100 milionów urządzeń Internetu rzeczy podatne z powodu Name:Wreck.

Problem znany a zaniedbany

W ciągu ostatnich kilku lat badacze odkryli wręcz szokującą liczbę luk w absolutnie podstawowym kodzie, który stanowi podstawę sposobu, w jaki urządzenia komunikują się z Internetem. Obecnie mówi się o zestawie dziewięciu takich najważniejszych luk, które narażają szacunkowo ponad 100 milionów urządzeń na całym świecie. Są to głównie produkty tzw. Internetu rzeczy ale problem dotyczy praktycznie wszystkiego co jest podpięte do Sieci. Pojawia się istotne pytanie - jak pobudzić wreszcie zmiany i wdrożyć skuteczną obronę w miarę gromadzenia się coraz większej liczby tego typu luk w zabezpieczeniach.

A imię jego to Name: Wreck

Name: Wreck to błędy znajdujące się w czterech wszechobecnych stosach TCP / IP, a więc kodzie, który integruje protokoły komunikacji sieciowej w celu ustanowienia połączeń między urządzeniami a Internetem. Luki obecne w systemach operacyjnych, począwzy od FreeBSD a kończąc przykładowo na Nucleus NET firmy Siemens zajmującej się kontrolą przemysłową, dotyczą tego, w jaki sposób systemy te wdrażają DNS (Domain Name System). Wszystkie one pozwoliłyby napastnikowi na awarię urządzenia i przełączenie go w tryb offline lub przejęcie nad nim kontroli zdalnie. Oba te ataki mogą potencjalnie siać spustoszenie w sieci, zwłaszcza w krytycznej infrastrukturze, opiece zdrowotnej czy zakładach produkcyjnych. W takich miejscach infiltracja podłączonego urządzenia IoT lub serwera IT może zakłócić działanie wewnętrznej sieci organizacji lub służyć jako bezcenny punkt wyjścia do dalszego zagłębienia się w sieć ofiary.

Załatane, więc o co ten hałas?

Wszystkie luki, odkryte przez specjalistów z Forescout i JSOF, mają teraz dostępne łaty, ale niekoniecznie przekłada się to na wdrożenie tych poprawek w rzeczywistych urządzeniach, na których często działają starsze wersje oprogramowania. Czasami producenci nie stworzyli mechanizmów do aktualizacji tego kodu, ale często też nie produkują już komponentu, na którym działa dane urządzenie i po prostu nie mają kontroli nad mechanizmem wyprodukowanym przed laty i – na przykład – uniemożliwiającym aktualizację OTA (over-the-air). Elisa Costante, wiceprezes ds. badań w firmie Forescout, która przeprowadziła odpowiednie badania w ramach Project Memoria, stwierdza:

Biorąc pod uwagę to wszystko, staramy się podnieść świadomość, pracować ze społecznością i znaleźć sposoby rozwiązania tego problemu. Przeanalizowaliśmy ponad 15 stosów TCP/IP, zarówno zastrzeżonych, jak i otwartych, i stwierdziliśmy, że nie ma rzeczywistej różnicy w jakości. Ale te podobieństwa są również pomocne, ponieważ odkryliśmy, że mają podobne słabe punkty.

Koordynacja z rządem i producentami oprogramowania

Naukowcy koordynowali ujawnianie przez siebie błędów z działaniami programistów wydających łatki, Agencją ds. Cyberbezpieczeństwa i Infrastruktury Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych oraz innymi grupami zajmującymi się śledzeniem luk. Stwierdzono już, że podobne błędy wykryte przez Forescout i JSOF w innych zastrzeżonych i open source'owych stosach TCP/IP ujawniają się w setkach milionów, a nawet miliardach urządzeń na całym świecie.

Problemy pojawiają się tak często w odniesieniu do protokołów sieciowych, ponieważ są one w dużej mierze przekazywane nietknięte przez dziesięciolecia, gdy tymczasem technologia wokół nich ewoluuje. Zasadniczo wszyscy działają tu w myśl zasady: nie zepsuło się to nie naprawiaj. Ang Cui, dyrektor generalny Red Balloon Security, zauważa:

Te urządzenia zawierają kod, który ludzie napisali 20 lat temu - z mentalnością bezpieczeństwa sprzed 20 lat. I to działa; nigdy nie zawiodło. Ale kiedy połączysz to z Internetem, nie jest to bezpieczne.