Moderne styresystemer er ret bøvlede at hacke - det er IoT næppe

Forskellige sikkerhedstiltag i moderne styresystemer har gjort det bøvlet for hackerne, der nok vender sig mod IoT-enheder, mener forsker.

ST. MARTIN Du går måske ikke lige og tænker over det i det daglige, men moderne sikkerhedsforanstaltninger har faktisk gjort det ret svært at hacke moderne styresystemer og browsere uden videre. Til gengæld er IoT-enheder generelt ringere beskyttet end eksempelvis Windows 10, mener Mark Dowd fra Azimuth Security.

Det fortalte han nærmere om på it-sikkerhedskonferencen Security Analyst Summit (SAS), som Kaspersky Lab står bag, og som finder sted i denne uge på den caribiske ø St. Martin.

Mark Dowd har kigget på de seneste 10 års udvikling i forhold til sårbarheder via memory-korruption - altså buffer overflows og den slags.

Og i den forbindelse har han også kigget på udviklingen inden for de generelle modforanstaltninger, der er dukket op, for at forhindre angreb via disse sårbarheder.

Mark Dowd påpegede, at der de seneste 10 år er kommet adskillige teknologier på plads i styresystemer og browsere, der gør det svært at hacke platformene alene som følge af at udvikle en fungerende exploit til en enkelt bug.

»Prisen for at finde disse exploits er øget ganske dramatisk med disse modforanstaltninger (mitigations, eng.) på plads,« sagde han.

Modforanstaltningerne er blandt andet ASLR (Address space layout randomization), der for Windows' vedkommende blev implementeret i Windows 8, og som gør det svært at angribe systemet alene via et buffer overflow.

Dowd fremhævede i den forbindelse også kodesignering, som særligt Apple har haft fokus på i forhold til iOS og i stigende grad også i forhold til MacOS.

Også sikkerhedsmodulet SELinux blev fremhævet af sikkerhedsforskeren som et eksempel på, hvordan Android er blevet sikrere.

Ofte fungerer flere sikkerhedsforanstaltninger sideløbende. Eksempelvis isolation i form af sandboxing i browseren i kombination med ASLR i det underliggende styresystem.

En kombination af tiltag betyder, at det ofte ikke er nok at finde en enkelt exploit i et system for at kompromittere det. Der skal en hel kæde til, understregede Dowd:

»Man bliver nødt til at finde flere bugs og sætte dem sammen for at udvikle en exploit-chain,« sagde han.

Han havde medbragt et eksempel i form af en browser-exploit på Windows for at illustrere idéen.

Aurora-buggen

For ca. syv år siden dukkede Aurora-buggen - en sårbarhed i browseren Internet Explorer - op. En exploit, der udnytter buggen, har i den forbindelse kunnet udvikles relativt hurtigt, mener Mark Dowd.

»Den har ikke taget ret lang tid at udvikle. Jeg gætter på omkring 3-7 dage,« sagde han.

Men med forbedringer i forhold til ASLR i Windows 8, så ville buggen ikke længere kunne udnyttes uden videre.

Dowd gættede i den forbindelse på, at ASLR-funktionen i Windows 8 ville skrue udviklingstiden af et exploit op til 2-3 uger.

Og med Internet Explorer 11, så kommer der en sandbox-funktion oveni, som skal omgås.

Dowd vurderede, at denne tilføjelse ville have skruet udviklingstiden for en kørende exploit op til 5-6 uger.

Også i forhold til Android påpegede han, med afsæt i en konkret bug, at der er sket sikkerhedsmæssige tiltag, der gør det svært uden videre at hacke styresystemet, selvom der måtte være en bug i systemet.

Flere Version2-læsere vil sikkert ihukomme Stagefright-buggen, der blev offentlig kendt omkring august 2015, og som i princippet kunne bruges til at kompromittere en Android-telefon alene ved at sende den en MMS.

Sikkerhedsvirksomheden Zenperium offentliggjorde i den forbindelse en ufarlig proof-of-concept-kode for at demonstrere problemet, som en sikkerhedsforsker fra virksomheden forinden havde hjulpet Google med at løse.

Men det har tilsyneladende ikke været lettere at udnytte sårbarheden i Android, der er blevet patched i nyere versioner, end at verden endnu har tilgode at se en Android-orm fare vildt omkring på alverdens telefoner.

»Så du en Stagefright-orm? Nej,« påpegede Dowd under sit indlæg og henviste i den forbindelse til ASLR i Android, som gjorde det svært at udføre angrebet.

IoT vs. Windows 10

Hvad fremtiden angår, så fortalte Mark Dowd, at isolation via en hypervisor også er på vej, hvilket vil gøre det endnu mere omkostningstungt for angribere at trænge ind på systemer, da der skal flere exploits til for omgå sikkerhedsforanstaltninger.

»Jeg tror, at full-chain (red. flere exploits i kombination) stadig vil være muligt, men det vil være ekstremt omkostningstungt sammenlignet med, hvad det er nu,« sagde han.

Og jo længere kæden er, jo vanskeligere vil det også være at undgå, at en eller flere bugs, der muliggør exploitet, bliver patchede, pointerede Dowd.

Samtidigt med, at gængse platforme via forskellige tiltag bliver bedre og bedre sikrede, så står det anderledes sløjt til i forhold til andre it-enheder, mener Mark Dowd.

»Jeg tror, angriberne er pragmatiske og vil grundlæggende gå efter de letteste sejre. Sådan noget som IoT-enheder, der for størstedelens vedkommende er langt mindre sikrede end din Windows 10-maskine,« sagde Dowd.

Version2 er inviteret til SAS af Kaspersky Lab.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Jensen

"Til gengæld er IoT-enheder generelt ringe beskyttet".
I den verden jeg kommer fra er IoT enheder beskyttet bedre end de PC folk sidder med. Det er muligt at forfatteren referere til talende dukker fra Fætter BR og andre gadgets købt på AliBaba, men at skrive at IoT generelt er ringe beskytter er en påstand jeg savner dokumentation for.

Jakob Møllerhøj Journalist

I den verden jeg kommer fra er IoT enheder beskyttet bedre end de PC folk sidder med. Det er muligt at forfatteren referere til talende dukker fra Fætter BR og andre gadgets købt på AliBaba, men at skrive at IoT generelt er ringe beskytter er en påstand jeg savner dokumentation for.

Hej Lars. Tak for inputtet, hvis du med forfatteren mener undertegnede, så er det ikke nødvendigvis min egen holdning, men den holdning, som Mark Dowd - der skal forestille at have sat sig ind i sagerne - gav udtryk for under sit indlæg. Det har jeg forsøgt at tydeliggøre i starten af artiklen.

Bortset fra det, så kan jeg nu godt tvivle på, at en kombination af sådan noget som kodesignering, sandboxing og ASLR generelt er udbredt i internetopkoblede køleskabe, højtalere, tv, kameraer etc. Men det kan selvfølgeligt være en fejlopfattelse. Jakob - V2.

Lars Jensen

Det var på ingen måde personligt Jakob :)
Jeg kigger mere på hvordan IoT ser ud i dag. Du nævner køleskabe, højttalere, TV osv. Men i virkeligheden udgør disse enheder en forsvindende lille del af IoT som det ser ud i dag. Man har benyttet IoT i industrien i 20 år (det hed bare noget andet), og derfor er det langt mere udbredt end i de konsumerprodukter du nævner. Derfor mener jeg ikke at man kan generalisere og sige at det er usikkert og nemt at kompromittere. Det er muligt at 5% (mit gæt) af IoT udgør usikre komponenter, men det er i min verden ikke nok til at skrive at IoT ikke er bøvlet at hacke.

Keld Simonsen

Som jeg forstår det, bliver IoT mere og mere lavet med Linux-systemer, og de har derfor alle de sikkerhedsfeatures som Linux-systemer har.

Der er vel desværre et opdateringsproblem, ligesom på android-telefonerne, men som I også skriver, er sikkerhedssystemerne i Linux/android ofte nok til at forhindre masseexploits.

Ole Tange Blogger

Det er ikke fordi, at IoT er nemmere for kriminelle at få adgang til, men fordi IoT bliver nemmere for kriminelle at få adgang til.

Der er 3 væsentlige grunde til det:

  • Når en dims er solgt, så har producenten meget lidt incitament til at bruge flere kræfter på dimsen. Han udgiver måske en sikkerhedsopdatering af firmwaren i løbet af de første 2 år, men herefter vil han bede dig købe en ny dims.
  • Kunden får ikke lagt sikkerhedsopdateringer ind. Selv hvis der er en sikkerhedsopdatering, så er det sandsynligt, at forbrugeren ikke får lagt den ind, hvis kunden selv skal gøre noget.
  • Levetiden for visse dimser er lang. Hvis kunden ikke selv har muligheden for at rette sikkerhedsfejl, så vil fejlen forblive, indtil kunden skrotter udstyret.

Læs også:
https://www.version2.dk/blog/produktansvar-software-1074461
https://www.version2.dk/blog/hvordan-undgaar-vi-iot-internet-trash-697635

Keld Simonsen

Hej Lars! Jeg tror du tror.. at Debian er som MS Windows, hvor operativsystemet opdateres for sig og alt andet opdateres andre steder, hvis det overhovedet gøres. Sådan forholder det sig normalt ikke i Linux. Fx er officepakken normalt en del af den almindelige opdatering. Og der er mulighed for at sætte forskellige repositories op, hvor man kan have opdateringer af familier af pakker, fx pakker der indeholder programmer, der ikke er open source, eller pakker der er til test. En leverandør kunne således sætte sit eget repositorie op til automatisk opdatering af pakker til sit produkt, hvis det ikke er indeholdt i standarddistributionen.

Debian udmærker sig ved at have rigtigt mange pakker i selve distributionen. Man kan godt forestille sig distribitioner til IoT som bliver rigtigt store, og derfor vedligeholdes med langt flere ressourcer end Debian gør. Ubuntu, som er Debian-baseret, er på vej ind i telefonverdenen, og kommer måske også op på IoT vognen, og Google er på vej med sin særlige IoT-udgave.

Christian Nobel

Jeg mener vi kan lave IoT-systemer, der kan opdateres automatisk i en uendelighed, ala Debian.

Jeg tror man skal være lidt mere nuanceret, for det kommer sandelig an på hvad det er for en IoT dims man taler om.

Dimsen kan være af en karakter (nu få liniers kode i en MSP430/Arduino/eller anden MCU) at der slet ikke er plads til opdateringshåndtering mv.

I de situationer mener jeg mere at det drejer sig om at lave en begavet segmentering, således at Iot dimserne holdes internt og aldrig kan ses fra omverdenen, og man i stedet har en controller til hvilken man så kommunikerer - og den skal selvfølgelig holdes a jour.

Erik Trolle

I de situationer mener jeg mere at det drejer sig om at lave en begavet segmentering, således at Iot dimserne holdes internt og aldrig kan ses fra omverdenen, og man i stedet har en controller til hvilken man så kommunikerer - og den skal selvfølgelig holdes a jour.


Jeg er helt enig med dig. For det første mener jeg der er stor forskel på, om det er Iot for industrien eller ud mod private forbrugere. Hvis det er ud mod private forbrugere tror jeg ikke at producenterne er interesserede i, ikke at have kontrol over enhederne, så de snakker op mod deres servere i skyen. De vil kunne bruge dine data til mange ting, som fx. få oplysninger om service tilkald, eller de kan software forælde dit produkt. Jeg har samme indstilling som dig, at hvorfor skal dimserne snakke ud af ens lan.

Personligt bruger jeg MQTT broker/klient til at styre mine enheder og bruger Node Red til at præsentere det i en browser. Men man kan bruge mange andre til som frontend til MQTT. Nu er det ikke sådan som denne video jeg laver det, men det kunne være sådan.
https://www.youtube.com/watch?v=4CwAgJowMoM

Men det jeg er bange for i fremtiden er at man ikke kan få ting som hårde hvidevare lys og andre dimser som ikke skal tale med en server i skyen. Jeg kan sagtens se skræk scenarie som sikkerhedsfolk prøver at forudsige.

Chris Bagge

Da Brian Krebs (krebonsecurity.com) blev udsat for DDOS så var det et især fra større antal IOT'er der var blevet overtaget, især Web kameraer. Hukommelse og regnekraft koster ikke ret meget og f.eks. kameraer kan udsende ret store mængder data hurtigt. Det er et problem med den slags "dimser" under 500,- kr klassen er at de kan lave ret maget ravage hvis de bliver overtaget. Brugerne sætter dem bare op. Sikkerhedskonfigurering er "en by i Rusland". En ting er hvad typiske bloggere på version 2 kan finde ud af en anden ting er hvad "Hr. Sørensen" kan.

Erik Trolle

Brugerne sætter dem bare op. Sikkerhedskonfigurering er "en by i Rusland". En ting er hvad typiske bloggere på version 2 kan finde ud af en anden ting er hvad "Hr. Sørensen" kan.


Du lægger problemet ud på brugeren. Jeg ved man kan lave noget der er sikkert, hvis man ikke lader ens dimser tale direkte ud af ens LAN. Det er det som Christian laver og det som jeg laver. Og jeg er sikker på at det kunne laves brugervenligt og sikkert så hr. Sørens ikke behøver at tænke. Men jeg ser producenterne som det store problem, for så har de ikke styr på deres dimser, som står ude hos kunderne og så kan dimserne jo leve meget lang tid og det er de ikke interesseret i. Det er sgutte kunderne som er problemet. det er leverandørerne som har en anden agenda.

MQTT som jeg taler om er en server som kan kører på noget meget små og skaleres op til noget meget stort. Facebook bebytter MQTT protokollen til deres messenger.

Log ind eller Opret konto for at kommentere