלים של אביזרי
IoT וספקי שירותי
IoT ירגישו את הכאב.
מעצם ההגדרה, אביזרי
IoT מקבלים הרבה מערכם מהיותם מקושרים לרשת. אם גישה לרשת מוגבלת כאשר אביזר נפרץ, אז חלק גדול מהערך של אביזרים אלה יהיה גם כן מוגבל. הערך וההכנסה עבור בעלי ה-
IoT יהיו תחת איום.
פתרונות
אבטחת אביזרים חדשים היא חיונית, וישנם פתרונות זמינים כדי להבטיח, שאביזרים חדשים יהיו מאובטחים כאשר הם נפרסים, ויישארו מאובטחים לאורך חייהם. פתרונות אלה כוללים:
- אבטחת זהות האביזר,
- אבטחת תצורה – כולל אתחול מאובטח, הפעלה מאובטחת, חתימה בינאריות, ועוד,
- עדכוני אבטחה,
- הגנת משאבים.
כפי שציינו, אלה מטפלים רק בחלק מהבעיה. סביר להניח, שרבים מהאביזרים החדשים ייפרסו ללא הגנות בסיסיות אלו.
מה נעשה לגבי אביזרים אלה, ישנים או חדשים, שהם
ללא אבטחה מובנית? פתרון אפשרי הוא הגנה עליהם באמצעות שער גישת
IoT מאובטח (בין אם פיזי או במכונה וירטואלית). הדבר מייצר הגנות שבאופן לוגי הן קרובות לאביזר ה-
IoT, ומאפשרות לבעלי ה-
IoT להגן על נכסיהם, כולל רוחב הפס, שהם זקוקים לו כדי לשמר ערך והכנסות.
יש כיום טכנולוגיות עם תכונות אבטחה כגון זהות אביזר מאובטחת, תצורה מאובטחת, עדכונים מאובטחים, והגנת משאבים. תכונות אלו יכולות להגן על אביזרים חדשים, ולהבטיח, שאביזרים אלה יישארו מוגנים. פתרונות
IoT צריכים לשלב הגנות אלה כך שנין יהיה לממש את מלוא הפוטנציאל של
IoT. אנו גם צריכים להכיר בכך, שישנן קהילות גדולות של אביזרים, שמסיבות שונות אינם כוללים הגנות, וזקוקים לפתרון כגון שער אבטחת
IoT כדי להטמיע יכולות אבטחה עבור האביזר, ואלה הם סוגי מאפייני האבטחה, שימנעו התקפות
DDoS דרך
IoT.
מאת:
אלכס דבריס ו
טים סקאט, אוקטובר 2016.
ווינד ריבר