Kaspersky Lab telah merilis
studi baru
tentang serangan pada perangkat IoT, yang menjelaskan secara cukup rinci metode pengumpulan informasi tentang serangan tersebut dan hasilnya. Statistik dikumpulkan dari apa yang disebut "hanipots," perangkat yang, dengan berbagai tingkat keandalan, menggambarkan router nyata, kamera IP, atau sesuatu yang lain untuk penyerang. Angka-angka utama dari penelitian ini diberikan dalam berita
ini : rata-rata, 20 ribu serangan dilakukan setiap 15 menit untuk setiap hanipot. Secara total, pada paruh pertama tahun 2019, 105 juta serangan dicatat hanya menggunakan protokol Telnet, tetapi aktivitas jahat datang dari hanya 276 ribu alamat IP.
Paling sering, serangan dimulai dari tuan rumah yang berlokasi di Cina, Brasil, serta di Mesir dan Rusia. Jumlah alamat IP unik telah menurun dibandingkan tahun lalu, sementara intensitas serangan meningkat: beberapa perangkat yang terinfeksi dikonfigurasikan untuk terus mengirim permintaan, mencoba memperluas jaringan zombie-IoT. Serangan dalam penelitian ini dipahami sebagai upaya peretasan yang kompleks menggunakan eksploitasi, serta menebak kata sandi primitif.
Menyiapkan Hanipots adalah seni terpisah, yang dijelaskan secara cukup rinci dalam laporan ini. Geografi itu penting - distribusi seragam titik pengumpulan informasi di seluruh dunia. Dianjurkan untuk menggunakan alamat IP milik penyedia "last mile", daripada hosters, dan secara teratur mengubahnya. Kemungkinan besar, penggagas serangan pada IoT melacak hanipot dan, mungkin, bertukar basis alamat IP, sehingga seiring waktu Anda dapat berhenti menerima gambar yang objektif tentang serangan tersebut. Artikel tersebut secara singkat menjelaskan tiga jenis hanipot: yang paling sederhana mencatat fakta serangan (melalui protokol mana mereka pergi, bagaimana tepatnya, apa yang mereka coba lakukan), yang lebih fungsional memantau tindakan penyerang secara lebih rinci setelah peretasan. Untuk yang kedua, dua proyek sumber terbuka disebutkan yang memfasilitasi pelaksanaannya:
Cowrie dan
Dionaea . Akhirnya, jebakan yang paling rumit dan sulit diotomatisasi dari sudut pandang penyerang tidak bisa dibedakan dari sistem yang sebenarnya.
Kaspersky Lab juga menggunakan hanipot multi-port yang memonitor koneksi dan upaya peretasan pada semua port TCP dan UDP. Rata-rata, hingga 6000 sesi “diketuk” setiap hari dengan alamat yang tidak standar selain Web tradisional, Telnet, dan SSH. Hasil analisis kueri terhadap jebakan tersebut ditunjukkan pada grafik di atas. Sebagian besar koneksi menggunakan protokol TCP.
Yang menarik adalah statistik pasangan login-password yang sering digunakan. Kombinasi yang paling populer adalah dukungan / dukungan, admin / admin dan default / default. Di tempat keempat dalam hal frekuensi penggunaan adalah kata sandi untuk kamera IP root / vizxv. Pada tahun 2019, ada peningkatan dalam upaya untuk memecahkan router GPON, yang juga memiliki kata sandi hard-coded. Karena perangkat yang berdiri sendiri menggunakan beragam arsitektur, cukup sering penyerang mencoba mengunduh secara berurutan dan mengeksekusi binary jahat yang dikompilasi untuk sistem yang berbeda.
Dari malware, eksploitasi keluarga Mirai terus mendominasi. Kesimpulan utama dari para peneliti: untuk secara efektif melindungi armada perangkat yang besar (misalnya, dari penyedia Internet atau organisasi besar), pengumpulan dan pemrosesan data dari jebakan hampir secara real time diperlukan. Tugas utama hanipot adalah menentukan awal dari serangan jenis baru menggunakan kerentanan yang diketahui atau zeroday pada perangkat. Ini bisa menjadi lubang di antarmuka web router, kata sandi default di kamera IP, atau bahkan kerentanan yang lebih kompleks dalam perangkat mandiri. Jika karena alasan tertentu perangkat Anda dapat diakses dari luar dan memiliki beberapa jenis kerentanan, mereka akan melakukannya lebih cepat daripada nanti: semua yang memiliki IP putih terus-menerus diperiksa, puluhan ribu kali sehari.
Apa lagi yang terjadi:- Film pelindung murah ini menipu pemindai sidik jari ultrasonik yang dipasang di ponsel Samsung Galaxy S10. Sidik jari disimpan pada film, dan sensor mengenalinya tanpa memerlukan kehadiran pemilik.
- Di Jerman, departemen keamanan informasi mengakui Firefox sebagai browser paling aman. Fitur dampak keamanan seperti dukungan TLS dan kebijakan HSTS, isolasi halaman web, otentikasi pembaruan, dan sejenisnya dievaluasi. Misalnya, Chrome ternyata memiliki lebih sedikit kemampuan memblokir telemetri.
- Bug serius ditemukan pada driver rtlwifi untuk modul nirkabel berdasarkan chipset Realtek. Driver dibangun ke kernel Linux, dan kerentanan dapat menyebabkan penolakan layanan (dan eksekusi kode, tetapi skenario seperti itu tidak mungkin). Patch ada , tetapi belum secara resmi dirilis.
- Berita Steganografi: Malware nyata telah ditemukan yang menyembunyikan kode dalam file suara WAV.
- Mengikuti jejak exploit checkm8 untuk perangkat Apple iOS: peneliti telah menemukan situs web yang menjanjikan pengunjung jailbreak dengan opsi untuk menginstal perangkat lunak tidak resmi. Bahkan, semuanya berakhir dengan pemasangan aplikasi - simulator mesin slot dari App Store. Ini bisa menjadi lebih buruk: jika Anda tanpa berpikir mengikuti instruksi di situs kiri, Anda dapat mentransfer kendali iPhone ke penyusup menggunakan cara biasa, diikuti dengan pemerasan.