Obsah:
Video: The future we're building -- and boring | Elon Musk (Septembra 2024)
Tento minulý víkend sa internet v USA spomalil na indexové prehľadávanie vďaka distribuovanému útoku na odmietnutie služby alebo DDOS. Bol to zaujímavý útok z dvoch dôvodov. Po prvé, útočníci - nech už sú ktokoľvek, - nezaplavili jednu webovú stránku so žiadosťami o nevyžiadanú poštu, ako je to obvyklé pri útokoch na DDOS. Namiesto toho išli za poskytovateľom DNS Dyn, ktorý spôsobil, že početné webové stránky spomaľovali alebo úplne zastavili operácie. Upozornenia na nadmernú centralizáciu infraštruktúry DNS sa zrazu stali veľmi zaujímavými.
Čajník to urobil
Jadrom útoku bola Mirai, čo nie je nijak zvlášť exotický malware. Vyhľadáva zariadenia pripojené na web, či sa zdajú byť zariadeniami IoT so systémom Linux, očividne uprednostňujú bezpečnostné kamery a domáce smerovače od technológie Hangzhou Xiongmai. Potom vyhľadá predvolený prístupový kód na stole a prihlási sa. Keď je vo vnútri, odovzdá riadenie zariadenia centrálnemu príkazovému a riadiacemu serveru.
Aj keď tento útok bol šokujúci v tom, čo sa podarilo, nanešťastie nič, čo sme nevideli. Na konferencii Black Hat v roku 2013 Craig Heffner preukázal schopnosť ľahko prevziať bezpečnostné kamery pripojené k sieti. Jeho demonštrácia zahŕňala veľké spoločnosti, ktoré poznáte, vrátane spoločností D-Link, Linksys, Cisco, IQInvision a 3SVision. Na otázku, ktoré zariadenia sú citlivé na útok, povedal, že nenašiel značku, ktorú nemožno ovládať.
Pre svoje demo Heffner prinútil kameru k tomu, aby zobrazovala opakujúce sa video, ako v prípade lúpežného filmu. Skutočná podstata jeho prednášky však bola oveľa hroznejšia. Zariadenia internetu vecí, ako sú bezpečnostné kamery, čajové kanvice, chladničky, a áno, aj bezdrôtové smerovače sú iba malými počítačmi pripojenými k internetu. Ak by útočníci chceli zacieľovať konkrétne na osobu alebo spoločnosť, povedal, že môžu zaútočiť na tieto zle bránené zariadenia a použiť ich ako hlavicu pláže na preskúmanie zvyšku siete obete. A keďže sú to malé počítače, je možné ich prinútiť, aby vykonali akýkoľvek kód, ktorý si útočník želá.
Rozmýšľajte o tom týmto spôsobom: môžete si kúpiť najsilnejšie dvere s najlepšími nevyberateľnými zámkami, ktoré chránia váš dom, ale cez okná sa stále môže preniknúť zlodej.
IoT je iný
V bezpečnostnom priemysle obviňujeme ľudí, nie počítače. Ak by ľudia boli viac ostražití, mohli by chytiť chybu Heartbleed ešte predtým, ako bola predstavená. Populárne tvrdenie je, že najväčším bodom zlyhania akéhokoľvek bezpečnostného systému je počítač a stolička. Príklad: hack z kampane Hillary Clintonovej vedúci účtu Gmail Johna Podestu, ktorý nás okrem iného predstavil jeho receptu na rizoto, zrejme začal podvodom typu phishing.
V prípade bezpečnosti internetu vecí však nemôžu byť spotrebitelia zodpovední rovnako. Napríklad ako majiteľ automobilu musíte byť počas jazdy opatrní a zabezpečiť primeranú údržbu. Automobilová spoločnosť je zase povinná poskytnúť vám produkt, ktorý vás v skutočnosti nezabije.
Ako sa naša spoločnosť zmenila, tak sa zmenili aj očakávania spotrebiteľov. Zástancovia spotrebiteľov poukazujú na to, že niektoré autá boli „bezpečné pri akejkoľvek rýchlosti“. A podobne ako vyvíjajúce sa zviera, pučia autá nové doplnky: bezpečnostné pásy, airbagy a menej zreteľné prvky, ako sú deformačné zóny a špeciálne skonštruované materiály určené na udržanie primeranej bezpečnosti spotrebiteľov v meniacom sa svete.
Keď sa smartfóny začali vzlietať, výrobcovia a vývojári sa poučili zo skúšok v rokoch PC. Aj keď mobilná bezpečnosť mala v priebehu cesty nejaké hrbole, v porovnaní s históriou PC to bol len chodník. Na smartfónoch, ktoré sme videli s Confickerom, sme nemali takúto rozšírenú infekciu a dúfajme, že nikdy nebudeme.
Dejiny IoT mapovali iný smer, možno ten, ktorý použil ako navigátora zlatú rybku. Namiesto toho, aby výrobcovia riadili prístup k zariadeniu a využívali osvedčené postupy získané pri spájaní miliárd počítačov a telefónov v priebehu desaťročí, výrobcovia ponáhľali lacné výrobky na trh. Tie, ktoré boli v niektorých prípadoch navrhnuté tak, aby sa nikdy nedali opravovať, aktualizovať alebo opravovať. A aj keby sa problémy mohli vyriešiť, nie je rozumné očakávať, že jednotlivci budú so zariadeniami šetriacimi prácu zaobchádzať rovnako ako s počítačmi. Prevažná väčšina spotrebiteľov správne usudzuje, že ak zariadenie nemá obrazovku alebo nejaký druh spôsobu vstupu, nie je určené na to, aby im boli poskytované servisné zásahy.
To sa nemuselo stať
Najnepokojivejšou časťou nedávneho útoku na DDoS je, že výrobcovia internetu vecí sa museli pozrieť iba na 30 rokov spotrebiteľskej technológie, aby videli príslovečné písanie na stenu. A ak by to nemohli urobiť, mohli by venovať pozornosť varovaniam, ktoré vystrelili výskumní pracovníci v oblasti bezpečnosti (rovnako ako hackeri z povolania a firmy). Títo ľudia povedali každému, kto by počúval, ako dať na internet viac miliárd zariadení bez starostlivého zváženia, ako sa budú používať, je zlý nápad. V roku 2014 Dan Geer otvoril konferenciu Black Hat vyhlásením, že internet vecí je už na nás a mohlo by viesť k problémom.
Napriek môjmu najlepšiemu úsiliu zostať cynickým sa internet vecí zdá nevyhnutný a presvedčivý. Sci-fi nám sľubuje, že hovoríme o počítačoch a futuristických prístrojoch už celé desaťročia, a možno práve preto je predpoveď spoločnosti Gartner, že do roku 2020 bude k internetu pripojených 6, 4 miliardy zariadení, znateľná. Tieto zariadenia sú už u nás doma: streamingové boxy, herné konzoly, bezdrôtové smerovače. V očiach útočníkov a automatizovaných útokov je to len viac adries IP, ktoré je možné využiť.
Keď sa ponáhľame smerom k sviatkom a pokračujeme v ceste k novej generácii zariadení internetu vecí, poďme dať bezpečnosť, ktorá je navrhnutá tak, aby jej používatelia boli v popredí. Ak do roku 2020 najlepšou radou, ktorú musím ľuďom ponúknuť, je odpojiť ich inteligentné zariadenia, potom si toto odvetvie nezaslúži svoju povesť v oblasti inovácií alebo dokonca inteligencie.
