В последние несколько дней исследователь безопасности Брайан Кребс боролся с кибератакой небывалого масштаба в сравнении с ранее наблюдавшимися в Интернете.

Кребс, ведущий блог по вопросам безопасности Krebs on Security, находился на приемной стороне DDoS-атаки (распределенной атаки типа «отказ в обслуживании») с интенсивностью запросов примерно в 700 Гбит/c. Не меньший повод для тревоги состоит в том, что генераторами атаки были видеокамеры и другие подключенные к Интернету устройства, от телевизионных ресиверов до видеорегистраторов, общее число которых выходило далеко за миллион единиц.

Это первый случай столь массивной атаки с использованием подключенных к сетям устройств, хотя стоит отметить, что в последние годы для запуска злонамеренных атак стали использоваться умные устройства, особенно лазерные принтеры. И хотя видеокамеры уже не впервые оказываются задействованы в DDoS-атаке, это первый случай, когда их мобилизуют в масштабную атаку в столь массовом количестве.

По словам Кребса, эта атака была местью за его разоблачение хакерского сервиса vDOS, созданного группой израильтян для заказных атак и приносившего его операторам сотни тысяч долларов в год. После появления в блоге Кребса рассказа о проведенном расследовании главари этой компании были арестованы, привлечены к ответственности и помещены под домашний арест. Очевидно, эта атака на Кребса через Интернет вещей (IoT) была осуществлена с целью доказать, что у vDOS еще есть силы.

После этого Кребс перевел свой сайт под защиту Project Shield корпорации Google, созданную для ограждения правозащитников и журналистов от цензурного давления путем DDoS. До этого Кребс пользовался защитой сервиса доставки контента Akamai, но компания прекратила его обслуживать, так как противодействие атакам стоило Akamai миллионы долларов, а Кребс получал сервис бесплатно.

Атака на Кребса свидетельствует о растущей проблеме безопасности IoT. Хотя проблема назревала годами, к сожалению, этой угрозе уделялось очень мало внимания. Еще хуже, что крайне мало организаций предпринимало какие-то шаги по разработке протокола, обеспечивающего безопасность подключений устройств к Интернету. Отягощает проблему и отсутствие каких-либо признаков того, что купленные устройства содержатся в безопасном состоянии благодаря надлежащему управлению и своевременным обновлениям.

Производителем большинства камер видеонаблюдения, задействованных в атаке на Кребса, является компания Dahua Technology, выпускающая широкую номенклатуру камер как для бизнес-структур, так и для домашних пользователей. Обычно эти камеры поставляются с заданными по умолчанию логином и паролем, и лишь немногие пользователи их меняют при установке устройства. Еще реже такие камеры получают программные обновления.

Хотя в атаке на Кребса использовались продукты Dahua, те же недостатки присущи и продуктам других компаний. Очень немногие подключенные устройства имеют иные средства защиты, кроме логина и пароля, а значительная часть оборудования не имеет даже этого. Чтобы составить себе представление о серьезности проблемы, просто включите Wi-Fi-устройства в людном месте и просмотрите список SSID-идентификаторов сетей. Вы увидите, что многие из них сохраняют имя компании, выпустившей продукт.

Тем не менее у любой организации есть ряд возможностей снизить риск использования ее имущества в DDoS-атаке, а это, в свою очередь, поможет избежать неприятностей и расходов из-за трафика, который могут генерировать ее сетевые устройства. Ниже приведены рекомендации, с выполнения которых следует начать.

  1. Разработайте и утвердите процедуру, гарантирующую для каждого поступающего к вам и подключаемого к сети устройства присвоение безопасных имени и пароля, настройку безопасности Wi-Fi и включение в перечень устройств, нуждающихся в регулярных обновлениях.
  2. Настройте параметры ваших роутеров и сетевых экранов на отражение любых попыток ваших сетевых устройств устанавливать связь за пределами вашей внутренней сети, исключая легитимные подключения. Например, принт-серверы, скорее всего, не нуждаются в доступе к Интернету.
  3. Позаботьтесь, чтобы ваша система защиты от вторжений была настроена на сканирование неавторизованных устройств и чтобы ваш сетевой экран выдавал предупреждения в случаях, когда ваши устройства пытаются выйти в Интернет.
  4. Убедитесь, что новые устройства, поступающие в вашу организацию, соответствуют вашим требованиям к обеспечению безопасности, включая поддержку безопасной Wi-Fi-сети.
  5. По возможности старайтесь использовать не Wi-Fi, а кабельные сети.

Прежде всего важно следить за тем, чтобы отвечающий за ИТ-безопасность персонал проявлял бдительность в отношении появляющегося в вашей сети нового оборудования и хорошо понимал, что это может произойти в любой момент, а подключить такое оборудование может практически любой сотрудник компании. С большой вероятностью обнаруженные в сети новые устройства могут оказаться небезопасными, а установившие их люди по тем или иным причинам могут не сообщить вам о своих действиях.

Подключаемые к вашей сети устройства могут иметь огромный полезный потенциал, но в то же время подвергнуть организацию серьезным угрозам. Чтобы ограничить возможные риски, постоянное наблюдение за такими устройствами должно стать одной из ваших приоритетных задач.