??? ?? ?? ?? Destover? ???? ??? ??? ???

      No Comments on ??? ?? ?? ?? Destover? ???? ??? ??? ???
Destover의 일부 샘플이 Volgmer와 동일한 C&C 서버를 사용하며 Jokra 및 Shamoon과도 유사점이 있는 것으로 파악되었습니다

Twitter Card Style: 

summary

Destover 1 edit.jpg

12월 첫 째주 FBI 긴급 경고(Flash Warning) 대상이었던 파괴력 강한 악성 코드 Backdoor.Destover와 앞서 한국에서 발생했던 공격 간에 몇 가지 공통점이 있습니다. 일부 Destover 샘플이 리포팅하는 C&C(명령 및 제어) 서버가 한국의 표적을 공격하기 위해 개발되었던 Trojan.Volgmer의 한 버전에서도 사용된 것입니다. 이러한 C&C 공유는 동일 조직이 두 공격의 배후에 있을 가능성을 시사합니다.

Volgmer는 일종의 표적 악성 코드로 단일 조직에서 사용하는 것으로 보입니다. 일부 한정된 공격에 동원되었으며 1단계 정찰 툴 역할을 담당하는 것 같습니다. 이 악성 코드는 시스템 정보를 수집하고 추가 실행 파일을 다운로드하는 데 이용될 수 있습니다. 특히 Destover와 동일한 C&C를 사용하는 Volgmer 버전은 한국의 표적을 공격하도록 구성되었으며 한국에 있는 시스템에서만 실행됩니다.

Destover는 2013년에 한국에서 발생한 Jokra 공격과도 몇 가지 기술 및 구성 요소 이름이 동일합니다. 그러나 아직 이들을 연결시킬 만한 명확한 증거는 없으며, 모방 범죄의 가능성도 배제할 수 없습니다. Shamoon 공격과도 연관성이 있는데, 두 공격에서 모두 동일한 상용 드라이버를 사용한 것입니다. 두 공격의 배후 조직이 동일할 가능성은 낮지만, Destover 분석을 통해 확인된 공격 기법은 Shamoon에서 사용된 기법들을 모방한 것처럼 보일 정도로 유사합니다.

Destover 현황
Destover는 감염된 시스템을 완전히 지울 수 있기 때문에 큰 피해를 야기시키는 악성 코드 유형입니다. 이 악성 코드의 변종 중 하나 이상이 잘 알려진 공격에 사용된 것으로 확인되자 FBI는 지난 주에 긴급 경보를 발효하기도 했습니다.

아래와 같은 몇 가지 악성 파일이 FBI Destover 보고서에서 언급된 내용과 연관되어 있습니다.

  • diskpartmg16.exe
  • net_ver.dat
  • igfxtrayex.exe
  • iissvr.exe

Diskpartmg16.exe는 감염된 시스템에서 맨 처음 생성되는 파일입니다. 이 파일이 실행되면 net_ver.dat와 igfxtrayex.exe라는 파일이 만들어집니다.

“diskpartmg16.exe”가 실행되면서 일련의 IP 범위에 속하는 다수의 특정 IP 주소 및 “USSDIX[시스템 이름]” 형식의 시스템 이름과 연결됩니다. 따라서 이 Destover 변종은 무차별적 공격을 위한 것이 아니며 어느 한 조직의 시스템만 공격하도록 구성된 악성 코드임을 알 수 있습니다.

Destover의 파괴적인 페이로드는 igfxtrayex.exe에 의해 전달됩니다. 실행 시 경우에 따라 아래와 같은 결과가 나타납니다.

  • 고정 드라이브 및 원격 드라이브의 모든 파일 삭제
  • 파티션 테이블 수정
  • 추가 모듈(iissvr.exe) 설치
  • 포트 8080 및 8000에서 다수의 IP 주소에 연결

한편 Iissvr.exe는 백도어로서 포트 80에서 수신 기능을 수행합니다. 공격자가 감염된 시스템과 통신하기 시작하면 이 파일은 아래와 같은 메시지를 표시합니다.

“우리는 이미 너희에게 경고했으며 이것은 시작일 뿐이다.

우리는 우리의 요구가 관철될 때까지 공격을 계속할 것이다.

우리는 너희의 비밀과 최고 기밀을 포함한 모든 내부 데이터를 확보했다.

우리의 요구를 따르지 않으면 아래와 같은 데이터를 세상에 공개할 것이다.

11월 24일, 11:00 PM(GMT)까지 어떻게 할 것인지 결정하라.

Twitter와 Facebook에 이메일 주소 하나와 다음 문장을 게재하면 그 주소로 연락하겠다.

세계 평화에 크게 이바지하는 God’sApstls(원문 그대로 표기)에게 감사한다.

우리의 정체를 밝히려는 시도만으로도 모든 데이터가 당장 공개될 것이다.”

Volgmer와의 연관성
시만텍이 분석한 일부 Destover 샘플은 과거 여러 Trojan.Volgmer 변종에서 사용했던 C&C 서버와 연관성이 있습니다. 시만텍은 몇 개월간 Trojan.Volgmer를 추적했습니다. Volgmer는 감염된 시스템의 백도어를 열 수 있는 보안 위협으로, 이를 통해 악성 코드가 C&C 서버와 통신하면서 시스템 정보를 검색하고 명령을 실행하며 파일을 업로드하고 실행 파일을 다운로드합니다.

흥미로운 것은 Destover와 같은 C&C 서버를 사용하는 Volgmer 변종이 감염된 시스템의 국가가 “한국”이 아닐 경우 실행을 종료하도록 구성되었다는 점입니다.

Jokra와의 연관성
Destover 공격자는 2013년에 한국에서 발생한 Jokra 공격과 유사한 기법과 구성 요소(예: 파일 이름)를 사용합니다. Jokra는 한국의 몇몇 은행과 방송사에서 서버 장애를 일으키고 한 한국 통신사의 웹 사이트를 손상시키기도 했습니다.

Jokra 공격에 이용된 악성 코드에는 지정된 기간이 만료되어야 하드 드라이브 지우기를 시작하는 코드가 들어 있었습니다. 또한 Destover는 시간차를 두고 지우기를 수행하도록 구성되었습니다. 그 외에도 한국 언론 보도에 따르면, 두 공격에서 다수의 유사한 파일 이름이 사용되었습니다.

Shamoon 공격과의 유사점
Destover는 Shamoon 공격과도 몇 가지 공통점이 있습니다. Destover와 Shamoon 공격에 사용된 악성 코드(W32.Disttrack)는 몇몇 동일한 드라이버를 사용합니다. 이는 악성 파일이 아닌 상용 드라이버입니다. Destover와 Disttrack 모두 파괴적인 악성 코드이지만 두 공격의 배후 조직이 같다는 증거는 없습니다.

시만텍의 보호 방안
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Destover로 탐지합니다.

Destover: Destructive malware has links to attacks on South Korea

      No Comments on Destover: Destructive malware has links to attacks on South Korea
Some samples of Destover share a C&C server with Volgmer and also share similarities with Jokra and Shamoon.

Twitter Card Style: 

summary

Destover 1 edit.jpg

Backdoor.Destover, the destructive malware that was the subject of an FBI Flash Warning this week, shares several links to earlier attacks directed at targets in South Korea. Some samples of Destover report to a command-and-control (C&C) server that was also used by a version of Trojan.Volgmer crafted to attack South Korean targets. The shared C&C indicates that the same group may be behind both attacks.  

Volgmer is a targeted piece of malware, likely used by a single group, which has been used in limited attacks, possibly as a first stage reconnaissance tool. It can be used to gather system information and download further files for execution. Significantly, the version of Volgmer which shares a C&C with Destover was configured specifically to attack South Korean targets and will only run on Korean computers.

Destover also share some techniques and component names with the Jokra attacks against South Korea in 2013. However there is no hard evidence as yet to link the attacks and a copycat operation can’t be ruled out. Links also exist to the Shamoon Attacks, with both attackers using the same, commercially available drivers. However, in this instance it appears highly unlikely that the same group was behind both attacks and instead it would appear that the Destover attacks copied techniques from Shamoon.  

Destover in action
Destover is a particularly damaging form of malware that is capable of completely wiping an infected computer. It was the subject of an FBI Flash Warning earlier this week after at least one variant of it was understood to have been used in a high profile attack.

There are several malicious files associated with the FBI Destover report:

  • diskpartmg16.exe
  • net_ver.dat
  • igfxtrayex.exe
  • iissvr.exe

Diskpartmg16.exe is the first file that is created on an infected computer and, when executed, it creates the files net_ver.dat and igfxtrayex.exe.

When “diskpartmg16.exe” is run, it connects to a number of specific IP addresses within a set IP range, as well as computer names in the format “USSDIX[Machine Name]”. This indicates that this variant of Destover was not intended to be indiscriminate and the malware had instead been configured to only attack computers belonging to one particular organization.

The destructive payload of Destover is carried by igfxtrayex.exe. In certain instances, when run, it will:

  • Delete all files on fixed and remote drives
  • Modify the partition table
  • Install an additional module(iissvr.exe)
  • Connect to a number of IP addresses on ports 8080 and 8000.

Iissvr.exe, meanwhile, is a backdoor which listens on port 80. Once an attacker communicates with the compromised computer, this file displays a message, which reads:

 

“We’ve already warned you, and this is just a beginning.

We continue till our request be met.

We’ve obtained all your internal data including your secrets and top secrets.

If you don’t obey us, we’ll release data shown below to the world.

Determine what will you do till November the 24th, 11:00 PM(GMT).

Post an email address and the following sentence on your twitter and facebook, and we’ll contact the email address.

 

Thanks a lot to God’sApstls [sic] contributing your great effort to peace of the world.

And even if you just try to seek out who we are, all of your data will be released at once.”

Links to Volgmer
Some samples of Destover seen by Symantec link to a C&C server that has been used by variants of Trojan.Volgmer in the past. Symantec has been tracking Trojan.Volgmer for several months. Volgmer is a threat capable of opening a back door on an infected computer, which allows the malware to communicate with a C&C server to retrieve system information, execute commands, upload files, and download files for execution.

Interestingly, the variants of Volgmer that share a C&C server with Destover are configured to end execution if the compromised computer’s region is not “Korea”.

Links to Jokra
The Destover attackers use techniques and components that are similar to those used in the Jokra attacks against South Korea in 2013. These attacks crippled servers belonging to several South Korean banks and broadcasting organizations and also defaced the website of a Korean telecoms firm.

The malware used in the Jokra attacks contained code that did not begin wiping the hard drive until a set time period expired. Destover is also configured to perform a delayed wipe. Furthermore, media outlets in South Korea have reported that a number of similar file names were used in both attacks (Korean language link).

Similarities to Shamoon attacks
Destover also share some commonalities with the Shamoon Attacks. Both Destover and the malware used by the Shamoon attackers (W32.Disttrack) share some drivers. These are not malicious files and are commercially available drivers. While both Destover and Disttrack are destructive forms of malware, there is no evidence to suggest that the same group is behind both attacks.

Symantec protection
Symantec and Norton products detect this threat as Backdoor.Destover.

12 ways to boost your router’s security

      No Comments on 12 ways to boost your router’s security

With the increasing number of network security breaches, we need to improve awareness regarding the security of your home network. We simply need to follow some rules to control and prevent system penetration and also bandwidth theft (and losing money!). Safeguard your valuable information available through your home wireless connection and do not be easy […]

SSL; More than Encryption

      No Comments on SSL; More than Encryption
Twitter Card Style: 

summary

While doing an online search for “SSL Certificates” and one of the ads said “$4.99, Why Pay More?”  Without clicking on the ad I know what they are going to offer me; a simple domain validated (DV) SSL certificate.  This certificate will encrypt my site’s traffic at a basic level but this isn’t 1997; the business climate and threat landscape have changed and so have our requirements for security.  SSL is more than encryption.  We have to consider trust, security, service, certificate management & reliability.  While many Certification Authorities are cutting corners to compete with each other on price, Symantec is working around the clock to continually deliver best-in-class solutions.  At Symantec we believe in these core factors as does 91% of the fortune 500 and 94 of the top 100 financial institutions in the world.  Here’s why:

1. Increased End-Consumer Trust

  • Trust Seal — Trust seals suggest that websites are safe to interact with.  The Norton Secured Seal has been shown through independent research to be the most recognized trust seal on the Internet.  Offered only by Symantec, it is seen about 4 billion times per month on websites all around the world.  The seal ensures visitors that they are communicating with organizations that not only encrypt their traffic but also are legitimate organizations that have gone through Symantec’s strong authentication screening as well.
    ssl-encryption-blog-1.jpg
  • Visual Cue — The “Green Bar” also represent that a site is trustworthy.   With Symantec EV Certificates, browsers will change the color of the address bar to green, serving as a cue for safe interaction.  DV certificates won’t provide for a visual cue to website visitors
    ssl-encryption-blog-2.jpg

 

2. Stronger Business Authentication and Website Security

  • Authentication — With every Symantec certificate, Symantec performs strong authentication to ensure that a website visitor can trust who they are communicating with.  Security-minded organizations realize that encryption alone is not enough and require, as a matter of policy, that all certificates issued for their organization have strong authentication.  On the other hand, domain validated certificates, like those that Let’s Encrypt intends to offer, will only provide encryption of data.   Thus, they will not prevent a credit card number or password from going to an encrypted website that may be fraudulent.
  • Scanning and Alerts — Symantec products also secure customer websites with scanning for critical vulnerabilities and active malware.  Symantec proactively notifies customers about security risks within a customer’s unique environment and provides guidance to ensure that such issues are quickly and easily resolved. 

 

3. Simplified Certificate Management and Live Worldwide Support

  • Management Tools — Symantec enables customers to track and manage large volumes of certificates with a wide range of tools.  Organizations are often burdened with the complexity of managing a variety of SSL certificates that may include of self-signed, client certificates or SSL certificates that chain up to public roots.
    ssl-encryption-blog-3.png
  • Accessible Technical Support — Symantec provides 24/7/365 support worldwide to ensure that customers’ sites stay up and running and secure, with an optional premium support that include SLA’s on problem escalation and resolution.  This is a critical component for organizations that need to ensure that their website operations remain.  A free offering like Let’s Encrypt rarely comes with any form of live support.

 

4. Powerful Technical Capabilities and Advanced Options

  • Client Ubiquity — As the longest operating Certification Authority, Symantec’s roots are in more clients than any other Certification Authority.  Organizations that want to support Always on SSL and connectivity with the greatest number of users choose Symantec to secure their transactions.
  • Advanced Certificate Options — Symantec Secure Site Pro products include both RSA 2048 bit certificates and ECC 256 bit certificates which are optimal within Perfect Forward Secrecy.  These high security, high performance certificates are the future of SSL/TLS encryption and Symantec’s ECC roots are in more clients than any other Certification Authority.
  • Best in Class Revocation — Symantec provides revocation information to clients through both the Online Certificate Status Protocol (OCSP) and Certificate Revocation Lists (CRLs).  Both of these services are updated continually to communicate certificate revocation activity to clients worldwide.  The services are tuned to provide the fastest response times possible.   In the case of websites, OCSP response times can impact page load times and Symantec has invested in its infrastructure to provide OCSP responses in about 50 milliseconds for almost every major region in the world.  
    ssl-encryption-blog-4.jpg

 

5. Reliable Security and Business  Assurances

  • Warranties — Symantec offers the highest warranties of any Certification Authority.  These warranties can cover customers for losses of up to $1,750,000 from incorrect information contained on Symantec certificates.
  • Military-Grade Data Centers — Symantec’s roots and signing services are protected by the most stringent physical, network, and logical security and process controls.   The hardened facilities provide our customers with confidence that certificate issuance for their domains will not be compromised.  With ten years of continuous uptime, Symantec’s robust continuity practices are the best in the industry.
  • Contractual Commitments — Symantec customers have a contractual commitment from Symantec to maintain their products for the term of their contract.  Let’s Encrypt, as a non-profit, open-source Certification Authority, it will be difficult to offer such contractual guarantees, given the significant expenses associated with operating a publicly audited Certification Authority.
    ssl-encryption-blog-5.jpg
  • Focused investment – As the world’s largest security company, Symantec has both the resources and the motivation to ensure that the our SSL products are uncompromised.  Vulnerabilities like Heartbleed have clearly demonstrated that, despite the good intentions of OpenSSL, a non-profit organization with limited resources will be challenged to keep up with the rapidly-changing security threat landscape.

 

Modern Security for Modern Needs

Companies that know security understand they need to use modern-day security solutions in today’s environment and that SSL is more than just simple encryption.Please keep all of these factors in mind as you are building out your webserver security plans.For more information on Symantec SSL, please visit our website.

Is backing up your data the same as exposing it? In this case – Yes!

      No Comments on Is backing up your data the same as exposing it? In this case – Yes!

Losing contacts from your mobile phone is highly inconvenient. There’s seems to be a solution –  You can find them online! The catch? Your contacts are in a publicly accessible place. Seriously. If you care for your privacy you should always be suspicious about “Cloud Backup” solutions you find in the Google Play Store. The […]

??? ?? ?? ??? ??: ?? ??? ??? ??? ?????? ??? ??

      No Comments on ??? ?? ?? ??? ??: ?? ??? ??? ??? ?????? ??? ??
많은 스마트 홈 솔루션에 포함된 취약점을 통해 공격자가 네트워크에 액세스하여 여러분의 보금자리를 위태롭게 할 수 있습니다.

Twitter Card Style: 

summary

smarthouse-header-662x348_KR_0.png
작성자: Mario Ballano

크리스마스 휴가가 얼마 남지 않은 지금, 이 계절에 어울릴 법한 크리스마스 트리가 반짝이는 따스한 집이 떠오릅니다. 저와 같은 기술 매니아라면 하이테크 솔루션을 도입하고 다양하게 공급되는 홈오토메이션 장치로 크리스마스 장식의 조명을 컨트롤하고 싶은 생각이 들 것입니다. 하지만 시만텍이 조사한 바에 따르면, 이러한 장치 중 일부에 있는 보안 결함이 공격자가 홈 네트워크에 액세스하는 데 이용될 수 있습니다.

시만텍이 테스트한 두 가지 홈오토메이션 허브는 여러 보안 결함을 보유하여 공격자가 허브 자체뿐 아니라 확장을 통해 그 허브에 연결된 다른 장치에도 접근하도록 허용할 수 있습니다. 이 경우 허브만이 아니라 연결된 모든 장치가 위험합니다. 다른 여러 스마트홈 장치에서도 이와 비슷한 보안 결함이 발견될 수 있습니다.

소위 사물 인터넷(IoT)이라고 하는 인터넷 기반 장치가 폭발적으로 증가하면서 홈오토메이션의 무궁무진한 가능성이 발굴되고 있지만, 그와 동시에 심각한 보안 과제도 대두했습니다. 홈 사용자는 공격 대상이 PC와 스마트폰에 한정되지 않음을 알고 있어야 합니다.

판도라의 상자
이번 휴가 시즌에는 각종 스마트 홈 장치가 사용될 것입니다.

  • 크리스마스 조명을 컨트롤하는 스마트 전원 플러그
  • 산타의 방문을 지켜보기 위한 CCTV 카메라
  • 크리스마스 트리에 불이 붙을 경우에 대비한 스마트 연기 탐지기
  • 집 안 곳곳에서 크리스마스 캐롤을 들려주는 스마트 엔터테인먼트 시스템
  • 따뜻하고 아늑한 실내 분위기를 만드는 스마트 온도 조절 장치
  • 불청객을 막는 스마트 도어 잠금 장치
  • 휴가 여행으로 비운 집을 안전하게 지켜주는 스마트 보안 시스템

이러한 스마트 홈 장치 중 상당수는 무선으로 중앙 허브에 연결되므로 스마트폰이나 웹 브라우저에서 모두 관리할 수 있습니다. 스마트 홈 장치는 Wi-Fi 외에도 Powerline, Z-Wave, Zigbee 등 다양한 통신 프로토콜과 맞춤형 무선 프로토콜까지 사용합니다. 이번에는 먼저 두 가지 스마트 전원 플러그와 허브의 조합을 분석했습니다.

스마트 허브와 보안
우리가 살펴본 첫 번째 허브는 Wi-Fi와 자체 고유 무선 프로토콜을 통신에 사용합니다. 이 허브는 항상 최신 버전의 펌웨어를 실행하기 위해 정기적으로 인터넷에서 펌웨어 업데이트를 검색합니다. 이는 적절한 조치입니다. 사용자가 직접 IoT 장치를 업데이트하지 않을 가능성이 있고, 그러면 패치가 없는 상태에서 취약점에 대한 익스플로잇 공격으로 이어질 수 있기 때문입니다.

하지만 이번 테스트 결과 펌웨어 업데이트가 디지털 서명 없이 개방형 TFTP(Trivial File Transfer Protocol) 서버에서 다운로드되었습니다. 이 경우 동일 네트워크상의 공격자가 이 장치를 악성 TFTP 서버로 리디렉션할 수 있습니다. 이를테면 ARP(Address Resolution Protocol) 포이즈닝 수법을 구사하거나 DNS(도메인 이름 시스템) 설정을 변경하는 등 여러 가지 방법으로 가능합니다. 그런 다음 TFTP 서버가 장치에 악성 펌웨어 업데이트를 보낼 수 있습니다. 그러면 이 장치 전체가 감염되고 연결된 장치도 공격받을 수 있습니다. 공격자가 허브를 완전히 제어할 수 있게 되기 때문입니다.

이 스마트 허브는 연결된 장치에 명령을 보내는 데 추가 인증 또는 보안 구현 없이 맞춤형 무선 전송 프로토콜을 사용합니다. 안타깝게도 그로 인해 재생(Replay) 공격이 성공할 수 있습니다. 이는 해당 네트워크 범위에 있는 공격자가 일부 트래픽을 가로챈 다음 네트워크를 통해 재생하는 매우 단순한 공격입니다. 예를 들어, 외출하면서 차고 문을 여는 데 사용한 신호를 포착했다가 바로 그날 얼마 후에 이 신호를 통해 침입할 수 있습니다. 조명을 켜고 끄는 것도 마찬가지입니다. 공격자가 프로토콜을 알 필요도 없습니다. 단지 신호만 포착하여 재생 명령을 실행하면 됩니다.

사용자는 이 허브의 구성 세부 사항을 클라우드 서비스에 저장해두고 인터넷을 통해 임의의 웹 브라우저에서 장치를 관리할 수 있습니다. 안타깝게도 사용자 계정의 보호 장치는 요즘 공격자들이 이용하는 툴로 쉽게 알아낼 수 있는 단순한 4자리 PIN 코드입니다.

공격자가 PIN 코드를 알아낼 위험(특히 “1234”와 같이 안전하지 않은 PIN을 사용하는 경우가 많음) 외에도 이 클라우드 서비스는 여러 가지 문제점을 안고 있습니다. 우리가 알아낸 바에 따르면, 백엔드 서버는 블라인드 SQL 인젝션 공격에 취약합니다. 이 경우 다른 사용자의 구성 정보가 공개되거나 공격자가 다른 계정을 장악할 수도 있습니다. 그러면 공격자가 집 근처가 아닌 원격지에서도 크리스마스 트리 조명을 꺼버리는 것도 가능합니다.

시만텍이 테스트한 두 번째 스마트 홈 허브도 나을 바 없었습니다. 인터넷 네트워크에 전송되는 명령에서 그 어떤 인증 방식도 사용하지 않았습니다. 공격자가 허브와 동일한 Wi-Fi 네트워크에 있을 경우 허브에 연결된 모든 장치를 제어할 수 있습니다. 게다가 이 허브는 원격 코드 실행 취약점이 있어 공격자가 허브에 대한 루트 권한으로 임의의 명령을 실행하는 것도 가능합니다.

스마트 홈을 노리는 위험 요소
이러한 허브는 짧은 시간에 공격 가능하며 스마트 홈 장치에 포함된 각종 보안 결함 중 최신 유형에 속하는 2가지 예일 뿐입니다. 헤어진 배우자 집의 온도 조절 장치를 바꿔 놓거나 보안 잠금 장치가 작동하지 않도록 한 사례도 있습니다. 최근 보도에서 경고한 바에 따르면, 수천 대의 웹캠과 베이비 모니터는 인터넷상에 있는 누구라도 액세스 가능합니다. 또한 다른 사람의 홈오토메이션 시스템을 장악하여 제어한 사건도 보도된 바 있습니다.

일반적으로 스마트 홈 장치 센서는 장치의 JTAG 인터페이스에 직접 액세스하여 펌웨어를 수정하는 등의 방법으로 직접적인 공격이 가능합니다. 공격자가 이렇게 수정한 장치를 누군가에게 팔아 넘기면, 그 집의 다른 장치나 네트워크도 공격받을 위험이 있습니다.

공격자는 Wi-Fi 네트워크의 보안 설정에 따라 IoT 장치에서 중앙 허브, 스마트폰, 클라우드로 전달되는 통신을 가로채고 대신 본인의 명령을 집어넣을 수 있습니다.

또한 백엔드 클라우드 서버가 원격 관리에 사용되는 경우 이 역시 보호해야 합니다. 공격자가 무차별적인 수법으로 암호를 알아내 서버에 액세스할 수 있습니다.

다른 사람의 조명을 켜거나 끄는 것이 무슨 큰 문제가 되겠냐고 할 수도 있습니다. 하지만 휴가로 집을 비웠을 때 스마트 홈 공격 효과는 보안과 직결됩니다. 원격으로 조명을 제어하여 누군가가 집에 있는 것처럼 꾸며 도둑을 퇴치할 수도 있습니다. 한편 지능적인 도둑이 개방형 IP 웹캠을 사용하여 집 주인이 실제로 있는지, 귀중품이 어디에 있는지 확인하는 것도 가능합니다.

또 다른 잠재적 공격 방법은 그 효과가 검증된 랜섬웨어 모델을 스마트 홈에 적용하는 것입니다. 이 경우에는 집 주인이 난방을 켜거나 TV를 보려면 몸값을 지불해야 합니다. 스토킹, 빈집털이, 그밖의 여러 범죄에도 이용될 소지가 있습니다.

스마트 보호
스마트 홈 장치를 설치할 때 각별히 주의하고 그 장치의 구성 설정을 제대로 알고 있어야 합니다. 시만텍은 스마트 홈 장치 시장을 예의 주시하면서 분석 대상 장치의 약점을 발견하는 대로 해당 벤더에 알리고 있습니다.

스마트 홈 장치에 따라 보안은 천차만별입니다. 따라서 사용자에게 일반적인 조언을 하기는 쉽지 않습니다. 여기서는 스마트 홈 장치를 설치할 때 고려해야 할 점 몇 가지를 소개합니다.

  • 인터넷을 통한 원격 관리는 꼭 필요한 경우에만 사용하십시오.
  • 가급적 장치에 강력한 암호를 설정하십시오.
  • Wi-Fi 네트워크 보호를 위해 강력한 암호와 WP2 암호화를 사용하십시오.
  • 보안에 투자하는 업체의 신뢰할 수 있는 스마트 홈 브랜드 제품을 이용하십시오.

smarthouse-infographic-house-662x2324_KR_0.jpg

Smart security for today’s smart Segurança inteligente para casas inteligentes: Não de: Don’t let attackers spoil your Christmas

      No Comments on Smart security for today’s smart Segurança inteligente para casas inteligentes: Não de: Don’t let attackers spoil your Christmas
Resumo: A Symantec avalia a segurança de dispositivos inteligentes em casas automatizadas: interruptores, tomadas, timers, termostatos, detectores de fumaça, travas e alarmes.

Twitter Card Style: 

summary

smarthouse-header-662x348.png
Contribuição de: Mario Ballano

(imagem: Natal em uma casa inteligente – Não deixe que os ajudantes domésticos inteligentes do Papai Noel estraguem seu Natal)

Com a aproximação das festas de final de ano, a hora das decorações luminosas chegou novamente. Como um geek, eu sou naturalmente atraído por luzes piscantes que podem ser controladas por meio de dispositivos eletrônicos e logo fiquei empolgado ao ver todas as diferentes ferramentas inteligentes e recursos de automação residencial disponíveis no mundo da Internet das Coisas (IoT).

No entanto, considerando a quantidade de possíveis problemas de segurança que os aparelhos IoT podem gerar, será que eu abriria a Caixa de Pandora ao instalá-los em casa? Antes de utilizar esses aparelhos IoT, queria saber mais sobre o real nível de segurança destes aparelhos para lares inteligentes.

Há uma variedade enorme de dispositivos domésticos inteligentes que podem ser utilizados na temporada de festas, como por exemplo:

  • Interruptores inteligentes para controlar luzes de Natal;
  • Câmera CFTV de vigilância inteligente para filmar o Papai Noel;
  • Detector de fumaça inteligente, caso minha árvore de Natal pegue fogo;
  • Sistema inteligente de entretenimento para que as músicas festivas me acompanhem de um cômodo a outro;
  • Termostato inteligente para deixar minha casa quente e aconchegante;
  • Travas inteligentes para portas que impedem a entrada de visitantes indesejados;
  • Sistema de alarme de segurança na janela, que deixe minha casa segura quando sair de férias, entre outros.

Muitos destes dispositivos têm conexão sem fio com um hub central, que me permite gerenciar os aparelhos a partir de um smartphone ou navegador de internet. Além de se conectarem ao Wi-Fi, eles também utilizam uma ampla variedade de protocolos de comunicação, como Powerline, Z-Wave, Zigbee e protocolos customizados de rádio.

Assim, começamos nossa análise com duas combinações de interruptores inteligentes e o hub.

Hubs inteligentes e segurança
O primeiro hub utiliza Wi-Fi e seu próprio protocolo de rádio para a comunicação. Para garantir que ele esteja rodando a versão mais recente do firmware, ele verifica periodicamente a internet em busca de atualizações. Essa é uma boa prática, já que é improvável que os usuários atualizem seus dispositivos IoT manualmente, o que poderia criar o risco de vulnerabilidades exploráveis sem patches.

Entretanto, infelizmente neste caso, as atualizações de firmware não continham assinatura digital e eram baixadas de um servidor aberto de Protocolo de Transferência de Arquivos Triviais (TFTP). Tal fato pode permitir que um cibercriminoso na mesma rede redirecionasse o aparelho para um servidor TFTP malicioso, por exemplo, através de modificações no Protocolo de Resolução de Endereços (ARP) ou alterando os ajustes de sistema de nome de domínio (DNS). O servidor TFTP poderia, então, enviar uma atualização maliciosa de firmware para o dispositivo doméstico inteligente. E, se isso acontecer, toda a instalação seria comprometida e outros aparelhos poderiam ser atacados, já que o criminoso teria controle total sobre o hub.

O mesmo smart hub utiliza um protocolo customizado de transmissão por rádio para enviar comandos aos aparelhos conectados sem nenhuma autenticação adicional ou implementação de segurança. Infelizmente, isso permite o sucesso de ataques simples de replay. Se um atacante estiver próximo à rede, por exemplo, do lado de fora da casa, ele pode interceptar parte do tráfego e repetir os pacotes para apagar as luzes ou abrir o portão da garagem. E, mesmo que ele não entenda o protocolo, ele pode conduzir um replay de uma sessão gravada para repetir um comando.

Além disso, o usuário pode armazenar os detalhes de configuração do hub em um serviço de nuvem, possibilitando que o aparelho de smart hub seja gerenciado pela internet, a partir de qualquer navegador. A conta do usuário é protegida por um código PIN simples, de quatro dígitos, que definitivamente é curto demais para o mundo atual. Mas, além do problema de um atacante adivinhar o código (principalmente se considerarmos que “1234” é uma escolha comum e insegura para muitos usuários), há outras questões com este serviço de nuvem em particular. Constatamos que o servidor de backend é suscetível a um ataque de injeção cega de SQL. E isso tem o potencial de revelar outros detalhes de configuração do usuário ou até permitir que o atacante assuma o controle de outras contas. Ou seja, o atacante pode até mesmo desligar as luzes da árvore de Natal sem ao menos estar perto da casa.

Infelizmente, o segundo hub que analisamos não foi muito melhor. Este não utiliza nenhum método de autenticação para comandos enviados na rede interna. Se um atacante estiver na mesma rede Wi-Fi do hub, ele pode adquirir o controle sobre todos os outros aparelhos. Ele pode até ir um passo além, já que o hub tinha uma vulnerabilidade de execução de código remoto, executando comandos arbitrários com privilégios raiz sobre o hub.

Riscos para sua casa inteligente
Estes hubs são apenas dois exemplos do que conseguimos comprometer em um período curto. Há muitos outros aparelhos para casas inteligentes que podem ter falhas de segurança.

Já foi constatado que alguns dispositivos domésticos têm o mesmo tipo de problema, como casos onde pessoas alteraram o termostato do ex-cônjuge ou desativaram travas de segurança. Relatórios recentes alertam sobre como milhares de webcams de IP e babás eletrônicas são acessíveis a qualquer pessoa na internet. Também houve relatos de pessoas ganhando o controle sobre sistemas de automação residencial de terceiros.

De modo geral, vemos que sensores de dispositivos domésticos inteligentes podem ser diretamente afetados, por exemplo, modificando o firmware através de acesso físico à interface JTAG do aparelho. Os criminosos podem, assim, vender o aparelho modificado a outra pessoa, comprometendo outros aparelhos ou redes de sua casa.

E, dependendo dos ajustes de segurança da rede de Wi-Fi, os atacantes podem interceptar as comunicações do dispositivo IoT para o hub central, smartphone ou nuvem, e injetar seus próprios comandos.

Além disso, se o servidor de backend da nuvem for utilizado para administração remota, essa parte deve estar protegida, já que atacantes podem tentar forçar senhas para obter acesso a este servidor.

Você pode dizer que acender ou apagar as luzes de outra pessoa não traz um grande problema. Pode ser, mas os efeitos de um ataque à casa inteligente são mais relevantes para a segurança quando você está de férias. Algumas pessoas podem usar luzes controladas remotamente para fingir que ainda há alguém em casa e afastar ladrões. Ladrões inteligentes poderiam usar webcams de IP abertas para verificar se os donos estão em casa e onde estão seus itens mais valiosos.

Outra possível via de acesso que pode ser explorada por atacantes seria aplicar o modelo de ransomware (rapto de softwares) à residência inteligente. O dono da casa seria, então, coagido a pagar um resgate para poder aumentar a calefação ou até mesmo assistir TV.

Este é um assustador paraíso para perseguidores, ladrões e outros personagens obscuros. Se eles encontrarem falhas nos sensores de segurança ou travas de portas, conseguem tudo de que precisam para arruinar seu fim de ano.

Proteção inteligente
É por isso que você deve estar atento ao instalar dispositivos domésticos inteligentes e garantir que entende bem os ajustes de configuração dos aparelhos. Nós da Symantec ficaremos de olho no mercado de aparelhos domésticos inteligentes e continuaremos a informar os fornecedores sobre pontos fracos descobertos.

A segurança varia muito em diferentes aparelhos domésticos inteligentes, portanto é difícil dar conselhos genéricos aos usuários. Seguem alguns pontos a serem considerados ao instalar aparelhos domésticos inteligentes:

  • Habilite a administração remota pela internet apenas se for realmente necessário
  • Defina uma senha forte para os aparelhos quando possível
  • Utilize senhas fortes e criptografia WP2 para proteger sua rede de Wi-Fi
  • Utilize marcas confiáveis para casas inteligentes, que invistam em segurança.

Infografico_smart-home_Pt_Br.png

Smart security for today’s smart homes: Don’t let attackers spoil your Christmas

      No Comments on Smart security for today’s smart homes: Don’t let attackers spoil your Christmas
Many smart home solutions contain flaws that could allow attackers to access your network and potentially compromise your home’s security

Twitter Card Style: 

summary

smarthouse-header-662x348.png
Contributor: Mario Ballano

With the holiday season around the corner, thoughts turn to a warm home brightened up by the twinkle of seasonal decorations. If you’re a geek like me, it’s always tempting to opt for the high-tech solution and control your festive lights with one of the growing number of home automation devices available. However, Symantec has found that some of these devices contain security flaws that could allow attackers to gain access to your home network. 

Two home automation hubs tested by Symantec had multiple security flaws that could potentially allow attackers to gain access to the hubs themselves and, by extension, to other devices connected to them. The issues aren’t specific to these particular hubs; any connected device is potentially at risk. Many more smart home devices potentially have similar security flaws. 

While the explosion of internet-enabled devices, known as the Internet of Things (IoT), holds exciting possibilities for home automation, it also presents some serious security challenges and home users need to be aware that it isn’t just their PCs or smartphones that could be compromised by attackers. 

A Pandora’s Box  
There is a huge range of smart home devices that could find their way into your house this holiday season:

  • Smart power plugs to control Christmas lights
  • CCTV cameras to catch Santa’s visit
  • Smart smoke detectors in case the Christmas tree catches fire
  • Smart entertainment systems, allowing the festive music to follow you from room to room
  • Smart thermostats to keep your home nice and warm
  • Smart door locks to keep unwanted guests out
  • Security alarm systems to keep your home safe while on vacation

Many of these smart home devices connect wirelessly to a central hub which lets you manage them all  from a smartphone or web browser. Apart from Wi-Fi, smart home devices use a wide range of communication protocols, such as Powerline, Z-Wave, Zigbee, in addition to custom radio protocols. We started our analysis with two smart power plug and hub combinations.

Smart hubs and security
The first hub we looked at uses Wi-Fi and its own radio protocol for communication. To ensure that the hub is running the latest version of its firmware, it periodically checks the internet for firmware updates. This is a good practice, as users are unlikely to manually update their IoT devices themselves and could potentially fall foul of unpatched, exploitable vulnerabilities.

However, in this case, the firmware updates were not digitally signed and were downloaded from an open Trivial File Transfer Protocol (TFTP) server. This could allow an attacker on the same network to redirect the device to a malicious TFTP server. There are several means of doing this such as through Address Resolution Protocol (ARP) poisoning or by changing the domain name system (DNS) settings. The TFTP server could then send a malicious firmware update to the device. If this happens, then the complete setup would be compromised and other connected devices could be attacked, as the attacker would have full control over the hub. 

This same smart hub uses a custom radio transmission protocol for sending commands to connected devices without any additional authentication or security implementation. Unfortunately, this allows for successful replay attacks. These are very simple attacks which allow an attacker within range of the network to intercept some of the traffic and then replay it back over the network. For example, a signal to open a garage door captured while you are leaving the house could be used again later in the day to gain access. The same can be done for turning on or off lights. The attacker doesn’t even need to understand the protocol, they simply have to capture the signal used to issue a command a replay it. 

The user can store this hub’s configuration details in a cloud service, allowing them to manage the device from the internet through any web browser. Unfortunately, the user’s account is protected by a simple, four-digit PIN code. This can be easily cracked with the tools available to today’s attackers. 

Apart from the problem of an attacker guessing the PIN code (especially considering how “1234” is a common, unsecure PIN choice for many users), there are other issues with this particular cloud service. We discovered that the backend server is susceptible to a blind SQL injection attack. This could potentially reveal other users’ configuration details or may even let the attacker take control of other accounts. This could let the attacker switch off Christmas tree lights, or worse, without even being close to the house.

Unfortunately, the second smart home hub that we tested was not much better. This one did not use any authentication method for commands that were sent in the internal network. If an attacker is on the same Wi-Fi network as the hub, then they could gain control of any device connected to the hub. They could even go a step further, as the hub had a remote code execution vulnerability, allowing the attacker to execute arbitrary commands with root privileges on the hub.

Risks to your smart home
These hubs are just two examples of what we managed to compromise in a short space of time and are the latest in a long line of security flaws found in smart home devices. For example, there have been cases where people modified the thermostat of their ex-spouse or disabled security locks. Recent reports warned of how thousands of webcams and baby monitors are accessible to anyone from the internet. There have also been reports of people taking control of home automation systems belonging to others.

In general, we have found that smart home device sensors can be attacked directly, for example by modifying the firmware through physical access to the device’s JTAG interface. The attackers could then sell the modified device to someone else, potentially compromising other devices or networks in their home. 

Depending on the Wi-Fi network’s security settings, attackers could intercept communications from an IoT device to the central hub, smartphone, or the cloud and inject their own commands. 

Additionally, if a backend cloud server is used for remote administration, this part also needs to be protected. Attackers could attempt to brute-force passwords to gain access to this server.

You may say that switching someone’s lights on and off is not such a big deal. This may be true, but the effects of a smart home attack are more relevant to security when you are on vacation. Some people may use remote-controlled lights to pretend that someone is still at home to keep burglars away. Smart thieves could also use open IP webcams to check if the owners are at home and where their valuable items are. 

Another possible avenue for attackers to explore would be to apply the proven-to-work model of ransomware to the smart home. The homeowner could be coerced to pay a ransom in order to turn up the heating or even just to watch TV. This is a creepy potential paradise for stalkers, burglars, and other shady characters.

Smart protection
You should be vigilant when installing smart home devices and make sure that you understand the devices’ configuration settings. We at Symantec will keep our eyes open on the smart home device market and continue to inform vendors about discovered weaknesses in the devices we study.

Security varies a lot with different smart home devices, so it is difficult to give generic advice to users. Here are a few points to consider when installing smart home devices:

  • Only enable remote administration from the internet if you really need it
  • Set a strong password for the devices where possible
  • Use strong passwords and WP2 encryption to protect your Wi-Fi network
  • Use trusted smart home brands from companies that invest in security

smarthouse-infographic-house-662x2324.png

Donate generously on Giving Tuesday, but watch out for scams

      No Comments on Donate generously on Giving Tuesday, but watch out for scams

#GivingTuesday is a day dedicated to give from the bounty we have received. After the shopping free-for-all of Black Friday, the local discoveries of Small Business Saturday, and the online click frenzy of Cyber Monday, people the world over have a day for giving thanks. On Tuesday, December 2, 2014, charities, families, businesses, community centers, […]