Інтернет індустрії речей нас провалив | макс

Минулих вихідних Інтернет у США сповільнився до сканування завдяки розповсюдженій атаці відмови в службі або DDOS. Це була цікава атака з двох причин. По-перше, зловмисники - ким би вони не були - не заполонили жодного веб-сайту запитами небажаного, як це є звичайним МО для DDOS-атак. Натомість вони пішли за DNS-провайдером Dyn, через що численні веб-сайти повільно сканують або повністю припиняють свою діяльність. Попередження про надцентралізацію інфраструктури DNS раптом стали дуже цікавими.

Другий і важливіший момент полягає в тому, що значна частина пристроїв, що беруть участь в атаці DDoS, були так званими розумними пристроями Internet of Things. Зазвичай зловмисники розповсюджують зловмисне програмне забезпечення через комп’ютери, які потім виконуватимуть команду зловмисника і одночасно запитуватимуть інформацію з веб-сайтів, поки сайт не піддається навантаженню. Але цього разу в мерехтливий цифровий зомбі зберігання входили камери безпеки та бездротові маршрутизатори.

Чайник це зробив

В основі нападу опинився Мірай, який не є особливо екзотичним зловмисним програмним забезпеченням. Він сканує на пристроях, підключених до Інтернету, на предмет того, що, здається, є підключеними до Інтернету пристрої Linux, очевидно, що надає перевагу камерам безпеки та домашнім маршрутизаторам від технології Hangzhou Xiongmai. Потім він шукає пароль за замовчуванням на таблиці та входить у систему. Отримавши всередині, він передає управління пристроєм центральному серверу команд та управління.

Хоча ця атака була шокуючою в тому, що вона здійснила, на жаль, ми нічого не бачили, що прийде. На конференції Black Hat у 2013 році Крейг Хеффнер продемонстрував здатність легко перебирати підключені до мережі камери безпеки. Його демонстрація включала великі компанії, яких ви могли б впізнати, включаючи D-Link, Linksys, Cisco, IQInvision та 3SVision. На запитання, які пристрої вразливі для нападу, він сказав, що не знайшов торгової марки, яку не можна було б контролювати.

Для демонстрації, Геффнер обманув камеру показувати циклічне відео, як у фільмі про крадіжку. Але фактична суть його розмови була набагато страшнішою. Пристрої IoT, такі як камери безпеки, чайні чайники, холодильники та так, навіть бездротові маршрутизатори - це лише крихітні комп’ютери, підключені до Інтернету. Якщо зловмисники хочуть націлити особу чи компанію конкретно, за його словами, вони можуть напасти на ці погано захищені пристрої та використовувати їх як пляжну голову для дослідження решти мережі жертви. А оскільки вони крихітні комп’ютери, можливо, вони можуть бути об'єднані у виконання будь-якого коду, який бажає нападник.

Подумайте про це так: ви можете придбати найміцніші двері з найкращими незайманими замками для захисту свого будинку, але злодій все одно може прорватися через вікна.

IoT відрізняється

У галузі безпеки ми любимо звинувачувати людей, а не комп’ютери. Якби люди були більш пильними, вони, можливо, зловили блюда Heartbleed ще до того, як його навіть представили. Популярна приказка полягає в тому, що найбільша помилка в будь-якій системі безпеки - між комп'ютером і стільцем. Справа в суті: злом облікового запису Gmail Хілларі Клінтон, голова Джона Подести, який, зокрема, познайомив нас із його рецептом різотто, - очевидно, почався з фішинг-афери.

Але у випадку безпеки IoT споживачі не можуть нести відповідальність таким же чином. Наприклад, як власник автомобіля, ви повинні бути обережними під час руху та забезпечувати розумне обслуговування. Автомобільна компанія, у свою чергу, зобов’язана надати вам товар, який насправді не вб'є вас.

Як змінилося наше суспільство, так змінилися і очікування споживачів. Прихильники споживачів зазначають, що деякі машини були "небезпечними на будь-якій швидкості". І, як еволюціонуюча істота, автомобілі проростають новими пристосуваннями: ременями безпеки, подушками безпеки та менш очевидними особливостями, такими як м'ятні зони та спеціально розроблені матеріали, розроблені для того, щоб захищати споживачів досить безпечно у мінливому світі.

Те саме стосується споживчих технологій. Поширення шкідливого програмного забезпечення та небезпеки, що представляють будь-який пристрій, який просто підключається до Інтернету, підштовхнули виробників до активнішої ролі у захисті споживачів. Наприклад, Windows зараз постачається з антивірусом, встановленим та підтримуваним Microsoft. Компанія також регулярно випускає патчі, оскільки проблеми, з якими стикаються споживачі, занадто складні, щоб вирішити їх самостійно.

Коли смартфони почали зніматися, виробники та розробники дізналися з випробувань ПК років. Незважаючи на те, що мобільна безпека зазнала певних ударів по дорозі, це був прохідний шлях порівняно з історією ПК. У нас не було такої поширеної інфекції на смартфонах, яку ми бачили з Conficker, і, сподіваємось, ми ніколи цього не зробимо.

Історія IoT зафіксувала інший курс, можливо, той, який використовував золоту рибку як навігатор. Замість того, щоб контролювати доступ до пристрою та застосовувати кращі практики, отримані завдяки підключенню мільярдів комп’ютерів та телефонів протягом десятиліть, виробники кинулися на ринок дешевої продукції. Онові, які в деяких випадках були розроблені таким чином, щоб ніколи не обслуговувались, модернізувались та не латувались. І навіть якщо проблеми можна буде вирішити, можливо, нерозумно сподіватися, що люди поводяться з роботодавчими пристроями так само, як і до комп'ютерів. Переважна більшість споживачів справедливо припускають, що якщо у пристрою немає екрана чи якогось способу введення, він не призначений для їх обслуговування.

Це не повинно було статися

Найбільш страшною частиною недавньої атаки DDoS є те, що виробникам IoT потрібно було лише переглянути 30-річну споживчу технологію, щоб побачити поспішне написання на стіні. І якби вони не могли цього зробити, вони могли б прислухатися до попереджень, які озвучували дослідники з безпеки (схожі на корпоративних та любителів хакерів). Ці люди розповіли всім, хто слухатиме, як розміщення мільярдів більше пристроїв в Інтернеті без ретельного розгляду того, як вони будуть використовуватися, є поганою ідеєю. У 2014 році Дан Гір відкрив конференцію «Чорна капелюх», заявивши, що IoT вже на нас і може призвести до неприємностей.

Незважаючи на мої зусилля, щоб залишатися цинічними, IoT відчуває себе неминучим і переконливим. Наукова фантастика обіцяє нам розмовляти комп'ютерами та футуристичними приладами протягом десятиліть, і, можливо, тому прогноз Gartner, що до 2020 року буде підключено до Інтернету 6, 4 мільярда пристроїв, звучить здійсненним. Ці пристрої вже є в наших будинках: потокові коробки, ігрові приставки, бездротові маршрутизатори. На очах зловмисників і автоматизованих атак, це просто більше IP-адрес, які можна використовувати.

Коли ми прямуємо до свят і ходимо вперед до нового покоління пристроїв IoT, давайте поставимо на перший план безпеку, розроблену для того, щоб зрозуміти користувачам. Якщо до 2020 року найкращою порадою, яку я все ж маю запропонувати людям, є відключення їх розумних пристроїв, то ця галузь не заслуговує на свою репутацію за інновації та навіть інтелект.