211service.com
Wat gebeurde er toen één man het hele internet pingde?
Je hebt waarschijnlijk nog nooit van HD Moore gehoord, maar tot een paar weken geleden werd elk internetapparaat ter wereld, misschien ook sommige in je eigen huis, ongeveer drie keer per dag benaderd door een stapel computers die zijn logeerkamer oververhitten. . Ik heb veel koelapparatuur om ervoor te zorgen dat mijn huis niet in brand vliegt, zegt Moore, die onderzoek leidt bij computerbeveiligingsbedrijf Rapid7 . In februari vorig jaar besloot hij als hobby een persoonlijke telling uit te voeren van elk apparaat op internet. Dit is niet mijn dagelijkse baan; het is wat ik voor de lol doe, zegt hij.
Moore heeft dat plezier nu in de wacht gezet. [Het] trok nogal wat klachten, haatmail en telefoontjes van wetshandhavers, zegt hij. Maar de verzamelde gegevens hebben een aantal ernstige beveiligingsproblemen aan het licht gebracht en een aantal kwetsbare zakelijke en industriële systemen blootgelegd van het soort dat wordt gebruikt om alles te regelen, van verkeerslichten tot stroominfrastructuur.
De volkstelling van Moore omvatte het regelmatig verzenden van eenvoudige, geautomatiseerde berichten naar elk van de 3,7 miljard IP-adressen die zijn toegewezen aan apparaten die over de hele wereld met internet zijn verbonden (Google verzamelt daarentegen informatie die openbaar wordt aangeboden door websites). Veel van de twee terabytes (2.000 gigabytes) aan antwoorden die Moore ontving van 310 miljoen IP's gaven aan dat ze afkomstig waren van apparaten die kwetsbaar waren voor bekende fouten, of zo waren geconfigureerd dat iedereen ze kon overnemen.
Op dinsdag publiceerde Moore resultaten over een bijzonder verontrustend segment van die kwetsbare apparaten: apparaten die lijken te worden gebruikt voor zakelijke en industriële systemen. Meer dan 114.000 van die controleverbindingen werden geregistreerd als zijnde op internet met bekende beveiligingsfouten. Velen waren toegankelijk met standaardwachtwoorden en 13.000 kregen directe toegang via een opdrachtprompt zonder wachtwoord.
Die kwetsbare accounts bieden aanvallers aanzienlijke kansen, zegt Moore, waaronder het opnieuw opstarten van bedrijfsservers en IT-systemen, toegang tot logboeken van medische apparaten en klantgegevens, en zelfs toegang krijgen tot industriële controlesystemen in fabrieken of energie-infrastructuur. De laatste bevindingen van Moore werden ondersteund door een vergelijkbare dataset vorige maand gepubliceerd door een anonieme hacker , verzameld door 420.000 stukjes netwerkhardware in gevaar te brengen.
De verbindingen waar Moore naar op zoek was, staan bekend als seriële servers, die worden gebruikt om apparaten met internet te verbinden die die functionaliteit niet hebben ingebouwd. Seriële servers fungeren als lijm tussen archaïsche systemen en de genetwerkte wereld, zegt Moore. [Ze] stellen veel organisaties bloot aan aanvallen. Moore weet niet of de fouten die hij heeft ontdekt al worden uitgebuit, maar heeft details vrijgegeven over hoe bedrijven hun systemen kunnen scannen op de problemen die hij heeft ontdekt.
Joel Young, Chief Technology Officer van Digi Internationaal , fabrikant van veel van de onbeveiligde seriële servers die Moore vond, verwelkomde het onderzoek en zei dat het zijn bedrijf had geholpen te begrijpen hoe mensen zijn producten gebruikten. Sommige klanten die onze producten kopen en implementeren, volgden geen goed beveiligingsbeleid of -praktijken, zegt Young. We moeten klanten meer proactieve voorlichting geven over beveiliging.
Young zegt dat zijn bedrijf een cloudservice verkoopt die zijn producten een beveiligde privéverbinding kan geven, weg van het openbare internet. Hij zei echter ook dat Digi producten met standaardwachtwoorden zou blijven verzenden, omdat het de eerste installatie soepeler maakte en klanten eerder geneigd waren hun eigen wachtwoorden in te stellen. Ik heb geen betere manier gevonden, zegt hij.
Billy Rios, een beveiligingsonderzoeker die werkt aan industriële controlesystemen bij Cylance, een startup voor beveiliging, zegt dat het project van Moore waardevolle cijfers oplevert om de omvang van een probleem te kwantificeren dat bekend is bij experts zoals hij, maar ondergewaardeerd wordt door bedrijven die risico lopen.
Rios zegt dat in zijn ervaring systemen die worden gebruikt door meer kritieke faciliteiten, zoals energie-infrastructuur, net zo kwetsbaar zijn voor aanvallen als systemen die worden gebruikt voor taken zoals het bedienen van deuren in een klein kantoor. Ze gebruiken dezelfde systemen, zegt hij.
Door seriële servers van het openbare internet te verwijderen zodat ze toegankelijk zijn via een privéverbinding, kunnen veel van de gemakkelijkste aanvallen worden voorkomen, zegt Rios, maar aanvallers kunnen nog steeds verschillende technieken gebruiken om de benodigde inloggegevens te stelen.
Het nieuwe werk draagt bij aan andere belangrijke bevindingen uit de ongewone hobby van Moore. resultaten he gepubliceerd in januari toonde aan dat ongeveer 50 miljoen printers, gameconsoles, routers en netwerkopslagstations zijn verbonden met internet en gemakkelijk kunnen worden aangetast vanwege bekende fouten in een protocol genaamd Universal Plug and Play (UPnP). Met dit protocol kunnen computers automatisch printers vinden, maar het is ook ingebouwd in sommige beveiligingsapparaten, breedbandrouters en gegevensopslagsystemen en kan waardevolle gegevens in gevaar brengen.
Gegevens verzameld door Moore's onderzoek hebben Rapid7-collega's ook geholpen te identificeren hoe een stukje software genaamd FinFisher werd gebruikt door wetshandhavings- en inlichtingendiensten politieke activisten bespioneren . Het hielp ook bij het ontmaskeren van de controlestructuur voor een langlopende campagne genaamd Red October die veel overheidssystemen in Europa infiltreerde.
Moore is van mening dat de beveiligingsindustrie een aantal nogal serieuze en fundamentele beveiligingsproblemen over het hoofd ziet door zich vooral te concentreren op de computers die door werknemers van het bedrijf worden gebruikt. Het werd me duidelijk dat we een aantal veel grotere problemen hebben, zegt Moore. Er zijn een aantal fundamentele problemen met hoe we het internet tegenwoordig gebruiken. Hij wil meer mensen aan het werk krijgen om de achterdeurtjes op te lappen die bedrijven in gevaar brengen.
Moore is echter niet van plan het hele internet opnieuw te onderzoeken. Hoge energie- en internetrekeningen en incidenten zoals het Computer Emergency Response Team van de Chinese overheid dat de Amerikaanse autoriteiten vroeg om te stoppen met het hacken van al hun spullen, hebben hem ervan overtuigd dat het tijd is om een nieuwe hobby te vinden. Nu er echter nog genoeg gegevens over zijn om te analyseren, zal er waarschijnlijk meer worden onthuld over de ware staat van online beveiliging, zegt Moore: We zitten op bergen nieuwe kwetsbaarheden.