Kazalo:
Video: Будущее уже наступило / Интернет вещей (Oktober 2024)
Minuli konec tedna je ameriški internet upočasnil plazenje zaradi razširjenega napada za zavrnitev storitve ali DDOS-a. Bil je zanimiv napad iz dveh razlogov. Prvič, napadalci - ne glede na to, kdo so - - niso preplavili niti enega spletnega mesta z neželenimi zahtevami, kot je običajno MO za napade DDOS. Namesto tega so šli po ponudnika DNS Dyn, zaradi česar so se številna spletna mesta upočasnila ali pa so v celoti prenehala delovati. Opozorila o preveliki centralizaciji infrastrukture DNS so nenadoma postala zelo zanimiva.
Čajnik je to storil
V središču napada je bil Mirai, ki ni posebej eksotičen kos zlonamerne programske opreme. Na spletnih napravah, ki so videti v omrežju IoT, se skenirajo naprave, ki so očitno v prednosti varnostnim kameram in domačim usmerjevalnikom tehnologije Hangzhou Xiongmai. Nato poišče privzeto geslo na mizi in se prijavi. Ko je znotraj, nadzor nad napravo preda centralnemu strežniku za ukaze in nadzor.
Medtem ko je bil ta napad šokanten zaradi tega, kar se je zgodilo, na žalost ni nič, česar nismo videli. Na konferenci Black Hat leta 2013 je Craig Heffner dokazal sposobnost, da brez težav prevzame omrežne varnostne kamere. Njegova predstavitev je vključevala velika podjetja, ki ste jih prepoznali, vključno z D-Link, Linksys, Cisco, IQInvision in 3SVision. Na vprašanje, katere naprave so ranljive za napad, je odgovoril, da ni našel blagovne znamke, ki je ne bi mogel nadzorovati.
Za svoj demo je Heffner pred kamero nagovarjal prikaz zankastega videoposnetka, kot v heist filmu. Toda dejanska vsebina njegovega govora je bila veliko bolj strašna. Naprave IoT, kot so varnostne kamere, čajniki, hladilniki in ja, tudi brezžični usmerjevalniki so le drobni računalniki, povezani z internetom. Če želijo napadalci posebej ciljati na neko osebo ali podjetje, lahko napadejo te slabo zaščitene naprave in jih uporabijo kot glavo na plaži za raziskovanje preostale mreže žrtev. In ker gre za drobne računalnike, jih je mogoče prevzeti v izvrševanje katerekoli kode, ki jo napadalec želi.
Pomislite na to tako: lahko kupite najmočnejša vrata z najboljšimi nezaklepnimi ključavnicami, da zaščitite svojo hišo, toda tat lahko še vedno vdre skozi okna.
IoT je drugačen
V varnostni industriji radi obtožujemo ljudi, ne računalnikov. Če bi bili ljudje bolj pozorni, bi morda ujeli hrošča Heartbleed, še preden bi ga sploh uvedli. Priljubljen pregovor je, da je največja napaka v katerem koli varnostnem sistemu med računalnikom in stolom. Primer: kramp v Gmail računu predsednika Hillary Clinton John Podesta - ki nas je med drugim seznanil z njegovim receptom za rižoto - se je očitno začel z lažno prevaro.
Vendar pa v primeru varnosti IoT potrošniki ne morejo biti odgovorni na enak način. Kot lastnik avtomobila, na primer, morate biti med vožnjo previdni in zagotoviti primerno vzdrževanje. Avtomobilsko podjetje pa vam mora zagotoviti izdelek, ki vas dejansko ne bo ubil.
Ko se je naša družba spreminjala, so se tudi pričakovanja potrošnikov spreminjala. Zagovorniki potrošnikov opozarjajo, da so bili nekateri avtomobili "nevarni pri kateri koli hitrosti". Tako kot razvijajoče se bitje so avtomobili poganjali nove dodatke: varnostne pasove, zračne blazine in manj očitne lastnosti, kot so zmečkane cone in posebej izdelani materiali, namenjeni varnemu varstvu potrošnikov v spreminjajočem se svetu.
Ko so pametni telefoni začeli odstranjevati, so se proizvajalci in razvijalci naučili iz preizkušenj PC-jev let. Medtem ko je mobilna varnost na koncu povzročila nekaj težav, je v primerjavi z zgodovino osebnega računalnika šlo za potez. Takšne razširjene okužbe na pametnih telefonih, ki smo jo videli pri Confickerju, še nismo imeli, in upamo, da je nikoli ne bomo.
Zgodovina IoT je zabeležila drugačen potek, morda tisti, ki je kot navigator uporabljal zlato ribico. Namesto da bi nadzirali dostop do naprave in uporabili najboljše prakse, ki so se jih skozi desetletja povezali milijarde računalnikov in telefonov, so proizvajalci pohiteli s poceni izdelki na trg. One, ki so bile v nekaterih primerih zasnovane tako, da jih nikoli ne bi smeli servisirati, nadgrajevati ali popravljati. In četudi bi težave lahko odpravili, je pričakovati, da posamezniki z varčnimi delovnimi napravami ne obravnavajo enako kot računalniki. Velika večina potrošnikov domneva in upravičeno je, da če naprava nima zaslona ali neke vrste načina vnosa, je ne namerava servisirati.
To se ni smelo zgoditi
Najbolj frustrirajoči del nedavnega napada na DDoS je, da so morali proizvajalci IoT samo 30 let gledati potrošniško tehnologijo, da bi videli pregovorno pisanje na steni. In če tega ne bi mogli storiti, bi lahko upoštevali opozorila, ki so jih opozorili raziskovalci na področju varnosti (podobni podjetjem in hobiistični hekerji). Ti ljudje so povedali vsem, ki bodo poslušali, kako je postavljanje milijard več naprav v internet brez natančnega premisleka o tem, kako se bodo uporabljali, slaba ideja. Leta 2014 je Dan Geer odprl konferenco Black Hat in povedal, da je IoT že na nas in lahko vodi v težave.
Kljub mojim naporom, da ostanem ciničen, se IoT počuti neizogibno in prepričljivo. Znanstvena fantastika nam že desetletja obljublja, da bomo govorili o računalnikih in futurističnih napravah, in morda je zato napoved Gartnerja, da bo do leta 2020 na internet povezano 6, 4 milijarde naprav, zdela zdrava. Te naprave so že v naših domovih: tokovne omarice, igralne konzole, brezžični usmerjevalniki. V očeh napadalcev in samodejnih napadov je to le več naslovov IP, ki jih je treba izkoristiti.
Ko se bomo sprehodili proti počitnicam in napredovali v novo generacijo naprav IoT, postavimo v ospredje varnost, ki je zasnovana tako, da jo uporabniki razumejo. Če je do leta 2020 najboljši nasvet, ki ga ljudem še moram ponuditi, odklopiti pametne naprave, potem si ta industrija ne zasluži svojega ugleda zaradi inovativnosti ali celo inteligence.
