Innholdsfortegnelse:
Video: What is the Internet of Things? And why should you care? | Benson Hougland | TEDxTemecula (Oktober 2024)
Den siste helgen saktet det amerikanske Internett til en gjennomsøking takket være et distribuert angrepsangrep, eller DDOS. Det var et interessant angrep av to grunner. For det første oversvømte ikke angriperne - uansett hva de er - et eneste nettsted med søppelforespørsler, som det vanlige MO for DDOS-angrep. I stedet fulgte de DNS-leverandøren Dyn, noe som fikk mange nettsteder til å senke seg til å krype eller helt stoppe operasjonen. Advarsler om overdreven sentralisering av DNS-infrastruktur ble plutselig veldig interessante.
Tekannen gjorde det
I hjertet av angrepet var Mirai, som ikke er et spesielt eksotisk stykke malware. Den søker etter enheter koblet til nettet etter det som ser ut til å være Linux-drevne IoT-enheter, og tilsynelatende favoriserer sikkerhetskameraer og hjemmerutere fra Hangzhou Xiongmai Technology. Den ser deretter opp standard passord på et bord og logger på. Når den er inne, overleverer den kontrollen over enheten til en sentral kommando- og kontrollserver.
Mens dette angrepet var sjokkerende i det det oppnådde, er det dessverre ingenting vi ikke så komme. På Black Hat-konferansen i 2013 demonstrerte Craig Heffner muligheten til enkelt å overta nettverkstilkoblede sikkerhetskameraer. Hans demonstrasjon inkluderte store navnefirmaer du vil kjenne deg igjen, inkludert D-Link, Linksys, Cisco, IQInvision og 3SVision. På spørsmål om hvilke enheter som var sårbare for angrep, sa han at han ikke hadde funnet et merke som ikke kunne kontrolleres.
For sin demonstrasjon lurte Heffner kameraet til å vise en loopingvideo, som i en heist-film. Men selve innholdet i praten hans var langt dyster. IoT-enheter som sikkerhetskameraer, vannkoker, kjøleskap og ja, til og med trådløse rutere er bare små datamaskiner koblet til Internett. Hvis angripere ønsker å målrette seg mot en person eller et selskap spesifikt, sa han, kan de angripe disse dårlig forsvarte enhetene og bruke dem som et strandhode for å utforske resten av offerets nettverk. Og fordi de er bittesmå datamaskiner, kan de tenkes å lokkes til å utføre hvilken kode angriperen ønsker.
Tenk på det på denne måten: du kan kjøpe de sterkeste dørene med de beste upickelige låsene for å beskytte huset ditt, men en tyv kan fremdeles bryte inn gjennom vinduene.
IoT er annerledes
I sikkerhetsbransjen liker vi å skylde på mennesker, ikke datamaskiner. Hvis folk hadde vært mer våken, kunne de ha fanget Heartbleed-bug før den til og med ble introdusert. Et populært ordtak er at det største feilen i noe sikkerhetssystem er mellom datamaskinen og stolen. Et eksempel: hackingen til Hillary Clinton-kampanjens leder John Podestas Gmail-konto - som introduserte oss for blant annet risotto-oppskriften hans - begynte tilsynelatende med en phishing-svindel.
Men når det gjelder IoT-sikkerhet, kan forbrukerne ikke holdes ansvarlige på samme måte. Som bileier er du for eksempel pålagt å være forsiktig mens du kjører og sørge for rimelig vedlikehold. Bilselskapet på sin side er pålagt å gi deg et produkt som faktisk ikke vil drepe deg.
Etter hvert som samfunnet vårt endret seg, gjorde også forventningene til forbrukerne. Forbrukerforkjemperne påpeker at noen biler var "utrygge i hvilken som helst hastighet." Og som en utvikling, skapte biler nye vedlegg: bilbelte, kollisjonsputer og mindre åpenbare funksjoner som krøllesoner og spesialkonstruerte materialer designet for å holde forbrukere rimelig trygge i en verden i endring.
Da smarttelefoner begynte å ta fart, lærte produsenter og utviklere fra forsøkene på PC-årene. Mens mobilsikkerhet har hatt noen støt underveis, har det vært en cakewalk sammenlignet med PC-historien. Vi har ikke hatt den slags utbredte infeksjoner på smarttelefoner som vi så med Conficker, og forhåpentligvis vil vi aldri gjøre det.
Historien til IoT kartla en annen kurs, kanskje en som brukte en gullfisk som navigatør. I stedet for å kontrollere tilgangen til enheten, og bruke beste fremgangsmåter som ble lært ved å koble milliarder av datamaskiner og telefoner i løpet av tiår, satte produsenter billige produkter ut på markedet. Dem som i noen tilfeller ble designet for aldri å bli reparert, oppgradert eller lappet. Og selv om problemer kan løses, er det uten tvil ikke rimelig å forvente at enkeltpersoner behandler arbeidsbesparende enheter på samme måte som de gjør datamaskiner. De aller fleste forbrukere antar, og med rette, at hvis en enhet ikke har en skjerm eller en slags inndatametode, er den ikke ment å bli betjent av dem.
Dette trengte ikke skje
Den mest frustrerende delen av det siste DDoS-angrepet er at IoT-produsentene bare trengte å se på 30 år med forbrukerteknologi for å se den ordspråklige skriften på veggen. Og hvis de ikke kunne gjøre det, kunne de ha fulgt advarslene fra sikkerhetsforskere (både forretnings- og hobbyhacker). Disse menneskene har fortalt alle som vil høre hvordan det er en dårlig ide å sette milliarder flere enheter på Internett uten nøye vurdering av hvordan de skal brukes. I 2014 åpnet Dan Geer Black Hat-konferansen ved å si at IoT allerede er over oss og kan føre til problemer.
Til tross for min beste innsats for å forbli kynisk, føles IoT uunngåelig og overbevisende. Sci-fi har lovet oss å snakke datamaskiner og futuristiske apparater i flere tiår, og kanskje det er grunnen til at forutsigelsen fra Gartner om at det vil være 6, 4 milliarder enheter koblet til Internett innen 2020, er mulig. Disse enhetene er allerede i hjemmene våre: streamingbokser, spillkonsoller, trådløse rutere. I angrep av angripere og automatiserte angrep, er dette bare flere IP-adresser å utnytte.
Når vi slynger oss mot høytiden og lurer fremover til en ny generasjon av IoT-enheter, la oss sette sikkerhet som er designet for å bli forstått av brukere i forkant. Hvis innen 2020 det beste rådet jeg fremdeles har å tilby folk er å koble fra smarte enheter, fortjener ikke denne industrien sitt rykte for innovasjon eller intelligens.
