L'industria di Internet of Things ci ha deluso | Eddy max

Lo scorso fine settimana, Internet negli Stati Uniti è rallentato a causa di un attacco denial of service distribuito o DDOS. È stato un attacco interessante per due motivi. Innanzitutto, gli aggressori, chiunque essi siano, non hanno invaso un singolo sito Web con richieste di posta indesiderata, come è il solito MO per gli attacchi DDOS. Invece, sono andati dopo il provider DNS Dyn, che ha causato numerosi siti Web per rallentare a una scansione o interrompere completamente le operazioni. Gli avvisi sulla sovra-centralizzazione dell'infrastruttura DNS sono diventati improvvisamente molto interessanti.

Il secondo, e più importante, è che una parte considerevole dei dispositivi coinvolti nell'attacco DDoS erano i cosiddetti dispositivi Internet of Things intelligenti. Di solito, gli aggressori diffondono malware attraverso i computer che seguiranno quindi il comando dell'attaccante e richiederanno simultaneamente informazioni dai siti Web fino a quando il sito non si piegherà sotto il carico. Ma questa volta, il caos di zombi digitali in agitazione includeva telecamere di sicurezza e router wireless.

La teiera l'ha fatto

Al centro dell'attacco c'era Mirai, che non è un malware particolarmente esotico. Cerca i dispositivi collegati al Web per quelli che sembrano essere dispositivi IoT basati su Linux, favorendo apparentemente le telecamere di sicurezza e i router domestici della tecnologia Hangzhou Xiongmai. Quindi cerca il passcode predefinito su una tabella e accede. Una volta all'interno, passa il controllo del dispositivo a un server di comando e controllo centrale.

Mentre questo attacco è stato scioccante in quello che ha realizzato, sfortunatamente non è nulla che non abbiamo visto arrivare. Alla conferenza Black Hat del 2013, Craig Heffner ha dimostrato la capacità di assumere facilmente telecamere di sicurezza connesse in rete. La sua dimostrazione includeva aziende di grandi nomi che riconosceresti, tra cui D-Link, Linksys, Cisco, IQInvision e 3SVision. Alla domanda su quali dispositivi fossero vulnerabili agli attacchi, ha affermato di non aver trovato un marchio che non potesse essere controllato.

Per la sua demo, Heffner ha ingannato la telecamera per mostrare un video in loop, come in un film di rapina. Ma la sostanza effettiva del suo discorso era molto più terribile. I dispositivi IoT come telecamere di sicurezza, bollitori per tè, frigoriferi e sì, persino i router wireless sono solo piccoli computer collegati a Internet. Se gli aggressori vogliono colpire specificamente una persona o un'azienda, ha detto, possono attaccare questi dispositivi scarsamente difesi e usarli come un capo spiaggia per esplorare il resto della rete della vittima. E poiché sono minuscoli computer, possono essere presumibilmente persuasi a eseguire qualunque codice desideri l'attaccante.

Pensala in questo modo: puoi acquistare le porte più resistenti con le migliori serrature non selezionabili per proteggere la tua casa, ma un ladro può ancora irrompere attraverso le finestre.

IoT è diverso

Nel settore della sicurezza, ci piace dare la colpa alle persone, non ai computer. Se le persone fossero state più vigili, avrebbero potuto catturare l'insetto Heartbleed prima ancora che fosse introdotto. Un detto popolare è che il principale punto di errore in qualsiasi sistema di sicurezza è tra il computer e la sedia. Caso in questione: l'hack dell'account Gmail di John Podesta, presidente della campagna di Hillary Clinton, che ci ha presentato la sua ricetta del risotto, tra le altre cose, a quanto pare è iniziato con una truffa di phishing.

Ma nel caso della sicurezza dell'IoT, i consumatori non possono essere ritenuti responsabili allo stesso modo. Come proprietario di un'auto, ad esempio, è necessario prestare attenzione durante la guida e fornire una ragionevole manutenzione. La compagnia automobilistica, a sua volta, è tenuta a fornirti un prodotto che non ti ucciderà effettivamente.

Con il cambiamento della nostra società, anche le aspettative dei consumatori. I sostenitori dei consumatori sottolineano che alcune auto "non sono sicure a nessuna velocità". E come una creatura in evoluzione, le automobili hanno prodotto nuove appendici: cinture di sicurezza, airbag e caratteristiche meno ovvie come zone di accartocciamento e materiali appositamente progettati progettati per mantenere i consumatori ragionevolmente al sicuro in un mondo che cambia.

Lo stesso vale per la tecnologia di consumo. La proliferazione di software dannoso e i pericoli presentati a qualsiasi dispositivo che si collega semplicemente a Internet, hanno spinto i produttori a svolgere un ruolo più attivo nella protezione dei consumatori. Windows, ad esempio, ora viene fornito con antivirus installato e gestito da Microsoft. Inoltre, l'azienda rilascia regolarmente patch, perché le sfide che i consumatori devono affrontare sono troppo complesse per essere affrontate da sole.

Quando gli smartphone hanno iniziato a decollare, i produttori e gli sviluppatori hanno imparato dalle prove degli anni PC. Mentre la sicurezza mobile ha avuto alcuni dossi lungo il percorso, è stata una passeggiata rispetto alla storia del PC. Non abbiamo avuto quel tipo di infezione diffusa sugli smartphone che abbiamo visto con Conficker, e speriamo che non lo faremo mai.

La storia dell'IoT ha tracciato una rotta diversa, forse quella che utilizzava un pesce rosso come navigatore. Invece di controllare l'accesso al dispositivo e di utilizzare le migliori pratiche apprese collegando miliardi di computer e telefoni nel corso di decenni, i produttori hanno lanciato sul mercato prodotti economici. Quelli che sono stati progettati, in alcuni casi, per non essere mai revisionati, aggiornati o rattoppati. E anche se i problemi potrebbero essere risolti, non è ragionevole aspettarsi che le persone trattino i dispositivi che risparmiano manodopera allo stesso modo dei computer. La stragrande maggioranza dei consumatori presume, e giustamente, che se un dispositivo non ha uno schermo o una sorta di metodo di input, non è destinato a essere assistito da loro.

Questo non doveva succedere

La parte più frustrante del recente attacco DDoS è che i produttori di IoT dovevano solo guardare 30 anni di tecnologia di consumo per vedere la proverbiale scrittura sul muro. E se non fossero stati in grado di farlo, avrebbero potuto seguire gli avvertimenti emessi dai ricercatori sulla sicurezza (hacker sia aziendali che hobbisti). Queste persone hanno detto a chiunque voglia ascoltare come mettere miliardi di dispositivi in ​​più su Internet senza una attenta considerazione di come verranno utilizzati è una cattiva idea. Nel 2014, Dan Geer ha aperto la conferenza Black Hat dicendo che l'IoT è già alle porte e potrebbe causare problemi.

Nonostante i miei migliori sforzi per rimanere cinico, l'IoT è inevitabile e avvincente. La fantascienza ci ha promesso di parlare di computer e apparecchi futuristici per decenni, e forse è per questo che la previsione di Gartner secondo cui ci saranno 6, 4 miliardi di dispositivi connessi a Internet entro il 2020 sembra fattibile. Questi dispositivi sono già nelle nostre case: streaming box, console di gioco, router wireless. Agli occhi degli aggressori e degli attacchi automatici, questi sono solo più indirizzi IP da sfruttare.

Mentre ci affrettiamo verso le vacanze e avanziamo verso una nuova generazione di dispositivi IoT, mettiamo in primo piano la sicurezza progettata per essere compresa dagli utenti. Se entro il 2020 il miglior consiglio che devo ancora offrire alle persone è di disconnettere i loro dispositivi intelligenti, allora questo settore non merita la sua reputazione di innovazione o intelligenza.