Plusieurs articles publiés sur le net, ont examiné le pouvoir perturbateur des appareils “Internet of Things” (IoT) piratés tels que les routeurs, les caméras IP et les enregistreurs vidéo numériques. Cec article se penche sur la façon dont les escrocs utilisent les appareils IoT piratés comme proxy pour cacher leur véritable emplacement en ligne lorsqu’ils s’adonnent à divers autres types d’activités cybercriminelles – de la fréquentation clandestines des forums à la fraude par carte de crédit et remboursement d’impôt.
Récemment, j’ai entendu un chercheur en cybersécurité qui avait créé un environnement virtuel connu sous le nom de “honeypot” (pot_de_miel) conçu pour simuler les appareils IoT piratés. La source, qui a demandé à rester anonyme, a déclaré que son pot_de_miel a bientôt commencé à voir le trafic destiné aux routeurs Asus et Linksys en cours d’exécution par défaut. Quand il a examiné ce que ce trafic était destiné à faire, il a découvert que ses systèmes de pots_de_miel étaient chargés de télécharger un malware à partir d’une destination sur le Web.
Ma source a saisi une copie du logiciel malveillant, l’a analysée et a découvert qu’elle avait deux fonctions de base: annoncer à un ensemble d’adresses Internet codées en dur dans le logiciel malveillant une balise d’enregistrement I’m here “Je_suis_là”; et pour écouter les commandes entrantes, telles que la recherche de nouveaux hôtes vulnérables ou l’exécution de logiciels malveillants supplémentaires. Il a ensuite écrit un script pour simuler les balises horaires “Je_suis_là”, interpréter les commandes download “télécharger”, puis exécuter les commandes de téléchargement et run “exécuter”.
Le chercheur a découvert que le logiciel malveillant envoyé à son système de pot_de_miel était conçu pour transformer son routeur infecté en un “serveur proxy SOCKS”, essentiellement un hôte conçu pour acheminer le trafic entre un client et un serveur. Le plus souvent, les proxys SOCKS sont utilisés pour anonymiser les communications, car ils peuvent aider à obscurcir la véritable origine du client qui utilise les serveurs SOCKS.
Quand il a réalisé comment son système était utilisé, ma source a mis le feu à plusieurs pots_de_miel virtuels, et a répété le processus. En utilisant un outil personnalisé qui permet à l’utilisateur d’intercepter (par exemple, le trafic SSL crypté “man-in-the-middle”), le chercheur a pu collecter les données cryptées sous-jacentes passant par ses serveurs SOCKS et les décrypter.
Ce qu’il a observé, c’est que tous les systèmes étaient utilisés pour une variété de malheurs, du trafic Web par proxy destiné aux forums de cybercriminalité aux tests de cartes de crédit volées sur les sites marchands. Une étude plus poussée des fichiers de logiciels malveillants et des balises de trafic émanant des systèmes de pots_de_miel indiquait que ses honey_pots étaient commercialisés sur un service criminel Web qui vendait l’accès aux procurations SOCKS en échange de Bitcoin.
Malheureusement, ce type d’action criminelle vient juste d’apparaitre. Les escrocs utilisent les ordinateurs piratés pour représenter leur trafic depuis des éternités. plusieurs sites ont déjà présenté de nombreuses histoires sur les services de cybercriminalité qui vendent l’accès aux ordinateurs piratés comme un moyen d’aider les voleurs à anonymiser leurs activités néfastes en ligne.
Et bien que l’activité dont ma source a été témoin avec son projet de pot_de_miel a ciblé des routeurs Internet mal sécurisés, il n’y a aucune raison que le même type de proxy ne puisse pas être fait via d’autres périphériques(par défaut) IoT non sécurisés, tels que les caméras de sécurité basées sur Internet et les enregistreurs vidéo numériques.
En fait, je suppose que c’est exactement comme ça que ces autres types d’appareils IoT piratés sont utilisés en ce moment (en plus d’être contraints de participer à d’énormes attaques par déni de service contre des cibles que les criminels veulent déconnecter).
“Dans un sens, cela ressemble à la période entre 1995 et 2000 avec les ordinateurs”, m’a dit ma source. «Les appareils se mettaient en ligne, l’antivirus n’était pas aussi répandu et les gens ne savaient pas que l’ordinateur d’une personne moyenne pouvait être exploité par les hackers pour faire autre chose. La différence est que maintenant, le nombre de fournisseurs et de périphériques a proliféré, et il existe un écosystème souterrain avec l’expertise nécessaire pour exploiter, écrire le logiciel personnalisé. De plus, ce qu’une personne fait peut facilement être partagé avec un petit groupe ou avec le monde entier! “
SÉCURITÉ DU ROUTEUR 101
Un grand nombre d’appareils IoT sont soit équipés de protections de sécurité très faible soit sans protection. Sur un grand nombre de DVR connectés à Internet et de caméras IP, la modification des mots de passe par défaut sur le panneau d’administration Web du périphérique ne modifie pas vraiment les informations d’identification codées en dur dans les périphériques.
Les routeurs, en revanche, ont généralement un peu plus de sécurité intégrée, mais les utilisateurs doivent encore prendre plusieurs mesures pour durcir la protection de ces périphériques prêts à l’emploi.
Pour les débutants, assurez-vous de changer les informations d’identification par défaut sur le routeur. C’est la paire nom d’utilisateur et mot de passe qui a été installée en usine par le routeur. La page d’administration de la plupart des routeurs commerciaux est accessible en tapant 192.168.1.1 ou 192.168.0.1 dans une barre d’adresse du navigateur Web. si par malheur, vous n’avez pas eu la page d’administration du routeur, essayez de rechercher la documentation sur le site du routeur ou de vérifier si l’adresse est listée ici.
Si vous ne pouvez toujours pas le trouver, ouvrez l’invite de commande (Démarrer> Exécuter / ou Rechercher “cmd”), puis entrez ipconfig. L’adresse dont vous avez besoin doit être à côté de ‘Default Gateway’ (la passerelle par défaut) sous votre connexion au réseau local.
Si vous ne connaissez pas le nom d’utilisateur et le mot de passe par défaut de votre routeur, vous pouvez le rechercher ici. La plupart des routeurs modernes vous permettront de changer le nom d’utilisateur et le mot de passe par défaut, faites les deux si vous le pouvez. Mais il est très important de choisir un mot de passe fort.
La plupart des routeurs modernes vous permettent de changer le nom d’utilisateur et le mot de passe par défaut, faites les deux si vous le pouvez. Mais il est très important de choisir un mot de passe fort.
Après avoir modifié le mot de passe par défaut, vous devez crypter votre connexion si vous utilisez un routeur sans fil (celui qui diffuse la connexion Internet de votre modem pour pouvoir y accéder via des périphériques sans fil, comme les tablettes et les smartphones). Onguardonline.gov a publié des tutoriels vidéo sur l’activation du cryptage sans fil sur votre routeur. WPA2 est la technologie de cryptage la plus puissante disponible dans la plupart des routeurs modernes, WPA2 est la technologie de cryptage la plus puissante disponible dans la plupart des routeurs modernes, suivi par WPA et WEP (ce dernier est assez trivial à craquer avec des outils open source, donc ne l’utilisez pas sauf si c’est vous le voulez malgré tout).
Mais même les utilisateurs qui ont un mot de passe de routeur fort et qui ont protégé leur connexion Internet sans fil avec une phrase de passe WPA2 forte peuvent avoir la sécurité de leurs routeurs minée par des failles de sécurité intégrées dans ces routeurs. Dans le vif de sujet, la technologie “Wi-Fi Protected Setup” (WPS) qui est livré avec de nombreux routeurs commercialisés aux consommateurs et aux petites entreprises. Selon Wi-Fi Alliance, un groupe industriel, WPS est «conçu pour faciliter la tâche de la mise en oeuvre et de configuration de la sécurité sur les réseaux locaux sans fil. WPS permet aux utilisateurs typiques qui ne comprennent pas bien les paramètres de configuration et de sécurité Wi-Fi traditionnels de configurer automatiquement de nouveaux réseaux sans fil, d’ajouter de nouveaux périphériques et d’activer la sécurité.
Toutefois, WPS peut également exposer les routeurs à des compromis faciles. En savoir plus sur cette vulnérabilité ici. Si votre routeur est parmi ceux listés comme vulnérables, voyez si vous pouvez désactiver WPS à partir de la page d’administration du routeur. Si vous ne savez pas si cela peut être le cas ou si vous souhaitez savoir si votre routeur a envoyé une mise à jour pour corriger le problème WPS sur son matériel, consultez ce tableau.
Enfin, le matériel à l’intérieur des routeurs grand public est contrôlé par un logiciel connu sous le nom de «micrologiciel» et, occasionnellement, les entreprises qui fabriquent ces produits expédient des mises à jour de leur micrologiciel pour corriger les problèmes de sécurité et de stabilité. Lorsque vous êtes connecté au panneau d’administration, si votre routeur vous invite à mettre à jour le microprogramme, il est conseillé de s’en occuper à un moment donné. Si et quand vous décidez de prendre cette mesure, s’il vous plaît assurez-vous de suivre les instructions du fabricant à la lettre: Ne pas le faire pourrait vous laisser avec un presse-papiers surdimensionné et coûteux.
Personnellement, je n’exécute jamais le firmware d’origine fourni avec ces appareils. Au fil des ans, j’ai remplacé le firmware dans divers routeurs que j’ai achetés avec une alternative open source, comme DD-WRT (mon préféré) ou Tomato. Ils sont généralement plus sécurisées et offrent un éventail beaucoup plus large d’options et de configurations. Encore une fois, cependant, avant de remplacer le micrologiciel de stock de votre routeur par une alternative open source, prenez le temps de rechercher si votre modèle de routeur est compatible et de bien comprendre toutes les instructions impliquées dans la mise à jour du firmware.
