Internet industri perkara gagal kami | max eddy

Hujung minggu lalu ini, Internet AS melambat untuk merangkak berkat penyangkalan serangan perkhidmatan yang diedarkan, atau DDOS. Ia adalah satu serangan yang menarik kerana dua sebab. Pertama, penyerang-siapa saja mereka-tidak membanjiri satu laman web dengan permintaan sampah, seperti yang biasa MO untuk serangan DDOS. Sebaliknya, mereka pergi selepas penyedia DNS Dyn, yang menyebabkan banyak laman web untuk melambatkan merangkak atau menghentikan operasi sepenuhnya. Amaran mengenai penstabilan infrastruktur DNS secara tiba-tiba menjadi sangat menarik.

Titik kedua dan yang lebih penting adalah sekumpulan besar peranti yang terlibat dalam serangan DDoS yang dikenali sebagai Internet pintar alat Perkara. Biasanya penyerang menyebarkan malware melalui komputer yang kemudiannya akan mengikuti arahan penyerang dan pada masa yang sama meminta maklumat dari laman web sehingga laman web meluncur di bawah beban. Tetapi kali ini, gerombolan zombi digital yang bersemarakkan termasuk kamera keselamatan dan penghala tanpa wayar.

The Teapot Did It

Di tengah serangan itu, Mirai, yang bukan sekeping malware yang sangat eksotik. Ia mengimbas untuk peranti yang disambungkan ke Web untuk apa yang kelihatan sebagai peranti IOT berkuasa Linux, nampaknya memihak kepada kamera keselamatan dan penghala rumah dari Teknologi Hangzhou Xiongmai. Ia kemudian memandang kod laluan lalai pada jadual dan log masuk. Sekali di dalamnya, ia menyerahkan kawalan peranti ke arahan pusat dan mengawal pelayan.

Walaupun serangan ini mengejutkan apa yang telah dicapai, malangnya tiada apa yang kita tidak lihat akan datang. Pada persidangan Black Hat pada tahun 2013, Craig Heffner menunjukkan kemampuan untuk dengan mudah mengambil alih kamera keselamatan rangkaian yang berkaitan. Demonstrasi beliau termasuk syarikat nama besar yang anda kenali, termasuk D-Link, Linksys, Cisco, IQInvision, dan 3SVision. Apabila ditanya mengenai peranti yang terdedah kepada serangan, beliau berkata dia tidak menemui sebuah jenama yang tidak dapat dikawal.

Untuk demonya, Heffner menipu kamera itu untuk memaparkan video gelung, seperti dalam filem heist. Tetapi bahan sebenar ceramahnya jauh lebih mengerikan. Peranti IoT seperti kamera keselamatan, cerek teh, peti sejuk, dan ya, bahkan penghala wayarles hanya komputer kecil yang disambungkan ke Internet. Sekiranya penyerang mahu menargetkan seseorang atau syarikat secara khusus, katanya, mereka boleh menyerang peranti-peranti yang tidak dijaga dengan baik ini dan menggunakannya sebagai kepala pantai untuk meneroka seluruh rangkaian mangsa. Dan kerana mereka adalah komputer kecil, mereka boleh dibujuk untuk melaksanakan apa sahaja kod penyerang yang dikehendaki.

Fikirkan dengan cara ini: anda boleh membeli pintu terkuat dengan kunci yang tidak dapat dilepaskan untuk melindungi rumah anda, tetapi pencuri masih boleh memecah masuk melalui tingkap.

IoT Berbeza

Dalam industri keselamatan, kami suka menyalahkan orang, bukan komputer. Jika orang lebih waspada, mereka mungkin telah menangkap pepijat Heartbleed sebelum ia diperkenalkan. Pepatah popular ialah titik kegagalan terbesar dalam sistem keselamatan adalah antara komputer dan kerusi. Contohnya: hack Hillary Clinton kerusi kempen John Podesta Gmail-yang memperkenalkan kami kepada resipi risotto, antara lain-nampaknya bermula dengan penipuan pancingan data.

Tetapi dalam kes keselamatan IOT, pengguna tidak boleh dipertanggungjawabkan dengan cara yang sama. Sebagai pemilik kereta, sebagai contoh, anda perlu berhati-hati ketika memandu dan menyediakan penyelenggaraan yang munasabah. Syarikat kereta, pada gilirannya, diperlukan untuk memberikan produk yang tidak akan membunuh anda.

Apabila masyarakat kita berubah, begitu juga dengan jangkaan pengguna. Penyokong pengguna menunjukkan bahawa sesetengah kereta "tidak selamat pada sebarang kelajuan." Dan seperti makhluk yang berkembang, kereta menanjak pelengkap baru: tali pinggang keledar, beg udara, dan ciri-ciri yang kurang jelas seperti zon crumple dan bahan-bahan yang direka khas untuk memastikan pengguna selamat di dunia yang berubah-ubah.

Begitu juga dengan teknologi pengguna. Peningkatan perisian berniat jahat, dan bahaya yang dibentangkan kepada mana-mana peranti yang hanya menghubungkan ke Internet, telah mendorong pengeluar untuk mengambil peranan yang lebih aktif dalam melindungi pengguna. Windows, misalnya, kini mengangkut antivirus yang dipasang dan dikendalikan oleh Microsoft. Syarikat juga mengeluarkan patch secara teratur, kerana cabaran yang dihadapi pengguna terlalu kompleks bagi mereka untuk menangani sendiri.

Apabila telefon pintar mula dimatikan, pengeluar dan pemaju belajar dari percubaan tahun PC. Walaupun keselamatan mudah alih mempunyai beberapa benjolan di sepanjang jalan, ia menjadi cakewalk berbanding dengan sejarah PC. Kami tidak mempunyai jenis jangkitan yang meluas pada telefon pintar yang kami lihat dengan Conficker, dan semoga kami tidak akan.

Sejarah IoT mencatatkan kursus yang berbeza, mungkin salah satu yang menggunakan ikan emas sebagai pelayar. Daripada mengawal akses kepada peranti itu, dan menggunakan amalan terbaik yang diperoleh daripada menyambungkan berbilion komputer dan telefon sepanjang dekad, pengeluar bergegas menjual produk murah ke pasaran. Orang-orang yang direka, dalam beberapa kes, tidak pernah dilayani, dinaik taraf atau ditambal. Dan walaupun masalah boleh ditangani, boleh dikatakan, tidak munasabah untuk mengharapkan individu untuk merawat peranti penjimatan tenaga dengan cara yang sama seperti komputer. Sebilangan besar pengguna menganggap, dan betul demikian, bahawa jika peranti tidak mempunyai skrin atau beberapa jenis kaedah input, ia tidak bertujuan untuk diservis oleh mereka.

Ini Tidak Harus Berlaku

Bahagian yang paling mengecewakan dari serangan DDoS baru-baru ini adalah bahawa pengeluar IoT hanya perlu melihat 30 tahun teknologi pengguna untuk melihat tulisan pepatah di dinding. Dan jika mereka tidak dapat berbuat demikian, mereka dapat mengamati peringatan yang ditimbulkan oleh penyelidik keselamatan (penggodam korporat dan penggemar hobi). Orang-orang ini telah memberitahu sesiapa sahaja yang akan mendengar bagaimana cara membuat berbilion-bilion peranti lebih banyak di Internet tanpa pertimbangan dengan teliti tentang bagaimana mereka akan digunakan adalah idea yang buruk. Pada tahun 2014, Dan Geer membuka persidangan Black Hat dengan mengatakan bahawa IoT sudah ada pada kami dan boleh membawa kepada masalah.

Walaupun usaha terbaik saya untuk kekal sinis, IoT berasa tidak dapat dielakkan dan menarik. Sci-fi telah menjanjikan kita bercakap komputer dan peralatan futuristik selama beberapa dekad, dan mungkin itulah sebabnya ramalan oleh Gartner bahawa akan ada 6.4 bilion peranti yang disambungkan ke Internet menjelang 2020 bunyi yang layak. Peranti ini sudah ada di rumah kami: kotak streaming, konsol permainan, penghala tanpa wayar. Di mata penyerang dan serangan automatik, ini adalah lebih banyak alamat IP untuk mengeksploitasi.

Ketika kami melangkah ke arah cuti dan lompat ke generasi baru peranti IoT, mari meletakkan keselamatan yang direka untuk difahami oleh pengguna di barisan hadapan. Sekiranya pada tahun 2020, nasihat terbaik yang saya masih perlu tawarkan ialah untuk mencabut peranti pintar mereka, maka industri ini tidak sepatutnya mendapat reputasi untuk inovasi atau kecerdasan.