Firma WatchGuard, producent sprzętowych zabezpieczeń sieciowych, udostępniła niedawno raport, który podsumowuje analizę danych zebranych z 26 tys. urządzeń na całym świecie. Okazuje się, że w pierwszej dziesiątce najpopularniejszych zagrożeń w I kw. 2017 r. znalazły się aż trzy działające w Linuksie. W poprzednim wydaniu raportu było tylko jedno takie zagrożenie. Rosnąca liczba ataków i zagrożeń na Linuksa to już wyraźny trend wynikający z systemowej słabości zabezpieczeń urządzeń Internetu Rzeczy. Jeśli powiążemy to z bardzo dużą liczbą nowych urządzeń, łatwo zrozumieć, że jest to łakomy kąsek dla twórców botnetów. Wielu z tych ataków można zapobiec, blokując ruch przychodzący Telnet i SSH oraz wykorzystując silne hasła dostępu do kont mających uprawnienia administracyjne.

Wzrost liczby zagrożeń linuksowych został zapoczątkowany pod koniec 2016 r., kiedy zaobserwowano pojawienie się botnetu Mirai. Zrobiło się o nim głośno we wrześniu, kiedy został wykorzystany do ataku na ważne elementy infrastruktury internetowej i odciął do globalnej sieci miliony użytkowników. Rozwój Internetu Rzeczy otwiera nową, szeroką „autostradę” do prowadzenia ataków. Wielu ekspertów jest przekonanych, że rosnąca liczba zagrożeń linuksowych idzie w parze z nowymi celami w Internecie.

Zobacz również:

• 8 błędów strategii danych, których należy unikać
• Ta inicjatywa ma ułatwić firmom zadanie wdrażania systemów AI

Jednocześnie producenci urządzeń IoT wciąż wydają się nie przykładać wystarczającej wagi do kwestii bezpieczeństwa swoich produktów. Ich celem jest głównie dostarczanie działających urządzeń, które można produkować szybko i tanio. A obecna sytuacja wymaga, żeby o bezpieczeństwie myśleć już na etapie projektowania urządzeń.

Trywialne zabezpieczenia

Większość producentów urządzeń IoT korzysta z okrojonych wersji Linuksa, ponieważ taki system operacyjny ma minimalne wymagania na zasoby systemowe. Jeśli połączymy ten fakt z bardzo dużą liczbą urządzeń podłączanych do IoT okaże się, że wystawiona na ataki jest ogromna liczba systemów Linux. W pogoni za zapewnieniem łatwej obsługi, producenci korzystają z protokołów, które są „przyjazne” również dla hakerów. Atakujący mogą uzyskać dostępnych do tych podatnych interfejsów, a następnie przesłać i wykonać szkodliwy kod. Producenci często stosują domyślne konfiguracje, które są bardzo podatne na ataki. Przykładem jest stosowanie kont administratorów z pustymi hasłami, czy z takimi, które łatwo odgadnąć (np. password123). Trzeba podkreślić, że przyczyną problemów z bezpieczeństwem nie jest Linux sam w sobie. To producenci beztrosko podchodzą do konfiguracji urządzeń, co powoduje, że można łatwo złamać ich zabezpieczenia.

Linux w czarnej dziesiątce

Wspomniane trzy linuksowe zagrożenia, które znalazły się w pierwszej dziesiątce, przedstawiają się następująco:

• Exploit, który składa się z kilku trojanów używanych do skanowania systemów w poszukiwania urządzeń, które można włączyć do botnetu.
• Downloader zbudowany z kilku skryptów powłoki Linuksa. Ten system operacyjny może działać na różnych architekturach sprzętowych (ARM, MIPS, x86). Plik wykonywalny skompilowany pod jedną architekturą, nie będzie działać na żadnej innej. Dlatego twórcy wirusów używają skryptów powłoki, które stanowią forpocztę ataku. Przenikają do podatnych urządzeń, a następnie pobierają pliki wykonywalne w zależności od architektury zainfekowanego urządzenia.
• Flooder, który wykorzystuje linuksowe narzędzia do przeprowadzania ataków DDoS, np. Tsunami, oraz ataków zwielokratniających (DDoS amplification), jak również narzędzia wykorzystane w botnecie Mirai. To właśnie po pojawieniu się Mirai urządzenia IoT z Linuksem stały się głównym obszarem budowania armii botnetów.

Pole bitwy

W raporcie WatchGuard możemy również przeczytać, że zmienił się sposób, w jaki atakowane są cele w Internecie. Pod koniec 2016 r. aż 73% ataków celowało w urządzenia klienckie – przeglądarki i inne, związane z nimi oprogramowanie. Sytuacja zmieniła się radykalnie w 2017 r. Obecnie 82% ataków jest wymierzonych w serwery WWW i usługi webowe. Eksperci uważają, że techniki ataków nie zmieniły się - nadal najczęściej wykorzystywany będzie schemat ataków polegający na infekcji najpierw skryptami, które następnie pobierają szkodliwy kod. Zmieniły się natomiast cele. Niestety jednocześnie badania pokazują, że spada skuteczność oprogramowania antywirusowego. Dwa kwartały z rzędu eksperci obserwowali, że tradycyjne antywirusowy wychwytywały coraz mniejszy odsetek nowoczesnych zagrożeń. Ta liczba spadła z 70% do 62%. Obecnie cyberprzestępcy wykorzystują wiele subtelnych trików, aby ich szkodliwe oprogramowanie było nieuchwytne dla mechanizmów wykrywania zagrożeń na podstawie sygnatur.

Jak Mirai łamie zabezpieczenia urządzeń IoT

Istotną cechą sposobu, w jaki Mirai skanuje urządzenia, jest wykorzystanie przez bota słownika popularnych kombinacji loginów i haseł podczas próby połączenia się z urządzeniem. Autor oryginalnego botnetu Mirai załączył stosunkowo niewielką listę loginów i haseł umożliwiających łączenie się z różnymi urządzeniami. Jeśli zignorować trywialne kombinacje takie jak “root:root” czy “admin:admin”, stosunkowo dobrze widać, jakiego sprzętu szukał botnet. Na przykład, takie pary login:hasło, jak „root:xc3511” i „root:vizxv” to domyślne konta kamer IP stworzonych przez dużych chińskich producentów. Od czasu powstania botnetu lista loginów i haseł została znacznie rozszerzona dzięki dodaniu domyślnych loginów i haseł dla różnych urządzeń IoT, co wskazuje na istnienie licznych modyfikacji bota.