CoAP-DDoS-Angriffe wurden bereits in freier Wildbahn entdeckt, einige mit Geschwindigkeiten von 320 Gbit/s.
RFC 7252, auch bekannt als Constrained Application Protocol (CoAP), ist im Begriff, eines der am häufigsten missbrauchten Protokolle im Hinblick auf DDoS-Angriffe zu werden, sagten Sicherheitsforscher gegenüber ZDNet.
Wenn den Lesern der Name dieses Protokolls nicht bekannt ist, liegt das daran, dass es neu ist – es wurde erst 2014 offiziell genehmigt und bis zu diesem Jahr weitgehend ungenutzt.
Was ist CoAP?
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
CoAP wurde als leichtes Machine-to-Machine-Protokoll (M2M) entwickelt, das auf intelligenten Geräten ausgeführt werden kann, auf denen Speicher und Rechenressourcen knapp sind.
Vereinfacht ausgedrückt ist CoAP HTTP sehr ähnlich, aber anstatt auf TCP-Paketen zu arbeiten, basiert es auf UDP, einem leichteren Datenübertragungsformat, das als TCP-Alternative entwickelt wurde.
So wie HTTP zum Transport von Daten und Befehlen (GET, POST, CONNECT usw.) zwischen einem Client und einem Server verwendet wird, ermöglicht CoAP auch dasselbe Multicast und Befehlsübertragungsfunktionen, ohne jedoch die gleiche Menge an Ressourcen zu benötigen, was es ideal für die zunehmende Welle des Internets der Dinge (IoT) von heute macht. Geräte.
Aber wie jedes andere UDP-basierte Protokoll ist auch CoAP von Natur aus anfällig Spoofing von IP-Adressen Und Paketverstärkung, die beiden Hauptfaktoren, die die Verstärkung eines DDoS-Angriffs ermöglichen.
Ein Angreifer kann ein kleines UDP-Paket an einen CoAP-Client (ein IoT-Gerät) senden, und der Client würde mit einem viel größeren Paket antworten. In der Welt der DDoS-Angriffe wird die Größe dieser Paketantwort als Verstärkungsfaktor bezeichnet, und bei CoAP kann dies der Fall sein Der Wert liegt zwischen 10 und 50, abhängig vom ursprünglichen Paket und der resultierenden Antwort (und der Protokollanalyse, die Sie gerade lesen).
Da CoAP außerdem anfällig für IP-Spoofing ist, können Angreifer die „Absender-IP-Adresse“ durch die IP-Adresse von ersetzen ein Opfer, gegen das sie einen DDoS-Angriff starten möchten, und dieses Opfer würde die unverblümte Kraft des verstärkten CoAP erhalten Verkehr.
Die Leute, die CoAP entwickelt haben, haben Sicherheitsfunktionen hinzugefügt, um diese Art von Problemen zu verhindern, aber wie Cloudflare in a Blogeintrag Wenn Gerätehersteller letztes Jahr diese CoAP-Sicherheitsfunktionen implementieren, ist das CoAP-Protokoll nicht mehr so leicht und macht alle Vorteile eines leichtgewichtigen Protokolls zunichte.
Aus diesem Grund verzichten die meisten heutigen CoAP-Implementierungen auf die Verwendung gehärteter Sicherheitsmodi und setzen stattdessen auf einen „NoSec“-Sicherheitsmodus, der das Protokoll schlank, aber auch anfällig für DDoS-Missbrauch hält.
Der Aufstieg von CoAP
Aber da es sich bei CoAP um ein neues Protokoll handelte, hätten ein paar Hundert anfällige Geräte hier und da nie ein Problem gegeben, selbst wenn alle im NoSec-Modus laufen würden.
Leider begannen sich die Dinge zu ändern. Laut einem Vortrag, den Dennis Rand, Gründer von eCrimeLabs, im Sommer auf der RVAsec-Sicherheitskonferenz hielt (19:40 Uhr) ist die Zahl der CoAP-Geräte seit November 2017 explodiert.
Laut Rand stieg die Zahl der CoAP-Geräte von niedrigen 6.500 im November 2017 auf über 26.000 im nächsten Monat. Im Jahr 2018 kam es noch schlimmer, denn im Mai lag diese Zahl bei 278.000 Geräten, eine Zahl, die noch nicht erreicht wurde Laut Shodan, einer Suchmaschine für Internetverbindungen, liegt die Zahl heute bei 580.000 bis 600.000 Geräte.
Rand vermutet, dass der Grund für diese Explosion die Verwendung von CoAP im Rahmen von ist QLC-Kette (früher bekannt als QLink), ein Projekt, das darauf abzielt, ein dezentrales Blockchain-basiertes Mobilfunknetzwerk unter Verwendung von in ganz China verfügbaren WiFi-Knoten aufzubauen.
Doch dieser plötzliche Anstieg leicht verfügbarer und schlecht gesicherter CoAP-Clients ist nicht unbemerkt geblieben. In den letzten Wochen haben die ersten über CoAP durchgeführten DDoS-Angriffe erste Spuren hinterlassen.
Ein Sicherheitsforscher, der sich mit DDoS-Angriffen befasst, seinen Namen jedoch aufgrund von Arbeitsverträgen nicht preisgeben konnte, sagte gegenüber ZDNet, dass es sich um CoAP-Angriffe gehandelt habe kam in den letzten Monaten gelegentlich vor, mit zunehmender Häufigkeit, wobei durchschnittlich 55 Gbit/s erreicht wurden, wobei der größte Wert bei lag 320 Gbit/s.
Der Durchschnitt von 55 Gbit/s ist um eine Größenordnung höher als die durchschnittliche Größe eines normalen DDoS-Angriffs, die laut einem DDoS-Abwehrunternehmen bei 4,6 Gbit/s liegt Link11.
Von den 580.000 CoAP-Geräten, die derzeit auf Shodan verfügbar sind, sagte derselbe Forscher gegenüber ZDNet Etwa 330.000 könnten (ab) zur Weiterleitung und Verstärkung von DDoS-Angriffen mit einem Verstärkungsfaktor von bis zu verwendet werden 46 Mal.
Die meisten der vom Forscher registrierten Angriffe richteten sich gegen verschiedene Online-Dienste in China, aber auch gegen einige MMORPG-Plattformen außerhalb des chinesischen Festlandes.
Es ist unklar, ob CoAP als Angriffsoption zu DDoS-for-Hire-Plattformen hinzugefügt wurde, aber sobald dies geschieht, werden solche Angriffe noch intensiver.
Darüber hinaus hat der Einsatz von CoAP in der realen Welt in diesem Jahr explosionsartig zugenommen, war jedoch hauptsächlich auf China beschränkt. Man kann mit Sicherheit davon ausgehen, dass CoAP, sobald es in China, dem heutigen Hauptproduktionszentrum, bereits populär geworden ist, Anfällige Geräte werden sich auch auf andere Länder ausbreiten, wenn im kommunistischen Staat hergestellte Geräte verkauft werden Übersee.
Wir wurden gewarnt
Wie bei den meisten Protokollen, die im Hinblick auf IoT entwickelt wurden, scheint das Problem nicht im Protokoll zu liegen Design, das einige grundlegende Sicherheitsfunktionen umfasst, sondern auch darauf, wie Gerätehersteller CoAP live konfigurieren und bereitstellen Geräte.
Leider ist das nichts Neues. Viele Protokolle werden oft versehentlich oder absichtlich von Geräteherstellern falsch konfiguriert, die häufig Interoperabilität und Benutzerfreundlichkeit über Sicherheit stellen.
Was einige Sicherheitsforscher jedoch verärgern wird, ist die Tatsache, dass einige vorhergesagt haben, dass dies passieren würde, noch bevor CoAP als offizieller Internetstandard genehmigt wurde, und zwar bereits im Jahr 2013.
Dies wäre eine völlig vermeidbare Katastrophe, wenn nur Länder auf der ganzen Welt strengere Regeln für IoT-Geräte und ihre Sicherheitsfunktionen hätten.
Nebenbei bemerkt – und zufälligerweise – da CoAP-DDoS-Angriffe jetzt zunehmend Beachtung finden, Federico Maggi, Sicherheitsforscher bei Trend Micro, hat sich auch die DDoS-Verstärkung von CoAP angeschaut Fähigkeiten, Forschung die er diese Woche auf der Black Hat-Sicherheitskonferenz in London vorstellen wird.
Die gleiche Forschung befasste sich auch mit einem anderen M2M-Protokoll, MQTT. auch als Chaos bekannt, und in dem der Forscher mehrere Schwachstellen identifiziert hat.
Dies sind die schlimmsten Hacks, Cyberangriffe und Datenschutzverletzungen des Jahres 2018
Weitere Sicherheitsnachrichten:
- Intel-CPUs von neuer PortSmash-Seitenkanal-Schwachstelle betroffen
- Intel erreicht Repräsentationsziel in seiner US-Belegschaft CNET
- Intel Foreshadow-Exploits: So schützen Sie sich TechRepublic
- Rowhammer-Angriffe können jetzt den ECC-Speicherschutz umgehen
- Neuer Onlinedienst wird Drucker hacken, um Spam auszuspucken
- Computer des US-Senats werden Festplattenverschlüsselung verwenden
- Die erste große Sicherheitslücke von Kubernetes wurde entdeckt
- Hacker öffnen SMB-Ports an Routern, um PCs mit NSA-Malware zu infizieren