Nul
RFC 7252, ook wel bekend als de Beperkt Application Protocol (CoAP), is ongeveer om een van de meest misbruikte protocollen in termen van DDoS-aanvallen, veiligheid onderzoekers hebben verteld ZDNet.
Als lezers niet herkent de naam van dit protocol is dat omdat het nieuw is-formeel goedgekeurd zijn pas in 2014, en grotendeels ongebruikte tot dit jaar.
Wat is CoAP?
CoAP werd ontworpen als een lichtgewicht machine-to-machine (M2M) – protocol dat op slimme apparaten waar memory computing en de middelen zijn schaars.
In een zeer simplistische uitleg, CoAP is zeer vergelijkbaar met HTTP, maar in plaats van te werken op de top van TCP-pakketten, het werkt op de top van UDP, een lichtere data-overdracht formaat gemaakt als een TCP-alternatief.
Net als HTTP wordt gebruikt voor het transport van gegevens en opdrachten (GET, POST, CONNECT, etc.) tussen een client en een server, CoAP ook kan dezelfde multicast-en commando-overdracht-functies, maar zonder dezelfde hoeveelheid middelen, waardoor het ideaal is voor de huidige stijgende golf van Internet of Things (IoT) apparaten.
Maar net als elke andere UDP gebaseerd protocol is, heeft CoAP is inherent gevoelig voor IP-address spoofing en packet-amplificatie, de twee belangrijkste factoren die zorgen voor de versterking van een DDoS-aanval.
Een aanvaller kan een kleine UDP-pakket naar een CoAP opdrachtgever (een IoT apparaat), en de opdrachtgever zou reageren met een veel groter pakket. In de wereld van DDoS-aanvallen, de grootte van dit pakket reactie staat bekend als een versterking, en voor CoAP, dit kan variëren van 10 tot 50, afhankelijk van het initiële pakket en de daaruit voortvloeiende reactie (en het protocol analyse die u aan het lezen bent).
Bovendien, omdat CoAP kwetsbaar is voor IP-spoofing, aanvallers kan de plaats van de afzender-IP-adres” het IP-adres van een slachtoffer willen ze een DDoS-aanval tegen, en dat het slachtoffer zou ontvangen van de stomp van de versterkte CoAP verkeer.
De mensen die ontworpen CoAP beveiligingsfuncties toegevoegd om te voorkomen dat dit soort problemen, maar als Cloudflare gewezen in een blog post van vorig jaar, als het apparaat makers het implementeren van deze CoAP beveiligingsfuncties, de CoAP protocol is niet zo licht meer, ontkenning van alle voordelen van een lichtgewicht protocol.
Dat is de reden waarom de meeste van de huidige CoAP implementaties afzien van het gebruik van gehard beveiligingsmodi voor een “NoSec” security mode, dat houdt het protocol licht, maar ook kwetsbaar voor DDoS-misbruik.
De opkomst van CoAP
Maar omdat CoAP werd een nieuw protocol, een paar honderden kwetsbare apparaten hier en daar is nog nooit een probleem geweest, zelfs als al actief waren in de NoSec modi.
Helaas, de dingen begonnen te veranderen. Volgens een bespreking die Dennis Rand, oprichter van eCrimeLabs, gaf aan de RVAsec security conferentie in de zomer (19:40 mark), het aantal CoAP apparaten is geëxplodeerd sinds November 2017.
Rand zegt de CoAP apparaat graaf sprong vanuit een nederige 6,500 in November 2017 meer dan 26.000 de volgende maand. Dingen die er nu nog slechter in 2018, want in Mei van dat aantal was op 278,000 apparaten, een aantal dat vandaag zweeft op 580,000-600,000, volgens Shodan, een zoekmachine voor het Internet aangesloten apparaten.
Rand suggereert dat de reden voor deze explosie is CoAP s te gebruiken als onderdeel van QLC Keten (voorheen bekend als QLink), een project dat beoogt het bouwen van een decentrale blockchain-gebaseerde mobiele netwerk via de WiFi-knooppunten beschikbaar in China.
Maar deze plotselinge stijging in direct beschikbaar en slecht beveiligde CoAP klanten niet onopgemerkt gebleven. De afgelopen paar weken, de eerste DDoS-aanvallen uitgevoerd via CoAP begonnen hun sporen achterlaten.
Een security-onderzoeker die zich bezighoudt met DDoS-aanvallen, maar die kon niet delen in zijn naam te danken aan arbeidsovereenkomsten vertelde ZDNet dat CoAP aanslagen zijn gebeurd op een occasionele basis van de afgelopen maanden, met toenemende frequentie, het bereiken van 55Gbps gemiddeld, en met de grootste klokken op 320Gbps.
De 55Gbps gemiddelde is een orde van grootte hoger is dan de gemiddelde grootte van een normale DDoS-aanval, dat is 4,6 Gbps, volgens DDoS-mitigatie bedrijf Link11.
Van de 580,000 CoAP apparaten die momenteel beschikbaar zijn op Shodan vandaag, dezelfde onderzoeker vertelde ZDNet dat ongeveer 330.000 usd kan worden (ab)gebruikt om relais en versterken van DDoS-aanvallen met een versterkingsfactor tot 46 keer.
Van de aanvallen van de onderzoeker heeft opgenomen, de meeste zijn gericht op verschillende online-diensten in China, maar ook sommige Mmorpg ‘ s platforms buiten het vasteland van China.
Het is onduidelijk of CoAP is toegevoegd als een aanval optie om DDoS-voor-het huren van platforms, maar zodra dit het geval is, zullen dergelijke aanvallen nog intenser.
Bovendien CoAP ‘ s gebruiken in de echte wereld is geëxplodeerd van dit jaar, maar werd vooral beperkt tot China. Het is veilig om te veronderstellen dat eenmaal CoAP is nu al populair geworden in China, de belangrijkste productie-hub, kwetsbare apparaten zal ook verspreid naar andere landen, zoals instrumenten, die in de communistische staat worden verkocht in het buitenland.
We zijn gewaarschuwd
Net zoals het geval is met de meeste protocollen ontwikkeld met Dingen in gedachten, het probleem lijkt niet om te verblijven in het ontwerpen van protocollen, waaronder een aantal basale veiligheid biedt, maar in hoe het apparaat makers zijn het configureren en verzendkosten CoAP in live-apparaten.
Helaas, dit is niet iets nieuws. Veel protocollen zijn vaak geconfigureerd, door een ongeluk of opzettelijk, door het apparaat makers, die vaak kiezen compatibiliteit en gebruiksgemak boven veiligheid.
Maar het ding dat zal ergeren sommige onderzoekers is dat sommige voorspeld dat dit zou gebeuren, zelfs voordat CoAP werd erkend als een officiële Internet-standaard, de weg terug in 2013.
Dit was een volstrekt vermijdbare ramp als enige landen over de hele wereld hadden strengere regels over IoT apparaten en hun echtheidskenmerken.
Op een zijde nota –en toevallig– als CoAP DDoS-aanvallen zijn nu begin te krijgen opgemerkt, Federico Maggi, een security-onderzoeker met Trend Micro, heeft ook een kijkje genomen op CoAP de DDoS-versterking capaciteiten, onderzoek waarop hij is ingesteld op de Black Hat security conference deze week in Londen.
Hetzelfde onderzoek is ook gekeken naar een collega M2M-protocol, MQTT, ook bekend als een puinhoop, en waarbij de onderzoeker heeft vastgesteld dat in een aantal kwetsbaarheden.
Meer nieuws over beveiliging:
Intel Cpu ‘s beïnvloed door nieuwe PortSmash side-channel kwetsbaarheidIntel hits vertegenwoordiging doel in de AMERIKAANSE beroepsbevolking CNETIntel Voorbodes exploits: Hoe uzelf te beschermen TechRepublicRowhammer aanvallen kunnen nu bypass-ECC geheugen beschermingvan de Nieuwe online service hack printers te spuwen uit spamAMERIKAANSE Senaat computers met (schijf) versleutelingKubernetes’ eerste grote gat in de beveiliging ontdektHackers zijn het openen van SMB-poorten op routers, zodat ze kunnen infecteren van Pc ‘ s met NSA malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0