A Kaspersky Lab lançou um novo
estudo de ataques a dispositivos IoT, que descreve em detalhes suficientes os métodos para coletar informações sobre esses ataques e os resultados. As estatísticas são coletadas dos chamados "hanipots", dispositivos que, com diferentes graus de confiabilidade, representam um roteador real, uma câmera IP ou algo mais para os invasores. As principais figuras do estudo são apresentadas
nesta notícia: em média, 20 mil ataques foram feitos a cada 15 minutos para cada hanipot. No total, no primeiro semestre de 2019, 105 milhões de ataques foram registrados apenas usando o protocolo Telnet, mas a atividade maliciosa veio de apenas 276 mil endereços IP.
Na maioria das vezes, os ataques foram iniciados a partir de hosts localizados na China, Brasil, assim como no Egito e na Rússia. O número de endereços IP exclusivos diminuiu em comparação com o ano passado, enquanto a intensidade dos ataques aumentou: alguns dispositivos infectados estão configurados para enviar solicitações constantemente, tentando expandir a rede IoT zumbi. Os ataques no estudo são entendidos como tentativas complexas de invasão usando explorações, bem como adivinhação de senha primitiva.
A instalação de Hanipots é uma arte separada, descrita em detalhes suficientes neste relatório. A geografia é importante - a distribuição uniforme dos pontos de coleta de informações em todo o mundo. É aconselhável usar endereços IP pertencentes aos provedores da "última milha", em vez dos hosters, e alterá-los regularmente. Muito provavelmente, os iniciadores de ataques à IoT rastreiam o hanipot e, possivelmente, trocam as bases de endereços IP, para que, com o tempo, você possa parar de receber uma imagem objetiva dos ataques. O artigo descreve brevemente três tipos de hanipot: os mais simples registram o fato de um ataque (por qual protocolo foram, como exatamente, o que tentaram fazer), os mais funcionais monitoram as ações dos atacantes com mais detalhes após o hacking. No segundo, são mencionados dois projetos de código aberto que facilitam sua implementação:
Cowrie e
Dionaea . Finalmente, as armadilhas mais complexas e difíceis de automatizar do ponto de vista de um invasor são indistinguíveis de um sistema real.
A Kaspersky Lab também usa um hanipot de várias portas que monitora as tentativas de conexão e hacking em todas as portas TCP e UDP. Em média, até 6000 sessões são "interrompidas" diariamente em endereços não padrão, além das tradicionais Web, Telnet e SSH. Os resultados da análise de consultas para essa interceptação são mostrados no gráfico acima. A grande maioria das conexões usa o protocolo TCP.
De interesse são as estatísticas dos pares de login e senha usados com freqüência. As combinações mais populares são suporte / suporte, admin / admin e padrão / padrão. Em quarto lugar, em termos de frequência de uso, está a senha para as câmeras IP root / vizxv. Em 2019, houve um aumento nas tentativas de quebrar os roteadores GPON, que também possuem uma senha codificada. Como dispositivos autônomos usam uma ampla variedade de arquiteturas, muitas vezes os atacantes tentam baixar e executar sequencialmente um binário malicioso compilado para diferentes sistemas.
Do malware, as explorações da família Mirai continuam a dominar. A principal conclusão dos pesquisadores: para proteger efetivamente uma grande frota de dispositivos (por exemplo, de um provedor de serviços da Internet ou de uma grande organização), é necessário coletar e processar dados de traps em tempo quase real. A principal tarefa do hanipot é determinar o início de um novo tipo de ataque usando uma vulnerabilidade conhecida ou zeroday nos dispositivos. Isso pode ser um buraco na interface da web do roteador, uma senha padrão na câmera IP ou vulnerabilidades ainda mais complexas em um dispositivo independente. Se, por algum motivo, o seu dispositivo estiver acessível a partir do exterior e tiver algum tipo de vulnerabilidade, eles chegarão a ele mais cedo ou mais tarde: tudo o que tem um IP branco é constantemente verificado, dezenas de milhares de vezes por dia.
O que mais aconteceu:- O filme protetor barato engana o scanner de impressão digital ultrassônico instalado no telefone Samsung Galaxy S10. A impressão digital é armazenada no filme e o sensor a reconhece sem exigir a presença do proprietário.
- Na Alemanha, o departamento de segurança da informação reconheceu o Firefox como o navegador mais seguro. Recursos de impacto na segurança, como suporte a TLS e políticas HSTS, isolamento de página da web, autenticação de atualização e similares foram avaliados. Por exemplo, o Chrome revelou ter menos recursos de bloqueio de telemetria.
- Foi encontrado um bug sério no driver rtlwifi para módulos sem fio baseados no chipset Realtek. Um driver é incorporado ao kernel do Linux e uma vulnerabilidade pode causar negação de serviço (e execução de código, mas esse cenário é improvável). O patch existe , mas ainda não foi lançado oficialmente.
- Notícias sobre esteganografia: Foi encontrado um malware real que oculta o código nos arquivos de som WAV.
- Seguindo a trilha do exploit checkm8 para dispositivos Apple iOS: os pesquisadores encontraram um site que promete aos visitantes do jailbreak a opção de instalar software não oficial. De fato, tudo termina com a instalação de um aplicativo - um simulador de caça-níqueis da App Store. Poderia ter sido pior: se você seguir as instruções nos sites da esquerda, poderá transferir o controle do iPhone para invasores usando meios regulares, seguidos de extorsão.