אבטחת IoT: הזומבים של ה-IoT אוכלים את האינטרנט במהירות

דף הבית >> חדשות אבטחה ועולם הסייבר >> אבטחת IoT: הזומבים של ה-IoT אוכלים את האינטרנט במהירות
אבטחת IoT: הזומבים של ה-IoT אוכלים את האינטרנט במהירות
מאת: אלכס דבריס וטים סקאט (בתמונה), 9.10.16, 11:41טים סקאט
 
מתקפות מניעת שירות - DDoS היו מאז ומתמיד בעיה עבור אתרי אינטרנט פופולריים, אבל ההתקפות, שהגיעו לחדשות ושראינו בשבועות האחרונים, הן סיפור שונה, שמנהלי אבטחה ורשתות צריכים לקחת אותו בחשבון.

עדכון 23.10.16: האקרים ביצעו מתקפת DDoS ענקית של עשרות מיליוני פניות בו זמנית על אתר התשתית Dyn ושיתקו אתרים מרכזיים בארה"ב ובקנדה (כמו אמזון ופייפאל). הם גייסו מיליוני מכשירים (כמו מצלמות אבטחה, מערכות הקלטה וכד' ) המקושרים לאינטרנט באנמצעות IoT (מכשירים המחוברים לרשת).  כתבה זו  התריעה על הבעיה כבר ב-9.10.16. הפרטים להלן:

 
ההתקפה הראשונה, שהגיעה לחדשות, הייתה על הבלוג Kerbsonsecurity.com של בריאן קרבס, אחד מאתרי החדשות המובילים כיום בתחום אבטחת המידע. התקפת ה-DDoS הייתה בהיקף של 620 גיגה בשנייה, שעלתה לבעלים אקמאי ((Akamai, יותר מדי כסף מכדי להגן מפניה, וגרמה ל-Kerbsonsecurity.com לרדת מהרשת למשך יומיים. המקור: מצלמות רשת, שנפרצו ופעלו כזומבים של DDoS.
 
המתקפה השנייה הייתה על OVH, ספק הוסטינג צרפתי, שהצליח לעמוד במתקפה של 1.5 טרה בשנייה. הטענה של החברה, שההתקפה הגיעה מ-145,000 מצלמות ו- DVR-ים שנפרצו, תואמת לאבחון של אקמאי.
 
 תמונה 1
 
מעבר לסדר הגודל שלהן, מה עוד שונה במתקפות אלה? IoT – האינטרנט של הדברים.
 
עלייתו של ה-IoT הביאה עמה היקף עצום של אביזרים devices עוצמתיים בעלויות נמוכות מאוד. צי של 150,000 אביזרי בקרה ושליטה, מהווה פלטפורמה אדירה עבור תוקף. לעתים קרובות האביזרים מפוזרים באינטרנט, מה שמקשה על מעקב וניטור שלהם.
 
ניתן לפרוץ בקלות לאביזרים כגון מצלמות. לאביזרים יש אורך חיים ארוך יחסית, והקושחה מעודכנת רק לעתים נדירות. כך, שאביזרים נותרים לעתים קרובות פגיעים להתקפות גם הרבה אחרי שהפרצות הידועות בהם כבר תוקנו.
 
לקושחה ניתן לבצע הנדסה לאחור (reverse engineering), או מתוך אביזר דומה שנרכש, או באמצעות הורדת עדכוני קושחה. אביזרים רבים גם משתמשים בשמות משתמש וסיסמאות מסוימים כברירת מחדל, מה שהופך את הדברים לפשוטים אף יותר.
 
לא קשה למצוא מטרות. אתרים כגון shodan.io הופכים מציאת האביזרים באינטרנט לדבר טריוויאלי.
 
תמונה 2
 
אבטחת אביזרים
 
ישנם תהליכים מומלצים בהם ניתן להשתמש כדי לאבטח אביזרים. אם לציין חלק מהם: זהות אביזר, תצורת ברירת מחדל מאובטחת, עדכונים מאובטחים, והגנה על משאבים. אלה עובדים היטב עבור דגמים חדשים.
 
אבל בואו נהיה מציאותיים: בינתיים, יש באינטרנט מיליוני אביזרים שאינם מאובטחים כראוי, והם נמצאים שם כבר שנים. תיקון הוא כמעט בלתי אפשרי. אפילו אם הפתרון המושלם להקשחת אביזרים היה זמין כבר מחר, הוא לא היה עוזר לאלה.
 
לאבטחת אביזרים יש יתרונות עבור בעלי אביזרי IoT, כגון הגנה על נכסים. אבל אין להם את המוטיבציה למנוע התקפות DDoS על אתרים שאינם קשורים אליהם.
 
הגנה על נכסים
 
העמדה הטובה ביותר להגנה היא בדרך כלל על נכסים. באירועי Krebs ו- OVH, אתר אינטרנט היה הנכס תחת התקפה, וראינו את הספק נוקט בפעולה.
 
אך המוטיבציה לאבטחת אביזרים תגיע מבעלי אביזרי IoT, שהנכסים שלהם נמצאים תחת איום. במהלך האירועים האחרונים,  לבעלי אביזרי IoT לא היה ברור באופן מידי שהנכסים שלהם נמצאים תחת איום. אבל ככל שאביזרי IoT פגיעים ובלתי מוגנים ישמשו יותר לצרכי התקפות, הדברים יהפכו ברורים יותר.
 
כיצד? ע"י הכרה בכך, שאתרי האינטרנט המשמשים כיעד לתקיפה, אינם הנכסים היחידים שש להגן עליהם, וכי אמצעי ההגנה, שיינקטו על נכסים אחרים, ישפיעו על בעלי IoT.
 
רוחב פס הוא נכס. ייתכן, שגידול רוחב פס של בין 1 ל-30 מגה בשנייה עבור אביזר IoT יחיד המשתתף במתקפה, לא ייראה יקר במיוחד לבעלים של האביזר. אבל עם מאות אלפי אביזרים כאלה יחדיו, ההוצאה של תמיכה בטרהבייט אחד או שניים נוספים, תביא כמעט בוודאות לנקיטה בפעולה הגנתית על נכסי רשת.
 
הגנה על נכסי רשת מפני אביזרי IoT שנפרצו, יכולה ללבוש צורות שונות, אבל עבור הבעלים של נכסי הרשת, ההגנה הראשונה תהיה בדרך כלל הגבלת הגישה לאביזרים חשודים. בנקודה זו הבעלים של אביזרי IoT וספקי שירותי IoT ירגישו את הכאב.
 
מעצם ההגדרה, אביזרי IoT מקבלים הרבה מערכם מהיותם מקושרים לרשת. אם גישה לרשת מוגבלת כאשר אביזר נפרץ, אז חלק גדול מהערך של אביזרים אלה יהיה גם כן מוגבל. הערך וההכנסה עבור בעלי ה-IoT יהיו תחת איום.
 
פתרונות
 
אבטחת אביזרים חדשים היא חיונית, וישנם פתרונות זמינים כדי להבטיח, שאביזרים חדשים יהיו מאובטחים כאשר הם נפרסים, ויישארו מאובטחים  לאורך חייהם. פתרונות אלה כוללים:
  • אבטחת זהות האביזר,
  • אבטחת תצורה – כולל אתחול מאובטח, הפעלה מאובטחת, חתימה בינאריות, ועוד,
  • עדכוני אבטחה,
  • הגנת משאבים.
כפי שציינו, אלה מטפלים רק בחלק מהבעיה. סביר להניח, שרבים מהאביזרים החדשים ייפרסו ללא הגנות בסיסיות אלו.
 
מה נעשה לגבי אביזרים אלה, ישנים או חדשים, שהם ללא אבטחה מובנית? פתרון אפשרי הוא הגנה עליהם באמצעות שער גישת IoT מאובטח (בין אם פיזי או במכונה וירטואלית). הדבר מייצר הגנות שבאופן לוגי הן קרובות לאביזר ה-IoT, ומאפשרות לבעלי ה-IoT להגן על נכסיהם, כולל רוחב הפס, שהם זקוקים לו כדי לשמר ערך והכנסות.
 
יש כיום טכנולוגיות עם תכונות אבטחה כגון זהות אביזר מאובטחת, תצורה מאובטחת, עדכונים מאובטחים, והגנת משאבים. תכונות  אלו יכולות להגן על אביזרים חדשים, ולהבטיח, שאביזרים אלה יישארו מוגנים. פתרונות IoT צריכים לשלב הגנות אלה כך שנין יהיה לממש את מלוא הפוטנציאל של IoT. אנו גם צריכים להכיר בכך, שישנן קהילות גדולות של אביזרים, שמסיבות שונות אינם כוללים הגנות, וזקוקים לפתרון כגון שער אבטחת IoT כדי להטמיע יכולות  אבטחה עבור האביזר, ואלה הם סוגי מאפייני האבטחה, שימנעו התקפות DDoS דרך IoT.
 
מאת: אלכס דבריס וטים סקאט, אוקטובר 2016.
ווינד ריבר
DDOS



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

15.5.17 - Bynet Expo 2017

18/5/17 - Israel's Annual Programmatic Video conference 

15/6/17 - CRYPTODAY 2017 

25-29/6/17 - Cyber Week 2017  

3/7/17 - 2017 Afeka Conference for Speech Processing  

15-17/8/17 - אליפות ישראל לספורט אלקטרוני 2017  

2/11/17 - 28/10/17 - German Tel Aviv Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאפריל 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
TLV-GENERATOR
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים