Capisco perfettamente come i dispositivi IoT sono stati utilizzati nei massicci attacchi DDoS perché sono facilmente manipolabili a causa della mancanza di firewall, password predefinite, ecc.
Ciò che non capisco è anche se facilmente hackerato, la maggior parte dispositivi IoT sono collegati a reti private wifi protette.
Ecco la domanda: si presume quindi che queste migliaia di reti di dispositivi IoT siano state compromesse prima, quindi il dispositivo stesso è stato violato?
I dispositivi sono progettati per essere accessibili dall'esterno della casa. Per offrire questo servizio ai loro proprietari, si rendono accessibili attraverso il router / firewall del proprietario della casa. Il modo in cui lo fanno è l'invio di un pacchetto UPnP al router del proprietario che indica al router di aprire una porta che si connette a loro. Quindi ascoltano le connessioni che arrivano direttamente da Internet.
In altre parole, i dispositivi hanno prima hackerato i router dei loro proprietari in base alla progettazione, esponendo le proprie vulnerabilità. (Questo non ha nulla a che fare con il WiFi sicuro, privato o aperto, a parte molti dispositivi IoT connessi tramite WiFi, UPnP espone esattamente le stesse vulnerabilità su dispositivi cablati collegati tramite cavi Ethernet.)
Per proteggerti, disabilita UPnP sul tuo router.
La tua comprensione dell'attacco non è chiara come pensi. In questo articolo , Krebs ha detto che gli aggressori non hanno Devo davvero hackerare i dispositivi. La vulnerabilità era ben nota, bastava fare la scansione di internet per quei dispositivi.
Certo, se SSH / Telnet per i dispositivi era disabilitato, il problema sarebbe stato risolto facilmente. Per peggiorare la situazione, le credenziali hard codificate presenti nell'hardware non erano nemmeno visibili all'interfaccia web per l'amministratore.
Sì, è assolutamente necessario sapere quali sono i dispositivi presenti nella tua rete e quali sono i servizi che non ti servono.
EDIT : dopo il chiarimento di @ tlng05 sulla domanda.
Come già menzionato in altre risposte, dovresti disabilitare UPnP sul tuo router per assicurarti che il tuo dispositivo non sia facilmente configurabile dal mondo esterno.
Il tuo equivoco è qui:
secured private wifi networks
Mentre molte reti WiFi domestiche sono protette da dispositivi wireless non autorizzati che si connettono direttamente, molte sono ampiamente aperte per accedere da Internet più ampio . È questo accesso (richiesto dai dispositivi IoT per eseguire le loro funzioni legittime) che può essere abusato (e su una scala molto più ampia di quella che visita fisicamente molte reti WiFi).
La superficie di attacco di un router si trova su entrambi tutte le reti!
What I don't understand is although easily hacked, most IoT devices are connected to secured private wifi networks.
Sì, sono collegati alle reti wifi private, ma sono protetti? Beh, non tanto da te indicato che questi dispositivi non sono protetti da firewall, IPS a differenza delle reti aziendali. Alcuni di loro hanno firmware antichi, che non sono stati aggiornati da secoli. E sì, alcuni hanno password predefinite ancora funzionanti, in modo che chiunque possa facilmente accedere e sfruttarle per gli attacchi.
So is it assumed that these thousands of IoT devices' networks were hacked first, then the device itself was hacked?
Beh, non necessariamente, anche se potrebbe essere possibile in alcuni casi. Ma per lo più questi dispositivi sono intenzionalmente lasciati esposti a Internet perché sono necessari per l'accesso da qualsiasi parte del mondo.
Come sottolineato da molti esempi di cui sopra, se si desidera il filmato CCTV di casa per lo più si vorrebbe live streaming sul dispositivo palmare ed è per questo che sono necessari per essere accessibili su Internet. Sono N numero di altri esempi.
Conclusione: per utilizzare i dispositivi IoT per attaccare, non è necessario accedere alla rete. Questi dispositivi possono essere direttamente accessibili da internet. Quello che dobbiamo fare è proteggere questi dispositivi da tali accessi non autorizzati e mantenere i nostri dispositivi al sicuro senza dover utilizzare dispositivi costosi come firewall e IPS.
UPnP può essere un problema, ma a tutti sembra mancare il fatto che molti di questi dispositivi effettuano connessioni NAT permanenti standard in uscita verso i server dei fornitori. Tutto ciò che l'utente malintenzionato deve fare è hackerare il sito del fornitore per ottenere il controllo di tutti i dispositivi IoT collegati e da lì, poiché sono ora all'interno delle reti domestiche, per attaccare altri computer all'interno della rete o lanciare attacchi DDoS. Direct HTTP, SSH o altro accesso abilitato UPnP tramite il router non è necessariamente un requisito.
Sebbene i dispositivi IoT siano effettivamente all'interno di reti sicure, sono in gran parte realizzati in modo tale da essere accessibili da Internet. Ad esempio, l'impostazione della temperatura della tua casa è accessibile dall'app del telefono quando sei al lavoro. Questo è abilitato da una connessione aperta a Internet. Questo risponde perché sono in grado di accedere al mondo esterno.
Ora, la maggior parte dei dispositivi IoT, o botnet, non sono ben corretti e utilizzano configurazioni di sicurezza allentate. Le parti 1 e 2 dell'articolo hanno trovato qui spiegarlo in dettaglio, ma a Riassumendo, questi dispositivi sono infettati da malware. Sono in grado di inviare messaggi in uscita a Internet (il mondo esterno). E così, finiscono per inviare il messaggio "DoS" al bersaglio.
La maggior parte dei dispositivi IoT si trova su reti connesse a Internet da router NAT SoHo convenzionali che in genere dispongono di funzionalità firewall limitate o in cui i firewall non sono abilitati o gestiti. C'è un mito comune sul fatto che NAT sia un livello di sicurezza, non lo è.
"NAT and firewalling are completely orthogonal concepts that have nothing to do with each other. Because some NAT implementations accidentally provide some firewalling, there is a persistent myth that NAT provides security. It provides no security whatsoever. None. Zero." -- How Important is NAT as a security layer?
Può essere utile pensare alla terminologia e a cosa si intende quando le persone dicono che le cose dell'IoT sono state "hackerate". In molti casi, i dispositivi non sono stati hackerati - si stanno comportando come progettati.
In senso lato, ci sono due tipi di connessioni di rete. Il primo tipo è una connessione di tipo completamente connesso in cui entrambe le parti devono essere completamente connesse. Simile a una telefonata, è necessario avere qualcuno su entrambe le estremità. Con questo tipo di connessione, il sistema di avvio effettua una connessione iniziale al sistema di destinazione e il sistema di destinazione si ricollega al sistema di avvio. Questo tipo di connessione è ciò che normalmente si verifica quando è importante essere in grado di coordinare le comunicazioni, tracciare l'ordine dei pacchetti di dati e richiedere la ritrasmissione di dati persi.
L'altro tipo di connessione è più simile a una connessione di messaggistica (si pensi a SMS o ad altri tipi di messaggistica In questo tipo di connessione, non si ha una connessione bidirezionale. Il sistema di origine invia un messaggio al sistema di destinazione e a seconda del messaggio, il sistema ricevente può inviare una risposta all'indirizzo del mittente nel messaggio iniziale Questo tipo di comunicazione è buona quando l'ordine dei dati, la perdita di alcuni dati ecc. non è critico.
Il fatto è che, mentre le connessioni completamente connesse sono ottime per cose come l'integrità dei dati ea causa della natura bidirezionale, sono difficili da falsificare, sono più costose in termini di risorse e spese generali. Il secondo tipo di connessione ha meno integrità ed è più facile da spoofing perché non esiste una connessione bidirezionale, ma è economico: richiede meno risorse e ha un numero inferiore di overhead di sistema da elaborare.
Molti sistemi IoT sono piccoli, leggeri e devono essere efficienti. In genere hanno meno memoria e processi meno potenti e quindi tendono a favorire i progetti che utilizzano protocolli senza connessione piuttosto che i più costosi protocolli connessi. Tuttavia, questo significa anche che è più facile per i sistemi canaglia "mentire" e fare cose come lo spoofing degli indirizzi IP. Questo è come se ti mandassi un messaggio, dove l'indirizzo di ritorno è falso. Quando rispondi al messaggio, la tua risposta andrà all'indirizzo nel messaggio, ma questo non è il vero indirizzo di origine.
In effetti, ciò che sta succedendo è che i dispositivi IoT vengono inviati a inviare dati / risposte a un innocente spettatore che non ha richiesto nulla. Il sistema non è stato "hackerato", solo ingannato.
Spesso, la situazione può essere aggravata usando tecniche di amplificazione. Esistono alcuni servizi di tipo senza connessione che, quando viene posta una domanda semplice / breve, rispondono con una risposta lunga e diversa, ad esempio risposte con molti dati. Questo può rendere facile la creazione di una situazione in cui improvvisamente, un sito della vittima (come un DNS) inizia improvvisamente a ricevere grandi quantità di dati che non si aspettavano o non chiedevano.
per fare questo, tutto ciò che devi fare è identificare i dispositivi su Internet che supportano un protocollo senza connessione, inviare a questi dispositivi un messaggio che richiede qualcosa che potrebbe comportare una risposta ai dati di grandi dimensioni e falsificare l'indirizzo IP della vittima designata .
per peggiorare le cose, il sistema di destinazione non ha nemmeno bisogno di conoscere o comprendere i dati che gli vengono inviati. L'idea è di inviare così tanti dati che il sistema diventa schiacciato - ciò potrebbe accadere quando il sistema è costretto a guardare grandi quantità di dati in entrata semplicemente per prendere una decisione di scartarlo e non intraprendere ulteriori azioni. Con abbastanza dati, anche quel processo di elaborazione che devi semplicemente ignorare può essere sufficiente per impedire al sistema di essere in grado di elaborare connessioni legittime. Il fatto che questi dati provengano da più sistemi di origine diversi, vale a dire tutti i decreti IoT, significa che non puoi semplicemente bloccare un indirizzo IP perché ce ne sono semplicemente troppi.
Quindi, anche se è vero che ci sono troppi dispositivi IoT che sono stati mal progettati e privi di sufficienti controlli di sicurezza, una parte del problema sono i requisiti in conflitto per implementare una soluzione efficiente in termini di risorse leggere da un lato, ma in qualche modo gestisco un mondo con troppi agenti maligni che vogliono sfruttare le tue buone intenzioni. Sicuramente ci sono molti fornitori di IoT che potrebbero fare per migliorare la situazione, ma per la maggior parte di loro questo aumenterebbe i costi di produzione e la realtà è che la maggior parte dei consumatori non è a conoscenza dei problemi, quindi non investire nella soluzione migliore non lo fa influenzare la quota di mercato e quindi non comporta benefici finanziari sufficienti.
XM ha effettivamente disabilitato telnet / ssh su molti dei suoi dispositivi IoT (ne forniscono molti per nuovi DvR, webcam, ecc.) più di un anno fa. Quindi chiunque avesse effettivamente aggiornato il firmware (chi lo sa) o avesse acquistato un modello più recente di (dispositivo IoT qualunque) da allora probabilmente sarebbe stato immune da quel tipo di attacco.
La mia comprensione è Mirai (non sono sicuro dell'altro popolare Bashlight) connesso alla maggior parte dei dispositivi IoT tramite GRE: un tunnel virtuale point-to-point IP. GRE è un po 'come una VPN di consegna a pacchetto - può passare i dati attraverso la rete pubblica in privato - senza che i dati effettivi / intestazioni siano identificabili e quasi senza sovraccarico di protocollo. Quindi, una volta che hai un elenco principale di cam sfruttabili, home sec, connesso qualsiasi dispositivo e modello, puoi scansionare l'intero Internet e gli IP del tunnel accessibili attraverso porte aperte, eseguire password, ecc. Difficile che le persone lo vedano arrivare perché GRE sembra una normale trasmissione IP tra dispositivi che chiamano home o streaming video da casa ad app, ecc. Questo è solo il mio tocco ...
Novità in questo forum ho pensato di inserire la prospettiva di un produttore di dispositivi IoT per hobby. Potrei benissimo essere fuori tema, non ultimo dal momento che non sono completamente sicuro di quello che voi ragazzi consideriate un dispositivo IoT, ma per quello che vale:
I "dispositivi IoT" che creo, che fanno cose inutili come segnalare se qualcuno si è spostato all'interno di una certa area in un dato momento, potrebbero facilmente essere "hackerati" senza accedere al mio WiFi. Probabilmente potresti semplicemente montare un ricevitore del tipo giusto (potremmo parlare a 433 MHz) e origliare tutto il giorno. Quindi potresti creare i tuoi messaggi e inviarli al mio stupido dispositivo e / o al server che raccoglie tali informazioni, e farmi correre a casa in preda al panico dato che il mio sistema non così intelligente dice che è 200 gradi centigradi nel mio frigo e cinquemila persone sono passate nel mio garage ma nessuno è uscito.
Fondamentalmente quello che sto dicendo è che qualsiasi difetto l'hardware dei dispositivi IoT espone direttamente, e che il software non fa da guardia, potrebbe essere una porta di accesso per un hacker. Diamine, in base a dove è posizionato il dispositivo si potrebbe anche collegare il proprio hardware ad esso e iniziare a creare problemi. "Ecco il mio WiFi abilitato ESP8266, andare avanti e caricare il proprio software tramite USB." Ma immagino che sia veramente fuori dall'ambito.