Cuprins:
Video: The Internet of Things presents – Heat smart #LikeABosch (Octombrie 2024)
În weekendul trecut, Internetul SUA a încetinit la o rampă datorită unui atac distribuit de refuz de serviciu sau DDOS. A fost un atac interesant din două motive. În primul rând, atacatorii - oricine ar fi - nu au inundat un singur site web cu cereri de gunoi, așa cum este obișnuitul MO pentru atacurile DDOS. În schimb, au mers după furnizorul DNS Dyn, ceea ce a făcut ca numeroase site-uri să încetinească la o rampă sau să înceteze operațiunile în întregime. Avertizările cu privire la supra-centralizarea infrastructurii DNS au devenit brusc foarte interesante.
Ceainicul a făcut-o
În centrul atacului s-a aflat Mirai, care nu este o bucată de malware deosebit de exotică. Acesta scanează dispozitivele conectate la web pentru ceea ce par a fi dispozitive IoT bazate pe Linux, aparent favorizând camerele de securitate și routerele de acasă din Hangzhou Xiongmai Technology. Apoi, apare parola de acces implicită pe un tabel și se conectează. Odată ce este înăuntru, predă controlul dispozitivului către un server de comandă centrală și control.
În timp ce acest atac a fost șocant în ceea ce a realizat, din păcate nu am văzut nimic. La conferința Black Hat din 2013, Craig Heffner a demonstrat capacitatea de a prelua cu ușurință camerele de securitate conectate la rețea. Demonstrația sa a inclus companii cu nume mari pe care le-ați recunoaște, inclusiv D-Link, Linksys, Cisco, IQInvision și 3SVision. Întrebat ce dispozitive sunt vulnerabile la atac, el a spus că nu a găsit o marcă care să nu poată fi controlată.
Pentru demo-ul său, Heffner a păcălit camera să afișeze un videoclip în buclă, ca într-un film istoric. Dar substanța reală a discuției sale a fost cu mult mai îngrozitoare. Dispozitivele IoT, cum ar fi camerele de securitate, ceainicele cu ceai, frigidere și, da, chiar și routerele wireless sunt doar computere minuscule conectate la Internet. Dacă atacatorii doresc să vizeze o persoană sau o companie în special, a spus el, ei pot ataca aceste dispozitive slab apărate și le pot folosi ca cap de plajă pentru a explora restul rețelei victimei. Și pentru că sunt computere minuscule, ele pot fi conjugate în a executa orice cod dorește atacatorul.
Gândiți-vă în acest fel: puteți cumpăra cele mai puternice uși cu cele mai bune încuietori nepotrivite pentru a vă proteja casa, dar un hoț poate încă să intre în ferestre.
IoT este diferit
În industria securității, ne place să dăm vina pe oameni, nu pe computere. Dacă oamenii ar fi fost mai atenți, poate ar fi prins eroarea Heartbleed înainte de a fi chiar introdusă. O zicală populară este că cel mai mare punct de eșec în orice sistem de securitate este între computer și scaun. Caz mai detaliat: hack-ul contului de Gmail al președintelui de campanie Hillary Clinton, John Podesta - care ne-a prezentat rețeta lui risotto, printre altele - aparent a început cu o înșelătorie de phishing.
Dar în cazul securității IoT, consumatorii nu pot fi trași la răspundere în același mod. Ca proprietar de mașină, de exemplu, vi se cere să aveți precauție în timpul conducerii și să oferiți o întreținere rezonabilă. La rândul său, compania auto trebuie să vă ofere un produs care nu vă va ucide.
Pe măsură ce societatea noastră s-a schimbat, la fel și așteptările consumatorilor. Avocații consumatorilor subliniază că unele mașini erau „nesigure cu orice viteză”. Și ca o creatură în curs de evoluție, mașinile au încolțit noi apendice: centurile de siguranță, airbag-urile și caracteristici mai puțin evidente, precum zonele crumple și materialele special concepute concepute pentru a menține consumatorii rezonabil în siguranță într-o lume în schimbare.
Când smartphone-urile au început să decoleze, producătorii și dezvoltatorii au aflat de la încercările din anii PC-ului. În timp ce securitatea mobilă a avut unele denivelări de-a lungul drumului, a fost un tort în comparație cu istoria computerului. Nu am avut un fel de infecție răspândită pe telefoanele inteligente pe care le-am văzut cu Conficker și sperăm că nu o vom face niciodată.
Istoria IoT a trasat un alt curs, poate unul care a folosit un pește de aur ca navigator. În loc să controleze accesul la dispozitiv și să utilizeze cele mai bune practici învățate de la conectarea a miliarde de calculatoare și telefoane de-a lungul deceniilor, producătorii au lansat pe piață produse ieftine. Cei care au fost proiectați, în unele cazuri, pentru a nu fi niciodată reparați, modernizați sau patcați. Chiar dacă problemele ar putea fi rezolvate, este probabil, nu este rezonabil să se aștepte ca indivizii să trateze dispozitivele de economisire a forței de muncă la fel cum fac computerele. Marea majoritate a consumatorilor presupune și, pe bună dreptate, că, dacă un dispozitiv nu are un ecran sau un fel de metodă de introducere, acesta nu este destinat să fie deservit de către aceștia.
Aceasta nu trebuia să se întâmple
Partea cea mai frustrantă a recentului atac DDoS este faptul că producătorii de IoT au avut nevoie doar să se uite la 30 de ani de tehnologie de consum pentru a vedea scrisul proverbial pe perete. Și dacă nu ar putea face acest lucru, ei ar fi putut fi atenți la avertismentele pronunțate de cercetătorii de securitate (hackeri corporativi și hobbyisti deopotrivă). Acești oameni au spus oricui ar asculta cum punerea a mai multe miliarde de dispozitive pe Internet fără a ține cont cu atenție de modul în care vor fi utilizate este o idee proastă. În 2014, Dan Geer a deschis conferința Black Hat spunând că IoT este deja asupra noastră și ar putea duce la probleme.
În ciuda celor mai bune eforturi pentru a rămâne cinic, IoT se simte inevitabil și convingător. Sci-fi ne-a promis de câteva decenii calculatoare și aparate futuriste și poate de aceea, prezicerea de către Gartner că va exista 6, 4 miliarde de dispozitive conectate la internet până în 2020, sună posibil. Aceste dispozitive sunt deja în casele noastre: cutii de streaming, console de jocuri, routere wireless. În ochii atacatorilor și atacurilor automatizate, acestea sunt doar mai multe adrese IP de exploatat.
Pe măsură ce ne agățăm de sărbători și ne încredințăm într-o nouă generație de dispozitive IoT, să punem în prim-plan securitatea concepută pentru a fi înțeleasă de utilizatori. Dacă până în 2020, cel mai bun sfat pe care trebuie să-l ofer încă oamenilor este să vă deconectați dispozitivele inteligente, atunci această industrie nu merită reputația sa de inovație sau chiar de inteligență.
