Nul
RFC 7252, også kendt som Begrænset Application Protocol (CoAP), er ved at blive en af de mest misbrugte protokoller i form af DDoS-angreb, sikkerhed forskere har fortalt ZDNet.
Hvis læserne ikke kan genkende navnet på denne protokol, der er, fordi det er nyt-der er formelt godkendt først for nylig, i 2014, og stort set ubrugt, indtil dette år.
Hvad er CoAP?
CoAP var udformet som en let machine-to-machine (M2M) protokol, der kan køre på smart-enheder, hvor hukommelse og it-ressourcer er knappe.
I en meget forenklet forklaring, CoAP er meget lignende til HTTP, men i stedet for at arbejde på toppen af TCP-pakker, der virker på toppen af UDP, en lettere overførsel af data format og oprettet som en TCP alternativ.
Ligesom HTTP bruges til at transportere data og kommandoer (GET, POST, TILSLUTNING osv.) mellem en klient og en server, CoAP også giver den samme multicast-og kommando -, transmissions funktioner, men uden den samme mængde ressourcer, hvilket gør den ideel til nutidens stigende bølge af Internet of Things (IoT) – enheder.
Men ligesom alle andre UDP-baseret protokol, CoAP er i sagens natur modtagelige for IP-adresse, spoofing og pakke forstærkning, de to største faktorer, der muliggør forstærkning af et DDoS-angreb.
En hacker kan sende en lille UDP pakke til en CoAP klient (en IoT-enhed), og kunden ville svare igen med en meget større pakke. I en verden af DDoS-angreb, den størrelse af denne pakke svar er kendt som et forstærkende faktor, og for CoAP, dette kan variere fra 10 til 50, afhængigt af den oprindelige pakke og den deraf følgende svar (protokol analyse, du er ved at læse).
Endvidere, fordi CoAP er sårbare over for IP spoofing, angribere kan erstatte “afsender IP-adresse” med IP-adressen på et offer, de ønsker at iværksætte et DDoS-angreb mod, og at offeret ville modtage den stump kraft af den forstærkede CoAP trafik.
De mennesker, der er designet CoAP tilføjet sikkerhedsfunktioner for at forhindre disse typer af spørgsmål, men som Cloudflare påpegede i et blog-indlæg sidste år, hvis enheden beslutningstagere gennemføre disse CoAP sikkerhedsfunktioner, CoAP protokollen er ikke så let længere, ophæve alle fordelene ved en letvægts-protokollen.
Det er derfor de fleste af dagens CoAP implementeringer give afkald på ved hjælp øget sikkerhed tilstande for en “NoSec” sikkerhedstilstand, som holder protokollen lys, men også sårbare over for DDoS-misbrug.
Stigningen i CoAP
Men fordi CoAP var en ny protokol, et par hundredvis af sårbare enheder her, og der ville aldrig have været et problem, selv hvis alle kørte i NoSec tilstande.
Desværre begyndte tingene at ændre sig. I henhold til en snak om, at Dennis Rand, grundlægger af eCrimeLabs, gav i RVAsec sikkerhed konference over sommeren (19:40 mark), antallet af CoAP enheder er eksploderet siden November 2017.
Rand siger CoAP enhed tæller sprang fra en ydmyg 6.500 i November 2017 til over 26.000 den næste måned. Tingene blev endnu værre i 2018, fordi i Maj, at antallet var på 278,000 enheder, et tal der i dag er svævende i 580,000-600,000, i henhold til Shodan, en søgemaskine til Internet-tilsluttede enheder.
Rand foreslår, at årsagen til denne eksplosion er CoAP brug som en del af QLC Kæde (tidligere kendt som QLink), et projekt, der har til formål at opbygge en decentral blokkæden-baserede mobile netværk via WiFi noder til rådighed på tværs af Kina.
Men denne pludselige stigning i let tilgængelige og dårligt sikret CoAP kunder har ikke gået ubemærket hen. I løbet af de sidste par uger, den første DDoS-angreb, der udføres via CoAP er begyndt at forlade deres mark.
En sikkerheds-forsker, der beskæftiger sig med DDoS-angreb, men der kunne ikke deler hans navn på grund af beskæftigelse aftaler fortalte ZDNet, der CoAP angreb er sket på en lejlighedsvis i løbet af de seneste måneder, med stigende hyppighed, nå 55Gbps i gennemsnit, og med den største stueur på 320Gbps.
Den 55Gbps gennemsnit er i en størrelsesorden der er overlegen i forhold til den gennemsnitlige størrelse af en normal DDoS-angreb, som er 4.6 Gbps, ifølge DDoS-beskyttelse firma Link11.
Af 580.000 CoAP enheder, der aktuelt er tilgængelige på Shodan i dag, den samme forsker fortalte ZDNet, der groft 330,000 kunne være (ab), der anvendes til at videreføre og forstærke DDoS-angreb med en forstærkningsfaktor på op til 46 gange.
Af de angreb, der er den forsker, der har indspillet, har de fleste målrettet forskellige online-tjenester i Kina, men også nogle MMORPGs platforme uden for det kinesiske fastland.
Det er uklart, om CoAP er blevet tilføjet som et angreb mulighed for at DDoS-for-hire-platforme, men når dette sker, sådanne angreb vil øges endnu mere.
Desuden CoAP ‘ s anvendelse i den virkelige verden er eksploderet i år, men hovedsagelig var begrænset til Kina. Det er sikkert at antage, at når CoAP er allerede blevet populær i Kina, dagens vigtigste produktion hub, sårbare enheder vil også sprede sig til andre lande som enheder, der er lavet i den kommunistiske stat sælges i udlandet.
Vi er blevet advaret
Ligesom med tilfældet med de fleste protokoller, der er udviklet med IoT i tankerne, spørgsmålet synes ikke at opholde sig i protokol design, som indeholder nogle grundlæggende sikkerhed, men i, hvordan enheden beslutningstagere er ved at konfigurere og forsendelse CoAP i live-enheder.
Desværre, dette er ikke noget nyt. Mange protokoller er ofte konfigureret forkert, ved et uheld eller med vilje, ved enheden beslutningstagere, som ofte vælger interoperabilitet og brugervenlighed over sikkerhed.
Men den ting, der vil irritere en vis sikkerhed for forskere er, at nogle forudsagt at dette ville ske, selv før CoAP blev godkendt som en officiel standard, helt tilbage i 2013.
Dette var en helt unødvendig katastrofe, hvis eneste lande rundt omkring i verden havde flere strenge regler om Ti enheder og deres sikkerhedselementer.
På en side bemærkning –og tilfældigvis– som CoAP DDoS-angreb er nu begyndt at få bemærket, Federico Maggi, en sikkerhedsekspert hos Trend Micro, har også taget et kig på CoAP s DDoS-forstærkning kapaciteter, forskning, som han er sat til stede ved Black Hat sikkerhedskonferencen i denne uge i London.
Den samme forskning, også kiggede på en fyr M2M-protokollen, MQTT, også kendt for at være en rod, og hvor forskeren har opdaget flere sårbarheder.
Mere sikkerhed nyheder:
Intels Cpu ‘er, der påvirkes af nye PortSmash side-kanal sårbarhedIntel hits repræsentation mål i sin AMERIKANSKE arbejdsstyrke CNETIntel Forventes udnytter: Sådan beskytter du dig selv TechRepublicRowhammer angreb kan nu bypass-ECC-hukommelse beskyttelserNye online service, vil hacke printere med at udspy spamAMERIKANSKE Senat computere vil bruge kryptering af harddiskKubernetes’ første større sikkerhedshul opdagetHackere er ved at åbne SMB-porte på routere, så de kan inficere Pc ‘ er med NSA malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0