Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд операций. Так, атака позволяет в последующем запускать вредоносные процессы, собирать конфиденциальную информацию или использовать IoT-устройство в качестве промежуточного звена.

Если кратко, сама атака происходит по следующему сценарию:

  1. Атакующий настраивает собственный DNS-сервер для вредоносного домена.
  2. Атакующий предоставляет жертве ссылку на вредоносный домен (на этом этапе используется фишинг, IM-спам, XSS или маскировка вредоносной ссылки в рекламных объявлениях на популярных и полностью «белых» сайтах).
  3. Пользовательский браузер делает запрос на получение DNS-параметров запрашиваемого домена.
  4. Вредоносный DNS-сервер отвечает, браузер кэширует адрес.
  5. Согласно параметру TTL внутри первичного ответа DNS-сервера в одну секунду, браузер пользователя выполняет повторный DNS-запрос для получения IP-адреса.
  6. DNS злоумышленника отвечает целевым IP-адресом.
  7. Атакующий неоднократно использует вредоносный DNS-сервер для доступа ко всем интересующим IP-адресам в атакуемой сети для достижения своих целей (сбор данных, выполнение вредоносного кода и так далее).

Также механизм атаки подробно объяснятся в видео от специалистов Armis:


Наиболее уязвимы для атаки IP-камеры. По подсчетам специалистов, подобную атаку можно провести на 160 млн таких устройств. Кроме этого через подмену DNS можно получить доступ к 165 млн принтеров, 124 млн точек IP-телефонии, 28 млн Smart-телевизоров, 14 млн свитчей, роутеров и точек доступа Wi-Fi и 5 млн устройств стриминга медиа-контента.

Согласно данным ресурса Statista.com, число подключенных к сети IoT-устройств с 2009 по 2017 годы выросло с 0,9 млрд штук до 8,4 млрд штук. В 2018 году прогнозируется рост до 11,2 млрд устройств. К 2020 году прогнозируется 20 млрд умных устройств, подключенных к сети.



Важно понимать, что приведенные данные касаются только реально используемых девайсов. Если же смотреть данные и прогнозы по общему количеству хотя бы единожды подключенных к сети IoT-устройств, то цифры становятся еще более внушительными:



Сама проблема с безопасностью IoT-устройств не нова. Еще в 2015 и 2017 годах на Хабре публиковались соответствующие статьи на тему создания ботнетов из камер наблюдения, а самым известным из них стал Mirai — ботнет, объединивший более 1 млн IoT-устройств в единую сеть для проведения DDoS-атак. С тех событий прошло несколько лет, а выделить какого-то конкретного уязвимого или наоборот, наиболее безопасного производителя оборудования до сих пор нельзя: атаке подвержены устройства как технологических гигантов, вне зависимости от ориентации на потребительский или бизнес-сегмент, так и устройства менее популярных компаний.

Исправить ситуацию через раскатку фиксов по устройствам физически невозможно, так как девайсов уже слишком много и производители просто не справятся с подобной задачей. Кроме этого и вендоры не заинтересованы в подобных мероприятиях, так как они влекут исключительно издержки, размер которых не сопоставим с прибылью от реализации ряда устройств (тех же IP-камер, стоимость которых крайне далека от заоблачных высот).

Конечно, для решения описанной проблемы необходимо выстраивать полноценную информационную защиту вокруг IoT-устройств, а так же контролировать их активность администраторами на местах.

Комментарии (11)


  1. nafgne
    24.07.2018 15:31
    -1

    Перевод уровня «Ализар». Исходная-то статья больше на белок-истеричек расчитана, а здесь вообще все технические подробности растеряли.


    1. sshikov
      24.07.2018 20:50

      Ага. Сначала речь про IoT, потом плавно перешли к «фишинг» и «пользовательский браузер». Где фишинг, против кого фишинг? Веб камере послали спам-письмо с левой ссылкой, и она его прочитала, и ссылку открыла? Очень убедительно…


  1. Aleksazhko
    24.07.2018 18:17
    +1

    The 'S' in IoT stands for Security


  1. BUY33
    24.07.2018 18:24
    +3

    На картинке очень эмоциональные розетки.


  1. Barnaby
    24.07.2018 18:38

    А с localhost такое сработает? Локальные сервисы очень часто висят без всякой защиты.


    1. Regis
      24.07.2018 21:34

      Вроде бы в браузере есть ограничения на доступ к локальным ресурсам.


  1. SergeyMax
    24.07.2018 22:32

    Кто-нибудь понял, в чём именно заключается атака?


    1. doom369
      24.07.2018 22:52

      Как я понял, работает так:

      1. Делаем свой DNS server и делаем свой домен attack.cc/global_ip;
      2. Разными уловками делаем так, чтобы пользователь (например в домашней сети за роутером и доступом к инету) открыл внешний сайт с вредоносным яваскриптом;
      3. Файл скрипта похоже лежит на attack.cc/bad.js;
      4. Браузер делает DNS реквест к attack.cc;
      5. Так как DNS сервер наш, мы прописываем TTL 1 секунду (тут правда есть ньюансы — как будут реагировать на такой котороткий ТТЛ промежуточные ДНС сервера); Браузер ложит в кеш айпи (global_ip) для этого хоста.
      6. (Тут не уверен или браузер автоматом это делает или выгруженный скрипт реквестит что-то с того же домена attack.cc что-то) браузер видит, что домен устарел (ТТЛ 1с) и шлет опять DNS реквест. Так как DNS сервер наш вместо global_ip возвращаем local_ip из сети юзера.
      7. Скрипт уже может слать команды на local_ip, пока домен не устареет;
      8. Повторяем пункт 6;

      Если кто вникал — дайте подробностей.


      1. SergeyMax
        24.07.2018 23:14

        Почему бы просто не вписать локальные адреса во вредоносный яваскрипт? В чём новизна изобретения?


        1. doom369
          24.07.2018 23:42

          Современные браузеры не разрешают скрипту запрашивать данные из другого домена/айпи. Поэтому в ДНС записи подменяется айпи и браузер думает что запрос идет к правильному домену/айпи. Проверка пройдена и браузер дает доступ.


          1. SergeyMax
            25.07.2018 17:48

            Теперь стало гораздо понятнее, спасибо.