Интернет вещей: угрозы продолжают поступать (часть 1)

Опубликовано: 6 Апреля, 2023

  • Интернет вещей: угрозы продолжают поступать (часть 3)

Введение

В начале 2015 года я посетил тему « Будучи новым и быстро развивающимся явлением, Интернет вещей создает одни из самых больших проблем для безопасности сети и данных и будет продолжать делать это в обозримом будущем. IoTT (угрозы Интернета вещей) — это тема, которая растет с каждым днем.

За несколько месяцев, прошедших с момента написания этой серии статей, устройства IoT получили широкое распространение, и появились новые, ранее не рассмотренные угрозы. Хотя я обычно жду год или около того, чтобы вернуться к одной и той же теме, в этом случае я думаю, что пришло время еще раз и более внимательно взглянуть на то, как IoT радикально меняет ландшафт безопасности, и на некоторые меры предосторожности, которые мы можем предпринять, чтобы защитить себя от рисков. которые сопровождают принятие этой захватывающей (и неудержимой) новой парадигмы.

Пробел в менталитете безопасности IoT

Возможно, самое тревожное в отношении безопасности IoT — это не сами угрозы и взломы — хотя некоторые из них довольно страшны — а подход «голова в песке», который, похоже, используют многие потребители и даже ИТ-специалисты, когда дело доходит до их подключенные к Интернету «вещи». Люди, которые никогда бы не подключили свои ноутбуки или настольные рабочие станции к сети, не будучи уверенными в том, что у них есть надлежащая защита безопасности, ничего не думают о подключении нового смарт-телевизора или камеры наблюдения к своей сети без йоты информации о программном обеспечении, которое оно работает, и об уязвимостях. это программное обеспечение может содержать.

Я думаю, что существует несколько причин такого пробела в менталитете безопасности, связанного с IoT. Средний потребитель может не осознавать тот факт, что все эти устройства, способные подключаться к Интернету, на самом деле являются Они как бы понимают, что в их машинах есть компьютеры, но не додумываются до того, чтобы понять, что эти компьютеры имеют прошивку и работают под управлением операционных систем и прикладного программного обеспечения, которое так же уязвимо для атак, как и те же компоненты в их ПК есть.

Мы уже проходили через это и в какой-то степени видели этот разрыв со смартфонами. Несмотря на множество уязвимостей безопасности, обнаруженных в этих устройствах, включая Android и iOS, а также Windows Phone, многие люди ежедневно используют старые телефоны с неисправленными операционными системами, и многие люди делают джейлбрейк своих телефонов и/или устанавливают сторонние приложения, которые не были проверены на предмет безопасности.

Наконец, люди начинают осознавать, что крошечные компьютеры в их карманах так же нуждаются в безопасности, как и те, которые сидят на их столах или коленях, тем более, что многие из них используют свои телефоны для онлайн-банкинга, покупки по кредитным картам и подключаться как к ресурсам своей домашней, так и к корпоративной сети. Однако такого пробуждения еще не произошло в отношении «вещей», которые не выглядят и не действуют как компьютеры, но таковыми являются.

Другая причина того, что устройства IoT менее безопасны, заключается в том, что даже те люди, которые признают их компьютерами, могут не понимать, как именно разрабатывается и интегрируется программное обеспечение в этих устройствах. Дело в том, что компании, которые производят и продают «умные» телевизоры, холодильники, системы освещения, термостаты и так далее, в большинстве случаев не являются технологическими компаниями. Это телевизионные/развлекательные компании, производители бытовой техники, специалисты по освещению и компании, работающие с системами отопления, вентиляции и кондиционирования воздуха. ИТ не является их основной компетенцией, а безопасность — не их бизнесом.

Это означает, что поставщик а) нанимает программистов, которые могут заботиться или не заботиться о безопасности, для написания программного обеспечения или б) использует программное обеспечение, написанное третьими лицами, для питания «умных» элементов своих устройств. В любом случае, мы получаем серьезный пробел в безопасности.

Наконец, пользователи IoT-устройств считают, что, поскольку эти «вещи» на первый взгляд намного проще (с точки зрения пользователя), чем «настоящие» компьютеры, это означает, что их намного легче защитить. Это понятно; простую систему легче защитить, чем сложную. Проблема в том, что многим устройствам IoT требуется сложность «под капотом», чтобы обеспечить упрощенный пользовательский интерфейс. А под капотом резвятся хакеры и злоумышленники.

Принцип неопределенности безопасности IoT

Одна большая проблема с устройствами IoT заключается в том, что мы так мало о них знаем. Возможно, вы умеете расшифровывать выходные данные Windows, читать файлы журналов, проверять конфигурации и выявлять проблемы, но что вы знаете о коде, который работает на вашей умной стиральной и сушильной машинах?

Знаете ли вы что-нибудь о версии программного обеспечения, на котором оно работает, и о том, обновлено ли оно? Знаете ли вы, с какими уязвимостями поставлялся этот продукт и были ли они исправлены? Вероятно, можно с уверенностью поспорить, что компания, производящая вашу подключенную дымовую пожарную сигнализацию, не имеет ежемесячного вторника исправлений, когда она сообщает вам, сколько и какие типы уязвимостей она исправляет.

На самом деле, знаете ли вы, кто отвечает за обновление вашей «вещи» IoT? Производитель устройства создал оборудование или программист написал программное обеспечение? Сейчас мы сталкиваемся с этой каруселью с поставщиками компьютеров, производителями операционных систем и разработчиками приложений, но в мире IoT все гораздо хуже, где так много разных программных компонентов объединены воедино для многих устройств.

Выбирая одну марку устройства IoT вместо другой, достаточно ли у вас информации, чтобы принять решение о том, какое из них более безопасно? Эта информация вообще доступна где-нибудь? Большинство потребителей покупают бытовую технику, развлекательную электронику, бытовые системы и т. д. в зависимости от цены и характеристик, мало задумываясь о безопасности программного обеспечения. Вы беспокоитесь о том, что вашу машину взломают? Может быть, вам следует, теперь, когда компьютерные системы автомобилей также подключаются к Интернету. Прошлым летом Энди Гринберг попал в заголовки газет со статьей о том, как хакеры дистанционно «убили» его джип на шоссе, пока он ехал на нем.

Примечание:
 Хотя были некоторые разногласия по поводу сообщения о взломе джипов и возможности его появления в дикой природе без физического доступа к транспортному средству, нет сомнений в том, что по мере того, как автомобили становятся все более и более управляемыми компьютером и подключаются, они неизбежно станут целями. некоторых нападавших. Чем больше «поверхность беспроводной атаки» — наличие таких технологий, как Bluetooth, wi-if и 4-G, наряду с мониторингом беспроводных систем и бесключевым доступом, все из которых работают по радиосигналам (некоторые из которых требуют непосредственной физической близости и некоторые из которых этого не делают) — тем более взламываемым будет транспортное средство.

Однако, говорим ли мы об автомобилях, телевизорах или системах, которые контролируют наш домашний комфорт и функциональность, проблема одна и та же: мы просто не знаем, гарантируют ли поставщики этих продуктов, что программное обеспечение (которое, в в большинстве случаев был написан кем-то другим) безопасен и обновляется ли он. Большинство устройств IoT обновляются автоматически и могут даже не оставить вам запись в журнале, указывающую на то, что обновление было выполнено. Если вы получите сообщение о том, что программное обеспечение было обновлено, маловероятно, что оно предоставит подробную информацию о включено в это обновление или какие уязвимости оно устранило.

Если вы достаточно ботаник — и достаточно параноик в отношении безопасности — чтобы взять на себя ответственность проверить, что на ваших IoT-устройствах работают самые последние и самые безопасные версии их программного обеспечения, даже это может быть непросто. Некоторые поставщики продуктов не желают (или, возможно, не способны на уровне службы технической поддержки потребителей) даже сообщить вам, какое программное обеспечение работает на их устройствах. Их философия звучит так: «просто доверься нам», но откуда ты знаешь, что можешь?

Дилемма неравного устаревания

В дополнение к неясности, которая окружает базовое программное обеспечение на многих наших IoT-устройствах, еще одной проблемой, которая делает безопасность IoT такой проблемой, является долговечность аппаратных компонентов. Хотя мы все знаем людей, которые до сих пор используют свои старые настольные компьютеры начала 2000-х годов с XP (разговор о кошмаре безопасности), люди, как правило, заменяют свои системы чаще, чем это, потому что современные приложения требуют более нового оборудования для правильной работы и новых периферийных устройств. может даже не подключаться к старым машинам, по крайней мере, без множества адаптеров (и еще есть проблема с драйверами).

С другой стороны, многие люди хранят телевизоры и холодильники по 20 лет. До того, как эти машины «поумнели», это не представляло проблемы. По мере того, как они подключаются к нашим сетям, эта долговечность означает, что аппаратное обеспечение намного превосходит программное обеспечение или, по крайней мере, способность поставщиков обеспечивать безопасность программного обеспечения. В какой-то момент производители IoT перестанут предоставлять поддержку программного обеспечения, включая обновления безопасности, для более старых моделей своих продуктов. Традиционные поставщики компьютерного программного обеспечения, конечно, тоже так делают, но когда это происходит, заголовки взрываются новостями: «Microsoft прекращает поддержку XP» дает пользователям понять (независимо от того, действуют они в соответствии с этим или нет), что их ОС только что стала риск безопасности.

Как вы думаете, собираются ли производители телевизоров и термостатов делать громкие заявления, когда отказываются от поддержки определенной версии своих устройств? Я не вижу, чтобы это происходило. И также вероятно, что многие производители более дешевых продуктов IoT просто обанкротятся, автоматические обновления программного обеспечения на их устройствах перестанут происходить, а большинство их пользователей даже не узнают об этом.

Какое решение?

На первый взгляд это может показаться довольно безнадежным. Как мы можем когда-либо надеяться получить контроль над Интернетом, полным такого количества «вещей» с такими разнообразными целями, сделанными столькими разными поставщиками? И, как и в случае с ИТ-безопасностью в целом, было бы нереалистично думать, что мы когда-либо достигнем идеальной или даже близкой к идеальной безопасности. Но определенно есть способы улучшить текущую ситуацию и шаги, которые мы можем предпринять для решения проблемы, которую создает облако IoT. Во второй части мы рассмотрим, что можно сделать с точки зрения потребителей, бизнеса и правительства, чтобы сделать наш Интернет вещей более безопасным для всех нас.

  • Интернет вещей: угрозы продолжают поступать (часть 3)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023