Интернет вещей нападает на российские банки
В четверг, 10 ноября, на пять крупных российских банков были совершены DDoS-атаки — на сайты приходило большое число мусорных запросов, которые загружали серверы и делали сайты недоступными. Атаки шли на Московскую биржу, Альфа-банк, Сбербанк, банк «Открытие», «ВТБ Банк» и Росбанк. Почти всем банкам удалось справиться с нагрузкой. Среди возможных организаторов атаки назывался хакер под никнеймом vimproducts, чьи заказчики якобы недовольны вмешательством России в выборы президента США. Для DDoS-атаки vimproducts использовал не компьютеры, а ботнет из 24 тысяч взломанных устройств интернета вещей.
Как хакеры взламывают домашние устройства
В общем случае схема такая: программа сканирует серверы и по IP-адресам ищет подключенные к интернету устройства: ими могут быть домашние камеры, видеорегистраторы, принтеры, роутеры, термостаты. Когда они обнаружены, система пытается подобрать пароль. Поскольку владельцы таких устройств редко меняют заводские настройки, на них может остаться одна и та же пара логин-пароль. Например, программное обеспечение для создания ботнетов Mirai использует 68 таких пар: root/pass, admin/123456 или 666666/666666. Когда скрипт получает доступ к устройству, он устанавливает на него вредоносный софт и подключает к ботнету.
Как подростки устроили самую мощную кибератаку в истории
Самые крупные атаки связаны с одной историей. В сентябре Брайан Кребс, специалист по безопасности и бывший журналист The Washington Post, разоблачил владельцев сервиса для DDoS-атак vDOS: его источник взломал сайт, извлек базу данных и файлы конфигурации. Покопавшись в украденных данных, Кребс обнаружил предполагаемых владельцев vDOS, которые отвечали на вопросы клиентов: граждане Израиля под никнеймами P1st a.k.a. P1st0 и AppleJ4ck. За два года они заработали на DDoS-атаках около 600 тысяч долларов. В тот же день израильская полиция арестовала двух 18-летних молодых людей (позже их отпустили под залог).
За разоблачение Кребсу отомстили. Вечером 20 сентября на сайт, где он опубликовал свое расследование, началась мощнейшая DDoS-атака: за секунду поступали 620–665 гигабит трафика. Для сравнения: в 2013 году самой мощной назвали атаку на 300 гигабит в секунду, в 2014-м — на 400 гигабит, а в 2016-м — на 602 гигабита. Самое интересное — запросы шли не от компьютеров, а от роутеров, камер и видеорегистраторов. Сколько устройств участвовало в атаке — неизвестно.
Как быстро могут взломать ваше устройство
Редактор The Atlantic Эндрю МакГилл решил проверить, как быстро хакеры способны добраться до беззащитного устройства. Он арендовал сервер на Amazon и сделал так, чтобы со стороны программы он выглядел как устройство с подключением к интернету, — на самом же деле сервер просто регистрировал все попытки взлома. МакГилл запустил сервер в 13.12, первая попытка взлома прошла в 13.53, вторая — в 14.07, третья — в 14.10. За день сервер пытались взломать около 300 раз, каждый раз скрипт пытался подобрать заводскую пару логин-пароль (например, root/root). То есть вредоносные скрипты сканируют серверы по нескольку раз за час, иногда даже раз в несколько минут.
Насколько это опасно для нас с вами
В 2016 году в мире насчитывается около 6,4 миллиарда устройств интернета вещей. Примерно к 515 тысячам из них можно получить доступ с помощью обычного перебора паролей. Создатели сайта Insecam.com таким образом смогли выйти на трансляции с 73 тысяч камер по всему миру. Ботнет Mirai, с участием которого устроили самую мощную DDoS-атаку, мог руководить около 380 тысячами устройств (потом их число снизилось до 300 тысяч). Другой ботнет под названием Bashlight теоретически использует до миллиона устройств. Чтобы запустить цепную реакцию и управлять лампочками Philips Hue по всему Парижу, хакеру потребовалось бы около 15 тысяч лампочек в городе. Считается, что в Париже уже есть 15 тысяч таких лампочек. Ожидается, что в ближайшие годы рынок интернета вещей быстро вырастет и к 2020 году достигнет 20,8 миллиарда подключенных устройств. Соответственно, число уязвимых гаджетов также увеличится.
Можно ли обезопасить себя от взлома
Самое простое — поменять заводской пароль и перезагрузить устройство (после этого из его памяти удалятся данные установленных программ). Также рекомендуется регулярно обновлять прошивки и установить на роутере сертификат безопасности WPA2 (на старых роутерах его может не быть по умолчанию). К некоторым устройствам доступ также открывается через интерфейсы протоколов SSH или Telnet, для которых существуют отдельные заводские пароли. Возможно, их тоже следует поменять. Если в доме много подключенных к интернету устройств, для них можно установить отдельный роутер, который нельзя взломать через обычный компьютер.
История с блогом Кребса, описанная выше, была только началом. Через неделю после атаки на форум HackForums выложили исходный код программного обеспечения Mirai. Оно заражает подключенные к интернету устройства, создает из них ботнет и использует его для DDoS-атак. Всего через месяц после самой мощной DDoS-атаки о Mirai заговорили снова. Утром 21 октября сотни тысяч роутеров и домашних камер начали посылать запросы к серверам компании Dyn, которая занимается оптимизацией инфраструктуры сотен крупнейших сервисов. Компания и раньше сталкивалась с DDoS-атаками и могла им противостоять, но атаку Mirai отбить не получилось — сайты Twitter, SoundCloud, Spotify, PayPal, Amazon, Box, GitHub, Heroku, Airbnb, Yelp, Reddit, The New York Times, Wired, Mashable, CNN, The Wall Street Journal и Vox Media в США были недоступны весь день. Организаторы атаки, которые использовали и Mirai, и другие ботнеты, не выходили на связь и не требовали выкупа. Есть и другие, но не такие масштабные случаи взлома.
Домашнее устройство можно взломать не только перебором паролей. У сотрудников Института Вейцмана и Университета Далхаузи получилось управлять лампочками Philips Hue в офисном здании через дрон. Они использовали уязвимость в системе обновления программного обеспечения, смогли заразить одну лампочку, а потом через уязвимость в протоколе беспроводной связи ZigBee разнесли вирус и на соседние лампы. Чтобы удаленно включать и выключать лампочки, хватило дрона и оборудования за несколько сотен долларов.
В Jeep Cherokee и других машинах производства Chrysler с бортовым компьютером Uconnect существовала уязвимость, которая отдавала управление автомобилем сторонней системе. Компьютеры Uconnect подключались к интернету через мобильного оператора Sprint. Двое хакеров с дешевым Android-смартфоном, сим-картой Sprint и макбуком получали координаты случайной машины с Uconnect (по их подсчетам, у них на выбор их было примерно 471 тыс.), после этого они могли перехватить управление машиной, поскольку бортовой компьютер по стандарту CAN контролирует ее механические части. Во время эксперимента в Jeep Cherokee журналиста Wired удаленно включили дворники, радио, снизили скорость, а в конце просто отправили машину в кювет.
Часто причиной взлома становятся ошибки в программном обеспечении. Например, некоторые холодильники Samsung, которые работают с подключением к интернету, могли стать причиной взлома почты на Gmail. Холодильник синхронизируется с мобильным приложением и аккаунтом в Google, чтобы, например, показывать календарь на экране. Во время синхронизации холодильник должен требовать от смартфона SSL-сертификат, но он этого не делал. Хакер мог перехватить канал связи между смартфоном соседа и холодильником (например, с помощью фальшивой вайфай-точки), получить от холодильника данные учетной записи и взломать ее.
Некоторые взломы требуют физического вмешательства. Но о них стоит помнить, покупая подержанные устройства. На некоторые термостаты (их производитель не называется) можно было через SD-карту загрузить любую вредоносную программу, например, такую, которая поднимет температуру в комнате через 24 часа и потребует выкуп от хозяина. А на термостаты Nest через USB можно загрузить вирус, который позже подключится к другим домашним устройствам и будет получать с них данные, если те не имеют хорошей защиты.