Не верьте этой шумихе:почему Интернет вещей тормозит

Кен Манро из Pen Test Partners

Если уйти от ажиотажа, то мы почти наверняка балансируем на грани разочарования в IoT. Недавнее исследование утверждает, что 60% тестовых развертываний терпят неудачу. Но хотя некоторые пилотные проекты, возможно, не увенчались успехом, вес развертываемых устройств еще не говорит о том, что мы достигли пика. Скорее кажется, что само усыновление дает сбой.

Внедрение IoT не привело к ожидаемому безудержному успеху, и это связано с рядом проблем. Во-первых, поддержка Интернета вещей для устройств, для которых необязательно наличие дополнительных возможностей подключения. «Возьмем, к примеру, аквариум IoT, который регулирует кормление, температуру и качество воды», - говорит Кен Манро, партнер Pen Test Partners . .

Это может звучать как устройство для экономии труда, но в конечном итоге оно привело к тому, что казино, на котором был установлен резервуар, потеряло 10 ГБ данных для устройства в Финляндии. Безопасность Интернета вещей не ограничивается устройством. Это свидетельствует о том, что такие устройства используются для создания уязвимых бэкдоров в сетях, позволяющих кражу учетных данных и кражу данных.

Проблемы с долговечностью также препятствуют внедрению, поскольку устройства часто меняют, а не обновляют, что заставляет пользователей сомневаться в целесообразности инвестиций. Тогда возникает вопрос, есть ли у производителя ресурсы для решения любых проблем, которые могут обнаружиться?

Уязвимости в системе безопасности появляются со временем, и если это произойдет и ваши устройства необходимо исправить, потратит ли производитель время, необходимое для наблюдения за этим, или отрицания виновности, или даже отказа от поддержки?

Подробности раскрыты

Защита существующей установленной базы - настоящая головная боль для производителей. Если вы просматриваете веб-сайт Shodan, вы увидите хосты развернутого оборудования IoT (и, что беспокоит, даже Industrial Control Systems) с подробной информацией об IP-адресе, запущенной операционной системе и версии используемого программного обеспечения. И FCC услужливо публикует схемы для устройств IoT, которые скоро будут выпущены, вместе со схемами для тех, кто хочет получить более подробную информацию.

Во многих случаях злоумышленник может идентифицировать устройства из Shodan и просто получить учетные данные по умолчанию для получения доступа. Однажды мы нашли удобный список «суперпаролей» для ежедневных учетных данных в течение всего года, опубликованный техническим специалистом на сайте социальных сетей. Очевидно, что безопасность цепочки поставок имеет тенденцию быть слабой, и этот случай показывает, насколько легко получить «конфиденциальные» данные.

Сталкиваясь с этими трудностями, производители теперь стремятся продавать данные третьим сторонам. Это может иметь коммерческий смысл, но еще больше ставит под угрозу безопасность и конфиденциальность пользовательской базы. Например, он может видеть планы этажей вашего офиса, которые продаются, если вы пользуетесь пылесосом IoT. А что, если эта информация попадет на черный рынок? Данные системы управления зданием (BMS) могут быть особенно полезными. Подумайте о вымогательстве, которое было бы возможным, если бы злоумышленник установил программу-вымогатель на интеллектуальные термостаты.

Решение проблемы

Циничные среди вас будут сомневаться, не должен ли конечный пользователь также брать на себя часть ответственности, и это правда, что немногие перенастраивают устройства при настройке. Отчасти потому, что это может быть очень сложно. Если вам это удалось, изменили ли вы также PIN-код по умолчанию в мобильных приложениях или веб-приложениях, которые используются для управления устройством? По-прежнему сомнительно, стоит ли это делать, учитывая, что на взлом четырех- или шестизначного ПИН-кода уходит несколько часов.

Нынешнее отсутствие уверенности может быть объяснено только плохой безопасностью, а это означает, что производителям необходимо повысить уровень своей игры. Им необходимо обеспечить безопасную разработку мобильных приложений, надежное управление сеансами и шифрование в веб-службах, безопасную реализацию выбранного стандарта беспроводной связи и на самом устройстве, отключить неиспользуемые функции, такие как последовательные порты или порты отладки, применить методы запутывания и внедрить безопасные хранилище ключей, а прошивка должна быть зашифрована и подписана.

К сожалению, до тех пор, пока поставщики не начнут уделять приоритетное внимание безопасности, внедрение Интернета вещей будет замедляться. Достаточно еще одной дерзкой атаки вредоносного ПО, возможно, через универсальный интерфейс, такой как порт 80, чтобы нанести непоправимый урон. Прямо сейчас отрасли необходимо сосредоточиться на укреплении доверия, а это означает принятие либо добровольных, либо законодательных норм.

Автор этого блога - Кен Манро, партнер Pen Test Partners