Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
Summary of “Understanding Open Ports in Android Applications: Discovery, Diagnosis, and Security Assessment”.
Source paper: https://www.ndss-symposium.org/ndss-paper/understanding-open-ports-in-android-applications-discovery-diagnosis-and-security-assessment/
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
Presentation Slides of: Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
Summary of “Understanding Open Ports in Android Applications: Discovery, Diagnosis, and Security Assessment”.
Source paper: https://www.ndss-symposium.org/ndss-paper/understanding-open-ports-in-android-applications-discovery-diagnosis-and-security-assessment/
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
Presentation Slides of: Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
I Share - aspetti giuridici e implicazioni sociali del file-sharingmarco scialdone
La pratica dello scambio di file protetti dal diritto d’autore attraverso reti P2P costituisce un\'attività comune alla maggior parte delle persone che accedono alla Rete.
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...pma77
[Development of a Web Server, deployed on embedded devices, which is the interface for a monitoring system of vehicles for the transport of dangerous goods, referred to as Moni.CA. ] --- [
Sviluppo di un Web Server, implementato su dispositivi embedded, che costituisce l’interfaccia per un sistema di monitoraggio di veicoli adibiti al trasporto di merci pericolose, denominato Moni.C.A.]
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
I Share - aspetti giuridici e implicazioni sociali del file-sharingmarco scialdone
La pratica dello scambio di file protetti dal diritto d’autore attraverso reti P2P costituisce un\'attività comune alla maggior parte delle persone che accedono alla Rete.
Sviluppo e implementazione su microcontrollore di un’applicazione web server ...pma77
[Development of a Web Server, deployed on embedded devices, which is the interface for a monitoring system of vehicles for the transport of dangerous goods, referred to as Moni.CA. ] --- [
Sviluppo di un Web Server, implementato su dispositivi embedded, che costituisce l’interfaccia per un sistema di monitoraggio di veicoli adibiti al trasporto di merci pericolose, denominato Moni.C.A.]
Realizzazione di un controllore basato su piattaforma robotica Thymio 2.
Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”
1. UNIVERSITÀ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di Studi in Ingegneria Elettronica e Informatica
Extended Summary of “Open for
hire: attack trends and
misconfiguration pitfalls of IoT
devices”
Laureando:
Giovanni CORONICA
Relatore:
prof. Alberto BARTOLI
Anno accademico 2021-2022
2. 2
Sommario
1 INTRODUZIONE ..................................................................................... 3
2 METODOLOGIA...................................................................................... 4
2.1 Ricerca di dispositivi IoT configurati erroneamente ............................ 4
2.2 Analisi del traffico verso gli honeypot e il network telescope............... 5
3 RISULTATI .............................................................................................. 5
3.1 Scansione di Internet su larga scala e identificazione degli honeypot .. 5
3.2 Attacchi effettuati agli honeypot posizionati e al network telescope ... 6
4 DISCUSSIONE DEI RISULTATI ............................................................. 7
4.1 Tendenze degli attacchi ....................................................................... 7
4.2 Verifica della provienienza degli attacchi ............................................ 8
5 CONCLUSIONI......................................................................................... 8
3. 3
1 INTRODUZIONE
Con l’implementazione e l’evoluzione dei sistemi IoT, il numero di dispositivi mal configurati
che possono accedere a Internet è aumentato. Il NIST definisce una configurazione errata come:
“Una configurazione incorretta o non ottimale di un sistema informatico o di un componente
del sistema che può portare a delle vulnerabilità”.
Attualmente ci sono diversi malware che tentano di sfruttare le vulnerabilità dei dispositivi
IoT, setacciando continuamente l’Internet su larga scala, utilizzando anche delle botnet per
facilitare gli attacchi. Finora i botmaster 1 hanno cercato vulnerabilità in rete nei sistemi con
configurazioni errate dei protocolli Telnet e SSH; studi recenti però mostrano che ora è possibile
l’utilizzo di bot che sfruttano le vulnerabilità di protocolli IoT come MQTT, AMQP e UPnP.
Lo studio di Srinivasa et al. mira a rivelare lo stato dei dispositivi IoT in rete e a esplorare
l'attuale scenario degli attacchi informatici ai suddetti.
1
Entità che gestisce il controllo delle botnet per l'esecuzione di processi in remoto.
4. 4
2 METODOLOGIA
2.1 Ricerca di dispositivi IoT configurati erroneamente
La ricerca dei dispositivi IoT comprende la scansione dell’Internet su larga scala su protocolli
basati su TCP (Telnet, MQTT, AMQP e XMPP) e UDP (CoAP e UPnP), ma anche l’analisi
dei risultati di scansioni precedenti presenti sui dataset liberi di Shodan e Project Sonar.
Per identificare i dispositivi configurati in modo errato è stato adoperato un criterio differente
a seconda del protocollo di livello trasporto utilizzato. La ricerca si è concentrata su dispositivi
con mancanza di autorizzazione, autenticazione o criptazione dei dati, oppure su dispositivi
che avevano un’autenticazione con credenziali di default.
L’approccio per il protocollo TCP è basato sul banner-grabbing, una tecnica che viene
impiegata per recuperare ulteriori informazioni dall'host di destinazione. I banner 2 si
diversificano nelle informazioni inviate in base al protocollo scansionato. Nella scansione viene
utilizzato lo strumento ZGrab per recuperare le informazioni sui banner.
UDP non adotta i banner, quindi è stato necessario interrogare direttamente i protocolli che
lo utilizzano per ottenere qualsiasi informazione sul servizio. È stata eseguita la scansione sui
due protocolli utilizzando lo strumento ZMap per rilevare i dispositivi configurati in modo
errato.
I dataset utilizzati contengono informazioni essenziali degli host identificati: indirizzo IP, porta,
protocollo, header e informazioni contenute nei banner trasmessi dagli host. Sono stati
esaminati solo gli host che avevano configurazioni errate nei 6 protocolli d'interesse, per
verificare i risultati ottenuti dalla scansione.
Per evitare un’interpretazione imprecisa dei dati ricavati, è stata effettuata anche
un’individuazione dei possibili honeypot 3 tra gli host rilevati. Sono stati posizionati 6 honeypot
SOTA 4 che simulano i protocolli d’interesse e ne sono state studiate l’interattività e le risposte.
Queste sono state messe a confronto con i banner e con le risposte trasmesse dagli host durante
le scansioni, per poter così scartare quanti più possibili honeypot dai dati acquisiti.
2
Testo visualizzato da un server host contenente dettagli come il tipo di software e la versione in esecuzione in un
sistema.
3
Entità basate sull'inganno che simulano i servizi di un sistema target fungendo da “esca”.
4
State-of-the-art, la fase più recente nello sviluppo di un prodotto.
5. 5
2.2 Analisi del traffico verso gli honeypot e il network telescope
2.2.1 Posizionamento honeypot
I 6 honeypot posizionati, tutti open source, sono stati impiegati per studiare gli attacchi verso
di essi da parte di qualsiasi host esterno. È stato catturato e analizzato tutto il traffico diretto
verso gli honeypot per poter comprendere meglio le tendenze degli attacchi verso i dispositivi
IoT. Gli honeypot posizionati e i protocolli IoT da essi emulati sono elencati nella Tabella 1.
Gli honeypot sono stati disposti in un laboratorio con
una rete non filtrata e raggruppati in base ai protocolli
emulati, come mostrato nella Figura 1. A ogni gruppo
viene assegnato un indirizzo IP pubblico con port-
forwarding abilitato sui router. In questo modo, gli
honeypot sono indipendenti dalla loro rete e sono esposti
a Internet.
2.2.2 Analisi del traffico del network telescope
Oltre ai dati degli honeypot, vengono esaminati i dati del
dataset CAIDA UCSD Network-Telescope, che consiste
in una rete /8 instradata globalmente che non trasporta
quasi nessun traffico legittimo. Essendo lo spazio
d'indirizzi quasi del tutto inutilizzato, qualsiasi tipo di
traffico viene ritenuto sospetto.
Vengono utilizzati dati FlowTuple 5 forniti da CAIDA e successivamente vengono analizzati i
record per le richieste sui protocolli d’interesse. Infine viene attuata un’analisi delle sorgenti
sospette e una classificazione di queste in due gruppi: servizi di scanning 6 e traffico dannoso.
3 RISULTATI
3.1 Scansione di Internet su larga scala e identificazione degli honeypot
I risultati della scansione sui 6 protocolli coinvolti mostrano un totale di 14 milioni di host
aventi porte aperte verso l’esterno e quindi esposti all’internet. Confrontando i dati ottenuti
con i dataset di Project Sonar e Shodan si osserva che le loro scansioni hanno rilevato un
5 Una rappresentazione aggregata del traffico catturato dal network telescope che consente un'elaborazione e
un'analisi più efficienti che non richiedono l'accesso all'intero contenuto del pacchetto.
6 Organizzazioni che si occupano di scansionare l’internet e raccogliere risultati di ricognizione attiva per i
dispositivi online.
Honeypot Telnet MQTT CoAP AMQP XMPP UPnP
ThingPot X
U-Pot X
HosTaGe X X X X X
Conpot X
Cowrie X
Dionaea X
Tabella 1
Figura 1
6. 6
numero inferiore di dispositivi. Questo potrebbe essere dovuto al fatto che in questo studio
vengono scansionate più porte per ogni protocollo invece che una soltanto. I risultati delle
scansioni indicanti il numero di dispositivi esposti a internet sono mostrati nella Tabella 2.
È stato inoltre possibile identificare il tipo di dispositivo IoT utilizzando le risposte e i banner
inviati solo dai protocolli Telnet, UPnP, MQTT e CoAP, ottenendo la lista mostrata nella
Figura 2. Gli altri protocolli non hanno fornito informazioni sufficienti all’identificazione del
tipo di dispositivo.
Analizzando le risposte degli host sono stati individuati 1.832.893 dispositivi configurati in
modo errato. Nella Tabella 3 sono mostrate le vulnerabilità riscontrate per ciascun protocollo
scansionato.
È stata poi effettuata una ricerca di ogni possibile honeypot tra gli host identificati osservando
i banner trasmessi dagli host durante connessioni con il protocollo Telnet, trovando un totale
di 8.192 honeypot. La lista degli honeypot rilevati, del numero d'istanze identificate e dei
relativi banner inviati è mostrata nella Tabella 4.
3.2 Attacchi effettuati agli honeypot posizionati e al network telescope
Sono stati osservati un totale di 200.209 attacchi verso gli honeypot posizionati dai ricercatori.
Qualsiasi tipo di traffico verso gli honeypot è stato considerato come un attacco, ma è stata
effettuata una distinzione tra servizi di scanning noti (e.g. Shodan), traffico dannoso e traffico
sospetto. I dati ottenuti sono mostrati nella Tabella 5.
Protocol ZMap/ZGrab Scan Project Sonar Shodan
AMQP 34,542 NA 18,701
XMPP 423,867 NA 315,861
CoAP 618,650 438,098 590,740
UPnP 1,381,940 395,331 433,571
MQTT 4,842,465 3,921,585 162,216
Telnet 7,096,465 6,004,956 188,291
Total 14,397,929 (14M) 10,759,970 (10M) 1,709,380 (1M)
Protocol Vulnerability #Devices found
CoAP No auth, admin access 427
AMQP No auth 2.731
Telnet No auth 4.013
XMPP No encryption 5.421
CoAP No auth 9.067
Telnet No auth, root access 22.887
MQTT No auth 102.891
XMPP Anonymous login 143.986
CoAP Reflection-attack resource 543.341
UPnP Reflection-attack resource 998.129
TOTAL 1.832.893
Honeypot Telnet Banner
#Detected
Instances
HoneyPy Debian GNU/Linux 7rrnLogin: 27
Cowrie xffxfdx1flogin: 3.228
MTPot
xffxfbx03xffxfbx01xffxfdx1f
xffxfdx18rnlogin:
194
Telnet IoT
Honeypot
xffxfdx01Login: Password:
rnWelcome to
EmbyLinux 3.13.0-24-genericrn #
211
Conpot Connected to [00:13:EA:00:00:0] 216
Kippo SSH-2.0-OpenSSH_5.1p1 Debian-5 47
Kako
BusyBox v1.19.3 (2013-11-01 10:10:26
CST)
16
Hontel
BusyBox v1.18.4 (2012-04-17 18:58:31
CST)
12
Anglerfish [root@LocalHost tmp]$ 4.241
TOTAL 8.192
Tabella 2
#Sistemi esposti in Internet per protocollo e fonte
Figura 2
Tabella 3 Tabella 4
7. 7
È stata usata la tecnica del reverse DNS lookup 7 sugli indirizzi IP degli host sorgenti degli
attacchi per identificare un totale di 10.696 indirizzi IP appartenenti a noti servizi di scanning.
Tutto il resto del traffico è stato considerato dannoso o sospetto. Per identificare i tipi di
attacchi effettuati sugli honeypot è stato controllato il contenuto del payload delle richieste
ricevute. La Figura 3 mostra il tipo e la percentuale di richieste dannose o sospette ricevute
dagli honeypot.
Analizzando i dati FlowTuple del network telescope si osservano una media di 78 miliardi di
richieste al giorno, delle quali 2,7 miliardi rivolte verso i protocolli d’interesse. La Tabella 6
mostra il numero medio di richieste sospette ricevute ogni giorno su ciascun protocollo e gli
indirizzi IP che appartengono a servizi di scanning o a sorgenti sconosciute.
Protocol Daily Avg. Count Unique IP Scanning-service Unknown/Suspicious
Telnet 2.554.585.920 85.615.200 4.142 85.611.058
UPnP 131.794.560 1.8633 2.279 16.354
CoAP 68.353.920 2.342 627 1.715
MQTT 17.072.640 5.572 1.248 4.324
AMQP 13.907.520 7.132 2.256 4.876
XMPP 6.429.600 4.255 1.973 2.282
Total 2,7 Bil. 85,6 Mil. 12.525 85,6 Mil.
4 DISCUSSIONE DEI RISULTATI
4.1 Tendenze degli attacchi
La Figura 4 riassume l'andamento degli attacchi per ciascun protocollo emulato dagli honeypot.
Si osserva che i protocolli UDP (CoAP e UPnP) hanno ricevuto un traffico DoS superiore
rispetto ai protocolli TCP, che invece hanno registrato un maggior numero di attacchi di tipo
data poisoning 8 e posizionamento di malware 9.
7 Tecnica di interrogazione del DNS per determinare il nome di dominio associato a un indirizzo IP.
8 Manomissione dei dati di machine learning per produrre risultati indesiderati.
9 Programma dannoso che mette a rischio un sistema.
Honeypot
Simulated
Device Profile
Protocol
#Attack
events
Scanning
service*
Malicious*
Unknown/
Suspicious*
HosTaGe
Arduino Board
with IoT Protocols
Telnet
MQTT
AMQP
CoAP
SSH
HTTP
SMB
19.733
2.511
2.780
11.543
19.174
16.192
1.830
2.866 21.189 2.347
U-Pot
Belkin Wemo
smart switch
UPnP 17.101 1.121 7.814 1.786
Conpot
Siemens S7 PLC
SSH
Telnet
S7
HTTP
12.837
12.377
7.113
11.313
1.678 11.765 1.876
ThingPot Philips Hue Bridge XMPP 11.344 967 2.172 963
Cowrie
SSH Server with
IoT banner
SSH
Telnet
15.459
14.963
2.111 12.874 1.113
Dionaea
Arduino IoT device
with frontend
HTTP
MQTT
FTP
SMB
11.974
1.557
3.565
6.873
1.953 13.876 1.694
Totale 200.209 10.696 69.690 9.779
Figura 3
Tabella 5
(* indirizzi IP unici)
Tabella 6
8. 8
È stato riscontrato un aumento del numero di attacchi agli honeypot dopo che essi sono stati
rilevati e inseriti dai servizi di scanning nei loro dataset pubblici. La Figura 5 mostra il numero
totale di attacchi agli honeypot per giorno.
4.2 Verifica della provenienza degli attacchi
Per identificare gli attacchi provenienti da dispositivi IoT infetti si è verificato quali di quelli
trovati durante la ricerca (Tabella 3) hanno attaccato gli honeypot e il network telescope. È
stato riscontrato che un totale di 11.118 dispositivi IoT configurati in modo errato erano
sorgenti degli attacchi.
È stata poi estesa la ricerca degli indirizzi IP rimanenti cercando sul database di Censys,
trovando 1.671 ulteriori dispositivi IoT che hanno preso parte agli attacchi.
Infine è stata condotta una ricerca di attacchi avvenuti in più stadi, nei quali è presente uno
schema di protocolli multipli che vengono attaccati in sequenza dallo stesso host. Sono stati
rilevati in totale 267 attacchi a più stadi, la maggior parte dei quali sono iniziati dai protocolli
Telnet e SSH.
5 CONCLUSIONI
Questo studio è il primo ad abbinare i risultati di una scansione dell’Internet su larga scala
con le conoscenze acquisite attraverso la distribuzione di honeypot e i dati di un network
telescope.
Le scansioni effettuate e i dati recuperati mostrano che esiste un elevato numero di dispositivi
IoT mal configurati che possono diventare sorgenti per altri attacchi. Il traffico verso il network
telescope e gli attacchi agli honeypot suggeriscono inoltre una tendenza di attacchi che
sfruttano le vulnerabilità dei dispositivi IoT.
In conclusione, incrociando i risultati, è stato riscontrato che 11.118 dispositivi IoT configurati
in modo errato hanno preso parte agli attacchi, dimostrando che un dispositivo IoT vulnerabile
può facilmente diventare parte di una botnet per essere usato come sorgente di traffico dannoso
verso altri host.
Figura 4
Figura 5
9. 9
Bibliografia
Srinivasa Shreyas, Pedersen Jens Myrup, Vasilomanolakis Emmanouil, “Open for hire: attack
trends and misconfiguration pitfalls of IoT devices”, in ACM Internet Measurement Conference
(IMC) 2021