Мы создали поддельный тостер, подключённый к сети, и его хакнули в течение часа.
Автор: Эндрю МакГилл
На прошлой недели большая группа компьютеров, подвергшихся взлому, одновременно бросили свои дела и направили терабайты мусорных данных к группе ключевых серверов, временно заблокировав доступ к популярным сайтам в восточной части США и за её пределами. В отличие от предыдущих атак, многие их этих взломанных компьютеров не располагались на чьём-то столе или в кейсе ноутбука — вместо этого атаку проводили дешевые процессоры веб-устройств, от камер видеонаблюдения до систем записи видео. По сути видеорегистраторы помогали обрушить твиттер.
«Великолепно!» подумал я прочитав об этом на прошлой неделе. Мой видеорегистратор помог обрушить твиттер (скорее всего нет, как минимум не в этот раз — целевые устройства были старше чем те, которые вы можете найти в большинстве американских домов и менее защищены). Но интернет — большой! В нём несколько миллиардов публичных IPv4-адресов, любой из них может принадлежать серверу, настольному компьютеру или тостеру. Даже если производитель моего гаджета дал ему тупой и легко угадываемый пароль, наверное он достаточно защищён в этом море анонимности? Как хакеры могут его обнаружить?
На самом деле у меня нет беспроводного и подключённого к сети тостера. Но я разработал тест. Сняв маленький сервер на Amazon, я сделал так, что он был виден в сети как незащищённое веб-устройство, и открыл сетевой порт, который хакеры обычно используют для удалённого контроля над компьютерами. Вместо предоставления реального доступа я настроил фальшивый интерфейс: хакеры будут думать что они логинятся на сервер, но на самом деле я буду записывать нажатия их клавиш и IP-адреса. В мире кибербезопасности это называется «разместить приманку» — неуловимую цель, которая привлекает и захватывает хакеров и скрипты, которые они используют для поиска уязвимых серверов.
Вот как моя ловушка выглядела для тех кто пытался залогиниться:
Я переключил время сервера на 1.12 p.m, среду, в полной уверенности, что мне придётся ждать дни — или недели — чтобы увидеть попытку взлома.
Но нет! Первая попытка произошла в 1.53.
Эта картинка — симуляция, то, что «видит» бот — но это действительная последовательность команд, которые использует хак-скрипт. Он пытается использовать распространённое имя пользователя и пароль (root/root) и исполнить команду «sh», получив возможность запускать программы и устанавливать собственные пакеты. Мой ложный тостер конечно же этого сделать не позволяет — он просто обрубает соединение. Последняя попытка взлома произошла 6 минут назад с использованием имени пользователя «root» и пароля xc3511.
Я согласен с тем, что подобная стратегия атаки может быть нетипична. Я хостил мой ложный тостер на виртуальном сервере Amazon, это был не обычный тостер, подключённый к интернету. Хакеры не вводят эти пароли сами — они программируют ботов, чтобы они исполняли всю грязную работу за них, сканируя тысячи портов за час. И я уверен, что эти скрипты просеивают амазоновские IP-адреса более часто в надежде найти уязвимого клиента. Но мой опыт соответствует тому, что видят конторы, занимающиеся безопасностью. Теперь в пределах возможностей хакеров буквально сканировать весь Интернет в поисках уязвимых серверов с открытыми портами. И каждый взломанный компьютер добавляет еще одного солдата для их усилий, тем самым сокращая необходимое время в геометрической прогрессии.
Метью Прис, сооснователь и руководитель Cloudflare, сказал, что каждый, кто выходит в интернет с устройства со слабозащищённым IP, может ожидать взлома в течение недели если не раньше.
«Если IP-адрес публично доступен, то шанс (быть взломанным) примерно 100 процентов» — сказал он. — «Пул IPv4-адресов не такой уж большой. Вы можете просканировать все их в течение нескольких часов, особенно если у вас большая сеть ботов. Сканирования на предмет уязвимостей являются непрерывными, и значительно ускорились за последние несколько лет».
Это не значит, что каждое устройство из мира вещей уязвимо. Большинство из них, подключённых к вашей домашней сети, скорее всего в безопасности: ваш роутер пресекает большинство попыток взлома (конечно, если он достаточно защищён и настроен должным образом). Вам больше стоит беспокоиться если устройство подсоединяется к сети напрямую, что чаще встречается на промышленных объектах.
И все же, обширность Интернета уже не может нас защитить. Я не могу подсчитать количество небрежных вещей, которые сделал с точки зрения безопасности, потому что считал себя слишком незначителmysv для хакеров — использовал одни и те же пароли несколько раз, помещал внутрь кода секретные ключи, оставлял сервера открытыми миру. В нынешнее время даже самые невзрачные из нас могут быть обнаружены вредоносным скриптом, и для этого требуется поразительно малое количество времени.
Оригинал: The Atlantic
Понравился текст? Поддержите наш проект!
или напрямую на яндекс-кошелёк 410011404335475
