Entiendo completamente cómo se usaron los dispositivos de IoT en los ataques DDoS masivos porque se manipulan fácilmente debido a la falta de cortafuegos, contraseñas predeterminadas, etc.
Lo que no entiendo es que, aunque es fácil de piratear, la mayoría de los dispositivos IoT están conectados a redes wifi privadas seguras.
Aquí está la pregunta: ¿se asume que estos miles de redes de dispositivos IoT fueron hackeadas primero y luego el dispositivo fue hackeado?
Los dispositivos están diseñados para ser accesibles desde fuera del hogar. Para ofrecer este servicio a sus propietarios, se les hace accesibles a través del enrutador / firewall del propietario. La forma en que lo hacen es enviando un paquete UPnP al enrutador del propietario que le dice al enrutador que abra un puerto que se conecta de nuevo a ellos. Luego escuchan las conexiones que llegan directamente de Internet.
En otras palabras, los dispositivos primero piratearon los enrutadores de sus propietarios por diseño, lo que exponía sus propias vulnerabilidades. (Esto no tiene nada que ver con WiFi segura, privada o abierta, aparte de que muchos dispositivos IoT se conectan a través de WiFi; UPnP expone exactamente las mismas vulnerabilidades en dispositivos cableados conectados por cables Ethernet, también).
Para protegerse, desactive UPnP en su enrutador.
Tu comprensión del ataque no es tan clara como crees. En este artículo , Krebs mencionó que los atacantes no lo hicieron " Realmente hay que hackear los dispositivos. La vulnerabilidad era bien conocida, solo tenían que escanear Internet en busca de esos dispositivos.
Claro, si SSH / Telnet para los dispositivos estuviera deshabilitado, el problema se habría resuelto fácilmente. Para empeorar las cosas, las credenciales codificadas presentes en el hardware ni siquiera eran visibles en la interfaz web para el administrador.
Sí, es absolutamente imprescindible saber cuáles son los dispositivos presentes en su red y cuáles son los servicios que necesita o no necesita.
EDIT : después de la aclaración de @ tlng05 sobre la pregunta.
Como ya se mencionó en otras respuestas, debe deshabilitar UPnP en su enrutador para asegurarse absolutamente de que su dispositivo no se pueda configurar directamente desde el mundo exterior.
Su error está aquí:
redes wifi privadas protegidas
Si bien muchas redes WiFi domésticas están protegidas contra dispositivos inalámbricos no autorizados que se conectan directamente, muchas están abiertas al acceso desde Internet más amplio . Es este acceso (que es requerido por los dispositivos de IoT para realizar sus funciones legítimas) que se puede abusar (y en una escala mucho mayor que la de visitar físicamente muchas redes WiFi).
¡La superficie de ataque de un enrutador está en ambas todas las redes!
Lo que no entiendo es que, aunque es fácil de piratear, la mayoría de los dispositivos de IoT están conectados a redes wifi privadas seguras.
Sí, están conectados a sus redes wifi privadas, ¿pero están protegidas? Bueno, no tanto como señala usted, estos dispositivos no están protegidos por firewalls, IPS a diferencia de las redes empresariales. Algunos de ellos tienen firmwares antiguos, que no se han actualizado desde hace siglos. Y sí, algunas aún tienen contraseñas predeterminadas que funcionan, para que cualquiera pueda acceder y explotarlas fácilmente para los ataques.
Entonces, ¿se asume que estos miles de redes de dispositivos IoT fueron hackeadas primero y luego que el dispositivo fue hackeado?
Bueno, no necesariamente, aunque puede ser posible en algunos casos. Pero la mayoría de estos dispositivos se dejan expuestos intencionalmente a Internet porque se los necesita para acceder a ellos desde cualquier lugar del mundo.
Como se señaló en muchos de los ejemplos anteriores, si desea que las imágenes de CCTV de su hogar se realicen principalmente en su dispositivo portátil, es por eso que se las necesita para poder acceder a ellas a través de Internet. Son número N de otros ejemplos.
Conclusión: Para usar los dispositivos de IoT para atacar, uno no necesita acceso a su red. A estos dispositivos se puede acceder directamente desde internet. Lo que debemos hacer es proteger estos dispositivos de tales accesos no autorizados y mantener nuestros dispositivos seguros sin tener que usar dispositivos costosos como firewalls e IPS.
UPnP puede ser un problema, pero a todo el mundo parece faltarle el hecho de que muchos de estos dispositivos hacen conexiones NAT salientes estándar persistentes a los servidores de los proveedores. Todo lo que debe hacer el atacante es piratear el sitio del proveedor para obtener el control de todos los dispositivos IoT conectados y, desde allí, ya que están dentro de las redes domésticas, atacar a otras computadoras dentro de la red o lanzar ataques DDoS. El acceso directo a HTTP, SSH u otro acceso habilitado para UPnP a través de su enrutador no es necesariamente un requisito.
Si bien los dispositivos de IoT están realmente dentro de redes seguras, en gran parte están hechos de tal manera que son accesibles desde Internet. Por ejemplo, la configuración de temperatura de su hogar es accesible desde su aplicación de teléfono cuando está en el trabajo. Esto se habilita por una conexión que se abre a internet. Esto responde por qué son capaces de acceder al mundo exterior.
Ahora, la mayoría de los dispositivos de IoT, o botnets, no están bien parchados y usan configuraciones de seguridad sueltas. En las partes 1 y 2 del artículo se encuentran aquí explique esto en detalle, pero Resumiendo, estos dispositivos están infectados con malware. Pueden enviar mensajes salientes a internet (el mundo exterior). Y así, terminan enviando el mensaje "DoS" al objetivo.
La mayoría de los dispositivos de IoT están en redes que están conectadas a Internet mediante enrutadores SoHo NAT convencionales que generalmente tienen capacidades de firewall muy limitadas o donde los firewalls no están habilitados o mantenidos. Existe un mito común de que NAT es una capa de seguridad, no lo es.
"NAT y firewall son conceptos completamente ortogonales que no tienen nada que ver entre sí. Debido a que algunas implementaciones de NAT proporcionan accidentalmente algún firewall, existe un mito persistente de que NAT proporciona seguridad. No proporciona seguridad alguna. Ninguna. Cero". - ¿Qué tan importante es NAT como una capa de seguridad?
Puede valer la pena pensar en la terminología y lo que se quiere decir cuando la gente dice que las cosas de IoT han sido 'hackeadas'. En muchos casos, los dispositivos no han sido pirateados en absoluto, se están desempeñando según lo diseñado.
En términos generales, hay dos tipos de conexiones de red. El primer tipo es una conexión de tipo totalmente conectado donde ambas partes deben estar completamente conectadas. Similar a una llamada telefónica, necesitas tener a alguien en ambos extremos. Con este tipo de conexión, el sistema iniciador realiza una conexión inicial al sistema de destino y el sistema de destino se conecta de nuevo al sistema iniciador. Este tipo de conexión es lo que normalmente ocurre cuando es importante poder coordinar las comunicaciones, rastrear el orden de los paquetes de datos y solicitar el reenvío de cualquier dato perdido.
El otro tipo de conexión es más como una conexión de mensajería (piense en SMS o en otra mensajería. En este tipo de conexión, no tiene una conexión bidireccional. El sistema de origen envía un mensaje al sistema de destino y Según el mensaje, el sistema de recepción puede enviar una respuesta a la dirección del remitente en el mensaje inicial. Este tipo de comunicación es buena cuando el orden de los datos, la pérdida de algunos datos, etc. no es crítico.
La cuestión es que, si bien las conexiones totalmente conectadas son excelentes para cosas como la integridad de los datos y debido a la naturaleza bidireccional, son difíciles de falsificar, son más caras en términos de recursos y gastos generales. El segundo tipo de conexión tiene menos integridad y es más fácil de falsificar porque no hay una conexión bidireccional, pero son baratas: requieren menos recursos y tienen menores gastos generales del sistema para procesar.
Muchos sistemas de IoT son pequeños, ligeros y necesitan ser eficientes. Por lo general, tienen menos memoria y procesos menos potentes y, por lo tanto, tienden a preferir los diseños que utilizan protocolos sin conexión en lugar de protocolos conectados más caros. Sin embargo, esto también significa que es más fácil para los sistemas malintencionados "mentir" y hacer cosas como falsificar direcciones IP. Es como si yo te enviara un mensaje, donde la dirección de retorno es falsa. Cuando responda al mensaje, su respuesta irá a la dirección del mensaje, pero esa no es la dirección de origen real.
En efecto, lo que está sucediendo es que los dispositivos de IoT están siendo seguidos para enviar datos / respuestas a un espectador inocente que no ha solicitado nada. El sistema no ha sido 'hackeado', solo engañado.
A menudo, la situación puede empeorar al usar técnicas de amplificación. Hay algunos servicios de tipo sin conexión por ahí que, cuando se les pide una pregunta simple / breve variada, responderán con una respuesta larga variable, es decir, respuestas con gran cantidad de datos. Esto puede hacer que sea más fácil crear una situación en la que de repente, un sitio víctima (como un DNS) comienza a recibir repentinamente grandes cantidades de datos que no esperaba o no solicitó.
para hacer esto, todo lo que debe hacer es identificar los dispositivos en Internet que admiten un protocolo sin conexión, enviar a estos dispositivos un mensaje que solicite algo que probablemente implique una gran respuesta de datos y la dirección IP de la víctima afectada. .
para empeorar las cosas, el sistema de destino ni siquiera necesita saber o comprender los datos que se le envían. La idea es simplemente enviar tantos datos que el sistema se vea abrumado, lo que podría suceder cuando el sistema se ve obligado a analizar grandes cantidades de datos entrantes simplemente para tomar la decisión de descartarlos y no tomar ninguna otra medida. Con suficientes datos, incluso ese proceso de elaboración que necesita simplemente ignorarlo puede ser suficiente para evitar que el sistema pueda procesar conexiones legítimas. El hecho de que estos datos provengan de múltiples sistemas de origen diferentes, es decir, todos los dispositivos de IoT significa que no puede bloquear una dirección IP simplemente porque hay demasiados.
Por lo tanto, si bien es cierto que hay muchos dispositivos IoT que han sido mal diseñados y carecen de controles de seguridad suficientes, una parte del problema son los requisitos conflictivos para implementar una solución eficiente de recursos livianos por un lado, pero de alguna manera lidie con un mundo con demasiados agentes maliciosos que quieran explotar sus buenas intenciones. Ciertamente hay mucho que los proveedores de IoT podrían hacer para mejorar la situación, pero para la mayoría de ellos, esto solo aumentaría los costos de producción y la realidad es que la mayoría de los consumidores no son conscientes de los problemas, por lo que no invertir en la mejor solución no lo hace. Afecta la participación de mercado y, por lo tanto, no produce un beneficio financiero suficiente.
XM realmente deshabilitó telnet / ssh en muchos de sus dispositivos IoT (suministran muchos para nuevos DvRs, cámaras web, etc.) hace más de un año. Por lo tanto, cualquiera que haya actualizado el firmware (quién sabe) o haya comprado un modelo más reciente de (dispositivo IoT, desde entonces) desde entonces, probablemente hubiera sido inmune a ese tipo de ataque.
Mi entendimiento es el Mirai (no estoy seguro acerca del otro popular Bashlight) conectado a la mayoría de los dispositivos de IoT a través de GRE: un túnel virtual de punto a punto de IP. GRE es algo así como una VPN de entrega de paquetes (puede pasar datos a través de una red pública de manera privada) sin que los datos / encabezados sean identificables y casi sin sobrecarga de protocolo. Así que una vez que tenga una lista maestra de cámaras explotables, home sec, dispositivos y modelos conectados, puede escanear todo el Internet y las IP de túneles accesibles a través de puertos abiertos, ejecutar contraseñas, etc. etc. Es difícil que la gente lo vea venir porque GRE se parece a la transmisión normal de IP entre dispositivos que llaman a casa o transmiten video casero a la aplicación, etc. Esta es solo mi opinión ...
Nuevo en este foro, pensé que me gustaría participar desde la perspectiva de un creador de dispositivos de IoT. Es muy posible que esté fuera del tema, no menos importante, ya que no estoy del todo seguro de lo que ustedes incluso consideran ser un dispositivo de IoT, pero vale la pena:
Los "dispositivos IoT" que creo, que hacen cosas inútiles como informar si alguien se ha movido o no dentro de un área determinada en un tiempo determinado, podrían ser "pirateados" fácilmente sin acceder a mi WiFi. Probablemente podría poner un receptor del tipo correcto (podríamos estar hablando a 433MHz) y escuchar a escondidas todo el día. Luego, puede crear sus propios mensajes y enviarlos a mi estúpido dispositivo y / o al servidor que recopila esa información, y hacerme correr a casa en estado de pánico ya que mi sistema no tan inteligente en el hogar dice que es 200 grados centígrados en mi refrigerador y Cinco mil personas han pasado a mi garaje, pero nadie salió.
Básicamente, lo que digo es que cualquier falla que el dispositivo de IoT exponga directamente, y su software no protege, podría ser un puerto de entrada para un pirata informático. Heck, según el lugar donde se coloque el dispositivo, incluso podría adjuntar su propio hardware y comenzar a crear problemas. "Aquí está mi ESP8266 habilitado para WiFi, adelante, cargue su propio software a través de USB". Pero supongo que está realmente fuera de alcance.