חיסון נגד עדרי הזומבים של ה-IoT
מאת: אלכס דבירס וטים סקאט, (בתמונה),  27.12.16, 08:00

הזומבים של ה-IoT נמצאים משוטטים שם בחוץ. יש הרבה מהם, ואנו לא נצליח להיפטר מהם בקרוב. הם יגיעו אל האביזר  (device)שלך. כך, שחשוב לנקוט כעת צעדים לחיסון כדי שהאביזר שלך לא יסבול. מרבית האביזרים שהודבקו יישארו מודבקים לנצח. המגיפה תמשיך לחדש את עצמה לאורך העתיד הנראה לעין.

בכתבה הקודמת: אבטחת IoT: הזומבים של ה-IoT אוכלים את האינטרנט במהירות, צללנו לעומקן של מתקפות Distributed Denial of Service (DDoS) בהיקף גדול, שמינפו מכשירי IoT כבוטים, או זומבים, בהתקפות שלהן.

זמן קצר לאחר פרסום הכתבה, פורסם קוד המקור של המתקפה ע"י מישהו שטען כי הוא כותב הקוד הזדוני. הקוד הזדוני, Mirai, הוא וירוס הנושא סוס טרויאני, שגורם למכשירי IoT לבצע DDoS על מספר אתרים בולטים. המספרים הם עצומים: Malware Tech מעריכים, ש-120,000 אביזרים נפגעו, אבל Level 3 אומרים, שמדובר ב- 1.5 מיליון אביזרים. זוהי רק דוגמא עדכנית אחת.

הווירוסים האלה הם לתמיד
כאשר שוקלים כיצד להתמודד עם המתקפה, עוזר לחשוב על וירולוגיה מעולם הרפואה כדי להבין טוב יותר כיצד Mirai התפשט. הדבקות רפואיות תואמות למודל של עקומת רגישות, הדבקה והתאוששות. הדבר עובד היטב גם כאן: ברגע שאביזר נדבק ע"י  Mirai, הוא מתפשט באופן רנדומלי אל האינטרנט ומחפש אביזרים אחרים עם פורטים פתוחים של Telnet, שמשתמשים בסיסמת ברירת המחדל. ברגע שנמצאו, הוא מדביק אותם והופך אותם לזומבים, שבתורם משוטטים באינטרנט בחיפוש אחר מטרות נוספות. הדבר מוצג בעלייה הגדולה הראשונה בגרף.

אביזרים מסוימים יעברו ניקוי או הגנה, אבל רבים אחרים לעולם לא יגיעו לכך. אלה הם אביזרים מודבקים לנצח.

אפילו אם אביזר מנוקה, הוא אינו מחוסן, וסביר להניח, שמכשיר מודבק אחר ידביק אותו שוב. מאחר שאביזרים נגועים לעולם לא יעודכנו, כדי להסיר מהם את ההדבקה, המגיפה תמשיך לחדש את עצמה לאורך העתיד הנראה לעין.

האם ניתן לחסל אותו?
יכולות להיות מספר דרכים לחסל את Mirai או לפחות להגביל את השפעתו:

לתקן את כל האביזרים - אם לדבר באופן מעשי, זה לא לעולם לא יקרה. מרבית בעלי האביזרים כלל לא יידעו, שהאביזרים שלהם נגועים, ולא יהיו להם  הכישורים או היכולת לתקן אותם, או שלא יהיה אכפת להם (מאחר שהדבר לא משפיע עליהם ישירות).

לחסל את שרתי השליטה והבקרה - חולשה אחת של Mirai היא, שאביזרים, שהודבקו לאחרונה, צריכים להירשם בשרת שליטה ובקרה, כדי להוריד הנחיות. אלה הם שרתים שנפרצו, וכנראה לא אביזרים נגועים. אם שרתי הפיקוד והשליטה יחוסלו, זה יגביל את ההפצה של Mirai.

להגן על המטרה - בתגובה למתקפת IoT DDoS האחרונה, אתר האבטחה krebsonsecurity.com  הועבר לחברת אחסון אחרת כדי למנוע את התקיפה. התקפות DDoS אינן דבר חדש, ותמיד יש דרכים למזער את הסיכון נגדן, כגון העברת המטרה.

עם זאת, בסופו של דבר, תיקון כל האביזרים, שכרגע נגועים או יש להם פוטנציאל הידבקות, אינו מעשי, ולא סביר שנוכל לחסל את ההידבקות במלואה.

הדברים הצפויים
אם זה לא יהיה Mirai, תפותח נוזקה אחרת המפיצה את עצמה כדי להדביק מכשירי IoT נוספים. קוד המקור של Mirai פורסם, מה שיאיץ את הפיתוח של הווירוסים הבאים.

זמינות נרחבת של קוד המקור של Mirai תספק גם השראה לביצוע שינויים והתאמות. אנו יכולים לצפות, שהתלות בשרתי שליטה ובקרה צפויה להיעלם. את המוטציה הזו יהיה אפילו קשה יותר לחסל.

עד עתה, Mirai התמקד בהתקפות DDoS, אבל הדבר הבא יהיה למנף מכשירי IoT כדי לתקוף מערכות באותה הרשת, כמו מכשירי הזומבי IoT.

חסן את האביזרים שלך
נראה, שזומבים של IoT יהיו בסביבה בעתיד הנראה לעין. אנו יכולים לעשות את המרב כדי להימנע מהם ואפילו לבודד אותם, אבל כאשר רשתות משתנות ואביזרים חדשים נפרסים, תיפתחנה דרכים חדשות לחשיפה לסיכון. מאחר שאיום ההידבקות הוא מתמשך, זה רק עניין של זמן לפני שהאביזרים שלך יהפכו למטרה. לחיסון האביזרים מפני הידבקות יש חשיבות קריטית.

הצעד הראשון לחיסון יכול להישמע מובן מאליו – לחסל שיטות הדבקה ידועות. הסרה או חסימה של שירותים, שאינם הכרחיים (כגון Telnet), חיסול הרשאות ברירת מחדל והחלפתן בסיסמאות חזקות, וחסימה של קשרים בלתי צפויים לנקודות קצה חיצוניות.
אך במבט אל העתיד, נדרש צעד שני של חיסון – מניעת פרצות, שווירוסים, שעודכנו והותאמו יכולים למנף. כאן יכולים לסייע כלים כגון רשימת 25 שגיאות התוכנה המסוכנות ביותר של CWE/SANA.

כדי לחסן, יש מוצרים בשוק, שמספקים הגנה רב שכבתית, משולבת מראש, שכוללת: אתחול והפעלה מאובטחים להגנה מפני קוד ביצוע נגוע, הצפנת נתונים-במנוחה להגנה על הרשאות ומידע רגיש אחר, אימות הדדי להגנה מפני נקודות קצה מזויפות וכן ניסיונות התחברות זדוניים, הצפנת נתונים-בתנועה להגנה על מידע רגיש, הקשחת מערכת ההפעלה למניעת ניצול הרשאות, פיירוול לחסימת גישה חיצונית בלתי צפויה, כמו גם חיבורים בלתי צפויים לעולם החיצון, עדכונים מאובטחים למניעת שינויים זדוניים תוך המשך תמיכה בשינויים מורשים.

הגנות אלו מאפשרות  להוציא מהמכשיר שירותים שאינם נדרשים. הדבר ממזער את הדרכים האפשריות בהן הדבקה יכולה לפגוע במכשיר, תוך אספקת מערך הגנות חזקות.

"המתים" המדברים
זומבים של IoT יגיעו אל האביזר שלך, ידברו איתו, וינסו למצוא דרך להדביק אותו. יש דרכים להגן על המכשיר שלך ופתרונות משולבים מראש, שיכולים לחסן אותו לא רק נגד האיום של וירוסים כיום, אלא גם מפני מוטציות עתידיות. חיסון כעת יבטיח, שהאביזרים שלך יישארו בריאים לטווח הרחוק. 

מאת: אלכס דבריס וטים סקאט, דצמבר 2016.
ווינד ריבר