Fin novembre 2018, les imprimeurs de bureau et à domicile du monde entier ont
imprimé un message les invitant à s'abonner à PewDiePie YouTube. Cela s'est produit, bien sûr, à l'insu des propriétaires des imprimantes, et PewDiePie n'a probablement rien à voir avec cela. Un attaquant se faisant appeler TheHackerGiraffe a attaqué plus de 50 000 imprimantes configurées pour que leurs services Internet Printing Protocol et Line Printer Daemon soient accessibles sur Internet. La liste des imprimantes vulnérables a été compilée à l'aide du moteur de recherche spécialisé Shodan.io, le reste était une question de technologie.
L'attaque contre les imprimantes n'a pas pris fin: les téléviseurs intelligents ont ensuite été piratés, et récemment les webcams Nest, avec des liens similaires à PewDiePie. Cette entreprise généralement dénuée de sens a conduit à l'émergence d'un
service purement criminel pour le «marketing de guérilla des imprimeurs». Parlons plus de ces incidents et discutons en même temps des différences entre les chercheurs en sécurité normaux et de tels vandales IoT.
Un message imprimé sur des dizaines de milliers d'imprimantes dans le monde ressemblait à ceci:
Le pirate informatique Giraffe responsable du piratage a volontairement partagé les détails de l'attaque sur son twitter (plus tard, tous les messages ont été supprimés). Il a téléchargé la liste des imprimantes IP vulnérables de Shodan sur un serveur cloud à cinq dollars, où il a utilisé une combinaison de logiciels open source pour envoyer un PDF à imprimer et afficher un message de piratage sur l'écran de l'imprimante. Une semaine seulement après cette performance, les chercheurs de GreyNoise ont intercepté un autre document, dont la demande d'impression en masse a été envoyée à partir d'une seule IP, comme ceci:
Le document offrait les services de «guérilla marketing» - un analogue des publicités sur l'asphalte, pour ainsi dire uniquement dans l'espace numérique. De tels événements se produisent en fait rarement. Vous pouvez comparer l'incident de l'imprimante avec la
sécurité des routeurs - dans leur cas, le piratage de l'appareil n'est généralement pas annoncé, juste un bénéfice discret. Il est intéressant de noter que la même «girafe» s'est expliquée au public en termes d'honnêtes chercheurs en sécurité - telle qu'elle «informe le public» des risques des appareils mal configurés. Le public, bien sûr, a été informé, mais dans un monde idéal, la voie pour améliorer la sécurité passe par la collaboration avec les fabricants d'imprimantes et leurs installateurs - au moins, il vaut la peine de comprendre pourquoi il s'avère que le service d'impression local se tourne vers le Web.
Les incidents avec la mention de l'odieux blogueur vidéo PewDiePie se sont poursuivis cette année. À la mi-janvier, avec des messages similaires vous invitant à vous abonner à YouTube, le jeu multijoueur Atlas a été
attaqué . Et la semaine dernière, Motherboard a
publié une vidéo de piratage des caméras réseau Nest. Les vulnérabilités de l'infrastructure Nest n'ont pas été utilisées. Au lieu de cela, la méthode de bourrage des informations d'identification a été appliquée - une tentative de sélectionner un mot de passe pour votre compte personnel en fonction des bases de données divulguées. Si vous vous demandez comment votre mot de passe sera utilisé à partir de la
prochaine fuite , alors, par exemple, comme ceci. Ce n'est pas une attaque à grande échelle, mais le pirate a réussi à casser environ 300 comptes. L'accès à votre compte Nest vous permet de contrôler vos appareils IoT domestiques, et vous pouvez non seulement intercepter le flux vidéo des caméras, mais également communiquer avec les propriétaires par leur intermédiaire. Des messages sonores encouragés à s'abonner à ... Eh bien, vous comprenez.
Enfin, juste après le Nouvel An, le même «Giraffe-Hacker» a scanné le réseau afin de rechercher des appareils non protégés qui prennent en charge le protocole Chromecast, des décodeurs sur le téléviseur ou des téléviseurs intelligents eux-mêmes. Au total, plusieurs dizaines de milliers d'appareils ont été trouvés sur lesquels une commande a été transmise pour lire une vidéo appelant tout à la même chose. Il y a deux conclusions de ces histoires. Tout d'abord, il est conseillé de ne pas laisser l'IoT en dehors du réseau local. C'est un conseil moyen, car la décision de se connecter à des serveurs externes est généralement prise par le fabricant de l'appareil intelligent pour vous. Deuxièmement, un actionnisme hacker similaire peut être utilisé pour détruire la réputation de personnes ou d'entreprises. PewDiePie a une réputation douteuse, mais ce n'est pas le point: après des actions dénuées de sens pour le bien des relations publiques, les méthodes nouvellement découvertes sont adoptées par le crime. Particulièrement si simple.
Enfin, voici un autre fil de Twitter. Le chercheur a décidé de regarder le code de l'archiveur open source 7-zip, qui est responsable de la création d'archives protégées. Ces archives ne peuvent être ouvertes qu'avec des mots de passe et le contenu est crypté à l'aide de l'algorithme AES. Dans les expressions extrêmement émotionnelles, le chercheur rapporte ce qui suit: la mise en œuvre de l'algorithme de chiffrement est loin d'être idéale, un générateur de nombres aléatoires peu fiable est utilisé. De plus, la fiabilité du logiciel open source dans son ensemble est remise en question - après tout, l'algorithme incorrect était bien en vue. Les qualités des développeurs qui parlent de "backdoors" paranoïaques dans le système de cryptage sont discutées, au lieu de plonger leur propre code dans les normes minimales.
Mais, contrairement à toutes les histoires précédentes, cela semble bien se terminer: le même chercheur a
signalé un bug aux développeurs et les aide à corriger la situation (ce qui n'est pas si grave en fait). Parlant de l'éthique dans le domaine de la sécurité de l'information, nous ne devons pas oublier que les gens sont différents, et ils répondent aux différents problèmes de protection des logiciels et des appareils de différentes manières, y compris comme celle-ci - légèrement sans restriction. Le piratage éthique est principalement un désir d'aider à corriger un bogue ou une vulnérabilité. Mais utiliser des vulnérabilités pour organiser le clown au détriment de victimes sans méfiance n'est pas acceptable.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.