Attacker mot tillämpningar med internet of things pågår varje dag. Vi har redan sett exempel på allt från direkta angrepp mot webbkameror och bankomater, till malware och sjukhus utsatta för ransomware. Det är enkelt för angriparna att köpa programvaror och tjänster för att genomföra även avancerade angrepp. Och internet of things-lösningar har många angreppspunkter; enheterna (things), nätverket, servrar och användare.

I sin rapport om hotet mot internet varnar Europol för att internet of things öppnar för helt nya risker och hot inte bara i tillämpningar för konsumenter utan även i kritiska styrsystem för samhällsinfrastruktur.

Attacker är verklighet nu
Det är enkelt att utföra attacker. Studier visar att 80-90 procent av genomförda intrång utförs med verktyg tillgängliga på internet. 75 procent av intrången görs via kända svagheter i kommersiell programvara. För den drabbade tar det i genomsnitt över sju månader att upptäcka att man blivit angripen. Hela 96 procent av angreppen hade kunnat undvikas med enkla medel.
Angriparna
 har utvecklats från några få och små hackergrupper som gör angrepp för skojs skull eller för att stärka sin prestige till kriminella organisationer som erbjuder paketerad mjukvara och tjänster för attacker.

Europol kallar i sin rapport “The Internet Organised Crime Threat Assessment 2014”, organisationernas affärsmodell för “crime-as-a-service”. Via illegala fora beställs tjänster som malware, botnets och infrastruktur för att genomföra avancerade och omfattande attacker. Det finns även 24/7-support och möjlighet att i molntjänster testa sitt malware mot många olika antivirusprogram. Enligt rapporten kostar deras verksamhet den globala ekonomin över tre biljoner kronor per år.

Läs också: Ericsson, Intel och IBM bakom ny satsning för säker uppkoppling av prylar

Angreppets livscykel
Attackerna genomförs i allt större utsträckning i form av en långsam och väl planerad process i sju steg:

  1. Spaning.
Precis som vanliga brottslingar kartlägger man sitt offer för att planera attacken. Sociala media, email och phishing används för att samla information. Verktyg laddas ned från internet och används för att söka efter svagheter i offrets nätverk och applikationer. Identifierade svagheter utnyttjas för angreppet. 

  2. Val av vapen och leveransmetod.
Angriparen beslutar vilken malware som ska användas och hur den ska levereras.
  3. Leverans och exploatering.
Angriparen utnyttjar oftast någon av följande metoder för att installera malware:
    • Social Engineering. Att lura någon att klicka på en länk eller öppna en exekverbar fil som installerar programvara. Datafiler, webbsidor, bilagor till e-post och länkar på sociala medier kan användas för att installera malware.
    • Exploits. Att utnyttja brister i operativsystem, webbläsare eller annan mjukvara för att installera angriparens kod. Detta kan ske i bakgrunden utan att offret är medveten om vad som sker. 

  4. Färdiga paket. Enligt Europol finns mer än 39 fora på internet där man kan köpa färdiga mjukvarupaket vilket gör det enkelt att genomföra en attack även utan omfattande it-kunskap. 

  5. Installation. När angriparen väl kommit in i systemet kan mer avancerad malware installeras. Syftet är att undvika upptäckt och att överleva eventuella motåtgärder från offret. Det finns olika typer av malware som kan användas till detta:
    Det här är en artikel från Expert Network
    • Rootkits. Ger rättigheter på root-nivå.
    • Bootkits. En variant av Rootkits som exekverar på låg nivå i operativsystemet. Används för attacker på datorer med full kryptering av diskar.
    • Backdoors. Ger angriparen möjlighet att gå förbi normal autentisering och används ofta som reserv om annan malware skulle upptäckas och avlägsnas från systemet. 

    • Anti-antivirusprogramvara. Används för att de normala antivirusprogrammen inte ska upptäcka angriparens malware. 

  6. Command and control.
 För en framgångsrik attack måste de inplanterade programmen kommunicera med angriparen. Från externa servrar ges installerad malware order att utföra uppgifter som att sprida sig i nätverket, stjäla information eller att utföra skadliga åtgärder. Kommunikationen sker dolt så att den inte upptäcks. Här används tekniker som:
    • Kryptering. TLS(SSL), SSH eller liknande.
    • Proxies. Fjärrstyrda desktops som LogMeIn!, RDP och GoToMyPC och genom andra godkända applikationer eller protokoll.
    • Port evasion. Anonymiserare och program som använder sig av öppna portar för kommunikation.
    • Routing. Kommunikation via multipla infekterade servrar vilket gör det svårt att spåra trafiken, till exempel med Bittorrent och TOR. 

  7. Åtgärder i det angripna systemet. Angriparen kan ha många olika motiv för attacken; stöld av data, att förstöra kritisk infrastruktur, politiskt eller etiskt missnöje, spionage, utpressning eller terrorism. Den sista fasen i angreppets livscykel kan pågå under månader eller till och med år. Det gäller särskilt när motivet är stöld av data då angriparen vill hålla en låg profil för att undvika upptäckt. 


Angreppspunkter

graf
Bilden visar de utsatta delarna i en arkitektur för internet of things.

Enheterna (things)
De uppkopplade enheterna befinner sig normalt utanför det vanliga fysiska skyddet för våra datorer och servrar. Angripare kan ostört manipulera enheten och installera egen programvara. Detta kan ske via minneskort och kommunikationsportar avsedda för felsökning och underhåll.

Nätverket
Krypterad kommunikation (till exempel TLS/SSL) gör kommunikationen mellan enheter och server säker. Om en angripare kommer åt de digitala certifikaten, till exempel genom att kopiera data från en enhet, kan angriparen skapa nya enheter med falsk identitet. Använd “certificate pinning”, det vill säga verifiera certifikat/nycklar så att inte någon annan kan låtsas vara en enhet eller en server.

Servrar
Servrar/molnlösningar för internet of things skiljer sig inte från andra it-lösningar ur ett säkerhetsperspektiv. Angripare strävar efter att installera malware på servern. Där kommunicerar programmet med angriparens server för att leverera information eller få order. Det kan handla om att sprida sig till andra servrar, samla in data eller att gå i dvala i väntan på order att utföra skadliga angrepp som att kryptera hårddiskar, radera data eller som i Stuxnet-fallet köra centrifuger för anrikning av kärnbränsle i så hög hastighet att de går sönder.

Om angriparen är ute efter att stjäla företagshemligheter, inloggningsuppgifter, kreditkortsdata eller andra hemligheter kan angriparen välja att radera sin malware efter genomfört uppdrag. Förhoppningen är att det ska fördröja eller omöjliggöra upptäckt av intrånget.

Användare
Det vanligaste sättet att installera malware är att lura användare att installera den. Det sker främst genom så kallad “spear phishing”. En användare lockas att klicka på en länk i ett mejl som installerar malware. Även länkar på Facebook och Twitter kan leda till malware. Sociala medier, där vi känner oss hemma, har i ökande grad blivit en källa till spridning av oönskad programvara.

Våra smarta mobiler och surfplattor är inte immuna mot angrepp. Även om dessa plattformar begränsat möjligheten att köra osignerad skadlig kod så upptäcks ofta sårbarheter i operativsystem som kan utnyttjas för att köra skadlig kod. Exempelvis kan samma sårbarhet som används för att roota/bryta upp en telefon användas i syfte att köra skadlig kod.

Läs också: Efter år av snack – nu börjar internet of things bli business för konsultbolagen

Tyvärr missar dagens antivirusprogram 95 procent av ny malware under de första dagarna efter att de introducerats. Ett exempel är viruset Nimda som infekterade över 2,3 miljoner datorer och servrar inom loppet av 24 timmar. Kostnaden för att rensa upp efter Nimda är hittills uppe i över 10 miljarder dollar. Programmen kan också mutera så att antivirusprogrammen inte kan upptäcka dem. 25 procent av dagens malware upptäcks inte över huvud taget av dagens antivirusprogram. Man är med andra ord inte särskilt säker bara för att man har installerat ett antivirusprogram.

Fem strategier som förhindrar attacker

  1. Vitlista applikationer. 
Antivirusprogram svartlistar program som inte får köra. Som nämnts ovan fungerar detta dåligt. Genom att enbart tillåta vitlistade program förhindras både kända och okända malware att infiltrera våra system.
  2. Uppdatera applikationer.
Tredjepartsapplikationer som kör i våra tillämpningar innehåller säkerhetsluckor som kontinuerligt upptäcks och stängs igen. Kända brister utgör en risk tills vi installerat uppgraderingar som åtgärdar bristen. Java är enligt Europol en applikation som ofta används för intrång om den inte uppdaterats (och tillåts därför inte av Google Chrome).
  3. Uppdatera operativsystem.
Av samma anledning som ovan behöver operativsystemet uppdateras. Problem uppstår med operativsystem som Windows XP som inte längre underhålls. Det finns många uppkopplade enheter som innehåller Windows XP i drift. 

  4. Minimera antalet användare med administratörsrättigheter.
Att få tillgång till administratörsrättigheter är ofta första målet för angriparen. Med dessa rättigheter blir det enklare att ändra parametrar som gör det enklare att oupptäckt installera malware eller att stjäla data.
  5. Skydda de uppkopplade enheterna (things).
Frånvaro av fysiskt skydd för uppkopplade enheter gör det nödvändigt att designa dem så att stöld av data eller modifiering av program försvåras och upptäcks. Kryptera data och program på enheten. Använd kodsignering så oönskad modifiering av enhetens program undviks.

Internet of things lovar tillämpningar som ger många spännande möjligheter för både företag och konsumenter. Genom att tillämpa ovanstående fem strategier förhindras majoriteten av attackerna, och då ökar förtroendet för internet of things och dess möjligheter.

Fakta

Befattning: Vd
Företag: Attentec
Linkedin: Anders Englund
E-post: anders.englund@attentec.se
Hemsida: www.attentec.se
Expertområden: IoT - applikationer och hur dessa tillämpas för att skapa affärsnytta
Bakgrund: Civilingenjör i Datateknik LiTH, CWRU. Praktisk erfarenhet av att sälja och införa IoT-lösningar.