Интернет на индустрията на нещата не успя | макс

Миналия уикенд, интернет в САЩ забави до пълзене благодарение на разпространен атака за отказ на услуга или DDOS. Това беше интересна атака по две причини. Първо, нападателите - който и да са - не заляха нито един уебсайт с искания за боклуци, както е обичайното МО за DDOS атаки. Вместо това те продължиха след доставчика на DNS Dyn, което накара многобройните уебсайтове да се забавят до обхождане или прекратяване на операциите изцяло. Предупрежденията за свръхцентрализация на DNS инфраструктурата изведнъж станаха много интересни.

Вторият и по-важен момент е, че голяма част от устройствата, участващи в DDoS атаката, бяха така наречените умни устройства на Интернет на нещата. Обикновено нападателите разпространяват зловреден софтуер през компютри, които след това ще следват командата на нападателя и едновременно изискват информация от уебсайтове, докато сайтът се изкриви под натоварването. Но този път разбъркващото цифрово устройство за зомби включва камери за сигурност и безжични рутери.

Чайникът го направи

В основата на атаката беше Mirai, което не е особено екзотично парче злонамерен софтуер. Той сканира за устройства, свързани с мрежата, за да изглежда, че това са IoT устройства, работещи под Linux, очевидно благоприятстват охранителните камери и домашните рутери от технологията на Hangzhou Xiongmai. След това той търси по подразбиране парола на таблица и влиза в системата. След като влезе вътре, той предава контрола върху устройството на централен команден и контролен сървър.

Въпреки че тази атака беше шокираща от постигнатото, за съжаление нищо не видяхме да дойде. На конференцията на Black Hat през 2013 г. Крейг Хефнър демонстрира способността лесно да превзема мрежови камери за сигурност. Неговата демонстрация включваше големи компании, които бихте познали, включително D-Link, Linksys, Cisco, IQInvision и 3SVision. На въпрос кои устройства са уязвими за атака, той отговори, че не е намерил марка, която да не може да бъде контролирана.

За демонстрацията си, Хефнър излъга камерата, за да покаже циклично видео, като във филм с хейст. Но действителната същност на неговото говорене беше далеч по-страшна. IoT устройства като охранителни камери, чайни чайници, хладилници и да, дори безжичните рутери са само малки компютри, свързани към Интернет. Ако нападателите искат да се насочат конкретно към човек или компания, каза той, те могат да нападнат тези слабо защитени устройства и да ги използват като плажна глава, за да изследват останалата част от мрежата на жертвата. И тъй като те са малки компютри, възможно е те да бъдат принудени да изпълняват какъвто код желае нападателят.

Мислете за това по този начин: можете да закупите най-силните врати с най-добрите незаключими брави, за да защитите къщата си, но крадец все още може да пробие през прозорците.

IoT е различен

В индустрията за сигурност обичаме да обвиняваме хората, а не компютрите. Ако хората бяха по-бдителни, може би щяха да хванат бъга Heartbleed, преди той дори да бъде въведен. Популярна поговорка е, че най-голямата точка на отказ във всяка система за сигурност е между компютъра и стола. Пример: хакът на профила на Gmail на Джон Подета на кампанията на Хилари Клинтън, който ни запозна с рецептата за ризото, наред с други неща - очевидно започна с фишинг измама.

Но в случай на IoT сигурност потребителите не могат да бъдат подведени под отговорност по същия начин. Като собственик на автомобил, например, се изисква да бъдете внимателни по време на шофиране и да осигурите разумна поддръжка. От своя страна автомобилната компания е длъжна да ви предостави продукт, който всъщност няма да ви убие.

Както нашето общество се промени, така и очакванията на потребителите. Защитниците на потребителите изтъкват, че някои автомобили са били "опасни при всяка скорост". И като еволюиращо същество, автомобилите покълнаха нови придатъци: предпазни колани, въздушни възглавници и по-малко очевидни характеристики като смачкани зони и специално проектирани материали, предназначени да поддържат потребителите в достатъчна безопасност в променящия се свят.

Същото важи и за потребителските технологии. Разпространението на злонамерен софтуер и опасностите, представени за всяко устройство, което просто се свързва с Интернет, тласнаха производителите да поемат по-активна роля в защитата на потребителите. Например, Windows сега се доставя с антивирус, инсталиран и поддържан от Microsoft. Компанията също така редовно издава лепенки, тъй като предизвикателствата, пред които са изправени потребителите, са твърде сложни, за да се справят сами.

Когато смартфоните започнаха да излитат, производителите и разработчиците се научиха от изпитанията на PC годините. Докато мобилната сигурност е имала известни неравности по пътя, това е вървеж в сравнение с историята на компютъра. Не сме имали такава широко разпространена инфекция на смартфони, която видяхме с Conficker и се надяваме, че никога няма да го направим.

Историята на IoT очертава различен курс, може би един, който използва златна рибка като навигатор. Вместо да контролират достъпа до устройството и да използват най-добрите практики, научени от свързването на милиарди компютри и телефони в течение на десетилетия, производителите се втурнаха на пазара на евтини продукти. Онези, които в някои случаи са били проектирани да не бъдат обслужвани, модернизирани или закърпени. И дори ако проблемите могат да бъдат решени, може би не е разумно да се очаква, че хората ще се отнасят към устройства, спестяващи труд, по същия начин, по който правят компютрите. По-голямата част от потребителите приемат и правилно е, че ако дадено устройство няма екран или някакъв вид метод за въвеждане, то не е предназначено да бъде обслужвано от тях.

Това не трябваше да се случи

Най-разочароващата част от неотдавнашната DDoS атака е, че производителите на IoT трябваше само да разгледат 30-годишната потребителска технология, за да видят пословичното писане на стената. И ако не успеят да направят това, те биха могли да се вслушат в предупрежденията, изказани от изследователи по сигурността (корпоративни и хобистки хакери). Тези хора са казали на всеки, който би слушал как пускането на милиарди повече устройства в Интернет, без да се обмисля внимателно как ще бъдат използвани, е лоша идея. През 2014 г. Дан Гиър откри конференцията на Черната шапка, като каза, че IoT вече е върху нас и може да доведе до проблеми.

Въпреки всичките ми усилия да остане циничен, IoT се чувства неизбежен и завладяващ. Научната фантастика ни обещава да говорим с компютри и футуристични уреди от десетилетия и може би затова прогнозата на Gartner, че до 2020 г. ще има 6, 4 милиарда устройства, свързани с интернет, звучи възможно. Тези устройства вече са в нашите домове: поточни кутии, игрални конзоли, безжични рутери. В очите на нападателите и автоматизираните атаки това са просто повече IP адреси, които да се използват.

Докато бързаме към празниците и напредваме в ново поколение IoT устройства, нека поставим на преден план сигурността, която е проектирана да бъде разбрана от потребителите. Ако до 2020 г. най-добрият съвет, който все още трябва да предложа на хората, е да изключат техните умни устройства, то тази индустрия не заслужава репутацията си на иновации или дори интелигентност.