Enligt en färsk rapport från it-säkerhetsföretagen Kaspersky Labs ökade attackerna mot iot-saker kraftigt under första halvåret i år. Kaspersky har genom sina honungsfällor fångat upp sju gånger fler attacker under första halvåret jämfört med 2018 mätt på årsbasis. Företagets fällor upptäckte över 105 miljoner attacker över protokollet telnet från 276 000 unika ip-adresser jämfört med tolv miljoner attacker under 2018 från 69 000 unika ip-adresser.

Intensiteten i attackerna är talande. Kaspersky har sedan drygt ett år tillbaka cirka 50 honungsfällor runt om i världen enkom för att fånga in iot-attacker. Dessa tar emot 20 000 infekterade sessioner varje kvart. En iot-enhet direkt uppkopplad mot internet kommer garanterat att bli attackerad, och har ägaren inte satt om standardlösenordet till ett mer komplext lösenord kommer enheten att tas över av angriparna.

De flesta av de unika ip-adresserna bakom attackerna tillhör autonoma system (AS) i Kina, Brasilien, USA, Egypten och Ryssland. Kina tog över förstaplatsen från Brasilien i år med 30 procent av ip-adresserna.

Fler aktörer ger fler attacker

David Jacoby, it-säkerhetsexpert på Kaspersky, menar att den kraftiga ökningen beror dels på att man upptäcker fler attacker, men också på att iot-enheterna inte bara blir fler, utan också för att de som redan finns inte byts ut.

– Ökningen beror på att vi får allt mer insikt om attackerna; det är alltså till viss del en fråga om hur vi mäter, men framför allt beror detta på att vi dels köper och kopplar upp allt fler iot-enheter, dels inte tar bort gamla iot-saker, som bara fortsätter att finnas kvar utan att någon verkar bry sig. Sammanlagt blir det en enorm ökning av enheter och attacker mot dessa enheter, säger David Jacoby.

iot attacker
Foto: Kaspersky LabsDe vanligaste standardlösenorden under tredje kvartalet i år. Notera att vissa leverantörer har ”svåra” lösenord, men vad hjälper det när de står i manualen, och köparna inte byter dem?

Samtidigt har antalet aktörer ökat, det är fler som ger sig på att leta efter dåligt skyddade iot-enheter, och det är lukrativt att bygga och hyra ut botnät, och när det tillkommer aktörer ökar antalet attacker som en naturlig följd. Iot-enheternas tekniska egenskaper gör också att det ofta är enkelt att attackera och ta över dem.

– De kriminella behöver inte anstränga sig, säger David Jacoby.

– En pryl som ligger ute kan vara hackad av tio olika grupper på samma gång. Att det fungerar på dessa enkla enheter beror på att processerna som körs på enheterna är väldigt små och gör inte så mycket väsen av sig. De tar bara emot kommandon, som att ansluta mot en sajt för en ddos-attack. En annan vanlig anledning till att hackarna vill ta över iot-enheter är att de kan användas som proxys för spam, men också som proxys i samband med kortbedrägerier.

Stulna kreditkort säljs på svarta marknaden tillsammans med information om i vilken stad i vilket land som den bestulne bor. Detta eftersom kortföretagen numer har koll på när ett kort plötsligt används på ett annat ställe än normalt, vilket triggar en varning. Detta vet de kriminella om och har satt upp proxy-nätverk som gör att det ser ut som att ett kortköp görs från den normala platsen.

65 procent Mirai

Attack-paketet Mirai dominerar stort för de attacker som inte handlar om att knäcka lösenord över telnet. Fyra av tio kodpaket som fångats upp av Kasperskys honungsfällor baseras på Mirai, varav den mest använda är Backdoor.Linux.Mirai.c som ensam används i hälften av attackerna. Mirai har varit publikt tillgänglig för hackare under en längre tid, och dess kod är tillräckligt mångsidig för att kompilera bottar med godtycklig nivå av komplexitet och för i princip vilken hårdvara som helst.

Svaga standardlösenord, och i synnerhet det faktum att köparna av iot-sakerna inte byter lösenordet i samband med att de kopplas upp, är det största problemet med iot. Hackarna har full koll på vilka standardlösenord som gäller för olika produkter – det är ju bara att läsa manualen – och de vet mycket väl att många inte byter lösenord. Kombinera detta med lösenordsattacker över telnet (som inte spärrar efter ett antal försök) och det är inte svårt att förstå hur enkelt det är att ta över många iot-saker.

Enligt Kaspersky är de vanligaste användarnamn- och lösenords-kombinationerna under det senaste året support/support, admin/admin, default/default och root/vizxv. De tre första är de särklass vanligaste och förekommer i produkter från en rad leverantörer av iot-saker, det fjärde är standardlösenordet i en vanligt förekommande webbkamera. Många lösenord är så karakteristiska för en viss produkt eller en viss leverantör att säkerhetsanalytiker kan avgöra vilken produkt angriparna försöker attackera genom att titta på lösenordet som skickas i klartext över telnet.

– Telnet är inte ett problem i sig om man byter lösenord. Visserligen är telnet inte krypterat, vilket naturligtvis är en svaghet, men det viktiga är att byta lösenord. Det näst viktigaste är att inte sätta ut iot-produkten direkt mot internet. Prylarna ska sitta bakom en brandvägg till vilken man ska ansluta över vpn. Det hjälper inte om produkten bara sitter bakom en brandvägg med öppen port. Det finns många bra och gratis vpn-produkter på marknaden, och i stort sett alla brandväggar stöder vpn, säger David Jacoby.

Vad händer när allt blir uppkopplat?

Fortfarande är det så att det är lite speciellt med produkter som är uppkopplade. Vi har vant oss vid produkter som självklart är uppkopplade, som mobiler och smarta högtalare, men trots allt är de flesta kylskåp, tvättmaskiner, bilar och annat som fortfarande säljs idag inte uppkopplade. Men inom kort kommer förhållandet bli det omvända.

Om säkerheten kring dessa produkter inte stramas upp är det inte svårt att tänka sig vilka utmaningar samhället ställs inför. Mikko Hyppönen, forskningschef på F-Secure, har till exempel sagt att iot är det nya asbest och att samhället kommer att behöva saneras av framtida generationer.

David Jacoby tror att vi måste ta fram certifieringar och kanske även lagstiftning för att komma åt problemet.

iot attacker
Foto: Kaspersky LabsDe tcp-tjänster som hackarna angriper mest. Tjänster för fjärradministration är de mest populära.

– Nu börjar det komma fram certifieringar både på EU-nivå och inom industrin. Vi skulle behöva en certifiering; leverantörerna av iot-prylar måste välja en standard för att prylarna ska få kopplas upp på nätet, som att tvinga lösenordsbyte och informera om hur länge produkterna får sina patchar - end of life. När produkterna inte längre kan patchas ska de bort från nätet. Leverantörerna måste meddela konsumenterna om att det finns patchar, precis som med så många andra produkter. Vi har lyckats bra med andra produkter, så det borde gå att göra även med iot, säger David Jacoby.

Dyrare uppkopplade produkter är inte bättre

Att dyrare produkter, så kallade sällanköpsvaror som som tvättmaskiner, skulle vara mer säkra anser David Jacoby är en osanning. Priset på produkten har inget med säkerheten att göra. Det handlar mer om prestanda i produkten, och funktioner och finesser, sällan om säkerhet.

– Det stämmer inte att dyrare produkter är säkrare. Huvudkunskapen hos till exempel en tillverkare av tvättmaskiner är att bygga tvättmaskiner, det kanske inte finns en struktur för uppdateringar till exempel. De som säljer vissa it-produkter, hur billiga de än är, har ofta inarbetad kunskap om it-säkerhet, där finns möjligheter att uppdatera produkterna, även om alla produkter inte kan uppdateras.

– Däremot kan man säga att konsumentprodukter håller sämre säkerhet än företagsprodukter, de senare har ofta genomgått en granskning, företagen har oftast koll på sin it-infrastruktur, och det finns en helt annan kunskap. Men visst begås det misstag; vissa köper enkla iot-saker även till företaget, och då kan det gå illa, säger David Jacoby.

David Jacoby ser samma mönster kring iot som vi sett inom andra teknikområden, som en del av it-evolutionen som kommer och går i vågor. Just nu är iot på väg upp, och tekniken är enkel för hackare att exploatera och dra ekonomisk nytta av, men kommer nå en gräns där, om inget görs, problemen blir så stora att samhället måste reagera.

– Det var samma sak med spam. Då gick operatörerna in och spärrade port 25 (smtp, reds anm) och folk med mailservrar hemma blev förbannade, men vi kom åt spam-problemet, och idag är vanliga spam inget större problem. Samma sak med informationsspridningen, vilket GDPR är en reaktion på. Det kommer bli samma sak med iot; vi kommer reagera på något sätt. Tänk om privatpersoner får böta för att deras prylar används för hacking, bara för att ta ett exempel.

Kasperskys rapport i sin helhet finns här.

Läs också:
Mikko Hyppönen: Smarta saker är det nya digitala asbest
Här är de smarta saker Ericsson ska fylla 5g-näten med