De infrastructuur van een moderne metropool is gebouwd op Internet of Things-apparaten: van videocamera's op de wegen tot grote waterkrachtcentrales en ziekenhuizen. Hackers kunnen van elk aangesloten apparaat een bot maken en deze vervolgens gebruiken om DDoS-aanvallen uit te voeren.
De motieven kunnen heel verschillend zijn: hackers kunnen bijvoorbeeld worden betaald door de overheid of het bedrijf, en soms zijn het gewoon criminelen die plezier willen hebben en geld willen verdienen.
In Rusland maakt het leger ons steeds banger met mogelijke cyberaanvallen op “kritieke infrastructuurfaciliteiten” (precies om hiertegen te beschermen, althans formeel, werd de wet op het soevereine internet aangenomen).
Dit is echter niet alleen een horrorverhaal. Volgens Kaspersky hebben hackers in de eerste helft van 2019 meer dan 100 miljoen keer Internet of Things-apparaten aangevallen, meestal met behulp van de Mirai- en Nyadrop-botnets. Overigens staat Rusland slechts op de vierde plaats wat betreft het aantal van dergelijke aanvallen (ondanks het onheilspellende beeld van “Russische hackers” dat door de westerse pers wordt gecreëerd); in de top drie staan China, Brazilië en zelfs Egypte. De VS staan pas op de vijfde plaats.
Is het dus mogelijk om dergelijke aanvallen met succes af te weren? Laten we eerst eens kijken naar enkele bekende gevallen van dergelijke aanvallen om een antwoord te vinden op de vraag hoe u uw apparaten op zijn minst op een basisniveau kunt beveiligen.
Bowman Avenue-dam
De Bowman Avenue Dam ligt in de stad Rye Brook (New York) met een bevolking van minder dan 10 mensen - de hoogte is slechts zes meter en de breedte is niet groter dan vijf. In 2013 ontdekten Amerikaanse inlichtingendiensten kwaadaardige software in het informatiesysteem van de dam. Vervolgens hebben de hackers de gestolen gegevens niet gebruikt om de werking van de faciliteit te verstoren (hoogstwaarschijnlijk omdat de dam tijdens reparatiewerkzaamheden van het internet was losgekoppeld).
Bowman Avenue is nodig om overstroming van gebieden nabij de kreek tijdens een overstroming te voorkomen. En het falen van de dam zou geen destructieve gevolgen kunnen hebben - in het ergste geval zouden de kelders van verschillende gebouwen langs de stroom zijn overstroomd met water, maar dit kan niet eens een overstroming worden genoemd.
Burgemeester Paul Rosenberg suggereerde vervolgens dat hackers het bouwwerk hadden kunnen verwarren met een andere grote dam met dezelfde naam in Oregon. Het wordt gebruikt om talloze boerderijen te irrigeren, waar storingen ernstige schade zouden veroorzaken voor de lokale bewoners.
Het is mogelijk dat de hackers eenvoudigweg aan het trainen waren op een kleine dam om later een ernstige inbraak te plegen in een grote waterkrachtcentrale of een ander onderdeel van het Amerikaanse elektriciteitsnet.
De aanval op de Bowman Avenue Dam werd erkend als onderdeel van een reeks hackingen van banksystemen die zeven Iraanse hackers in de loop van een jaar met succes hebben uitgevoerd (DDoS-aanvallen). Gedurende deze tijd werd het werk van 46 van de grootste financiële instellingen van het land verstoord en werden de bankrekeningen van honderdduizenden klanten geblokkeerd.
De Iraniër Hamid Firouzi werd later beschuldigd van een reeks hackeraanvallen op banken en de Bowman Avenue Dam. Het bleek dat hij de Google Dorking-methode gebruikte om ‘gaten’ in de dam te vinden (later bracht de lokale pers een spervuur van beschuldigingen tegen het Google-bedrijf naar voren). Hamid Fizuri was niet in de Verenigde Staten. Omdat uitlevering vanuit Iran aan de Staten niet bestaat, hebben de hackers geen echte straffen gekregen.
2.Gratis metro in San Francisco
Op 25 november 2016 verscheen er een bericht op alle elektronische terminals die OV-kaarten verkopen in San Francisco: “Je bent gehackt, alle gegevens zijn gecodeerd.” Alle Windows-computers van de Urban Transport Agency werden ook aangevallen. Schadelijke software HDDCryptor (encryptor die het hoofdopstartrecord van een Windows-computer aanvalt) heeft de domeincontroller van de organisatie bereikt.
HDDCryptor codeert lokale harde schijven en netwerkbestanden met behulp van willekeurig gegenereerde sleutels en herschrijft vervolgens de MBR van de harde schijf om te voorkomen dat systemen correct opstarten. Apparatuur raakt in de regel geïnfecteerd door de acties van werknemers die per ongeluk een lokbestand in een e-mail openen, waarna het virus zich over het netwerk verspreidt.
De aanvallers nodigden de lokale overheid uit om per post contact met hen op te nemen [e-mail beveiligd] (ja, Yandex). Voor het verkrijgen van de sleutel om alle gegevens te ontsleutelen, eisten ze 100 bitcoins (destijds ongeveer 73 duizend dollar). De hackers boden ook aan om één machine voor één bitcoin te decoderen om te bewijzen dat herstel mogelijk was. Maar de overheid heeft het virus op eigen kracht aangepakt, al duurde het ruim een dag. Terwijl het hele systeem wordt hersteld, is het reizen met de metro gratis gemaakt.
“We hebben de tourniquets uit voorzorg geopend om de impact van deze aanval op passagiers tot een minimum te beperken”, legt gemeentewoordvoerder Paul Rose uit.
De criminelen beweerden ook dat ze toegang hadden gekregen tot 30 GB aan interne documenten van de San Francisco Metropolitan Transportation Agency en beloofden deze online te lekken als het losgeld niet binnen 24 uur zou worden betaald.
Trouwens, een jaar eerder werd het Hollywood Presbyterian Medical Center in dezelfde staat aangevallen. De hackers kregen vervolgens $ 17 betaald om de toegang tot het computersysteem van het ziekenhuis te herstellen.
3. Dallas noodwaarschuwingssysteem
In april 2017 klonken om 23 uur in Dallas 40 noodsirenes om het publiek op de hoogte te stellen van noodsituaties. Pas twee uur later konden ze ze uitschakelen. Gedurende deze tijd ontving de 156-dienst duizenden alarmoproepen van lokale bewoners (een paar dagen voor het incident trokken drie zwakke tornado's door de omgeving van Dallas, waarbij verschillende huizen werden verwoest).
In 2007 werd in Dallas een noodmeldingssysteem geïnstalleerd, met sirenes geleverd door Federal Signal. De autoriteiten gingen niet in op hoe de systemen werkten, maar zeiden dat ze ‘tonen’ gebruikten. Dergelijke signalen worden doorgaans via de weerdienst uitgezonden met behulp van Dual-Tone Multi-Frequency (DTMF) of Audio Frequency Shift Keying (AFSK). Dit zijn gecodeerde commando's die met een frequentie van 700 MHz worden verzonden.
Stadsfunctionarissen suggereerden dat de aanvallers audiosignalen opnamen die werden uitgezonden tijdens het testen van het waarschuwingssysteem en deze vervolgens afspeelden (een klassieke replay-aanval). Om dit uit te voeren hoefden hackers alleen maar testapparatuur aan te schaffen voor het werken met radiofrequenties; deze kan zonder problemen in gespecialiseerde winkels worden gekocht.
Deskundigen van het onderzoeksbureau Bastille merkten op dat het uitvoeren van een dergelijke aanval impliceert dat de aanvallers de werking van het noodmeldingssysteem, de frequenties en de codes van de stad grondig hebben bestudeerd.
De burgemeester van Dallas gaf de volgende dag een verklaring af dat de hackers zouden worden opgespoord en gestraft, en dat alle waarschuwingssystemen in Texas zouden worden gemoderniseerd. De daders zijn echter nooit gevonden.
***
Het concept van slimme steden brengt ernstige risico’s met zich mee. Als het besturingssysteem van een metropool wordt gehackt, krijgen aanvallers op afstand toegang om verkeerssituaties en strategisch belangrijke stadsobjecten te controleren.Er zijn ook risico's verbonden aan de diefstal van databases, die niet alleen informatie over de gehele stadsinfrastructuur bevatten, maar ook persoonlijke gegevens van inwoners. We mogen het overmatige elektriciteitsverbruik en de overbelasting van het netwerk niet vergeten: alle technologieën zijn verbonden met communicatiekanalen en knooppunten, inclusief de verbruikte elektriciteit.
Het angstniveau van eigenaren van IoT-apparaten nadert nul
In 2017 heeft Trustlook een onderzoek uitgevoerd naar het bewustzijnsniveau van eigenaren van IoT-apparaten over hun veiligheid. Het bleek dat 35% van de respondenten het standaard (fabrieks)wachtwoord niet wijzigt voordat ze het apparaat gaan gebruiken. En meer dan de helft van de gebruikers installeert helemaal geen software van derden ter bescherming tegen hackeraanvallen. 80% van de eigenaren van IoT-apparaten heeft nog nooit van het Mirai-botnet gehoord.
Tegelijkertijd zal met de ontwikkeling van het Internet of Things het aantal cyberaanvallen alleen maar toenemen. En terwijl bedrijven ‘slimme’ apparaten kopen en de basisveiligheidsregels vergeten, krijgen cybercriminelen steeds meer mogelijkheden om geld te verdienen aan onzorgvuldige gebruikers. Ze gebruiken bijvoorbeeld netwerken van geïnfecteerde apparaten om DDoS-aanvallen uit te voeren of als proxyserver voor andere kwaadaardige activiteiten. En de meeste van deze onaangename incidenten kunnen worden voorkomen als u eenvoudige regels volgt:
- Wijzig het fabriekswachtwoord voordat u het apparaat gaat gebruiken
- Installeer betrouwbare internetbeveiligingssoftware op uw computers, tablets en smartphones.
- Doe je onderzoek voordat je koopt. Apparaten worden slim omdat ze veel persoonlijke gegevens verzamelen. U moet zich bewust zijn van het soort informatie dat wordt verzameld, hoe deze wordt opgeslagen en beschermd, en of deze met derden wordt gedeeld.
- Controleer regelmatig de website van de fabrikant van het apparaat voor firmware-updates
- Vergeet niet het gebeurtenislogboek te controleren (analyseer voornamelijk al het USB-poortgebruik)
Bron: www.habr.com