სახიფათო IoT მოწყობილობები

ჩვენი ერთ-ერთი წინა სტატიიდან თქვენ უკვე იცით თანამედროვე ძლიერი DDoS შეტევების შესახებ, რომელთა სიძლიერე 1ტბ/წამს აჭარბებს და ვარაუდობენ, რომ უახლოეს მომავალში 1.5 ტბ/წამსაც მიაღწევს. თქვენ ისიც იცით, რომ მსგავსი სიძლიერის შეტევების განხორციელება შესაძლებელი გახდა ასობით ათასი IoT (Internet of Things) მოწყობილობების გამოყენებით, რომელთა უმეტესობა IP კამერებს, როუტერებსა და DVR-ებს წარმოადგენს. ამ შეტევებმა თავისი უნიკალურობით წამყვან ექსპერტთა ყურადღება დაიმსახურა და ანალიზებმაც არ დააყოვნა.

ip-cameraამ სტატიაში გვინდა წარმოგიდგინოთ სწორედ ის მოწყობილობები, რომელთა გამოყენებაც მოხდა ბოლო, ყველაზე ძლიერი DDoS შეტევების დროს, მოგაწოდოთ ინფორმაცია მათი მწარმოებელი კომპანიების შესახებ, გაგაცნოთ სისუსტეები და რაღა თქმა უნდა, მოგაწოდოთ ასე საჭირო რეკომენდაციები.

ვინ აწარმოებს უსაფრთხოების არმქონე IoT მოწყობილობებს?

კიბერ უსაფრთხოების კომპანია FlashPoint-მა უახლესი DDoS შეტევების ანალიზის შედეგად დაადგინა იმ მოწყობილობათა მწარმოებლები, რომელთა ჩაშენებული იუზერნეიმი და პაროლი არის root და xc3511. ამ მონაცემების მქონე IoT მოწყობილობებთან დაკავშირება შესაძლებელია Telnet და SSH გამოყენებით. IoT მოწყობილობების რაოდენობა, რომელთა მოძიება ინტერნეტში მარტივად შეიძლება, ოქტომბრის მონაცემებით თითქმის 600,000 აღწევს.

როგორც მოგეხსენებათ DVR, NVR და IP კამერებს მრავალი სხვადასხვა კომპანია აწყობს. თუმცა პრობლემა იმაშია, რომ მრავალი ასეთი კომპანია თავისი პროდუქტში იყენებს ჩინური კომპანია XiongMai Technologies-ის მიერ წარმოებულ მთავარ დაფებს, რომელშიც ჩაწერილია საბაზისო პროგრამები და ჩაშენებულია default იუზერნეიმი და პაროლი – მაშასადამე ისინი Firmware-ში არსებობს. პროგრამას, რომელიც აწყობილ კამერებს ამუშავებს, ხშირად წარმოდგენაც კი არ აქვს ამის შესახებ. ეს ნიშნავს, რომ როდესაც მომხმარებელი ცვლის აიდს და პაროლს, რეალურად აიდი და პაროლი არ იცვლება და კამერებთან დაკავშირება ისევ შესაძლებელია Telnet და SSH გამოყენებით.

იმ მოწყობილობათა 65%, რომელიც DDoS შეტევების დროს გამოიყენეს ჰაკერებმა, ჩინური კომპანია Dahua-ს მიერაა შექმნილი, რომელიც თავის მხრივ ზემოაღნიშნული კომპანიის მიერ წარმოებულ ნაწილებს იყენებს. Dahua-ს წარმომადგენელმა გააკეთა ოფიციალური განცხადება აღნიშნულ საკითხთან, რაც იმაში მდგომარეობდა, რომ მომხმარებლები არ ცვლიან საბაზო იუზერნეიმსა და პაროლს, რაც კამერებს ხელმისაწვდომს ხდის ჰაკერებისთვის. ასევე ისინი იყენებენ მოძველებულ პროგრამულ უზრუნველყოფას, კერძოდ 2015 წლამდე გამოშვებულ სისტემების მართვის პროგრამას.

ეს განცხადება მაინცდამაინც სწორი არ არის და გიამბობთ რატომაც.

XiongMai Technologies -ის ბაზაზე წარმოებულ IoT მოწყობილობათა სისუსტეები

როგორც უკვე ითქვა, მოწყობილობათა უმრავლესობაში საბაზო იუზერნეიმი და პაროლი Firmware-შია ჩაშენებული და მათი შეცვლა ზედა დონის პროგრამების გამოყენებით არ არის შესაძლებელი. შესაბამისად მათზე წვდომა Telnet-ის მეშვეობით ისევ შესაძლებელია. Mirai და მსგავსი ბოტნეტები კი სწორედ Telnet-ს იყენებენ სუსტი სისტემების მოსაძებნად და საბაზო პაროლების მორგებისთვის.

ამასთანავე, Telnet სერვისი დეფოლტად ჩაშენებულია პროგრამის მთავარ გამშვებ სკრიპტში ( /etc/init.d/rcS). მისი რედაქტირება კი ჩვეულებრივი მომხმარებლისთვის არც ისე მარტივია. აღნიშნული სისუსტე დარეგისტრირებულია სისუსტეთა ერთიან ბაზაში და მინიჭებული აქვს ნომერი – CVE-2016-1000245.

Dahua-ს და ზოგადად XiongMai Technologies ბაზაზე აწყობილ ყველა IoT მოწყობილობას, რომელიც პროგრამული უზრუნველყოფის სახით იყენებს ამავე კომპანიის პროგრამებს – “CMS” ან „NetSurveillance“ – ასევე გააჩნიათ ვებ უსაფრთხოების სისუსტე. ეს სისუსტე ცნობილია როგორც ავტორიზაციისთვის გვერდის ავლა. აღნიშნული სისუსტე გააჩნია ყველა მოწყობილობას, რომელიც იყენებს ვებ პროგრამას – uc-httpd.

userpass

DVR, NVR და IP კამერებში აღნიშნული სისუსტე პრაქტიკულად შემდეგში მდგომარეობს. პირველი, რომ 2015 წლამდელ პროგრამულ უზრუნველყოფას აქვს ე.წ SQL ინექციის სისუსტე როგორც იუზერნეიმის, ისე პაროლის ველში. მაშასადამე, უბრალოდ – ‘ or ‘1’=’1 – გამოყენებით შესაძლებელია ავტორიზაციის გვერდის ავლა.

მეორე და მთავარი სისუსტე, რომელსაც სისუსტეთა ერთიან ბაზაში მინიჭებული აქვს ნომერი CVE-2016-1000246, წარმოადგენს გვერდის ჩატვირთვას ავტორიზაციის მონაცემების შემოწმების გარეშე. კერძოდ, კამერების სისტემაში შესასვლელი ბმული გამოიყურება ასე: http://<ip_misamarTi:porti>/Login.htm. ავტორიზაციის შემდეგ კი ჩვენ ვხვდებით გვერდზე – http://<ip_misamarTi:porti>/DVR.htm. თუ ჩვენ ავტორიზაციას საერთოდ არ გავივლით დალოგინების გვერდზე და უბრალოდ ბმულში Login.htm-ს შევცვლით DVR.htm-ით, ჩვენ აღმოვჩნდებით კამერების გვერდზე.

ყველაფერი იმდენად მარტივია, ზოგს შეიძლება ეჭვიც კი გაუჩნდეს, რომ კომპანია სპეციალურად აწარმოებს ისეთ მოწყობილობებს და ისეთ პროგრამულ უზრუნველყოფას, რომელიც უსაფრთხოების ელემენტარულ მოთხოვნებს არ აკმაყოფილებს.

camera

ქართული რეალობა

ბუნებრივია ჩვენ დავინტერესდით რა მდგომარეობაა ქართულ რეალობაში. აღმოჩნდა, რომ ძალიან მარტივი ძებნის მეშვეობით ნებისმიერ მსურველს შეუძლია წვდომა ჰქონდეს 233 აიპზე (2016 წლის ოქტომბრის მდგომარეობით) და ამ მისამართებზე დაყენებულ ყველა კამერაზე (თითოეულზე 16-მდე კამერა აყენია), რომელიც იყენებს XiongMai Technologies-ის პროგრამულ უზრუნველყოფას. ეს მხოლოდ DDoS-ის კუთხით არაა საინტერესო. კამერების ხელმისაწვდომობა პირველ რიგში მომხმარებელთა კონფიდენციალობის პრობლემებს წარმოშობს.

cameras-in-georgia

რეკომენდაციები და ევროკავშირის გეგმები

ბოლო თვის განმავლობაში განხორციელებულმა DDoS-ების მასშტაბებმა სერიოზულად დააფიქრა ევროკავშირი. შეიქმნა სპეციალური კომისია, რომელიც მუშაობს უსაფრთხოების იმ საბაზისო წესებზე, რომელთა დაცვაც სავალდებულო გახდება ყველა მწარმოებლისთვის, რომელიც IoT მოწყობილობებს აწარმოებს. წესების შექმნა და დანერგვა სავარაუდოდ დიდ დროს წაიღებს და შესაძლოა წელიწადზე მეტიც კი დასჭირდეს.

რა უნდა ვქნათ მანამდე?

პირველ რიგში შეამოწმეთ თქვენი IoT მოწყობილობები და დარწმუნდით რომ ის არ არის Dahua-ს მიერ წარმოებული და არ იყენებს XiongMai Technologies-ის პროგრამულ უზრუნველყოფას. წინააღმდეგ შემთხვევაში, მკაცრად რეკომენდებულია შეცვალოთ აღნიშნული მოწყობილობები და გამოიყენოთ ისეთი მოწყობილობები, რომლებშიც დაცულია უსაფრთხოების მინიმალური ზომები.

მეორე, ასევე არანაკლებ მნიშვნელოვანი ფაქტორი – შეცვალეთ default იუზერნეიმი და პაროლი თუ კი ეს აქამდე არ გაგიკეთებიათ.

და მესამე, მომავალში IoT მოწყობილობების შეძენისას ყურადღება მიაქციეთ რამდენად აკმაყოფილებს ის უსაფრთხოების მინიმალურ მოთხოვნებს.