Innehållsförteckning:
Video: How Internet of Things - IoT & Cyber Physical Systems Will Shape The 4th Industrial Revolution (September 2024)
Den senaste helgen bromsade det amerikanska Internet till en genomsökning tack vare en distribuerad attack för att förneka tjänsten, eller DDOS. Det var en intressant attack av två skäl. För det första översvämmade angriparna - vem de än är - inte en enda webbplats med skräpprogram, liksom den vanliga MO för DDOS-attacker. Istället gick de efter DNS-leverantören Dyn, vilket fick många webbplatser att sakta till att krypa eller helt upphöra. Varningar om övercentralisering av DNS-infrastruktur blev plötsligt mycket intressanta.
Tekanna gjorde det
I hjärtat av attacken låg Mirai, som inte är en särskilt exotisk bit av skadlig programvara. Den söker efter enheter som är anslutna till webben efter vad som verkar vara Linux-drivna IoT-enheter, vilket tydligen gynnar säkerhetskameror och hemmarrutrar från Hangzhou Xiongmai Technology. Den letar sedan upp standardlösenordet på ett bord och loggar in. En gång inuti överlämnar den kontrollen över enheten till en central kommando- och kontrollserver.
Medan denna attack var chockerande vad den åstadkom, är det tyvärr ingenting vi inte såg komma. På Black Hat-konferensen 2013 visade Craig Heffner förmågan att enkelt ta över nätverksanslutna säkerhetskameror. Hans demonstration inkluderade stora namnföretag som du känner igen, inklusive D-Link, Linksys, Cisco, IQInvision och 3SVision. På frågan om vilka enheter som var sårbara för attacker, sa han att han inte hade hittat ett märke som inte kunde kontrolleras.
För sin demo lurade Heffner kameran till att visa en loopingvideo, som i en heistfilm. Men det faktiska innehållet i hans tal var mycket mer djupt. IoT-enheter som säkerhetskameror, vattenkokare, kylskåp och ja, även trådlösa routrar är bara små datorer anslutna till Internet. Om angripare vill rikta sig specifikt mot en person eller ett företag, sa han, kan de attackera dessa dåligt försvarade enheter och använda dem som ett strandhuvud för att utforska resten av offrets nätverk. Och eftersom de är små datorer, kan de tänkas samtalas till att utföra vilken kod angriparen önskar.
Tänk på det här sättet: du kan köpa de starkaste dörrarna med de bästa oplockbara låsen för att skydda ditt hus, men en tjuv kan fortfarande bryta in genom fönstren.
IoT är annorlunda
I säkerhetsbranschen gillar vi att skylla människor, inte datorer. Om människor hade varit mer uppmärksamma, kan de ha tagit upp Heartbleed-buggen innan den till och med introducerades. Ett populärt ordstäv är att den största misslyckandet i något säkerhetssystem är mellan datorn och stolen. Exempel: hacket av Hillary Clinton-kampanjens ordförande John Podestas Gmail-konto - som bland annat introducerade oss för hans risotto-recept - började uppenbarligen med en phishing-bedrägeri.
Men när det gäller IoT-säkerhet kan konsumenter inte hållas ansvariga på samma sätt. Som bilägare måste du till exempel vara försiktig när du kör och tillhandahålla rimligt underhåll. Bilföretaget i sin tur är skyldigt att ge dig en produkt som inte faktiskt kommer att döda dig.
När vårt samhälle förändrades gjorde också förväntningarna från konsumenterna. Konsumentförespråkare påpekar att vissa bilar var "osäkra i någon hastighet." Och som en varelse som växer, grodde bilar nya bilagor: säkerhetsbälten, krockkuddar och mindre uppenbara funktioner som crumplezoner och speciellt konstruerade material utformade för att hålla konsumenterna rimligt säkra i en föränderlig värld.
När smartphones började ta fart, fick tillverkare och utvecklare lära sig av försöken från PC-åren. Medan mobilsäkerhet har haft några stötar på vägen, har det varit en cakewalk jämfört med datorns historia. Vi har inte haft den typen av utbredd infektion på smartphones som vi såg med Conficker, och förhoppningsvis kommer vi aldrig.
IoT: s historia kartlade en annan kurs, kanske en som använde en guldfisk som navigatör. Istället för att kontrollera åtkomsten till enheten och använda bästa praxis som lärts av att ansluta miljarder datorer och telefoner under årtionden, rusade tillverkare billiga produkter på marknaden. De som var utformade, i vissa fall, för att aldrig underhållas, uppgraderas eller lappas. Och även om problem kan lösas är det varken rimligt att förvänta sig att individer ska behandla arbetsbesparande enheter på samma sätt som de gör datorer. De allra flesta konsumenter antar, och med rätta, att om en enhet inte har en skärm eller någon form av inmatningsmetod, är den inte avsedd att servas av dem.
Detta behövde inte hända
Den mest frustrerande delen av den senaste DDoS-attacken är att IoT-tillverkare bara behövde titta på 30 års konsumentteknologi för att se den ordspråkiga skrivningen på väggen. Och om de inte kunde göra det, hade de kunnat följa varningarna från säkerhetsforskare (både företags- och hobbyhacker). Dessa människor har berättat för alla som skulle lyssna på hur det är en dålig idé att lägga miljarder fler enheter på Internet utan noggrant övervägande av hur de kommer att användas. 2014 öppnade Dan Geer Black Hat-konferensen genom att säga att IoT redan är på oss och kan leda till problem.
Trots mina bästa ansträngningar att förbli cyniska, känns IoT oundvikligt och övertygande. Sci-fi har lovat oss att prata datorer och futuristiska apparater i årtionden, och det är kanske därför Gartners förutsägelse att det kommer att finnas 6, 4 miljarder enheter anslutna till Internet senast 2020 låter sig möjligt. Dessa enheter finns redan i våra hem: streamingboxar, spelkonsoler, trådlösa routrar. I anfallen av angripare och automatiserade attacker är det bara fler IP-adresser att utnyttja.
När vi strider mot helgdagarna och strider framåt till en ny generation av IoT-enheter, låt oss sätta säkerhet som är utformad för att förstås av användare i framkant. Om 2020 det bästa rådet jag fortfarande har att erbjuda människor är att koppla från sina smarta enheter, förtjänar inte denna bransch sitt rykte för innovation eller ens intelligens.
