Tuesday, 31 January 2017

RoT: Ransomware of Things

Dubai, UAE; 30 January 2017: One of the trends found most worrying in 2016 was the willingness of some individuals to participate in the following three activities: holding computer systems and data files hostage (ransomware); denying access to data and systems (Distributed Denial of Service or DDoS); and infecting some of the devices that make up the Internet of Things (IoT).
Sadly, these trends will continue to evolve in 2017 and there is potential for cross-pollination as they do so. For example, using infected IoT devices to extort commercial websites by threatening a DDoS attack, or locking IoT devices in order to charge a ransom – something I like to call “jackware”.
ESET’s Stephen Cobb examines how ransomware and jackware are evolving:
Past and future threats
Abusing information systems to extort money is almost as old as computing itself. Back in 1985, an IT employee at a US insurance company programmed a logic bomb to erase vital records if he was ever fired. Two years later he was – and, accordingly, the bomb erased the records, leading to the first conviction for this type of computer crime.
Malware that used encryption to hold files for ransom was identified in 1989, as David Harley has recounted. In 2011, my colleague Cameron Camp described locking computers for a ransom as “stooping to new lows”.
So how might these elements evolve or merge in 2017? Some people have been referring to 2016 as “The Year of Ransomware” and I’m concerned 2017 could be dubbed “The Year of Jackware”.
Think of jackware as malicious software that seeks to take control of a device, the primary purpose of which is neither data processing nor digital communications. A good example is a “connected car”, as many of today’s latest models are described. These cars perform a large amount of data processing and communicating, but their primary purpose is to get you from A to B.
So think of jackware as a specialized form of ransomware. With regular ransomware, such as Locky and CryptoLocker, the malicious code encrypts documents on your computer and demands a ransom to unlock them. The goal of jackware is to lock up a car or other device until you pay up.
Picture this: on one particularly cold and frosty morning I use the car app on my phone to remote start my car from the comfort of the kitchen, but the car does not start. Instead I get a text on my phone telling me I need to hand over X amount of digital currency to re-enable my vehicle. This is what jackware could look like from a victim’s point of view. Fortunately, and I stress this: jackware is, as far as I know, still theoretical. It is not yet “in the wild”.
It’s not easy to prevent jackware being developed and deployed; especially considering previous examples. We have already seen that a car company can ship more than a million vehicles containing vulnerabilities that could have been abused for jackware: take the Fiat Chrysler Jeep problem that was all over the news in 2015.
An equally serious case was the Financial Conduct Authority’s (FCA) apparent lack of planning for vulnerability patching in the vehicle design process. It is one thing to ship a digital product in which ‘holes’ are later discovered – in fact, this is pretty much inevitable – but it is a different and more dangerous thing to ship digital products without a quick and secure means of patching those holes.
While most “car hacking” research and discussion centers on technical issues within the vehicle, it is important to realize that a lot of IoT technology relies on a support system that extends well beyond the device itself. We saw this in 2015 with VTech, a player in the Internet of Children’s Things (IoCT) space. Weak security on the company’s website exposed personal data about children, reminding everyone just how many attack surfaces the IoT creates.
We also saw this infrastructure issue in 2016 when some Fitbit accounts had problems (to be clear, the Fitbit devices themselves were not hacked, and Fitbit seems to take privacy seriously). Also this year, bugs were discovered in the online web app for BMW ConnectedDrive, which connects BMWs to the IoT. You can use the BMW ConnectedDrive to regulate your home’s heating, lights, and alarm system from inside your vehicle.
The possibility that the features and settings of an in-vehicle system could be remotely administered through a portal that could be hacked is unsettling to say the least. And reports of vehicular cyber-insecurity keep coming, like this Wi-Fi enabled Mitsubishi, and hacked radios used to steal BMWs, Audis, and Toyotas.
While I originally thought of jackware as an evolution of malicious code targeting vehicles, it was soon clear that this trend could manifest itself more broadly – think “the Ransomware of Things (RoT)”. A chilling story from a city in Finland indicates one direction that this might take (DDoS attack halts heating in Finland in winter). While there was no indication of ransom demands in the reports, it does not take much imagination to see this as the next step. Want us to stop DDoSing the heating system? Pay up!
Stopping the RoT
To stop the IoT becoming home to the RoT, a number of things need to happen; in two different spheres of human activity. First is the technical sphere, where the challenge of implementing security on a vehicular platform is considerable. Traditional security techniques like filtering, encrypting and authenticating can consume costly processing power and bandwidth, adding overhead to systems, some of which need to operate with very low latency. Security techniques like air-gapping and redundancy could potentially contribute significantly to increasing costs of vehicles. And we know that controlling costs has always been critical to car manufacturers, down to the last dollar.
The second sphere in which action against the RoT should be taken is policy and politics. There has been a collective international failure to prevent a thriving criminal infrastructure evolving in cyberspace; one that now threatens every innovation in digital technology you can think of, from self-driving cars to drones; from big data to telemedicine. For example, as alluded to in Challenges and Implications of Cybersecurity Legislation, concerned politicians failed to pass legislation in 2016 that would help secure the smart grid, despite bipartisan support.
To be clear, terms like RoT and jackware are not intended to cause alarm. They symbolize things that could come to pass if we do not do enough in 2017 to prevent them from becoming a reality. So let me end with some positive developments.
First, a variety of government agencies are stepping up their efforts to make the IoT more secure. In 2016 we saw the publication of the Strategic Principles for Securing the Internet of Things from the US Department of Homeland Security, and the NIST Special Publication.
The full title of the latter is Systems Security Engineering Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems. NIST is the National Institute of Standards and Technology, part of the US Department of Commerce, and over the years the agency has exerted a positive influence on many aspects of cybersecurity. Hopefully, these efforts – and the many others around the world – will help us make progress in 2017, working towards the goal of securing our digital lives against those who choose to abuse technology to extort us.

Finally, evidence that we might be making some progress – at least in terms of public awareness of the IoT’s potential to bring problems as well as perks and productivity gains – comes from a different kind of publication: the results of an ESET consumer survey. Reported under the title of “Our Increasingly Connected Digital Lives” the survey revealed that more than 40% of American adults were not confident that IoT devices are safe and secure. Furthermore, more than half of respondents indicated that privacy and security concerns had discouraged them from purchasing an IoT device.
برمجيات الفدية الخبيثة في سياق انترنت الأشياء (RoT)
دبي، الإمارات العربية المتحدة، 30 يناير: 2017:
تمثلت أكثر الاتجاهات إثارةً للقلق خلال عام 2016 في رغبة بعض الأفراد بالمشاركة في الأنشطة الالكترونية الثلاثة التالية: احتجاز أنظمة الحاسوب وملفات البيانات كرهينة (برمجيات الفدية الخبيثة Ransomware)، وحجب الوصول إلى البيانات والأنظمة (هجمات حجب الخدمة الموزعة DDoS)، بالإضافة إلى اختراق بعض الأجهزة التي تشكَل ’انترنت الأشياء‘(IoT).
وللأسف، تشير التوقعات إلى استمرار تطور هذه الاتجاهات خلال العام 2017 مع إمكانية تداخلها ضمن بيئة عمل مشتركة.على سبيل المثال، استخدام أجهزة ’انترنت الأشياء‘ المخترقة لابتزاز مواقع الانترنت التجارية من خلال التهديد بتنفيذ هجمات حجب الخدمة الموزعة أو حتى قفل هذه الأجهزة بهدف الحصول على فدية - وهذا ما أطلق عليه اسم برمجيات السيطرة على الأجهزة الخبيثة ’جاكوير‘ (jackware).
بين المخاطر السابقة والمستقبلية
إن فكرة استغلال نظم المعلومات لأغراض ابتزازية والحصول على المال بدأت تقريباً مع ظهور الحوسبة بحد ذاتها. وسابقاً في عام 1985، قام موظف تكنولوجيا المعلومات في شركة تأمين أمريكية ببرمجة قنبلة منطقية لمحو السجلات الهامَة إذا ما تمت إقالته من الشركة، وهذا ما حدث بعد سنتين، وبالتالي قامت القنبلة بمحو السجلات لتؤدي هذه الحادثة إلى أول إدانة لهذا النمط من الجرائم الالكترونية.
ويشير المحلل ديفيد هارلي إلى أن البرمجيات الخبيثة التي تستخدم التشفير لحفظ الملفات بغية الحصول على فدية تم تحديدها في العام 1989. بينما وصف زميلي كاميرون كامب عام 2011 عملية إقفال أجهزة الحاسوب مقابل الحصول على فدية بأنها "مستويات جديدة من الانحطاط".
إذاً السؤال هو كيف يمكن لهذه العناصر أن تتطور أو تندمج خلال عام 2017؟  أشار البعض إلى عام 2016 بأنه "عام برمجيات الفدية الخبيثة"، بينما أخشى أننا سنطلق على عام 2017  "عام برمجيات جاكوير الخبيثة".
يمكننا اعتبار برمجيات السيطرة على الأجهزة ’جاكوير‘ بمثابة برامج خبيثة تسعى للتحكم بأحد الأجهزة، ولا يكون الهدف الرئيسي لهذه البرمجيات معالجة البيانات أو الاتصالات الرقمية. وخير مثال على ذلك هو السيارات المتصلة، مع اعتماد العديد من السيارات الحديثة على هذه الميزة؛ حيث تقوم هذه السيارات بمعالجة كمية كبيرة من البيانات والاتصالات، ولكنها وظيفتها الأساسية هي مساعدتك على التنقل من مكان لآخر.
إذاً يمكننا النظر إلى برمجيات ’جاكوير‘ كنسخة متخصصة من ’برمجيات الفدية الخبيثة‘؛ حيث تعمل الشيفرات الخبيثة في برمجيات الفدية الخبيثة العادية مثل ’لوكي‘و ’كريبتولوكر‘ على تشفير المستندات على حاسوبك وتطلب منك فدية مقابل فك التشفير. بينما تستهدف برمجيات ’جاكوير‘ إقفال سيارتك أو غيرها من الأجهزة المتصلة ومطالبتك بفدية مقابل إلغاء القفل.
تخيَلوا هذا السيناريو: في صباح أحد الأيام الباردة والمتجمدة أقوم باستخدام تطبيق السيارة على هاتفي الذكي لتشغيل سيارتي عن بعد وأنا جالس في المطبخ بكل راحة ولكن السيارة لا تستجيب، عوضاً عن ذلك أتلقى رسالة مفادها أنه ينبغي عليَ أن أدفع مبلغاً من المال بالعملة الالكترونية مقابل فك القفل؛ باختصار، هذا ما تبدو عليه برمجيات ’جاكوير‘ من وجه نظر الضحيَة. ولكنني أؤكد لكم ولحسن الحظ بأن برمجيات ’جاكوير‘ لا تزال أمراً نظرياً ولم "تنتشر على أرض الواقع" حتى الآن.
إن الحيلولة دون تطوير وتطبيق برمجيات ’جاكوير‘ ليس بالمهمة السهلة، خاصةً مع النظر إلى الأمثلة المذكورة سابقاً والأخطاء التصنيعية التي يمكن أن تحدث؛ حيث شهدنا بالفعل أن شركات السيارات يمكن أن تطرح بالأسواق أكثر من مليون سيارة تنطوي على نقاط ضعف يمكن استغلالها من قبل برمجيات ’جاكوير‘؛ مثل المشاكل في سيارة جيب التي طرحتها شركة ’فيات كرايسلر‘ والتي انتشرت في كافة وسائل الإعلام عام 2015.
كما يعتبر الافتقار الواضح إلى التخطيط في’ هيئة الرقابة المالية‘ لتصحيح نقاط الضعف في عملية تصميم السيارة من المشاكل التي تعتبر على ذات القدر من الخطورة. فمن الطبيعي أن تقوم جهة ما بإطلاق منتجات رقمية تحتوي على ’ثغرات‘ يتم اكتشافها لاحقاً- وهذا في الواقع أمر لا مفر منه- ولكن الأمر يصبح أكثر خطورة عند إطلاق هذه المنتجات دون الأخذ بعين الاعتبار اعتماد وسائل سريعة وآمنة كفيلة بتصحيح هذه الثغرات.
في حين تتمحور معظم نقاشات وأبحاث "اختراق السيارات" حول المشاكل الفنية داخل السيارة، من المهم أن ندرك بأن الكثير من تقنيات ’انترنت الأشياء‘ تعتمد على نظام دعم يمتد إلى شبكة أخرى غير الجهاز المتصل نفسه. شهدنا في العام 2005 المشاكل التي واجهتها شركة ألعاب الأطفال VTech، إحدى الجهات الفاعلة في قطاع ’انترنت الأشياء للأطفال‘ (IoCT)؛ حيث أن الحالة الأمنية الضعيفة على الموقع الالكتروني للشركة أدى إلى كشف البيانات الشخصية للأطفال، وهذا ما ذكَر الجميع بالاحتمالات الواسعة للاختراقات والثغرات المترافقة مع ’انترنت الأشياء‘.
كما شهدنا في العام 2016 قضية مماثلة في البنية التحتية عندما واجهت بعض حسابات شركة ’فيت بيت‘ مشاكل تقنية (لتوخي الدقة أجهزة الشركة نفسها لم يتم اختراقها، ويبدو أن الشركة تأخذ مسألة حماية الخصوصية على محمل الجد). كما شهدنا خلال هذا العام اكتشاف بعض الأخطاء في تطبيق الويب الخاص بشركة ’بي إم دبليو‘BMW ConnectedDrive، والذي يقوم بوصل سيارات الشركة بإنترنت الأشياء؛ حيث يمكن استخدامه للتحكم بدرجة الحرارة أو الإضاءة أو نظام الإنذار في المنزل أثناء التواجد داخل السيارة.
يمكننا القول أن احتمال اختراق المنصة التي يمكن من خلالها إدارة الميزات والإعدادات للنظام الداخلي للسيارة عن بعد هو أمر مقلق على أقل تقدير. كما أن انخفاض مستوى الأمن الرقمي في المركبات ما زالت مشكلة قائمة، مثل المشاكل في  سيارات ميتسوبيشي المتصلة بالواي فاي، واختراق الأجهزة اللاسلكية لسرقة سيارات ’بي إم دبليو‘ و’أودي‘ و’تويوتا‘.
وفي حين اعتقدت في البداية أن برمجيات ’جاكوير‘ هي عبارة عن مرحلة متطورة من الشيفرات الخبيثة التي تستهدف السيارات، ولكن بعد وقت قصير أصبح من الواضح أن هذا التوجه يمكن أن يتجسد على نطاق أوسع- مثل  "برمجيات الفدية الخبيثة ضمن الأشياء". أود أن أذكركم بقصة بعيدة كل البعد عن الإنسانية حدثت في إحدى مدن فلندا وتعبر عن مدى خطورة هذه البرمجيات (هجمات حجب الخدمة الموزعة توقف التدفئة في فصل الشتاء). لم تشر التقارير إلى طلب أية فدية، ولكن منطقياً يمكننا أن نتوقع بأن هذه هي الخطوة التالية: إذا ما أردتم أن نوقف هجمات حجب الخدمة الموزعة على نظام التدفئة عليكم أن تدفعوا الأموال!
التصدي لـ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘
للحيلولة دون أن تصبح ’انترنت الأشياء‘ موطناً لـ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘ ينبغي إجراء بعض التغييرات ضمن اثنين من مجالات نشاطنا. يتمثل الأول بالمجال الفني، حيث يتوجب علينا التغلب على التحدي الكبير المتمثل بتطبيق المعايير الأمنية على منصات المركبات. يمكن للإجراءات الأمنية التقليدية مثل الترشيح والتشفير والتوثيق أن تستهلك الكثير من طاقة المعالجة والنطاق الترددي، فضلاً عن النفقات الإجمالية للأنظمة والتي يحتاج بعضها للعمل وفق زمن استجابة منخفض جداً. بينما يمكن للإجراءات الأمنية مثل الفجوات الهوائية أو تكرار البيانات أن تساهم بشكل كبير في زيادة تكاليف المركبات، وهذا أمر غير عملي لأن ضبط تكاليف الانتاج يعتبر من الجوانب الأساسية بالنسبة للشركات المصنعَة.
أما المجال الثاني الذي يجب أن يشهد تغييراً وإجراءات تحول دون انتشار ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘ هو قطاع السياسة والسياسات المطبقة. لقد شهدنا فشلاً دولياً جماعياً في منع تطوَر وازدهار البنية التحتية للجرائم في الفضاء الرقمي؛ الأمر الذي يشكل تهديداً قائماً لأي ابتكار في مجال التكنولوجيا الرقمية، من السيارات ذاتية القيادة إلى الطائرات بدون طيار، ومن البيانات الضحمة إلى التطبيب عن بعد. فعلى سبيل المثال، أشار تقرير ’التحديات والآثار المترتبة على تشريعات الأمن الرقمي‘ إلى فشل الساسة المعنيين خلال عام 2016 بتمرير هذه التشريعات التي كان بمقدورها أن تساعد في تأمين الشبكة الذكية، على الرغم من دعم الحزبين الرئيسيين لها.
ولأكون أكثر وضوحاً، أؤكد لكم بأن الهدف من طرح مصطلحات مثل ’برمجيات الفدية الخبيثة في سياق انترنت الأشياء‘ وبرمجيات ’جاكوير‘ ليس لإثارة الهلع والقلق، ولكن الإشارة إلى ما يمكن أن يحصل في حال لم نبذل جهداً كافياً خلال عام 2017 للحيلولة دون أن تصبح حقيقة على أرض الواقع. وبعد كل هذه التحذيرات أود أن أختتم بذكر بعض التطورات الإيجابية.
من النقاط الإيجابية التي أود ذكرها هو قيام مجموعة متنوعة من الوكالات الحكومية بتكثيف الجهود المبذولة لجعل ’انترنت الأشياء‘ أكثر أماناً؛ حيث شهدنا خلال عام 2016 إصدار منشور ’المبادئ الاستراتيجية لتأمين إنترنت الأشياء‘ من قبل وزارة الأمن الداخلي الأمريكية، و الإصدار الخاص من ’المعهد الوطني للمعايير والتكنولوجيا‘.
ويحمل هذا الإصدار الخاص عنوان: ’اعتبارات هندسة أمن النظم ضمن النهج متعددة التخصصات في هندسة نظم آمنة وموثوقة‘. ويعتبر ’المعهد الوطني للمعايير والتكنولوجيا‘ جزءاً من وزارة التجارة الأمريكية التي كان لها أثر إيجابي على مر السنين ضمن العديد من جوانب الأمن الرقمي. ونأمل أن تساعدنا هذه الجهود- وغيرها من الجهود التي بذلت حول العالم- على تحقيق تقدم ملموس في عام 2017، والعمل من أجل تأمين حياتنا الرقمية ضد كل من سولت له نفسه استغلال التكنولوجيا لابتزاز الآخرين.

وأخيراً، أود قول أن الأدلة التي تشير إلى إحراز بعض التقدم في هذا المجال- على الأقل من ناحية رفع سوية الوعي العام حيال احتمالات أن تحمل ’انترنت الأشياء‘بعض المشاكل، بالطبع إلى جانب العديد من الامتيازات والمكاسب الإنتاجية – تأتي من عبر نوع آخر من المنشورات: نتائج الدراسة الاستقصائية التي أجرتها شركة ’إسيت‘ على المستهلكين. وحملت هذه الدراسة عنوان ’حياتنا الرقمية المتصلَة على نحو متزايد‘ وكشفت أن أكثر من 40% من البالغين في الولايات المتحدة الأمريكية لم يكونوا واثقين من أن أجهزة ’انترنت الأشياء‘ تتسم بالأمان والموثوقية. وعلاوةً على ذلك، أشار أكثر من نصف المشمولين بالدراسة إلى أن المخاوف المتعلقة بالخصوصية والسلامة حالت دون شرائهم لجهاز متصل بـ’انترنت الأشياء‘.