[ad_1]

L’Internet des objets se transforme rapidement en Internet des objets que nous ne pouvons pas nous permettre. Presque quotidiennement, nous entendons parler d’attaques virtuelles dans lesquelles des attaquants exigent un paiement en monnaie virtuelle Bitcoin auprès d’une banque, d’un détaillant en ligne ou d’un service en ligne. Ceux qui ne paient pas la rançon voient leurs sites mis hors ligne lors de cyberattaques coordonnées. Cette histoire examine un contributeur au problème et demande si nous devrions exiger une meilleure sécurité des FAI, des fabricants de logiciels et de matériel.

arméeCes attaques sont alimentées en partie par une explosion du nombre d’objets connectés à Internet qui sont soit mal configurés, soit livrés dans un état non sécurisé par défaut. En juin, j’ai écrit sur les réseaux de robots ou « botnets » de routeurs Internet piratés qui ont tous été fabriqués et expédiés par une entreprise de réseautage Ubiquiti. Les attaquants ont pu compromettre les routeurs car Ubiquiti les a livrés avec l’administration à distance activée par défaut et protégée par une paire de mots de passe par défaut (ubnt/ubnt ou pas de mot de passe du tout).

Cette histoire faisait suite à des rapports d’une entreprise de sécurité Imperva (voir Lax Security ouvre la porte au piratage à grande échelle des routeurs SOHO) qui a trouvé un botnet de dizaines de milliers de routeurs Ubiquiti piratés utilisés pour lancer des attaques massives par déni de service basées sur des rançons. Imperva a découvert que ces dizaines de milliers d’appareils piratés étaient si faciles à contrôler à distance que chaque routeur était exploité par plusieurs groupes d’extorsion différents ou des acteurs criminels individuels. La société a également découvert que ces acteurs utilisaient les routeurs piratés pour analyser en permanence Internet à la recherche de routeurs plus vulnérables.

La semaine dernière, des chercheurs de Vienne, une société de sécurité basée en Autriche Consultation SEC données publiées ce qui suggère qu’il y a plus de 600 000 routeurs Ubiquiti vulnérables utilisés par les fournisseurs de services Internet (FAI) et leurs clients. Tous sont assis sur Internet grand ouvert et permettent à quiconque d’en abuser pour ces secousses numériques.

Ces appareils vulnérables ont tendance à fusionner dans des pools géographiques distincts avec des pools plus profonds dans les pays avec plus de FAI qui les expédient directement aux clients sans modification. SEC Consult a déclaré avoir trouvé de fortes concentrations d’appareils Ubiquiti exposés au Brésil (480 000), en Thaïlande (170 000) et aux États-Unis (77 000).

SEC Consult prévient que le nombre réel de systèmes Ubiquiti vulnérables pourrait être plus proche de 1,1 million. Il s’avère que les appareils sont livrés avec un certificat cryptographique intégré dans le logiciel intégré du routeur (ou « firmware ») qui affaiblit encore la sécurité des appareils et les rend faciles à découvrir sur Internet ouvert. En effet, le Projet Censysun moteur de recherche Internet basé sur l’analyse qui permet à quiconque de trouver rapidement les hôtes qui utilisent ce certificatmontre exactement où chaque routeur exposé réside en ligne.

L’étude Imperva de mai 2015 a touché une corde sensible chez certains clients d’Ubiquiti qui pensaient que l’entreprise devrait faire plus pour aider les clients à sécuriser ces routeurs. Dans un fil de discussion de mai 2015 sur le site d’assistance de l’entreprise, le vice-président des applications technologiques d’Ubiquiti Matt Smith a déclaré que le fabricant du routeur avait brièvement désactivé l’accès à distance sur les nouveaux appareils, pour inverser ce mouvement après le refus des FAI et d’autres clients qui souhaitaient que la fonctionnalité soit réactivée.

Dans une déclaration envoyée à BreachTrace par e-mail, Harding a déclaré que la société ne commercialisait pas ses produits auprès des utilisateurs à domicile et qu’elle vendait ses produits aux professionnels de l’industrie et aux FAI.

« Pour cette raison, nous avons initialement livré les configurations des produits aussi flexibles que possible et nous nous sommes appuyés sur les FAI pour sécuriser leur équipement de manière appropriée », a-t-il déclaré. « Certains FAI utilisent des scripts de provisionnement auto-construits et le verrouillage intentionnel des appareils prêts à l’emploi interférerait avec les flux de travail de provisionnement de nombreux clients. »

Harding a déclaré qu’il est courant dans l’industrie des équipements de réseautage d’être livré avec un mot de passe par défaut pour une utilisation initiale. Bien que cela puisse être vrai, il semble beaucoup moins courant que les sociétés de mise en réseau fournissent du matériel permettant l’administration à distance sur Internet par défaut. Il a ajouté qu’à partir de la version 5.5.2 du micrologiciel – initialement publiée en août 2012 – les appareils Ubiquiti ont inclus une messagerie très persistante dans l’interface utilisateur pour rappeler aux clients de suivre les meilleures pratiques et de changer leurs mots de passe.

« Tous les appareils expédiés depuis lors auraient ce rappel et les utilisateurs devraient l’ignorer intentionnellement pour installer un équipement avec des informations d’identification par défaut », a-t-il écrit. Harding a noté que la société fournit également une plateforme de gestion que les FAI peuvent utiliser pour modifier en bloc tous les mots de passe par défaut des appareils.

L'écran de rappel d'Ubiquiti demandant aux utilisateurs de modifier les informations d'identification par défaut.  Les appareils de la société sont toujours livrés avec l'administration à distance activée.

L’écran de rappel d’Ubiquiti demandant aux utilisateurs de modifier les informations d’identification par défaut. Les appareils de la société sont toujours livrés avec l’administration à distance activée.

ANALYSE

Lorsque des entreprises livrent des produits, des logiciels ou des services avec des vulnérabilités intégrées dès la conception, les bons citoyens d’Internet en souffrent. Protonmail – un service de messagerie dédié aux passionnés de confidentialité – a été hors ligne pendant une grande partie de la semaine dernière grâce à l’un de ces shakedowns.

[NB: While no one is claiming that compromised routers were involved in the Protonmail attacks, the situation with Ubiquiti is an example of the type of vulnerability that allows attackers to get in and abuse these devices for nefarious purposes without the legitimate users ever even knowing they are unwittingly facilitating criminal activity (and also making themselves a target of data theft)].

Protonmail a reçu une demande de rançon : payez des Bitcoins ou soyez mis hors ligne. La partie triste ? La société a payé la rançon et a rapidement été touchée par ce qui semble être un deuxième groupe d’extorsion qui a probablement senti du sang dans l’eau.

Le criminel ou le groupe qui a extorqué Protonmail, qui s’identifie comme le « Collectif Armada», a également tenté d’extorquer VFEmail, un autre fournisseur de services de messagerie. VFE Rick Romero blogué sur la demande d’extorsion, qui s’est transformée en une panne totale pour son FAI lorsqu’il l’a ignorée. L’attaque a provoqué des perturbations majeures pour d’autres clients sur le réseau de son FAI, et maintenant Romero dit qu’il doit chercher un autre fournisseur. Mais il a dit qu’il n’avait jamais payé la rançon.

« Cela m’a enlevé [hosting] fournisseur et LEURS fournisseurs en amont », a-t-il déclaré dans un e-mail. « Après que la 3e attaque ait détruit leur centre de données, j’ai été expulsé. »

Pour sa part, Romero attribue une grande partie de la responsabilité des attaques à la communauté des FAI.

« Qui peut voir cette bande passante ? Qui peut arrêter cela », a demandé Romero dans sa chronique en ligne. « Une fois, j’ai eu une dispute avec un gentil Allemand – ils ont des lois très strictes sur la confidentialité – à propos de ce que le FAI peut bloquer. Vous ne pouvez rien bloquer dans l’UE. Aux États-Unis, nous nous battons pour le libre accès, et pour une bonne raison – mais nous devons toujours être des internautes responsables. Je pense que le FAI devrait avoir la possibilité de bloquer le trafic potentiellement dangereux, qu’il s’agisse de courrier indésirable, de fraude ou d’attaques par déni de service. »

Ainsi, les fabricants de matériel pourraient certainement faire plus, mais les FAI ont probablement un rôle beaucoup plus important à jouer dans la lutte contre les attaques à grande échelle. En effet, de nombreux experts en sécurité et victimes récentes de ces shakedowns Bitcoin affirment que la communauté des FAI pourrait faire beaucoup plus pour empêcher les attaquants d’exploiter ces appareils exposés.

C’est ainsi que le voit l’ancien cyberconseiller des présidents Clinton et Bush. Richard Clarkaujourd’hui président-directeur général de Bon port conseila déclaré lors d’une conférence l’année dernière que les FAI pourraient arrêter énormément de ce qui se passe avec les logiciels malveillants et les attaques par déni de service, mais ils ne le font pas.

« Ils ne le font pas, ils l’expédient, et dans certains cas, ils gagnent de l’argent en l’expédiant », Clarke mentionné lors d’une conférence en mai 2014 par le Association de la sécurité des systèmes d’information (AISS). « Les attaques par déni de service rapportent en fait de l’argent aux FAI, d’énormes volumes de données transitant par la ligne. Pourquoi n’exigeons-nous pas des FAI qu’ils fassent tout ce que la technologie permet d’arrêter [denial-of-service] attaques et d’identifier et de tuer les logiciels malveillants avant qu’ils n’atteignent leur destination. Ils pourraient le faire.

Une étape de base que de nombreux FAI peuvent mais ne prennent pas pour atténuer ces attaques implique une norme de sécurité réseau qui a été développée et publiée il y a plus d’une douzaine d’années. Connu comme BCP38son utilisation empêche les ressources abusables sur un réseau de FAI (routeurs Ubiquiti piratés, par exemple) d’être exploitées dans des attaques par déni de service particulièrement destructrices et puissantes.

À l’époque, les attaquants se concentraient sur d’énormes armées d’ordinateurs infectés par des robots qu’ils contrôlaient à distance. De nos jours, un attaquant a besoin de beaucoup moins de ressources pour lancer des attaques encore plus destructrices qui lui permettent à la fois de masquer sa véritable origine en ligne et d’amplifier la bande passante de ses attaques.

À l’aide d’une technique appelée amplification du trafic, l’attaquant réfléchit son trafic d’une ou plusieurs machines tierces vers la cible visée. Dans ce type d’agression, l’agresseur envoie un message à un tiers, tout en usurpant l’adresse Internet de la victime. Lorsque le tiers répond au message, la réponse est envoyée à la victime – et la réponse est beaucoup plus grande que le message d’origine, amplifiant ainsi la taille de l’attaque.

BCP-38 est conçu pour filtrer ce trafic usurpé, de sorte qu’il ne traverse même jamais le réseau d’un FAI qui a adopté les mesures anti-usurpation. Ce billet de blog du Société Internet fait un bon travail pour expliquer pourquoi de nombreux FAI décident finalement de ne pas mettre en œuvre BCP38.

À mesure que l’Internet des objets se développe, nous pouvons à peine nous permettre une surabondance massive de choses qui ne sont pas sécurisées par conception. L’une des raisons est que ces éléments ont une demi-vie bien trop longue et qu’ils resteront dans les terres et les flux de notre Internet pendant de nombreuses années à venir.

D’accord, alors peut-être que c’est un peu trop dramatique, mais je ne pense pas beaucoup. Les appareils déployés en masse et non sécurisés par défaut sont difficiles et coûteux à nettoyer et/ou à renforcer pour la sécurité, et les coûts de cette vulnérabilité se font sentir sur Internet et dans le monde entier.

Dan Geerresponsable de la sécurité de l’information pour In-Q-Tel – la Agence centrale de renseignement ‘s (CIA) branche de capital-risque – peut-être l’a dit le plus éloquemment dans un discours de mai 2014 à Cambridge. Geer parle de l’Internet des objets en termes d’une classe plus large d’appareils logiciels + matériels appelés « systèmes intégrés » et de leur tendance à rester utilisés longtemps après qu’ils deviennent des problèmes de sécurité potentiels :

Ce qu’il faut peut-être, c’est que les systèmes embarqués ressemblent davantage à
humains, et je ne veux certainement pas dire artificiellement intelligents.
Par « plus comme des humains », j’entends ceci : les systèmes embarqués, s’ils n’ont pas
interface de gestion à distance et donc hors de portée, sont une forme de vie
et comme le but de la vie est de finir, un système embarqué sans
l’interface de gestion à distance doit être conçue de manière à être certaine
mourir au plus tard à une heure fixe. À l’inverse, un intégré
système avec une interface de gestion à distance doit être suffisamment
auto-protégé qu’il est capable de refuser une commande. Inévitable
la mort et la résistance délibérée sont deux aspects de la condition humaine
nous devons reproduire, pas imaginer en quelque sorte que les surmonter est
pour améliorer l’avenir.

Jérémie Grossmandirecteur technique chez Sécurité WhiteHata déclaré que le monde finira par comprendre à quel point il est important d’intégrer la sécurité dans tous les nouveaux types d’appareils connectés à Internet chaque jour.

« Ce n’est qu’après que les appareils de l’Internet des objets ont été piratés en masse, et seulement après que des milliards d’appareils connectés à Internet ont été déployés dans la nature », a déclaré Grossman. « Nous savons que cet avenir arrive, et nous ne pouvons pas faire grand-chose pour l’arrêter. La question que je me pose aujourd’hui, c’est quand ce jour viendra, et il viendra, comment pouvons-nous résoudre le problème de l’IoT 5-10 ans à partir de maintenant avec des milliards de ces appareils non sécurisés en circulation ? Je n’ai pas encore de bonne réponse, mais nous avons le temps.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *