Zero
RFC 7252, noto anche come Vincolati, il Protocollo di Applicazione (CoAP), sta per diventare uno dei più abusati protocolli in termini di attacchi DDoS, i ricercatori di sicurezza hanno detto a ZDNet.
Se i lettori non riconoscono il nome di questo protocollo perché è nuovo, l’essere formalmente approvato solo di recente, nel 2014, e in gran parte inutilizzato, fino a quest’anno.
Che cosa è CoAP?
CoAP è stato progettato come un leggero machine-to-machine (M2M), protocollo che può essere eseguito su dispositivi smart, dove la memoria e di calcolo le risorse sono scarse.
Molto semplicistica spiegazione, CoAP è molto simile a HTTP, ma invece di lavorare sulla parte superiore dei pacchetti TCP, funziona su UDP, più leggera e il trasferimento dei dati in formato TCP alternativa.
Proprio come l’HTTP è utilizzato per il trasporto di dati e comandi (GET, POST, CONNESSIONE, etc.) tra un client e un server, CoAP, inoltre, permette di utilizzare la stessa multicast e la trasmissione dei comandi caratteristiche, ma senza la stessa quantità di risorse, il che la rende ideale per l’odierna crescente ondata di Internet delle Cose (IoT) dispositivi.
Ma proprio come qualsiasi altro UDP protocollo CoAP è di per sé suscettibile di indirizzo IP spoofing e pacchetto di amplificazione, i due principali fattori che permettono l’amplificazione di un attacco DDoS.
Un utente malintenzionato può inviare un piccolo pacchetto UDP per un CoAP client (IoT) e il client risponde con un molto più grande pacchetto. Nel mondo di attacchi DDoS, la dimensione del pacchetto di risposta è conosciuto come un fattore di amplificazione, e per CoAP, questo può variare da 10 a 50, a seconda del pacchetto iniziale e la conseguente risposta (e l’analisi di protocollo che si sta leggendo).
Inoltre, poiché il CoAP è vulnerabile agli IP spoofing, un attaccante in grado di sostituire il “mittente indirizzo IP” con l’indirizzo IP della vittima che vuole lanciare un attacco DDoS contro, e che la vittima avrebbe ricevuto la forza diretta degli amplificati CoAP traffico.
Le persone che hanno ideato CoAP aggiunta di caratteristiche di sicurezza per prevenire questi tipi di problemi, ma come Cloudflare ha sottolineato in un post sul blog l’anno scorso, se i produttori di dispositivi implementare questi CoAP caratteristiche di sicurezza, il protocollo CoAP non è così leggero più, negando tutti i vantaggi di un protocollo leggero.
Ecco perché oggi la maggior parte dei CoAP implementazioni di rinunciare utilizzando temprato modalità di protezione per un “NoSec” modalità di sicurezza che mantiene il protocollo di luce, ma anche vulnerabili a un attacco DDoS abuso.
L’aumento del CoAP
Ma perché CoAP è stato un nuovo protocollo, a poche centinaia di dispositivi vulnerabili qui e non ci sarebbe mai stato un problema, anche se tutti erano in esecuzione in NoSec modalità.
Purtroppo, le cose cominciarono a cambiare. Secondo un discorso che Dennis Rand, fondatore di eCrimeLabs, ha dato alla RVAsec conferenza di sicurezza durante l’estate (19:40 marco), il numero di CoAP dispositivi è esploso dal novembre del 2017.
Rand dice che il CoAP dispositivo di conteggio saltato da un umile 6.500 nel novembre 2017 oltre 26.000 mese successivo. Le cose sono anche peggio, nel 2018, perché da Maggio che è stato 278,000 dispositivi, un numero che oggi si attesta a oltre 580.000-di 600.000, secondo Shodan, un motore di ricerca per i dispositivi connessi a Internet.
Rand suggerisce la ragione di questa esplosione è CoAP uso come parte di QLC Catena (precedentemente noto come QLink), un progetto che mira a costruire un sistema decentralizzato blockchain basato su rete mobile utilizzando nodi WiFi disponibile in tutta la Cina.
Ma questo improvviso aumento prontamente disponibili e poco sicure CoAP clienti non è passato inosservato. Nelle scorse settimane, il primo di attacchi DDoS, effettuata per il tramite di CoAP hanno iniziato a lasciare il segno.
Un ricercatore di sicurezza che si occupa di attacchi DDoS, ma che non condividono il suo nome a causa di contratti di lavoro detto a ZDNet che CoAP attacchi sono capitato su base occasionale, negli ultimi mesi, con frequenza crescente, raggiungendo 55Gbps in media, e con la più grande clocking a 320Gbps.
Il 55Gbps media è di un ordine di grandezza superiore alla dimensione media di un normale attacco DDoS, che è di 4.6 Gbps, secondo mitigazione DDoS ditta Link11.
Di oltre 580.000 CoAP dispositivi attualmente disponibili sul Shodan oggi, lo stesso ricercatore ha detto di ZDNet, che circa 330.000 persone potrebbe essere (ab)utilizzato per trasmettere e amplificare gli attacchi DDoS con un fattore di amplificazione fino a 46 volte.
Attacchi il ricercatore ha registrati, la maggior parte hanno preso di mira i vari servizi online in Cina, ma anche alcuni Mmorpg piattaforme al di fuori della Cina continentale.
Non è chiaro se CoAP è stato aggiunto come un attacco opzione per DDoS-per-noleggio piattaforme, ma una volta che questo accade, tali attacchi si intensificherà ancora di più.
Inoltre, CoAP uso nel mondo reale è esploso quest’anno, ma è prevalentemente limitato alla Cina. Si può dare per scontato che una volta CoAP è già diventato popolare in Cina, oggi il principale polo produttivo, dispositivi vulnerabili anche diffondersi ad altri paesi come dispositivi realizzati in stato comunista, sono venduti all’estero.
Ci è stato segnalato
Proprio come con il caso con la maggior parte dei protocolli sviluppati con IoT in mente, il problema non sembra risiedere nel protocollo di design, che include alcune informazioni di base, le caratteristiche di sicurezza, ma da come i produttori di dispositivi sono la configurazione e la spedizione CoAP in live dispositivi.
Purtroppo, questo non è qualcosa di nuovo. Molti protocolli sono spesso mal configurato, per caso o intenzionalmente, da parte dei produttori di dispositivi, che spesso scelgono di interoperabilità e facilità di utilizzo in sicurezza.
Ma la cosa che potrebbe infastidire alcuni ricercatori di sicurezza è che alcuni previsto che questo sarebbe accaduto anche prima di CoAP e ‘ stato approvato come standard Internet ufficiale, ha dato il via nel 2013.
Questo è stato totalmente evitabili disastro se solo i paesi di tutto il mondo era di norme più rigorose sulle IoT dispositivi e delle loro caratteristiche di sicurezza.
Su un lato nota –e per coincidenza-come CoAP gli attacchi DDoS sono ora inizio ad avere notato, Federico Maggi, un ricercatore di sicurezza con Trend Micro, ha anche dato un’occhiata al CoAP DDoS di amplificazione funzionalità di ricerca, che si prepara a presentare al Black Hat security conference di questa settimana a Londra.
La stessa ricerca ha anche analizzato un compagno di M2M protocollo MQTT, noto anche per essere un pasticcio, e in cui il ricercatore ha individuato diverse vulnerabilità.
Più notizie di sicurezza:
Le Cpu Intel influenzato dalle nuove PortSmash canale laterale vulnerabilitàIntel colpisce rappresentazione obiettivo nella sua forza lavoro americana CNETIntel Prefigurare exploit: Come proteggersi TechRepublicRowhammer attacchi possono ora bypass memoria ECC protezioniNuovi servizi online hack stampanti di vomitare spamSenato computer di utilizzare la crittografia del discoKubernetes’ prima grande buco di sicurezza scoperto chegli Hacker stanno aprendo SMB porte sul router in modo che possano infettare il Pc con malware NSA
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0