White Paper: Ransomware og Internet of Things (IoT)
.ed"""" """$$$$be. ^""**$$$e. '$$$c / "4$$b d 3 $$$$ $ * .$$$$$$ .$ ^c $$$$$e$$$$$$$$. d$L 4. 4$$$$$$$$$$$$$$b $$$$b ^ceeeee. 4$$ECL.F*$$$$$$$ e$""=. $$$$P d$$$$F $ $$$$$$$$$- $$$$$$ z$$b. ^c 3$$$F "$$$$b $"$$$$$$$ $$$$*" .=""$c 4$$$$L $$P" "$$b .$ $$$$$...e$$ .= e$$$. ^*$$$$$c %.. *c .. $$ 3$$$$$$$$$$eF zP d$$$$$ "**$$$ec " %ce"" $$$ $$$$$$$$$$* .r" =$$$$P"" "*$b. "c *$e. *** d$$$$$"L$$ .d" e$$***" ^*$$c ^$c $$$ 4J$$$$$% $$$ .e*".eeP" "$$$$$$"'$=e....$*$$**$cz$$" "..d$*" "*$$$ *=%4.$ L L$ P3$$$F $$$P" "$ "%*ebJLzb$e$$$$$b $P" %.. 4$$$$$$$$$$ " $$$e z$$$$$$$$$$% "*$c "$$$$$$$P" ."""*$$$$$$$$bc .-" .$***$$$"""*e. .-" .e$" "*$c ^*b. .=*"""" .e$*" "*bc "*$e.. .$" .z*" ^*$e. "*****e. $$ee$c .d" "*$. 3. ^*$E")$..$" * .ee==d% $.d$$$* * J$$$e* """"" "$$$" -"
."
Dansk Brand- og Sikringsteknisk Institut (DBI) White Paper: Ransomware og Internet of Things (IoT) December, 2016 Jesper Florin, Petra Xotta
Introduktion ’Internet of Things’ (IoT) enheder bliver i stigende grad udviklet og anvendt af forbrugere, virksomheder og offentlige institutioner. IoT-enheder er karakteriseret ved at være enheder, som er tilsluttet internettet, f.eks. smart-TV, smart-ure, smart-pærer, legetøj, IP-kameraer, elektroniske hjemmeassistenter, m.m. I takt med den stigende anvendelse af IoT-enheder kan vi forvente en stigende bølge af cyberangreb, som vil forsøge at identificere og udnytte sårbarheder i disse enheder. Da IoT-enhederne ofte er koblet på det trådløse netværk, kan de agere gateway for angreb mod andre tilkoblede enheder på netværket. Særligt ransomware har været i stigende vækst, og allerede nu ser vi en tendens med ransomware-angreb, der er specielt designet til IoT-enheder. I denne whitepaper vil vi gennemgå forskellige udfordringer om IoT sikkerhed ift. nuværende og fremtidige ransomware-angreb, samt hvad vi anbefaler der skal til for at sikre IoT mod disse typer afcyberangreb.
1
White Paper: Ransomware og Internet of Things (IoT) ’Internet of Things’ (IoT) IoT er i princippet elektroniske apparater, som er med til at gøre hverdagen lettere, ved at opsamle og analysere data, som bliver omsat til en eller anden form for værdifuld viden, til gavn for brugeren. IoT-enheder kan derfor være udstyret med en lang række forskellige sensorer, som indsamler information, f.eks. smart-pærer, som efterfølgende omsættes til viden, ved f.eks. at vide hvilken tid på dagen det er, for derefter at justere smart-pærens lysstyrke eller farve. For at de indsamlede informationer kan omsættes til brugbar viden er IoT-enheden tilkoblet internettet, hvilket typisk vil være en trådløs Wi-Fi forbindelse, hvoraf navnet ”Internet of Things” kommer fra. Her et eksempel på en smarttermostat fra Quby
’Internet of Things’ forventes at udgøre mere end 30 mia. enheder i 2020 12, som er sammensat i et større netværk der udveksler information via tre forskellige kommunikationsformer: (1) person til person, (2) person til enhed, og (3) enhed til enhed. Et eksempel på, hvordan IoT forventes at kunne have indflydelse på vores liv, kunne være, at når en person vågner om morgenen, så registrerer alarmuret automatisk hvornår man er steget ud af sengen, og stopper herefter alarmen. Alarmuret kommunikerer nu til kaffemaskinen at den skal begynde at ’Internet of Things’ forventes at udgøre brygge kaffe, og 30 minutter senere starter mere end 30 mia. enheder i 2020 bilen sin motor for at varme bilen op, inden du skal afsted på arbejde. Når du forlader hjemmet slukkes al lyset automatisk, og alle døre 1
http://www.mckinsey.com/industries/high-tech/our-insights/the-internet-of-things-sizing-up-theopportunity 2 http://nordic.businessinsider.com/how-the-internet-of-things-market-will-grow-2014-10?r=US&IR=T
2
White Paper: Ransomware og Internet of Things (IoT) låses. På grund af trafik ender du med at være 20 min. forsinket, og din bil, som har adgang til din kalender, sender automatisk en besked til de personer, som du havde aftalt et morgenmøde med, og orienterer dem om din forsinkelse. Dit armbåndsur tracker samtidig din effektivitet i løbet af dagen, og analyserer dine bevægelsesmønstre, dit stres-niveau og hjælper dig med at optimere din dag. IoT-enheder kan i princippet omfatte alle typer enhederne, som tilsluttes internettet, og som ikke er omfattet af de mere traditionelle computerenheder (herunder smartphones, tablets og computere). Derfor er der uendelig mange applikationsmuligheder for IoT.
Ransomware Ransomware referer til en type malware, en virus, som mod brugerens vilje krypterer dele af harddisken, med henblik på at afpresse brugeren til at betale en løsesum (ransom) for at få genoprettet adgang til de krypterede filer.
I Danmark rammes vi ca. 800 gange om dagen af ransomware-angreb, hvilket svarer til ca. 300.000 ransomwareangreb, alene i år 2016.
Ransomware-angreb har oplevet en eksplosiv stigning i de senere år, og fra en nylig rapport fra det russiske ITsikkerhedsfirma Kaspersky Lab har hvert femte selskab i verden nu været udsat for et ransomware-angreb. Virksomheden, som bl.a. står bag et af de større og populære antivirusprogrammer, registrerer et nyt ransomware-angreb mod virksomheder hvert 40. sekund, døgnet rundt3. I Danmark rammes vi ca. 800 gange om dagen af ransomware-angreb, hvilket svarer til ca. 300.000 ransomware-angreb, alene i år 2016 4. Sidste år blev der endvidere identificeret mere end 44.287 forskellige variationer af ransomware. Blandt de mest populære variationer har Kaspersky Lab detekteret følgende: Nr. 1 2 3 4 5 6 7 8 9 10
Ransomware type CTB-Locker Locky TeslaCrypt Scatter Cryakl Cryptowall Shade Snocry Crysis Cryar/ACCDFISA
Pct. af tilfælde 25,32 7,07 6,54 2,85 2,79 2,36 1,73 1,26 1,15 0,90
Kilde: Kaspersky Security Bulletin 2016. The Ransomware Revolution
3
https://securelist.com/files/2016/12/KSB2016_Story_of_the_Year_ENG.pdf http://www.computerworld.dk/art/238004/danmark-er-blevet-ramt-af-ransomware-angreb-150-000gange-siden-nytaar 4
3
White Paper: Ransomware og Internet of Things (IoT) Ransomware regnes for at være blandt de alvorligste cybersikkerhedstrusler lige nu på grund af den massive udbredelse, som metoden har fået.
Ransomwaretruslen mod IoT Årsagen til, at ransomware i stigende grad udgør en trussel, er et mix mellem udbredelsen af ransomware-angreb og udbredelsen af IoT-enheder. Med et stigende antal er forbundne enheder til det samme netværk, vil der Den næste generation af ransomware vil være flere muligheder for at identificere en rykke cyberangreb fra den digital sfære sårbarhed, som kan udnyttes af en over i den fysiske, gennem målrettede ondsindet hacker.
IoT angreb.
Ransomware er generelt blevet mere avanceret. Det er blevet organiseret, og det er blevet nemt at starte med, selv for folk, som ikke selv kan programmere malwaren. De kan enten købes eller downloades gratis adskillelige steder på nettet. I takt med større integration af IoT enheder, vil vi se de klassiske ransomware-angreb, som handler om at låse data, udvikle sig til at låse fysiske enheder. Den næste bølge af ransomware-angreb vil rykke cyberangreb fra den digital sfære over i den fysiske, gennem målrettede IoT angreb. I stedet for at få låst digitale filer, så vil næste bølge af ransomwareangreb således være rettet mod til at låse adgang til fysiske enheder, f.eks. ens smart-TV eller smart-låse til hjemmet. Selvom vi forsat mangler eksempler på, at cyberkriminelle har målrettet angreb til IoT-enheder, så er flere proof-of-concept angreb blevet udført, som demonstrerer sårbarheder, og som er med til at øge opmærksomheden på konsekvenserne. I august 2016 … to cybersikkerhedsforskere demoneksperimenterede to forskere fra Pen Test strerede, at de var i stand til at komproPartners, en britisk IT- mittere en 2014 Jeep Cherokees digitale sikkerhedsvirksomhed, med en smart- systemer via internettet … termostat, som de succesfuldt fik kørt ransomware på. Malwaren låste smart-termostaten ved 99 grader, medmindre ejeren betalte for at få låst adgangen op igen. Andre og mere seriøse eksempler omfatter forsøg i 2015, hvor to cybersikkerhedsforskere demonstrerede, at de var i stand til at kompromittere en 2014 Jeep Cherokees digitale systemer via internettet og fjernkontrollere dele af køretøjet 5. De gentog dette i 2016 ved en konference, hvor de introducerede nye former for angreb mod selvsamme køretøj. Dette kan have fatale konsekvenser, hvis bilen opereres på f.eks. en motorvej, og det er blevet spekuleret, hvorvidt kompromittering af et køretøjs digitale systemer kan anvendes i alt fra ransomware-angreb til terrorisme. Det forventes, at særligt IoT-enheder, som indgår i det industrielle IT-økosystem, vil være attraktive mål for ransomware-angreb, herunder kritisk infrastruktur. Vi har allerede set de første eksempler på, hvordan hospitaler er blevet angrebet, som f.eks. Methodist Hospital i 5
https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/
4
White Paper: Ransomware og Internet of Things (IoT) Henderson, Kentucky, som blev lagt ned af et ransomware-angreb, som hindrede personale adgang til patientfiler 6. Med udviklingen af IoT kan man forvente, at mere og mere hospitalsudstyr bliver tilkoblet internettet, hvilket vil gøre dem mere sårbare, hvis ikke den rette sikkerhed er implementeret. Den kan have decideret dødelige efterfølger, hvis kritisk operationsudstyr tages ud af drift.
Løsning Med IoT-enheders tilstedeværelse i vores personlige liv og i virksomheder, vil det i stigende grad udgøre en trussel for den generelle cybersikkerhed. En af de helt store udfordringer er, at der på nuværende tidspunkt ikke eksisterer en samlet En af de helt store udfordringer sikkerhedsstandard, som IoT-producenterne er enige er, at der på nuværende om at følge, der opstiller nogle minimumskrav til tidspunkt ikke eksisterer en sikkerheden. Det er derfor op til den enkelte producent at definere, hvordan de ønsker at samlet sikkerhedsstandard … forholde sig til sikkerheden i deres produkt, og det er næsten umuligt for virksomheder og privatpersoner selv at undersøge, hvorvidt deres nylig integrerede IoT-enhed har åbenlyse sårbarheder, som kan være med til at underminere cybersikkerheden. Selvom der ikke eksisterer en løsning, som kan tilgodese alle former for sikkerhedsstandarder for IoT-enheder, så anbefales udviklingen af en nogle generelle guidelines og praksis, som kan hjælpe producenter med at udvikle mere sikre og resistente IoT-enheder. Dette kunne f.eks. være sikker fjernopdatering af firmware, da det desværre er svært at forestille sig, at sikkerhed er en konstant for et IT-produkt, hvorfor det vil være nødvendigt med løbende opdatering, i takt med identificeringen af nye sårbarheder. Der er Der er derfor behov for en derfor behov for en standardisering af standardisering af cybersikkerheden for cybersikkerheden for IoT-enheder, som sætter en ramme om nogle minimumskrav IoT-enheder, som sætter en ramme om til producenterne for, hvordan deres nogle minimumskrav til producenterne enheder bør sikres i udviklingsprocessen. En sådan ramme er ikke en one-size-fits-all løsning, men det skaber et fundament for at evaluere og verificere sikkerhedsniveauet for IoT-enheder. Det skaber et bedre produkt fra producenten, en bedre og mere tryg oplevelse for brugerne og det har en samfundsmæssig gevinst, ved at mindske risici forbundet med cyberangreb. Institute of Electrical and Electronics Engineers (IEEE) tror på fordelene ved implementeringen af globale sikkerhedsstandarder, herunder for IoT-enheder. De foreslog i 2016 en ramme for standardisering af sikkerhed for IoT, som kan ses i nedenstående tabel.
6
https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
5
White Paper: Ransomware og Internet of Things (IoT)
IEEE’s forslået ramme til en IoT standard Internet of Secure Things Framework Secure Boot Authentication Hardware Integration
Secure Communication Data Protection Firewall Intrusion Detection Event Reporting Remote Command Audit Policy Management Kilde: IEEE Standards University
7
Selvom ovenstående dækker mange områder, er det langt fra udtømmende, da der er mange elementer, som bør adresseres i forhold til IoT sikkerhedsstandarder. Men den forslåede IEEE ramme fokuserer på det mest essentielle, og generelt kan man sige, at en brugbar sikkerhedsstandard bør skabe sikkerhed for enheden ved at sikre at kun godkendt kode fra en kilde, som enheden har tillid til vil kunne køres på enheden. Derudover bør en sikkerhedsstandard beskytte data ved bl.a. etablering af sikker kommunikation og at enheden kun kommunikerer med andre godkendte enheder, implementering af sikkerhedssystemer, som kan opdage potentielle ondsindede forsøg, samt opdaterings- og patchpolitik, så man kan imødekomme nye cybertrusler og dermed lukke disse sikkerhedshuller.
7
http://www.standardsuniversity.org/e-magazine/march-2016/iot-security-standards-paving-the-wayfor-customer-confidence/
6