211service.com
Que s'est-il passé lorsqu'un homme a envoyé un ping à tout Internet ?
Vous n'avez probablement pas entendu parler de HD Moore, mais jusqu'à il y a quelques semaines, chaque appareil Internet dans le monde, y compris peut-être certains dans votre propre maison, était contacté environ trois fois par jour par une pile d'ordinateurs qui surchauffaient sa chambre d'amis. . J'ai beaucoup d'équipements de refroidissement pour m'assurer que ma maison ne prend pas feu, explique Moore, qui dirige la recherche dans une entreprise de sécurité informatique. Rapide7 . En février de l'année dernière, il a décidé d'effectuer un recensement personnel de chaque appareil sur Internet en tant que passe-temps. Ce n'est pas mon travail de jour ; c'est ce que je fais pour le plaisir, dit-il.
Moore a maintenant mis ce plaisir de côté. [Cela] a suscité beaucoup de plaintes, de courriers haineux et d'appels des forces de l'ordre, dit-il. Mais les données collectées ont révélé de graves problèmes de sécurité et exposé des systèmes commerciaux et industriels vulnérables d'un type utilisé pour tout contrôler, des feux de circulation à l'infrastructure électrique.
Le recensement de Moore impliquait l'envoi régulier de messages simples et automatisés à chacune des 3,7 milliards d'adresses IP attribuées aux appareils connectés à Internet dans le monde (Google, en revanche, collecte des informations proposées publiquement par les sites Web). La plupart des deux téraoctets (2 000 gigaoctets) de réponses que Moore a reçues de 310 millions d'adresses IP ont indiqué qu'elles provenaient d'appareils vulnérables à des failles bien connues, ou configurés de manière à permettre à n'importe qui d'en prendre le contrôle.
Mardi, Moore a publié des résultats sur un segment particulièrement troublant de ces appareils vulnérables : ceux qui semblent être utilisés pour les systèmes commerciaux et industriels. Plus de 114 000 de ces connexions de contrôle ont été enregistrées comme étant sur Internet avec des failles de sécurité connues. Beaucoup étaient accessibles à l'aide de mots de passe par défaut et 13 000 offraient un accès direct via une invite de commande sans aucun mot de passe.
Ces comptes vulnérables offrent aux attaquants des opportunités importantes, explique Moore, notamment le redémarrage des serveurs et des systèmes informatiques de l'entreprise, l'accès aux journaux des appareils médicaux et aux données des clients, et même l'accès aux systèmes de contrôle industriel dans les usines ou les infrastructures électriques. Les dernières découvertes de Moore ont été aidées par un ensemble de données similaire publié par un pirate anonyme le mois dernier , recueillies en compromettant 420 000 éléments de matériel réseau.
Les connexions que Moore recherchait sont connues sous le nom de serveurs série, utilisés pour connecter des appareils à Internet qui n'ont pas cette fonctionnalité intégrée. Les serveurs série agissent comme un ciment entre les systèmes archaïques et le monde en réseau, explique Moore. [Ils] exposent de nombreuses organisations à des attaques. Moore ne sait pas encore si les failles qu'il a découvertes sont exploitées, mais a publié des détails sur la façon dont les entreprises peuvent analyser leurs systèmes pour les problèmes qu'il a découverts.
Joel Young, directeur de la technologie de Digi International , fabricant de nombreux serveurs série non sécurisés découverts par Moore, s'est félicité de la recherche, affirmant qu'elle avait aidé son entreprise à comprendre comment les gens utilisaient ses produits. Certains clients qui achètent et déploient nos produits n'ont pas suivi les bonnes politiques ou pratiques de sécurité, déclare Young. Nous devons faire une éducation plus proactive pour les clients sur la sécurité.
Young dit que son entreprise vend un service cloud qui peut donner à ses produits une connexion privée et sécurisée loin de l'Internet public. Cependant, il a également déclaré que Digi continuerait à livrer des produits avec des mots de passe par défaut, car cela rend la configuration initiale plus fluide, et cela rend les clients plus susceptibles de définir leurs propres mots de passe. Je n'ai pas trouvé de meilleur moyen, dit-il.
Billy Rios, chercheur en sécurité qui travaille sur les systèmes de contrôle industriel de la start-up de sécurité Cylance, déclare que le projet de Moore fournit des chiffres précieux pour quantifier l'ampleur d'un problème bien connu des experts comme lui mais sous-estimé par les entreprises à risque.
Rios dit que d'après son expérience, les systèmes utilisés par des installations plus critiques telles que les infrastructures énergétiques sont tout aussi susceptibles d'être vulnérables aux attaques que ceux utilisés pour des tâches telles que le contrôle des portes dans un petit bureau. Ils utilisent les mêmes systèmes, dit-il.
La suppression des serveurs série de l'Internet public afin qu'ils soient accessibles via une connexion privée pourrait empêcher bon nombre des attaques les plus simples, explique Rios, mais les attaquants pourraient toujours utiliser diverses techniques pour voler les informations d'identification nécessaires.
Le nouveau travail s'ajoute à d'autres découvertes importantes du passe-temps inhabituel de Moore. Résultats il publié en janvier a montré qu'environ 50 millions d'imprimantes, de consoles de jeux, de routeurs et de lecteurs de stockage en réseau sont connectés à Internet et facilement compromis en raison de failles connues dans un protocole appelé Universal Plug and Play (UPnP). Ce protocole permet aux ordinateurs de trouver automatiquement les imprimantes, mais est également intégré à certains dispositifs de sécurité, routeurs à large bande et systèmes de stockage de données, et pourrait mettre en danger des données précieuses.
Les données recueillies par l'enquête de Moore ont également aidé les collègues de Rapid7 à identifier comment un logiciel appelé FinFisher a été utilisé par les forces de l'ordre et les agences de renseignement. espionner les militants politiques . Cela a également aidé à démasquer la structure de contrôle d'une campagne de longue durée appelée Octobre rouge qui a infiltré de nombreux systèmes gouvernementaux en Europe.
Moore pense que l'industrie de la sécurité néglige certains problèmes de sécurité assez sérieux et basiques en se concentrant principalement sur les ordinateurs utilisés par les employés de l'entreprise. Il est devenu évident pour moi que nous avons des problèmes beaucoup plus importants, dit Moore. Il [y a] des problèmes fondamentaux avec la façon dont nous utilisons Internet aujourd'hui. Il veut que davantage de personnes travaillent pour réparer les portes dérobées qui mettent les entreprises en danger.
Cependant, Moore n'a pas l'intention de sonder à nouveau l'ensemble d'Internet. De grosses factures d'électricité et d'Internet, et des incidents tels que l'équipe d'intervention d'urgence informatique du gouvernement chinois demandant aux autorités américaines d'empêcher Moore de pirater toutes leurs affaires l'ont convaincu qu'il était temps de trouver un nouveau passe-temps. Cependant, avec beaucoup de données à analyser, il y aura probablement plus à révéler sur le véritable état de la sécurité en ligne, déclare Moore : nous sommes assis sur des montagnes de nouvelles vulnérabilités.