Sadržaj:
Video: Istina iza ekrana (kraca verzija filma) (Studeni 2024)
Proteklog vikenda američki je Internet usporio na puknuće zahvaljujući distribuiranom napadu uskraćivanja usluge ili DDOS-u. Bio je to zanimljiv napad iz dva razloga. Prvo, napadači - ma tko bili - nisu preplavili niti jedno web mjesto bezvrijednim zahtjevima, kao što je uobičajeno MO za DDOS napade. Umjesto toga, krenuli su po DNS-ovog pružatelja usluga Dyn, zbog čega su brojne web stranice usporile da bi pretraživale ili u potpunosti prekidale rad. Upozorenja o prekomjernoj centralizaciji DNS-ove infrastrukture iznenada su postala vrlo zanimljiva.
Čajnik je to učinio
U središtu napada bio je Mirai, koji nije osobito egzotičan komad zlonamjernog softvera. Skenira na uređaje spojene na Internet da li se čine IoT uređaji koji rade na Linuxu, očito favoriziraju sigurnosne kamere i kućne usmjerivače kompanije Hangzhou Xiongmai Technology. Zatim traži zadani pristupni kôd na tablici i prijavljuje se. Jednom unutra predaje kontrolu nad uređajem središnjem naredbi i upravljačkom poslužitelju.
Iako je ovaj napad bio šokantan u onome što je doživio, nažalost ništa nismo vidjeli da dolazi. Na konferenciji Black Hat 2013. godine, Craig Heffner pokazao je sposobnost lakog preuzimanja mrežnih sigurnosnih kamera. Njegova demonstracija uključivala je tvrtke s velikim imenom koje biste prepoznali, uključujući D-Link, Linksys, Cisco, IQInvision i 3SVision. Na pitanje koji su uređaji ranjivi za napad, rekao je da nije pronašao brend koji se ne može kontrolirati.
Za svoj demo, Heffner je prevario kameru da prikaže petlje, poput filmova iz pljačke. Ali stvarna suština njegovog razgovora bila je daleko strašnija. IoT uređaji poput sigurnosnih kamera, čajnika, frižidera i da, čak su i bežični usmjerivači samo sitna računala spojena na Internet. Ako napadači žele ciljati na osobu ili tvrtku posebno, rekao je, mogu napasti ove slabo branjene uređaje i upotrijebiti ih kao plažu za istraživanje ostatka mreže žrtve. A budući da su malena računala, mogu se zamisliti u izvršavanju bilo kojeg koda koji napadač želi.
Razmislite na ovaj način: možete kupiti najjača vrata s najboljim nezaključivim bravama da biste zaštitili kuću, ali lopov i dalje može provaliti kroz prozore.
IoT je drugačiji
U sigurnosnoj industriji volimo kriviti ljude, a ne računala. Da su ljudi bili budniji, možda bi uhvatili bubu Heartbleeda prije nego što je uopće predstavljena. Popularna izreka je da je najveća točka neuspjeha u bilo kojem sigurnosnom sustavu između računala i stolice. Dokazan slučaj: hakiranje Gmail računa Johna Podesta Hillary Clinton, kampanji Hillary Clinton, koji nas je, između ostalog, upoznao s njegovim receptom za rižoto - očito je započeo s krađu identiteta.
Ali u slučaju IoT sigurnosti, potrošači se ne mogu smatrati odgovornim na isti način. Kao vlasnik automobila, primjerice, morate biti oprezni tijekom vožnje i pružiti razumno održavanje. Od automobilske tvrtke, zauzvrat, treba vam pružiti proizvod koji vas zapravo neće ubiti.
Kako se naše društvo mijenjalo, tako su se promijenila i očekivanja potrošača. Zagovornici potrošača ističu da su neki automobili "nesigurni u bilo kojoj brzini". I poput evoluirajućeg stvorenja, automobili su proširili nove priloge: sigurnosne pojaseve, zračne jastuke i manje očitih karakteristika poput zgužvanih zona i posebno izrađenih materijala dizajniranih tako da potrošače razumno ostanu sigurni u svijetu koji se mijenja.
Kad su se pametni telefoni počeli skidati, proizvođači i programeri saznali su na ispitivanjima PC godina. Iako je mobilna zaštita nekoliko puta nailazila na put, to je bio pomak u odnosu na povijest računala. Nismo imali takvu raširenu infekciju na pametnim telefonima kakvu smo vidjeli s Confickerom, a nadamo se da je nikada nećemo dobiti.
Povijest IoT-a zacrtala je drugačiji kurs, možda onaj koji je koristio zlatnu ribicu kao navigator. Umjesto da kontroliraju pristup uređaju i koriste najbolje prakse naučene iz povezivanja milijardi računala i telefona tijekom desetljeća, proizvođači su požurili na tržište jeftine proizvode. Na uređajima koji su, u nekim slučajevima, osmišljeni kako se nikada ne bi servisirali, dograđivali ili zakrpili. Čak i ako se problemi mogu riješiti, očekivano je da nije opravdano očekivati da pojedinci s uređajima za uštedu rada postupaju na isti način kao prema računalima. Ogromna većina potrošača pretpostavlja i s pravom je da ako uređaj nema zaslon ili neku vrstu načina unosa više ih ne treba servisirati.
Ovo se nije trebalo dogoditi
Najviše frustrirajući dio nedavnog DDoS napada jest taj što su proizvođači IoT-a trebali samo 30 godina gledati potrošačku tehnologiju da bi vidjeli poslovično pisanje na zidu. A da to nisu mogli, mogli bi uzeti u obzir upozorenja koja su im upućivali istraživači za sigurnost (podjednako i korporativni i hobistički hakeri). Ti su ljudi rekli svima koji bi slušali kako stavljanje milijardi više uređaja na Internet bez pažljivog razmatranja načina na koji će se oni koristiti nije dobra ideja. Dan Geer je 2014. otvorio konferenciju Black Hat rekavši da je IoT već pred nama i da može dovesti do problema.
Unatoč mojim naporima da ostanem ciničan, IoT se osjeća neizbježno i uvjerljivo. Sci-fi nam je desetljećima obećavao da govorimo o računalima i futurističkim uređajima i možda je to predviđanje Gartnera da će do 2020. biti 6, 4 milijarde uređaja spojenih na Internet zvučno izvedivo. Ti su uređaji već kod nas: kućice za streaming, igraće konzole, bežični usmjerivači. U očima napadača i automatiziranih napada, ovo je samo više IP adresa koje se mogu iskoristiti.
Dok žurimo prema praznicima i napredujemo u novu generaciju IoT uređaja, stavimo u prvi plan sigurnost koja je dizajnirana tako da je razumiju korisnici. Ako je do 2020. najbolji savjet koji još uvijek moram ponuditi ljudima jest isključenje njihovih pametnih uređaja, onda ova industrija ne zaslužuje svoj ugled zbog inovacije ili čak inteligencije.
