IoT: złośliwe oprogramowanie często wykorzystuje stare luki w zabezpieczeniach

Duże opóźnienia w udostępnianiu łat oraz trudności w śledzeniu błędów mają wpływ na postrzeganie internetu rzeczy (IoT) jako koncepcji o ograniczonym zaufaniu.

Podczas odbywającej się w tym miesiącu w Bukareszcie konferencji dotyczącej bezpieczeństwa sieciowego, DefCamp’9, niezależny analityk bezpieczeństwa Andrei Costin mówił o szkodliwym oprogramowaniu IoT i niektórych przyczynach utrzymywania się zagrożeń jeszcze długo po ujawnieniu błędów w zabezpieczeniach.

Costin twierdzi, że niektóre szkodliwe programy nie zostawiają w systemach IoT sygnatury, która występuje na publicznej liście CVE (Common Vulnerabilities and Exposures). Utrudnia to rozwój skutecznych mechanizmów obronnych, ponieważ omijane mogą być, stosowane w celu identyfikacji i blokowania zagrożeń, procedury wykorzystujące takie rozwiązania jak IDS/IPS, Yara.

Costin twierdzi, że jednym z powodów tego stanu mogą być opóźnienia spowodowane słabą optymalizacją procesu przydzielania nowych numerów CVE. Inny możliwy powód to brak wśród analityków specjalnego zainteresowania lukami w zabezpieczeniach urządzeń IoT.

Bez względu na przyczynę problem jest poważny. Aby społeczność InfoSec (information security) mogła efektywnie współpracować nad obroną przed szkodliwym oprogramowaniem, potrzebny jest jakiś punkt odniesienia. Bez niego trudno wymieniać informacje o nowo wykrytych lukach w zabezpieczeniach, co bardzo szybko i skutecznie wykorzystywane jest przez cyberprzestępców.

Ze względu na ogromną różnorodność systemów IoT tworzenie uniwersalnego programu antywirusowego, chroniącego każde z podłączonych do sieci urządzeń, nie jest możliwe. Zamiast niezależnie chronić poszczególne komponenty sieci, branża antywirusowa opracowała rozwiązanie polegające na zabezpieczeniu całej sieci domowej.

Współpracując nad zabezpieczeniami przed złośliwym oprogramowaniem z Jonasem Zaddachem, analitykiem w Cisco Talos, Costin zauważył, że napisanie i wdrożenie kodu chroniącego znaną, łatwą do wykorzystania lukę w zabezpieczeniach, zajmuje czasem pół roku. Jest to wystarczająco dużo czasu, by napisać i skutecznie wykorzystać nowe exploity.

Niektóre z analizowanych przez duet badaczy szczepów wirusów wykorzystywały luki w zabezpieczeniach, które w branży antywirusowej znane są już od dwóch lat, a łaty do nich jeszcze nie zostały wydane. Na domiar złego obecnie cyberprzestępcy umieszczają w swoich złośliwych programach znacznie więcej niż po trzy exploity, co daje im daleko większą skuteczność w atakowaniu niezałatanych urządzeń.

Czas, jaki zwykle dzieli publiczne ogłoszenie luki w zabezpieczeniach sprzętu IoT, stwarzającej średnie lub wysokie ryzyko, a pojawieniem się wykorzystującej ją skutecznie pierwszej próbki złośliwego oprogramowania, przekracza 90 dni. Tak duże okno czasowe stwarza hakerom komfortową sytuację. Mogą projektować i realizować przestępcze działania bez presji czasu, jaką bez wątpienia powodowałoby wczesne wydanie łaty. Dopóki opóźnienia w publikowaniu poprawek i zasad ochrony urządzeń IoT nie zostaną zmniejszone, cyberprzestępcy będą mieli nadal ogromne pole dla swojej szkodliwej działalności, komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.