Tartalomjegyzék:
Videó: IoT (Internet of Things) для «чайников» от «чайника». (November 2024)
A múlt hétvégén az Egyesült Államok Internetje lecsúszott a feltérképezésre a szolgáltatásmegtagadás támadásának vagy a DDOS-nak köszönhetően. Két okból volt érdekes támadás. Először: a támadók - bárki is legyenek - egyetlen webhelyet sem juttattak el kéretlen kérelmekkel, mint ahogy a DDOS-támadások esetében is szokásos MO. Ehelyett a Dyn DNS-szolgáltatót követték, ami számos webhelyet arra engedt, hogy feltérképezzen vagy teljesen leállítsa a működést. A DNS-infrastruktúra túlközpontosításával kapcsolatos figyelmeztetések hirtelen nagyon érdekessé váltak.
A teáskanna csinálta
A támadás középpontjában a Mirai volt, amely nem különösebben egzotikus rosszindulatú darab. Megvizsgálja az internethez csatlakoztatott eszközöket, hogy tűnnek-e Linux-alapú IoT-eszközöknek, látszólag előnyben részesítve a Hangzhou Xiongmai Technology biztonsági kameráit és otthoni útválasztóit. Ezután megkeresi az alapértelmezett jelszót az asztalon, és bejelentkezik. A belépés után átadja az eszköz irányítását egy központi parancs- és vezérlőszervernek.
Noha ez a támadás megdöbbentő volt abban, amit elért, sajnos semmi nem látott jönni. A 2013-as Black Hat konferencián Craig Heffner demonstrálta a képességét, hogy könnyen átvegye a hálózathoz csatlakoztatott biztonsági kamerákat. Bemutatója olyan nagyvállalatokkal foglalkozott, amelyeket felismerhetne, köztük a D-Link, a Linksys, a Cisco, az IQInvision és a 3SVision. Arra a kérdésre, hogy mely készülékek vannak kitéve a támadásoknak, azt mondta, hogy nem talált olyan márkát, amelyet nem lehetne ellenőrizni.
Demójára Heffner becsapta a kamerát egy hurokos videó megjelenítésére, mint egy heista filmben. De a beszéde tényleges tartalma sokkal szörnyűbb volt. IoT eszközök, például biztonsági kamerák, teáskannák, hűtőszekrények és igen, még a vezeték nélküli útválasztók is csak apró, az Internethez csatlakoztatott számítógépek. Ha a támadók egy személyt vagy egy társaságot akarnak kifejezetten megcélozni, azt mondta: megtámadhatják ezeket a rosszul védett eszközöket, és strandfejen használhatják az áldozat többi hálózatának felfedezéséhez. És mivel apró számítógépek, elképzelhető, hogy bármilyen kódot végrehajtanak, amelyet a támadó kíván.
Gondolj bele erre: megvásárolhatja a legerősebb ajtókat a legjobb nem megfigyelhető zárakkal, hogy megvédje házát, de egy tolvaj mégis behatolhat az ablakon.
Az IoT más
A biztonsági ágazatban az embereket szeretjük hibáztatni, nem pedig a számítógépeket. Ha az emberek figyelmesebbek lennének, akkor előfordulhat, hogy megfogták a Heartbleed hibát, még mielőtt bevezették volna. A közkedvelt mondás az, hogy bármely biztonsági rendszer meghibásodásának legnagyobb pontja a számítógép és a szék között van. Példa erre: Hillary Clinton kampányelnök John Podesta Gmail-fiókjának csapása - amely többek között bevezette nekünk a rizottó receptjét is - nyilvánvalóan adathalász csalással kezdődött.
Az IoT biztonsága esetén azonban a fogyasztókat nem lehet ugyanúgy elszámoltatni. Például autótulajdonosként óvatosan kell eljárnia vezetés közben, és ésszerű karbantartást kell végeznie. A gépjárműgyártó cégnek viszont olyan terméket kell biztosítania Önnek, amely valójában nem öl meg.
Ahogy a társadalom megváltozott, a fogyasztói elvárások is változtak. A fogyasztói támogatók rámutatnak, hogy egyes autók "bármilyen sebességgel nem voltak biztonságos". És mint egy fejlődő lény, az autók új kiegészítőket csíráztak: a biztonsági övek, a légzsákok és a kevésbé nyilvánvaló tulajdonságok, mint például a gyűrődési zónák és a speciálisan tervezett anyagok, amelyek célja a fogyasztók ésszerű biztonságának fenntartása a változó világban.
Amikor az okostelefonok elindultak, a gyártók és a fejlesztők megtanultak a PC-évek próbáiból. Noha a mobilbiztonságnak volt némi ütése az út mentén, ez a PC történetéhez képest kifutópálya volt. Még nem volt ilyen széles körű fertőzés az okostelefonokon, amit a Confickernél láttunk, és remélhetőleg soha nem fogunk.
Az IoT története más útvonalat ábrázolt, amely talán egy aranyhalat használt navigátorként. Ahelyett, hogy ellenőriznék az eszközhöz való hozzáférést, és beépítették volna a bevált gyakorlatokat, amelyek több milliárd számítógép és telefon összekapcsolásáról tanultak az évtizedek során, a gyártók olcsó termékeket rohantak piacra. Olyan készülékek, amelyeket bizonyos esetekben úgy terveztek, hogy soha ne végezzék szervizelést, frissítést vagy javítást. És még ha a problémákat meg lehet oldani is, vitathatatlanul nem indokolt elvárni, hogy az egyének ugyanúgy kezeljék a munkaerőt takarító eszközöket, mint a számítógépeket. A fogyasztók túlnyomó többsége - és helyesen - feltételezi, hogy ha egy eszköznek nincs képernyője vagy valamilyen beviteli mód, akkor azt nem szándékoznak kiszolgálni.
Ennek nem kellett történnie
A legutóbbi frusztrált DDoS-támadás az, hogy az IoT-gyártóknak csak a 30 éves fogyasztói technológiát kellett megvizsgálniuk, hogy láthassák a közmondásos szöveget a falon. És ha nem tudnák ezt megtenni, figyelmeztethettek volna a biztonsági kutatók (akár a vállalati, mind a hobbi-sportoló hackerek) által kifogott figyelmeztetésekre. Ezek az emberek azt mondták senkinek, aki meghallgatná, hogy rossz ötlet az, hogy több milliárd további eszközt helyeznek az internetre anélkül, hogy alaposan megfontolnák, hogy miként fogják használni. 2014-ben Dan Geer megnyitotta a Black Hat konferenciát, mondván, hogy az IoT már ránk áll, és problémákat okozhat.
Annak minden erőfeszítésem ellenére, hogy továbbra is cinikus maradjak, az IoT elkerülhetetlennek és kényszerítőnek érzi magát. A sci-fi évtizedek óta megígérte nekünk, hogy beszélünk számítógépekkel és futurisztikus eszközökkel, és talán ezért működik a Gartner előrejelzése, hogy 2020-ra 6, 4 milliárd eszköz csatlakozik az internethez. Ezek az eszközök már otthonainkban vannak: streaming boxok, játékkonzolok, vezeték nélküli útválasztók. A támadók és az automata támadások szempontjából ezek csak több IP-cím, amelyet ki lehet használni.
Ahogy az ünnepek felé fordulunk, és tovább haladunk az IoT-eszközök új generációjához, tegyük a biztonságot, amelyet a felhasználók számára megértettekként helyezünk előtérbe. Ha 2020-ig a legmegfelelőbb tanács az emberek számára az intelligens készülékeik lecsatlakoztatása lenne, akkor ez az ipar nem érdemel hírnevet az innovációért, vagy akár az intelligencia miatt.
