SlideShare a Scribd company logo

Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”

G
GiovanniCoronica

Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI

Engineering
1 of 9
Download to read offline
UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di Studi in Ingegneria Elettronica e Informatica Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices” Laureando: Giovanni CORONICA Relatore: prof. Alberto BARTOLI Anno accademico 2021-2022
2 Sommario 1 INTRODUZIONE ..................................................................................... 3 2 METODOLOGIA...................................................................................... 4 2.1 Ricerca di dispositivi IoT configurati erroneamente ............................ 4 2.2 Analisi del traffico verso gli honeypot e il network telescope............... 5 3 RISULTATI .............................................................................................. 5 3.1 Scansione di Internet su larga scala e identificazione degli honeypot .. 5 3.2 Attacchi effettuati agli honeypot posizionati e al network telescope ... 6 4 DISCUSSIONE DEI RISULTATI ............................................................. 7 4.1 Tendenze degli attacchi ....................................................................... 7 4.2 Verifica della provienienza degli attacchi ............................................ 8 5 CONCLUSIONI......................................................................................... 8
3 1 INTRODUZIONE Con l’implementazione e l’evoluzione dei sistemi IoT, il numero di dispositivi mal configurati che possono accedere a Internet è aumentato. Il NIST definisce una configurazione errata come: “Una configurazione incorretta o non ottimale di un sistema informatico o di un componente del sistema che può portare a delle vulnerabilità”. Attualmente ci sono diversi malware che tentano di sfruttare le vulnerabilità dei dispositivi IoT, setacciando continuamente l’Internet su larga scala, utilizzando anche delle botnet per facilitare gli attacchi. Finora i botmaster 1 hanno cercato vulnerabilità in rete nei sistemi con configurazioni errate dei protocolli Telnet e SSH; studi recenti però mostrano che ora è possibile l’utilizzo di bot che sfruttano le vulnerabilità di protocolli IoT come MQTT, AMQP e UPnP. Lo studio di Srinivasa et al. mira a rivelare lo stato dei dispositivi IoT in rete e a esplorare l'attuale scenario degli attacchi informatici ai suddetti. 1 Entità che gestisce il controllo delle botnet per l'esecuzione di processi in remoto.
4 2 METODOLOGIA 2.1 Ricerca di dispositivi IoT configurati erroneamente La ricerca dei dispositivi IoT comprende la scansione dell’Internet su larga scala su protocolli basati su TCP (Telnet, MQTT, AMQP e XMPP) e UDP (CoAP e UPnP), ma anche l’analisi dei risultati di scansioni precedenti presenti sui dataset liberi di Shodan e Project Sonar. Per identificare i dispositivi configurati in modo errato è stato adoperato un criterio differente a seconda del protocollo di livello trasporto utilizzato. La ricerca si è concentrata su dispositivi con mancanza di autorizzazione, autenticazione o criptazione dei dati, oppure su dispositivi che avevano un’autenticazione con credenziali di default. L’approccio per il protocollo TCP è basato sul banner-grabbing, una tecnica che viene impiegata per recuperare ulteriori informazioni dall'host di destinazione. I banner 2 si diversificano nelle informazioni inviate in base al protocollo scansionato. Nella scansione viene utilizzato lo strumento ZGrab per recuperare le informazioni sui banner. UDP non adotta i banner, quindi è stato necessario interrogare direttamente i protocolli che lo utilizzano per ottenere qualsiasi informazione sul servizio. È stata eseguita la scansione sui due protocolli utilizzando lo strumento ZMap per rilevare i dispositivi configurati in modo errato. I dataset utilizzati contengono informazioni essenziali degli host identificati: indirizzo IP, porta, protocollo, header e informazioni contenute nei banner trasmessi dagli host. Sono stati esaminati solo gli host che avevano configurazioni errate nei 6 protocolli d'interesse, per verificare i risultati ottenuti dalla scansione. Per evitare un’interpretazione imprecisa dei dati ricavati, è stata effettuata anche un’individuazione dei possibili honeypot 3 tra gli host rilevati. Sono stati posizionati 6 honeypot SOTA 4 che simulano i protocolli d’interesse e ne sono state studiate l’interattività e le risposte. Queste sono state messe a confronto con i banner e con le risposte trasmesse dagli host durante le scansioni, per poter così scartare quanti più possibili honeypot dai dati acquisiti. 2 Testo visualizzato da un server host contenente dettagli come il tipo di software e la versione in esecuzione in un sistema. 3 Entità basate sull'inganno che simulano i servizi di un sistema target fungendo da “esca”. 4 State-of-the-art, la fase più recente nello sviluppo di un prodotto.
5 2.2 Analisi del traffico verso gli honeypot e il network telescope 2.2.1 Posizionamento honeypot I 6 honeypot posizionati, tutti open source, sono stati impiegati per studiare gli attacchi verso di essi da parte di qualsiasi host esterno. È stato catturato e analizzato tutto il traffico diretto verso gli honeypot per poter comprendere meglio le tendenze degli attacchi verso i dispositivi IoT. Gli honeypot posizionati e i protocolli IoT da essi emulati sono elencati nella Tabella 1. Gli honeypot sono stati disposti in un laboratorio con una rete non filtrata e raggruppati in base ai protocolli emulati, come mostrato nella Figura 1. A ogni gruppo viene assegnato un indirizzo IP pubblico con port- forwarding abilitato sui router. In questo modo, gli honeypot sono indipendenti dalla loro rete e sono esposti a Internet. 2.2.2 Analisi del traffico del network telescope Oltre ai dati degli honeypot, vengono esaminati i dati del dataset CAIDA UCSD Network-Telescope, che consiste in una rete /8 instradata globalmente che non trasporta quasi nessun traffico legittimo. Essendo lo spazio d'indirizzi quasi del tutto inutilizzato, qualsiasi tipo di traffico viene ritenuto sospetto. Vengono utilizzati dati FlowTuple 5 forniti da CAIDA e successivamente vengono analizzati i record per le richieste sui protocolli d’interesse. Infine viene attuata un’analisi delle sorgenti sospette e una classificazione di queste in due gruppi: servizi di scanning 6 e traffico dannoso. 3 RISULTATI 3.1 Scansione di Internet su larga scala e identificazione degli honeypot I risultati della scansione sui 6 protocolli coinvolti mostrano un totale di 14 milioni di host aventi porte aperte verso l’esterno e quindi esposti all’internet. Confrontando i dati ottenuti con i dataset di Project Sonar e Shodan si osserva che le loro scansioni hanno rilevato un 5 Una rappresentazione aggregata del traffico catturato dal network telescope che consente un'elaborazione e un'analisi più efficienti che non richiedono l'accesso all'intero contenuto del pacchetto. 6 Organizzazioni che si occupano di scansionare l’internet e raccogliere risultati di ricognizione attiva per i dispositivi online. Honeypot Telnet MQTT CoAP AMQP XMPP UPnP ThingPot X U-Pot X HosTaGe X X X X X Conpot X Cowrie X Dionaea X Tabella 1 Figura 1
6 numero inferiore di dispositivi. Questo potrebbe essere dovuto al fatto che in questo studio vengono scansionate più porte per ogni protocollo invece che una soltanto. I risultati delle scansioni indicanti il numero di dispositivi esposti a internet sono mostrati nella Tabella 2. È stato inoltre possibile identificare il tipo di dispositivo IoT utilizzando le risposte e i banner inviati solo dai protocolli Telnet, UPnP, MQTT e CoAP, ottenendo la lista mostrata nella Figura 2. Gli altri protocolli non hanno fornito informazioni sufficienti all’identificazione del tipo di dispositivo. Analizzando le risposte degli host sono stati individuati 1.832.893 dispositivi configurati in modo errato. Nella Tabella 3 sono mostrate le vulnerabilità riscontrate per ciascun protocollo scansionato. È stata poi effettuata una ricerca di ogni possibile honeypot tra gli host identificati osservando i banner trasmessi dagli host durante connessioni con il protocollo Telnet, trovando un totale di 8.192 honeypot. La lista degli honeypot rilevati, del numero d'istanze identificate e dei relativi banner inviati è mostrata nella Tabella 4. 3.2 Attacchi effettuati agli honeypot posizionati e al network telescope Sono stati osservati un totale di 200.209 attacchi verso gli honeypot posizionati dai ricercatori. Qualsiasi tipo di traffico verso gli honeypot è stato considerato come un attacco, ma è stata effettuata una distinzione tra servizi di scanning noti (e.g. Shodan), traffico dannoso e traffico sospetto. I dati ottenuti sono mostrati nella Tabella 5. Protocol ZMap/ZGrab Scan Project Sonar Shodan AMQP 34,542 NA 18,701 XMPP 423,867 NA 315,861 CoAP 618,650 438,098 590,740 UPnP 1,381,940 395,331 433,571 MQTT 4,842,465 3,921,585 162,216 Telnet 7,096,465 6,004,956 188,291 Total 14,397,929 (14M) 10,759,970 (10M) 1,709,380 (1M) Protocol Vulnerability #Devices found CoAP No auth, admin access 427 AMQP No auth 2.731 Telnet No auth 4.013 XMPP No encryption 5.421 CoAP No auth 9.067 Telnet No auth, root access 22.887 MQTT No auth 102.891 XMPP Anonymous login 143.986 CoAP Reflection-attack resource 543.341 UPnP Reflection-attack resource 998.129 TOTAL 1.832.893 Honeypot Telnet Banner #Detected Instances HoneyPy Debian GNU/Linux 7rrnLogin: 27 Cowrie xffxfdx1flogin: 3.228 MTPot xffxfbx03xffxfbx01xffxfdx1f xffxfdx18rnlogin: 194 Telnet IoT Honeypot xffxfdx01Login: Password: rnWelcome to EmbyLinux 3.13.0-24-genericrn # 211 Conpot Connected to [00:13:EA:00:00:0] 216 Kippo SSH-2.0-OpenSSH_5.1p1 Debian-5 47 Kako BusyBox v1.19.3 (2013-11-01 10:10:26 CST) 16 Hontel BusyBox v1.18.4 (2012-04-17 18:58:31 CST) 12 Anglerfish [root@LocalHost tmp]$ 4.241 TOTAL 8.192 Tabella 2 #Sistemi esposti in Internet per protocollo e fonte Figura 2 Tabella 3 Tabella 4
7 È stata usata la tecnica del reverse DNS lookup 7 sugli indirizzi IP degli host sorgenti degli attacchi per identificare un totale di 10.696 indirizzi IP appartenenti a noti servizi di scanning. Tutto il resto del traffico è stato considerato dannoso o sospetto. Per identificare i tipi di attacchi effettuati sugli honeypot è stato controllato il contenuto del payload delle richieste ricevute. La Figura 3 mostra il tipo e la percentuale di richieste dannose o sospette ricevute dagli honeypot. Analizzando i dati FlowTuple del network telescope si osservano una media di 78 miliardi di richieste al giorno, delle quali 2,7 miliardi rivolte verso i protocolli d’interesse. La Tabella 6 mostra il numero medio di richieste sospette ricevute ogni giorno su ciascun protocollo e gli indirizzi IP che appartengono a servizi di scanning o a sorgenti sconosciute. Protocol Daily Avg. Count Unique IP Scanning-service Unknown/Suspicious Telnet 2.554.585.920 85.615.200 4.142 85.611.058 UPnP 131.794.560 1.8633 2.279 16.354 CoAP 68.353.920 2.342 627 1.715 MQTT 17.072.640 5.572 1.248 4.324 AMQP 13.907.520 7.132 2.256 4.876 XMPP 6.429.600 4.255 1.973 2.282 Total 2,7 Bil. 85,6 Mil. 12.525 85,6 Mil. 4 DISCUSSIONE DEI RISULTATI 4.1 Tendenze degli attacchi La Figura 4 riassume l'andamento degli attacchi per ciascun protocollo emulato dagli honeypot. Si osserva che i protocolli UDP (CoAP e UPnP) hanno ricevuto un traffico DoS superiore rispetto ai protocolli TCP, che invece hanno registrato un maggior numero di attacchi di tipo data poisoning 8 e posizionamento di malware 9. 7 Tecnica di interrogazione del DNS per determinare il nome di dominio associato a un indirizzo IP. 8 Manomissione dei dati di machine learning per produrre risultati indesiderati. 9 Programma dannoso che mette a rischio un sistema. Honeypot Simulated Device Profile Protocol #Attack events Scanning service* Malicious* Unknown/ Suspicious* HosTaGe Arduino Board with IoT Protocols Telnet MQTT AMQP CoAP SSH HTTP SMB 19.733 2.511 2.780 11.543 19.174 16.192 1.830 2.866 21.189 2.347 U-Pot Belkin Wemo smart switch UPnP 17.101 1.121 7.814 1.786 Conpot Siemens S7 PLC SSH Telnet S7 HTTP 12.837 12.377 7.113 11.313 1.678 11.765 1.876 ThingPot Philips Hue Bridge XMPP 11.344 967 2.172 963 Cowrie SSH Server with IoT banner SSH Telnet 15.459 14.963 2.111 12.874 1.113 Dionaea Arduino IoT device with frontend HTTP MQTT FTP SMB 11.974 1.557 3.565 6.873 1.953 13.876 1.694 Totale 200.209 10.696 69.690 9.779 Figura 3 Tabella 5 (* indirizzi IP unici) Tabella 6
8 È stato riscontrato un aumento del numero di attacchi agli honeypot dopo che essi sono stati rilevati e inseriti dai servizi di scanning nei loro dataset pubblici. La Figura 5 mostra il numero totale di attacchi agli honeypot per giorno. 4.2 Verifica della provenienza degli attacchi Per identificare gli attacchi provenienti da dispositivi IoT infetti si è verificato quali di quelli trovati durante la ricerca (Tabella 3) hanno attaccato gli honeypot e il network telescope. È stato riscontrato che un totale di 11.118 dispositivi IoT configurati in modo errato erano sorgenti degli attacchi. È stata poi estesa la ricerca degli indirizzi IP rimanenti cercando sul database di Censys, trovando 1.671 ulteriori dispositivi IoT che hanno preso parte agli attacchi. Infine è stata condotta una ricerca di attacchi avvenuti in più stadi, nei quali è presente uno schema di protocolli multipli che vengono attaccati in sequenza dallo stesso host. Sono stati rilevati in totale 267 attacchi a più stadi, la maggior parte dei quali sono iniziati dai protocolli Telnet e SSH. 5 CONCLUSIONI Questo studio è il primo ad abbinare i risultati di una scansione dell’Internet su larga scala con le conoscenze acquisite attraverso la distribuzione di honeypot e i dati di un network telescope. Le scansioni effettuate e i dati recuperati mostrano che esiste un elevato numero di dispositivi IoT mal configurati che possono diventare sorgenti per altri attacchi. Il traffico verso il network telescope e gli attacchi agli honeypot suggeriscono inoltre una tendenza di attacchi che sfruttano le vulnerabilità dei dispositivi IoT. In conclusione, incrociando i risultati, è stato riscontrato che 11.118 dispositivi IoT configurati in modo errato hanno preso parte agli attacchi, dimostrando che un dispositivo IoT vulnerabile può facilmente diventare parte di una botnet per essere usato come sorgente di traffico dannoso verso altri host. Figura 4 Figura 5
9 Bibliografia Srinivasa Shreyas, Pedersen Jens Myrup, Vasilomanolakis Emmanouil, “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, in ACM Internet Measurement Conference (IMC) 2021

Recommended

Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”
RiccardoZulla
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
TommasoBaldo
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
TCP IP
TCP IPTCP IP
TCP IP
Vincenzo Calabrò
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
GiovanniCoronica
 

Recommended

Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”
RiccardoZulla
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
TommasoBaldo
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
TCP IP
TCP IPTCP IP
TCP IP
Vincenzo Calabrò
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
GiovanniCoronica
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
AndreaMajcen
 
Smau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSmau Padova 2016 - DirICTo
Smau Padova 2016 - DirICTo
SMAU
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
I Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharingI Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharing
marco scialdone
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematicopaolo.lessio
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet
Andrea Gorrini
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Andrea Marchetti
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
LeonardoSimonini
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
LeandroDiLauro1
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
anwarNazik
 
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi... Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
paolabassi2
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
EnricoDavanzo1
 
Smau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, MesapSmau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, Mesap
SMAU
 
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
pma77
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
anwarNazik
 

More Related Content

Similar to Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”

Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
AndreaMajcen
 
Smau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSmau Padova 2016 - DirICTo
Smau Padova 2016 - DirICTo
SMAU
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
I Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharingI Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharing
marco scialdone
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematicopaolo.lessio
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet
Andrea Gorrini
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Andrea Marchetti
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
LeonardoSimonini
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
LeandroDiLauro1
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
anwarNazik
 
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi... Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
paolabassi2
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
EnricoDavanzo1
 
Smau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, MesapSmau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, Mesap
SMAU
 
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
pma77
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
anwarNazik
 

Similar to Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices” (20)

Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
 
Smau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSmau Padova 2016 - DirICTo
Smau Padova 2016 - DirICTo
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
 
I Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharingI Share - aspetti giuridici e implicazioni sociali del file-sharing
I Share - aspetti giuridici e implicazioni sociali del file-sharing
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
 
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi... Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
Studio di opendata acquisiti tramite tecnologie MODE S e ADS-B per l'analisi...
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
 
Smau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, MesapSmau Bologna 2015 - Bmooble, Mesap
Smau Bologna 2015 - Bmooble, Mesap
 
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...
 
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
 

Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”

  • 1. UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di Studi in Ingegneria Elettronica e Informatica Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices” Laureando: Giovanni CORONICA Relatore: prof. Alberto BARTOLI Anno accademico 2021-2022
  • 2. 2 Sommario 1 INTRODUZIONE ..................................................................................... 3 2 METODOLOGIA...................................................................................... 4 2.1 Ricerca di dispositivi IoT configurati erroneamente ............................ 4 2.2 Analisi del traffico verso gli honeypot e il network telescope............... 5 3 RISULTATI .............................................................................................. 5 3.1 Scansione di Internet su larga scala e identificazione degli honeypot .. 5 3.2 Attacchi effettuati agli honeypot posizionati e al network telescope ... 6 4 DISCUSSIONE DEI RISULTATI ............................................................. 7 4.1 Tendenze degli attacchi ....................................................................... 7 4.2 Verifica della provienienza degli attacchi ............................................ 8 5 CONCLUSIONI......................................................................................... 8
  • 3. 3 1 INTRODUZIONE Con l’implementazione e l’evoluzione dei sistemi IoT, il numero di dispositivi mal configurati che possono accedere a Internet è aumentato. Il NIST definisce una configurazione errata come: “Una configurazione incorretta o non ottimale di un sistema informatico o di un componente del sistema che può portare a delle vulnerabilità”. Attualmente ci sono diversi malware che tentano di sfruttare le vulnerabilità dei dispositivi IoT, setacciando continuamente l’Internet su larga scala, utilizzando anche delle botnet per facilitare gli attacchi. Finora i botmaster 1 hanno cercato vulnerabilità in rete nei sistemi con configurazioni errate dei protocolli Telnet e SSH; studi recenti però mostrano che ora è possibile l’utilizzo di bot che sfruttano le vulnerabilità di protocolli IoT come MQTT, AMQP e UPnP. Lo studio di Srinivasa et al. mira a rivelare lo stato dei dispositivi IoT in rete e a esplorare l'attuale scenario degli attacchi informatici ai suddetti. 1 Entità che gestisce il controllo delle botnet per l'esecuzione di processi in remoto.
  • 4. 4 2 METODOLOGIA 2.1 Ricerca di dispositivi IoT configurati erroneamente La ricerca dei dispositivi IoT comprende la scansione dell’Internet su larga scala su protocolli basati su TCP (Telnet, MQTT, AMQP e XMPP) e UDP (CoAP e UPnP), ma anche l’analisi dei risultati di scansioni precedenti presenti sui dataset liberi di Shodan e Project Sonar. Per identificare i dispositivi configurati in modo errato è stato adoperato un criterio differente a seconda del protocollo di livello trasporto utilizzato. La ricerca si è concentrata su dispositivi con mancanza di autorizzazione, autenticazione o criptazione dei dati, oppure su dispositivi che avevano un’autenticazione con credenziali di default. L’approccio per il protocollo TCP è basato sul banner-grabbing, una tecnica che viene impiegata per recuperare ulteriori informazioni dall'host di destinazione. I banner 2 si diversificano nelle informazioni inviate in base al protocollo scansionato. Nella scansione viene utilizzato lo strumento ZGrab per recuperare le informazioni sui banner. UDP non adotta i banner, quindi è stato necessario interrogare direttamente i protocolli che lo utilizzano per ottenere qualsiasi informazione sul servizio. È stata eseguita la scansione sui due protocolli utilizzando lo strumento ZMap per rilevare i dispositivi configurati in modo errato. I dataset utilizzati contengono informazioni essenziali degli host identificati: indirizzo IP, porta, protocollo, header e informazioni contenute nei banner trasmessi dagli host. Sono stati esaminati solo gli host che avevano configurazioni errate nei 6 protocolli d'interesse, per verificare i risultati ottenuti dalla scansione. Per evitare un’interpretazione imprecisa dei dati ricavati, è stata effettuata anche un’individuazione dei possibili honeypot 3 tra gli host rilevati. Sono stati posizionati 6 honeypot SOTA 4 che simulano i protocolli d’interesse e ne sono state studiate l’interattività e le risposte. Queste sono state messe a confronto con i banner e con le risposte trasmesse dagli host durante le scansioni, per poter così scartare quanti più possibili honeypot dai dati acquisiti. 2 Testo visualizzato da un server host contenente dettagli come il tipo di software e la versione in esecuzione in un sistema. 3 Entità basate sull'inganno che simulano i servizi di un sistema target fungendo da “esca”. 4 State-of-the-art, la fase più recente nello sviluppo di un prodotto.
  • 5. 5 2.2 Analisi del traffico verso gli honeypot e il network telescope 2.2.1 Posizionamento honeypot I 6 honeypot posizionati, tutti open source, sono stati impiegati per studiare gli attacchi verso di essi da parte di qualsiasi host esterno. È stato catturato e analizzato tutto il traffico diretto verso gli honeypot per poter comprendere meglio le tendenze degli attacchi verso i dispositivi IoT. Gli honeypot posizionati e i protocolli IoT da essi emulati sono elencati nella Tabella 1. Gli honeypot sono stati disposti in un laboratorio con una rete non filtrata e raggruppati in base ai protocolli emulati, come mostrato nella Figura 1. A ogni gruppo viene assegnato un indirizzo IP pubblico con port- forwarding abilitato sui router. In questo modo, gli honeypot sono indipendenti dalla loro rete e sono esposti a Internet. 2.2.2 Analisi del traffico del network telescope Oltre ai dati degli honeypot, vengono esaminati i dati del dataset CAIDA UCSD Network-Telescope, che consiste in una rete /8 instradata globalmente che non trasporta quasi nessun traffico legittimo. Essendo lo spazio d'indirizzi quasi del tutto inutilizzato, qualsiasi tipo di traffico viene ritenuto sospetto. Vengono utilizzati dati FlowTuple 5 forniti da CAIDA e successivamente vengono analizzati i record per le richieste sui protocolli d’interesse. Infine viene attuata un’analisi delle sorgenti sospette e una classificazione di queste in due gruppi: servizi di scanning 6 e traffico dannoso. 3 RISULTATI 3.1 Scansione di Internet su larga scala e identificazione degli honeypot I risultati della scansione sui 6 protocolli coinvolti mostrano un totale di 14 milioni di host aventi porte aperte verso l’esterno e quindi esposti all’internet. Confrontando i dati ottenuti con i dataset di Project Sonar e Shodan si osserva che le loro scansioni hanno rilevato un 5 Una rappresentazione aggregata del traffico catturato dal network telescope che consente un'elaborazione e un'analisi più efficienti che non richiedono l'accesso all'intero contenuto del pacchetto. 6 Organizzazioni che si occupano di scansionare l’internet e raccogliere risultati di ricognizione attiva per i dispositivi online. Honeypot Telnet MQTT CoAP AMQP XMPP UPnP ThingPot X U-Pot X HosTaGe X X X X X Conpot X Cowrie X Dionaea X Tabella 1 Figura 1
  • 6. 6 numero inferiore di dispositivi. Questo potrebbe essere dovuto al fatto che in questo studio vengono scansionate più porte per ogni protocollo invece che una soltanto. I risultati delle scansioni indicanti il numero di dispositivi esposti a internet sono mostrati nella Tabella 2. È stato inoltre possibile identificare il tipo di dispositivo IoT utilizzando le risposte e i banner inviati solo dai protocolli Telnet, UPnP, MQTT e CoAP, ottenendo la lista mostrata nella Figura 2. Gli altri protocolli non hanno fornito informazioni sufficienti all’identificazione del tipo di dispositivo. Analizzando le risposte degli host sono stati individuati 1.832.893 dispositivi configurati in modo errato. Nella Tabella 3 sono mostrate le vulnerabilità riscontrate per ciascun protocollo scansionato. È stata poi effettuata una ricerca di ogni possibile honeypot tra gli host identificati osservando i banner trasmessi dagli host durante connessioni con il protocollo Telnet, trovando un totale di 8.192 honeypot. La lista degli honeypot rilevati, del numero d'istanze identificate e dei relativi banner inviati è mostrata nella Tabella 4. 3.2 Attacchi effettuati agli honeypot posizionati e al network telescope Sono stati osservati un totale di 200.209 attacchi verso gli honeypot posizionati dai ricercatori. Qualsiasi tipo di traffico verso gli honeypot è stato considerato come un attacco, ma è stata effettuata una distinzione tra servizi di scanning noti (e.g. Shodan), traffico dannoso e traffico sospetto. I dati ottenuti sono mostrati nella Tabella 5. Protocol ZMap/ZGrab Scan Project Sonar Shodan AMQP 34,542 NA 18,701 XMPP 423,867 NA 315,861 CoAP 618,650 438,098 590,740 UPnP 1,381,940 395,331 433,571 MQTT 4,842,465 3,921,585 162,216 Telnet 7,096,465 6,004,956 188,291 Total 14,397,929 (14M) 10,759,970 (10M) 1,709,380 (1M) Protocol Vulnerability #Devices found CoAP No auth, admin access 427 AMQP No auth 2.731 Telnet No auth 4.013 XMPP No encryption 5.421 CoAP No auth 9.067 Telnet No auth, root access 22.887 MQTT No auth 102.891 XMPP Anonymous login 143.986 CoAP Reflection-attack resource 543.341 UPnP Reflection-attack resource 998.129 TOTAL 1.832.893 Honeypot Telnet Banner #Detected Instances HoneyPy Debian GNU/Linux 7rrnLogin: 27 Cowrie xffxfdx1flogin: 3.228 MTPot xffxfbx03xffxfbx01xffxfdx1f xffxfdx18rnlogin: 194 Telnet IoT Honeypot xffxfdx01Login: Password: rnWelcome to EmbyLinux 3.13.0-24-genericrn # 211 Conpot Connected to [00:13:EA:00:00:0] 216 Kippo SSH-2.0-OpenSSH_5.1p1 Debian-5 47 Kako BusyBox v1.19.3 (2013-11-01 10:10:26 CST) 16 Hontel BusyBox v1.18.4 (2012-04-17 18:58:31 CST) 12 Anglerfish [root@LocalHost tmp]$ 4.241 TOTAL 8.192 Tabella 2 #Sistemi esposti in Internet per protocollo e fonte Figura 2 Tabella 3 Tabella 4
  • 7. 7 È stata usata la tecnica del reverse DNS lookup 7 sugli indirizzi IP degli host sorgenti degli attacchi per identificare un totale di 10.696 indirizzi IP appartenenti a noti servizi di scanning. Tutto il resto del traffico è stato considerato dannoso o sospetto. Per identificare i tipi di attacchi effettuati sugli honeypot è stato controllato il contenuto del payload delle richieste ricevute. La Figura 3 mostra il tipo e la percentuale di richieste dannose o sospette ricevute dagli honeypot. Analizzando i dati FlowTuple del network telescope si osservano una media di 78 miliardi di richieste al giorno, delle quali 2,7 miliardi rivolte verso i protocolli d’interesse. La Tabella 6 mostra il numero medio di richieste sospette ricevute ogni giorno su ciascun protocollo e gli indirizzi IP che appartengono a servizi di scanning o a sorgenti sconosciute. Protocol Daily Avg. Count Unique IP Scanning-service Unknown/Suspicious Telnet 2.554.585.920 85.615.200 4.142 85.611.058 UPnP 131.794.560 1.8633 2.279 16.354 CoAP 68.353.920 2.342 627 1.715 MQTT 17.072.640 5.572 1.248 4.324 AMQP 13.907.520 7.132 2.256 4.876 XMPP 6.429.600 4.255 1.973 2.282 Total 2,7 Bil. 85,6 Mil. 12.525 85,6 Mil. 4 DISCUSSIONE DEI RISULTATI 4.1 Tendenze degli attacchi La Figura 4 riassume l'andamento degli attacchi per ciascun protocollo emulato dagli honeypot. Si osserva che i protocolli UDP (CoAP e UPnP) hanno ricevuto un traffico DoS superiore rispetto ai protocolli TCP, che invece hanno registrato un maggior numero di attacchi di tipo data poisoning 8 e posizionamento di malware 9. 7 Tecnica di interrogazione del DNS per determinare il nome di dominio associato a un indirizzo IP. 8 Manomissione dei dati di machine learning per produrre risultati indesiderati. 9 Programma dannoso che mette a rischio un sistema. Honeypot Simulated Device Profile Protocol #Attack events Scanning service* Malicious* Unknown/ Suspicious* HosTaGe Arduino Board with IoT Protocols Telnet MQTT AMQP CoAP SSH HTTP SMB 19.733 2.511 2.780 11.543 19.174 16.192 1.830 2.866 21.189 2.347 U-Pot Belkin Wemo smart switch UPnP 17.101 1.121 7.814 1.786 Conpot Siemens S7 PLC SSH Telnet S7 HTTP 12.837 12.377 7.113 11.313 1.678 11.765 1.876 ThingPot Philips Hue Bridge XMPP 11.344 967 2.172 963 Cowrie SSH Server with IoT banner SSH Telnet 15.459 14.963 2.111 12.874 1.113 Dionaea Arduino IoT device with frontend HTTP MQTT FTP SMB 11.974 1.557 3.565 6.873 1.953 13.876 1.694 Totale 200.209 10.696 69.690 9.779 Figura 3 Tabella 5 (* indirizzi IP unici) Tabella 6
  • 8. 8 È stato riscontrato un aumento del numero di attacchi agli honeypot dopo che essi sono stati rilevati e inseriti dai servizi di scanning nei loro dataset pubblici. La Figura 5 mostra il numero totale di attacchi agli honeypot per giorno. 4.2 Verifica della provenienza degli attacchi Per identificare gli attacchi provenienti da dispositivi IoT infetti si è verificato quali di quelli trovati durante la ricerca (Tabella 3) hanno attaccato gli honeypot e il network telescope. È stato riscontrato che un totale di 11.118 dispositivi IoT configurati in modo errato erano sorgenti degli attacchi. È stata poi estesa la ricerca degli indirizzi IP rimanenti cercando sul database di Censys, trovando 1.671 ulteriori dispositivi IoT che hanno preso parte agli attacchi. Infine è stata condotta una ricerca di attacchi avvenuti in più stadi, nei quali è presente uno schema di protocolli multipli che vengono attaccati in sequenza dallo stesso host. Sono stati rilevati in totale 267 attacchi a più stadi, la maggior parte dei quali sono iniziati dai protocolli Telnet e SSH. 5 CONCLUSIONI Questo studio è il primo ad abbinare i risultati di una scansione dell’Internet su larga scala con le conoscenze acquisite attraverso la distribuzione di honeypot e i dati di un network telescope. Le scansioni effettuate e i dati recuperati mostrano che esiste un elevato numero di dispositivi IoT mal configurati che possono diventare sorgenti per altri attacchi. Il traffico verso il network telescope e gli attacchi agli honeypot suggeriscono inoltre una tendenza di attacchi che sfruttano le vulnerabilità dei dispositivi IoT. In conclusione, incrociando i risultati, è stato riscontrato che 11.118 dispositivi IoT configurati in modo errato hanno preso parte agli attacchi, dimostrando che un dispositivo IoT vulnerabile può facilmente diventare parte di una botnet per essere usato come sorgente di traffico dannoso verso altri host. Figura 4 Figura 5
  • 9. 9 Bibliografia Srinivasa Shreyas, Pedersen Jens Myrup, Vasilomanolakis Emmanouil, “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, in ACM Internet Measurement Conference (IMC) 2021