Освіта у Львівській політехніці

Дослідження методів захисту IoT від ботнетів

Автор: Тукало Святослав Ігорович

Кваліфікаційний рівень: магістр

Спеціальність: Інформаційні мережі зв'язку

Інститут: Інститут телекомунікацій, радіоелектроніки та електронної техніки

Форма навчання: денна

Навчальний рік: 2021-2022 н.р.

Мова захисту: українська

Анотація: Сьогоднішні темпи розвитку сфери інформаційних технологій набули чималих обертів, та розвиваються дуже стрімко. На сьогодні сфера Інтернету Речей є однією з найпопулярніших галузей для інвесторів. Стає очевидним той факт, що, сфера Інтренету Речей є однією з найбільш стрімко зростаючих серед всіх галузей інформаційних технологій, кількість пристроїв підключених до цієї мережі вже у 2025 році за пронозами вчених складатиме 21,5 млрд. Така популярність зумовлена рядом суттєвих переваг: відносно низька собівартість продукту, популярність серед населення, покращення функціонування підприємств та заводів, покращення таргетингової реклами. Оскільки Інтернет Речей зачепає такі важливі галузі нашого життя, постає питання безпеки персональних даних та IoT пристроїв в цілому. На цей момент у світі не існує єдиного стандарту розробки IoT пристроїв. Це означає, що кожен виробник, може користуватися, будь - якими, стандартами безпеки, або ж взагалі їх не використовувати. Дуже часто це приводить до того, що IoT пристрій стає жертвою кіберзлочинців. Причин атаки ґаджета є доволі багато, проте основними є залучення пристрою до ботмережі або крадіжка персональних даних. Таким чином, метою виконання магістерської кваліфікаційної роботи є дослідження методів захисту пристроїв мережі Інтернету Речей від проникнення зловмисних мереж ботів. Для досягнення цієї мети, кваліфікаційну роботу поділено на ряд етапів, які дозволили в підсумку отримати бажаний результат. Для виконання першого етапу досліджено існуючі методи захисту від мереж ботів. Детально описано та наведено їх загальну характеристику, переваги та недоліки. проаналізовано методи боротьби з ботнетами та способами відбиття їх атак. Досліджено алгоритми боротьби із спам - розсилкою, а також порядок дій під час атаки типу DDoS. Наведено тривіальний метод для відбиття типових DDoS атак, таких як SYN та ICMP флуд. Окрім цього, проведено дослідження методу захисту інформації - ризик менеджменту. За допомогою цього способу можна ефективно оцінити придбаний IoT пристрій, або ж оцінити ризики мережі, до якої він буде підключений. Наступним етапом досягнення поставленої мети - розробити власний ботнет, оскільки це дозволило проводити дослідження опираючись на реальну модель і отримати чіткі данні. Для цього розроблено ботнет на основі протоколу SSH,. Такий протокол обрано через відносну легкість реалізації ботнету та його великий функціонал, і можливість маскувати трафік. Під поняттям маскування трафіку мається на увазі, що даний протокол зазначений у загальних системах як безпечний і не викликає зайвих підозр при аналізі мережевого трафіку. Окрім того протокол використовує для комунікації мережевий порт під номером 22, тобто порт – TCP. Очевидно, що будь – який ботнет повинен мати командно-контрольний центр. Задля забезпечення високої надійності та децентралізованості ботнет проводить керування через окремий сервер баз даних, в якому знаходиться інформація про стан ботів, а також загальна інформація про кожного з них. Командний сервер може викрадати файли із зараженого бота, виконувати будь -які операції від імені адміністратора, а також вражати розумні пристрої. Для дослідження використовувався смарт годинник, працюючий за допомогою Bluetooth LE. В загальному випадку цей протокол, має дуже велику ефективність за рахунок низького споживання енергії. Проте як показало дослідження цього протоколу у нього є певний ряд недоліків, таких як ATT протокол. Його вагомим недоліком є можливість підключення із будь-якого хоста до смарт гаджета, що дозволило в підсумку провести ефективну спам атаку. Як результат створено власну систему захисту від ботнетів, яка дозволяє проаналізувати хост та виявити основні ознаки наявності цього хоста в мережі ботів. Це дозволяє оперативно зреагувати та почати протидіяти такому зараженню. Система дозволяє отримати дані про встановлені активні з’єднання SSH, команди, які віддалено запускаються на даному хості, а також автоматично заблокувати встановлені з’єднання та не допустити проникнення нових. Запропонована система аналізу сесій реалізована за принципом Honeynet мереж, але по суті є гібридною, оскільки використовує модель автономних агентів, модель моніторингу мережі та модель виявлення вторгнень на основі поведінки. В результаті тестування запропонованої системи проведено атаку на пристрій Ключові слова: IoT, бот, ботмережа, SSH, ssh-botnet, Bluetooth vulnerability, Honeynet.