Le réseau local doit-il d'abord être piraté pour que les appareils IoT soient accessibles?

Votre compréhension de l'attaque n'est pas aussi claire que vous le pensez. Dans cet article , Krebs a mentionné que les attaquants n'avaient pas vraiment à pirater les appareils. La vulnérabilité était bien connue, il leur suffisait de rechercher sur Internet ces appareils.
Bien sûr, si SSH/Telnet sur les appareils était désactivé, le problème aurait été résolu facilement. Pour aggraver la situation, les informations d'identification codées en dur présentes dans le matériel n'étaient même pas visibles par l'interface Web pour l'administrateur.
Oui, il est impératif de savoir quels sont les appareils présents sur votre réseau et quels sont les services dont vous avez/n'avez pas besoin.

[~ # ~] éditez [~ # ~] : Après la clarification de @ tlng05 sur la question.
Comme déjà mentionné dans d'autres réponses, vous devez désactiver UPnP sur votre routeur pour vous assurer absolument que votre appareil n'est pas directement configurable depuis le monde extérieur.

Votre idée fausse est ici:

réseaux wifi privés sécurisés

Alors que de nombreux réseaux WiFi domestiques sont sécurisés contre les appareils sans fil non autorisés se connectant directement, beaucoup sont ouverts à accès à partir d'Internet plus large. C'est cet accès (qui est exigé par les appareils IoT pour remplir leurs fonctions légitimes) qui peut être abusé (et à une échelle beaucoup plus grande que la visite physique de nombreux réseaux WiFi).

La surface d'attaque d'un routeur est allumée tous les deux tous les réseaux!

UPnP peut être un problème, mais tout le monde semble manquer le fait que beaucoup de ces périphériques établissent des connexions sortantes standard persistantes NAT avec les serveurs des fournisseurs. Tous les attaquants doit pirater le site du vendeur pour prendre le contrôle de tous les appareils IoT connectés, et à partir de là, car ils sont maintenant à l'intérieur des réseaux domestiques, pour attaquer d'autres ordinateurs à l'intérieur du réseau ou lancer des attaques DDoS. Direct HTTP, SSH ou autre L'accès compatible UPnP via votre routeur n'est pas nécessairement une exigence.

Ce que je ne comprends pas, c'est que bien que facilement piraté, la plupart des appareils IoT sont connectés à des réseaux wifi privés sécurisés.

Oui, ils sont connectés à vos réseaux wifi privés, mais sont-ils sécurisés? Eh bien, pas autant que vous le dites, ces appareils ne sont pas protégés par des pare-feu, des IPS contrairement aux réseaux d'entreprise. Certains d'entre eux ont d'anciens firmwares, qui n'ont pas été mis à jour depuis des siècles. Et oui, certains ont des mots de passe par défaut qui fonctionnent toujours, afin que n'importe qui puisse facilement y accéder et les exploiter pour des attaques.

Est-il donc supposé que ces milliers de réseaux d'appareils IoT ont été piratés en premier, puis l'appareil lui-même a été piraté?

Eh bien pas nécessairement, même si cela peut être possible dans certains cas. Mais la plupart du temps, ces appareils sont intentionnellement laissés exposés à Internet, car ils doivent être accessibles de partout dans le monde.

Comme le soulignent de nombreux exemples ci-dessus, si vous voulez surtout les images de vidéosurveillance de votre maison, vous voudriez qu'elles soient diffusées en direct sur votre appareil portable et c'est pourquoi elles doivent être accessibles sur Internet. Ils sont N nombre d'autres exemples.

Conclusion: Pour utiliser des appareils IoT pour attaquer, il n'est pas nécessaire d'accéder à votre réseau. Ces appareils sont directement accessibles depuis Internet. Ce que nous devons faire, c'est protéger ces appareils contre ces accès non autorisés et garder nos appareils en sécurité sans avoir à utiliser des appareils coûteux comme des pare-feu et des IPS.

La plupart des appareils IoT se trouvent sur des réseaux connectés à Internet par des routeurs SoHo conventionnels NAT qui ont généralement des capacités de pare-feu très limitées ou où les pare-feu ne sont pas activés ou maintenus. Il existe un mythe commun qui = NAT est une couche de sécurité, ce n'est pas le cas.

"Le NAT et le pare-feu sont des concepts complètement orthogonaux qui n'ont rien à voir l'un avec l'autre. Parce que certaines implémentations NAT fournissent accidentellement du pare-feu, il existe un mythe persistant qui NAT = assure la sécurité. Il n'offre aucune sécurité. Aucune. Zéro. "- Quelle est l'importance de NAT comme couche de sécurité?

Il peut être utile de réfléchir à la terminologie et à ce que l'on entend lorsque les gens disent que les choses IoT ont été "piratées". Dans de nombreux cas, les appareils n'ont pas été piratés du tout - ils fonctionnent comme prévu.

D'une manière générale, il existe deux types de connexions réseau. Le premier type est une connexion de type entièrement connecté où les deux parties doivent être entièrement connectées. Comme pour un appel téléphonique, vous devez avoir quelqu'un aux deux extrémités. Avec ce type de connexion, le système initiateur établit une connexion initiale au système de destination et le système de destination se reconnecte au système initiateur. Ce type de connexion est ce qui se produit normalement lorsqu'il est important de pouvoir coordonner les communications, suivre l'ordre des paquets de données et demander le renvoi de toutes les données perdues.

L'autre type de connexion ressemble plus à une connexion de messagerie (pensez à SMS ou à une autre messagerie) Dans ce type de connexion, vous n'avez pas de connexion bidirectionnelle. Le système d'origine envoie une message au système de destination et, selon le message, le système de réception peut renvoyer une réponse à l'adresse de l'expéditeur dans le message initial. Ce type de communication est bon lorsque l'ordre des données, la perte de certaines données, etc. n'est pas critique.

Le fait est que, bien que les connexions entièrement connectées soient excellentes pour des choses comme l'intégrité des données et en raison de la nature bidirectionnelle, elles soient difficiles à usurper, elles sont plus coûteuses en termes de ressources et de surcharge. Le deuxième type de connexion a moins d'intégrité et est plus facile à usurper car il n'y a pas de connexion bidirectionnelle, mais ils sont bon marché - nécessitent moins de ressources et ont des frais généraux de système inférieurs à traiter.

De nombreux systèmes IoT sont petits, légers et doivent être efficaces. Ils ont généralement moins de mémoire et des processus moins puissants et ont donc tendance à privilégier les conceptions qui utilisent des protocoles sans connexion plutôt que des protocoles connectés plus chers. Cependant, cela signifie également qu'il est plus facile pour les systèmes non autorisés de "mentir" et de faire des choses comme usurper des adresses IP. C'est comme si je vous envoyais un message, où l'adresse de retour est fausse. Lorsque vous répondez au message, votre réponse ira à l'adresse du message, mais ce n'est pas la véritable adresse d'origine.

En fait, ce qui se passe, c'est que les appareils IoT sont suivis pour envoyer des données/réponses à un spectateur innocent qui n'a rien demandé. Le système n'a pas été "piraté", seulement trompé.

Souvent, la situation peut être aggravée en utilisant des techniques d'amplification. Il existe des services de type sans connexion qui, lorsqu'on leur pose une question simple/courte variable, répondent par une réponse longue variable, c'est-à-dire des réponses contenant beaucoup de données. Cela peut faciliter la création d'une situation où soudainement, un site victime (comme un DNS) commence soudainement à recevoir de grandes quantités de données qu'il n'attendait pas ou qu'il n'avait pas demandées.

pour ce faire, il vous suffit d'identifier les appareils sur Internet qui prennent en charge un protocole sans connexion, d'envoyer à ces appareils un message qui demande quelque chose qui est susceptible d'impliquer une réponse de données volumineuse et d'usurper l'adresse IP de la victime ciblée.

pour aggraver les choses, le système ciblé n'a même pas besoin de connaître ou de comprendre les données qui lui sont envoyées. L'idée est d'envoyer simplement tellement de données que le système est submergé - cela peut arriver lorsque le système est obligé de regarder de grandes quantités de données entrantes simplement pour prendre la décision de les supprimer et de ne prendre aucune autre mesure. Avec suffisamment de données, même ce processus d'élaboration, vous devez simplement l'ignorer peut être suffisant pour empêcher le système de pouvoir traiter des connexions légitimes. Le fait que ces données proviennent de plusieurs systèmes sources différents, c'est-à-dire tous les dispositifs IoT, signifie que vous ne pouvez pas simplement bloquer une adresse IP car il y en a tout simplement trop.

Donc, bien qu'il soit vrai, il y a beaucoup trop d'appareils IoT qui ont été mal conçus et manquent de contrôles de sécurité suffisants, une partie du problème réside dans les exigences conflictuelles pour mettre en œuvre une solution légère et économe en ressources d'une part, mais en quelque sorte avec un monde avec trop d'agents malveillants qui veulent exploiter vos bonnes intentions. Il y a certainement beaucoup de fournisseurs IoT à faire pour améliorer la situation, mais pour la plupart d'entre eux, cela ne ferait qu'augmenter les coûts de production et la réalité est que la plupart des consommateurs ne sont pas conscients des problèmes, donc ne pas investir dans la meilleure solution ne le fait pas '' t affecter la part de marché et n'entraîne donc pas un avantage financier suffisant.

Bien que les appareils IoT se trouvent en effet dans des réseaux sécurisés, ils sont en grande partie conçus pour être accessibles depuis Internet. Par exemple, le réglage de la température de votre maison est accessible depuis l'application de votre téléphone lorsque vous êtes au travail. Ceci est activé par l'ouverture d'une connexion à Internet. Cela explique pourquoi ils sont capables d'accéder au monde extérieur.

Désormais, la plupart des appareils IoT ou réseaux de zombies ne sont pas bien corrigés et utilisent des configurations de sécurité lâches. Les parties 1 et 2 de l'article ont trouvé ici expliquer cela en détail, mais pour résumer, ces appareils sont infectés par des logiciels malveillants. Ils sont capables d'envoyer des messages sortants vers Internet (le monde extérieur). Et ainsi, ils finissent par envoyer le message "DoS" à la cible.

Nouveau dans ce forum, je pensais que je ferais sonner du point de vue d'un fabricant d'appareils IoT de loisirs. Je peux très bien être hors sujet, notamment parce que je ne suis pas tout à fait sûr de ce que vous considérez même comme étant un appareil IoT, mais pour ce que ça vaut:

Les "appareils IoT" que je crée, qui font des choses inutiles comme signaler si quelqu'un s'est déplacé ou non dans une certaine zone dans un certain temps, pourraient facilement être "piratés" sans accéder à mon WiFi. Vous pourriez probablement installer un récepteur du bon type (nous pourrions parler à 433 MHz) et écouter toute la journée. Ensuite, vous pouvez créer vos propres messages et les envoyer à mon stupide appareil et/ou au serveur qui recueille ces informations, et me faire courir à la maison en panique car mon système pas si intelligent à la maison dit qu'il fait 200 degrés centigrades dans mon réfrigérateur et cinq mille personnes sont passées dans mon garage mais personne n'est sorti.

Fondamentalement, ce que je dis, c'est que tout ce que le matériel des appareils IoT expose directement, et que son logiciel ne protège pas, pourrait être un port d'entrée pour un pirate. Heck, en fonction de l'emplacement de l'appareil, vous pouvez même y attacher votre propre matériel et commencer à créer des problèmes. "Voici mon ESP8266 compatible WiFi, allez-y et téléchargez votre propre logiciel via USB." Mais je suppose que c'est vraiment hors de portée.

XM a en fait désactivé telnet/ssh sur plusieurs de leurs appareils IoT (ils en fournissent de nombreux pour les nouveaux DvR, webcams, etc.) il y a plus d'un an. Donc, quiconque avait effectivement mis à jour le firmware (qui sait) ou avait acheté un modèle plus récent (appareil IoT) depuis lors aurait probablement été à l'abri de ce type d'attaque.

Ma compréhension est le Mirai (pas sûr de l'autre Bashlight populaire) connecté à la plupart des appareils IoT via GRE - un tunnel virtuel point à point IP. GRE est un peu comme un VPN de livraison de paquets - il peut transmettre des données à travers le réseau public en privé - sans que les données/en-têtes réels soient identifiables et avec pratiquement aucun surcharge de protocole. Donc, une fois que vous avez une liste principale de caméras exploitables, de la maison, connectées quels que soient les appareils et les modèles, vous pouvez analyser l'intégralité d'Internet et des IP de tunnel accessibles via des ports ouverts, exécuter des mots de passe, etc. GRE ressemble à une transmission IP régulière entre des appareils appelant à la maison ou diffusant de la vidéo à la maison sur une application, etc.