Iedereen is intussen wel vertrouwd met het concept DDoS. Onze pc’s worden stiekem omgetoverd in willoze robots die de cybercriminelen kunnen inzetten voor elke mogelijke Distributed Denial of Service-aanval. Met tien- of honderdduizenden tegelijk sturen deze pc’s de service requests naar de belaagde server in de hoop dat die het onder de druk begeeft. Een beproefde methode waarvan de kans op slagen recht evenredig is met het aantal pc’s in het botnet van de aanvallers. En de servers zijn intussen ook al beter gewapend tegen zulke aanvallen, zodat de misdadigers naar nog meer robots op zoek moeten.
De voorbije week is pijnlijk duidelijk geworden dat de cybercriminelen helaas al een nieuw arsenaal aan wapens heeft gevonden om massale aanvallen mee op te zetten. Beveiligingscamera’s, slimme thermostaten en zelfs babyfoons werden ingezet om een wereldwijde cyberaanval op te zetten tegen internetprovider Dyn, waarbij zelfs gerenommeerde sites zoals Twitter en Spotify bezweken onder de druk.
Dat gebeurde met dank aan het internet of things, IoT voor de vrienden. Niet duizenden, niet miljoenen, maar miljarden aan het internet gekoppelde toestellen liggen potentieel voor het grijpen om mee te werken aan nog grotere DDoS-aanvallen dan ooit tevoren. Dat mag u dus heel letterlijk nemen: volgens velen is deze IoT-gedreven aanval één van de allergrootste DDoS-aanvallen ooit.
Grootste ‘schuldige’ aan dit nieuwe gevaar? Een twaalf jaar oude OpenSSH vulnerability, SSHowDowN Proxy genaamd. Via deze kwetsbare plek, die vooral te wijten is aan een slechte standaard configuratie van de IoT-toestellen, kunnen cybercriminelen deze inzetten in hun DDoS-aanvallen.
Jarenlang werd ervoor gewaarschuwd dat het IoT een massaal botnet zou kunnen worden als aan deze kwetsbaarheid niets werd gedaan. En nu begint dit steeds meer realiteit te worden. Voorlopig betreft het vooral bewakingscamera’s, besturingen van satellietantennes en op het internet aangesloten NAS-toestellen, maar eigenlijk komt zowat elk toestel in aanmerking dat van OpenSSH gebruik maakt. Zodra de cyberaanvallers een lekke web administration console hebben kunnen bereiken, zijn alle hieraan verbonden toestellen besmet.
Internet of Unpatchable Things
En die vulnerability blijft maar opduiken in nieuwe internetverbonden toestellen. Daar is zelf een nieuwe naam voor bedacht: The Internet of Unpatchable Things. Niet alleen worden deze toestellen nog steeds geleverd met dit lek standaard ingebouwd, het is ook bijzonder moeilijk om het doeltreffend te dichten.
Wat kunnen we dan wel doen om te voorkomen dat het IoT één gigantisch botnet wordt? In sommige gevallen kan je een aantal technische ingrepen uitvoeren om de schade te beperken. Zo kunt u de SSH-wachtwoorden veranderen als het toestel dit toelaat of u kunt gewoon SSH volledig uitschakelen via de administratieconsole. En als het toestel zich achter een firewall bevindt, kunt u onder meer het aantal toegelaten uitgaande connecties op deze IoT-toestellen beperken tot het strikte minimum, wat ze nodig hebben om hun taken correct uit te voeren.
Maar het spreekt voor zich dat de enige echte oplossing op termijn ligt in het productieproces van deze toestellen: zorgen voor een veiliger ontwerp, zodat zulke standaard ingebouwde lekken nooit meer worden verscheept.
