Интернет вещей: угрозы продолжают поступать (часть 2)

• Интернет вещей: угрозы продолжают поступать (часть 3)

Введение

В первой части этой серии статей я вновь рассмотрел вопрос о том, почему Интернет вещей представляет собой такую проблему безопасности, поскольку он растет и развивается, включая так много ранее «тупых», но теперь все более «умных» устройств, машин и устройств, которые засоряют пейзаж нашей жизни. Мы обсудили пробел в менталитете безопасности IoT, который мешает пользователям и даже специалистам по безопасности серьезно относиться к угрозе IoT, принцип уязвимости безопасности IoT, который возникает из-за отсутствия прозрачности поставщиков в отношении того, что находится под капотом их устройств IoT, и как долговечность аппаратное обеспечение, которое продолжает работать как кролик-энерджайзер еще долго после того, как базовое программное обеспечение изжило свой жизненный цикл безопасности.

Осознание — первый шаг

Осведомленность о безопасности уже давно признана первым и наиболее важным шагом в снижении риска, а обучение осведомленности о безопасности стало большим бизнесом, иллюстрируя ценность, которую бизнес-организации придают информированию пользователей об угрозах, связанных с их выбором аппаратного и программного обеспечения. и как они их используют. Пока пользователи и компании не осознают реальность угрозы Интернета вещей, ее нельзя будет устранить, и ландшафт Интернета вещей станет площадкой для злоумышленников. Очень важно справиться с этим, пока IoT все еще находится в зачаточном состоянии, до того, как вредоносный код станет безудержным.

Образование, безусловно, является ключевым фактором в повышении осведомленности. Мы должны информировать потребителей о проблемах безопасности, которые возникают, когда они беспечно подключают свои новые блестящие умные игрушки к своим домашним сетям (будь то в прямом или переносном смысле через беспроводную сеть). Но как мы это делаем? Компании могут организовывать и проводят обязательные тренинги по компьютерной безопасности для сотрудников, но сейчас мы говорим о миллионах домашних пользователей, которые покупают собственные гаджеты.

В идеальном мире новые устройства, подключенные к Интернету, поставляются с подробной печатной документацией, в которой на видном месте содержится информация о рисках безопасности и передовых методах обеспечения безопасности. Однако печатная документация для большинства электронных устройств превратилась в одну одностороннюю страницу, содержащую несколько упрощенных рисунков, показывающих самые элементарные инструкции по запуску устройства. Некоторое время поставщики прилагали компакт-диск с более подробным руководством, но теперь оптические носители быстро уступают место динозаврам, и, честно говоря, сколько из вас когда-либо вставляли этот компакт-диск в привод даже тогда, когда у вас привод компакт-дисков?

Возможно, лучшее, что мы можем сделать в наши дни, — это заставить устройство запускать программу при первой настройке, которая укажет вам на веб-сайт, где вы можете получить информацию о безопасности устройства (включая сведения о его программном обеспечении и версиях, процессе обновления и цикл поддержки, лучшие практики и т.д.). В конце концов, Интернет — это то место, куда мы привыкли ходить, чтобы узнать, как использовать функции наших новых устройств. И хорошая новость заключается в том, что размещение обучения по вопросам безопасности и информации о безопасности устройств в Интернете позволит поставщикам представить эту информацию в богатой мультимедийной среде.

Конечно, поставщики, вероятно, будут утверждать, что размещение конкретной информации о программном обеспечении устройства в Интернете и общедоступность облегчит злоумышленникам разработку эксплойтов для него. Это старый аргумент «безопасность через неизвестность», и он слаб. Злоумышленники не против обратного проектирования кода; они получат или получат информацию в любом случае, если нацелятся на устройство. Менее технически подготовленный пользователь должен быть в состоянии вооружиться той же информацией, чтобы принять защитные меры.

Поставщики также могут протестовать против того, что размещение сложных учебных материалов по вопросам безопасности для обучения их пользователей будет дорогостоящим. Мой ответ на это: будет ли это стоить больше, чем потери, которые вы понесете, если ваши продукты станут жертвами злоумышленников? По крайней мере, это может привести к тому, что меньше людей купят продукт.

Опасные зоны Интернета вещей

Даже те, кто заботится о безопасности, могут быть застигнуты врасплох появлением новых технологий с непредвиденными последствиями для безопасности. Например, некоторые новые развлекательные устройства поддерживают IP через HDMI (IPoHDMI). Это означает, что по крайней мере теоретически, даже если вы решите отключить телевизор от Интернета из соображений безопасности, если он подключен через HDMI к другому устройству (например, проигрывателю Blu-Ray), подключенному к Интернету, телевизор может подключиться к Интернет через соединение HDMI. Вау.

Думаете, что только потому, что вы не храните важную информацию на устройстве IoT, ее защита не имеет значения? Подумайте еще раз. Носимые устройства также подвержены уязвимостям безопасности. Пару месяцев назад исследователи безопасности обнаружили уязвимость в смарт-часах, о которой вы, возможно, даже не подозревали: датчик движения ваших часов может быть открыт для использования, что позволит хакеру обнаружить нажатия клавиш, которые вы набираете на клавиатуре компьютера. совсем другое устройство. Датчики движения встроены в смарт-часы и фитнес-браслеты для измерения шагов для популярных приложений для мониторинга здоровья.

Говоря о здоровье: потеря ваших данных и вашей конфиденциальности — это плохо, но конечные последствия взлома IoT могут быть намного хуже: потеря вашей жизни. Наиболее опасные риски безопасности IoT связаны с медицинскими устройствами, подключенными к Интернету, которые начинают распространяться. Согласно отчету исследователя безопасности прошлым летом, можно получить удаленный доступ к некоторым моделям помп для инфузий наркотиков и изменить дозировку, что может привести к тому, что помпа введет смертельную дозу или удержит необходимую дозу лекарства.

Как насчет тех камер наблюдения, которые вы используете для повышения физической безопасности вашего дома или офиса? Невероятно удобно иметь возможность удаленно проверять собак (и няню) и видеть, что происходит, но хакер может настроить эти камеры против вас и шпионить за тем, что вы делаете, когда находитесь дома. – или увидеть, что тебя нет дома, и вломиться в твой дом. В дополнение к тому, что вы сделали все возможное для защиты камер (мы поговорим о некоторых из этих мер позже), рекомендуется подумать о том, куда направлены ваши камеры (и есть ли у них функции панорамирования и наклона). особенности, какие области можно увидеть, дистанционно перемещая их). Конечно, это также относится к камерам, которые продаются как «няни» или «няни».

Некоторые камеры более безопасны, чем другие, и логика подскажет вам, что те поставщики, которые продают свои камеры по самым низким ценам, скорее всего, меньше всего инвестировали в обеспечение их безопасности.

Решение проблем безопасности IoT

Если бы мы выбрали упрощенный подход к безопасности IoT, мы могли бы сказать, что эти «вещи» на самом деле просто компьютеры, которые подключаются к сетям почти так же, как компьютеры делали это десятилетиями. Мы уже разработали множество механизмов безопасности — всевозможные технологии шифрования, от IPsec до BitLocker, и множество функций безопасности, таких как брандмауэры на базе хоста, создание белых и черных списков, IDS/IPS, SIEM и т. д. Зачем нам заново изобретать рулевое колесо? Почему бы нам просто не применить все те же меры безопасности к IoT-устройствам?

А в некоторых случаях можем. Однако устройства IoT существенно отличаются от других компьютеров. Часто они физически малы, предназначены для выполнения одной задачи и, как правило, дешевле, чем полноценный компьютер (хотя в особых случаях, таких как медицинские устройства, стоимость может быть намного выше). Как правило, устройства IoT работают со встроенными версиями операционных систем, которые потребляют меньше энергии (особенно портативные), и у них гораздо меньше мощности процессора, памяти и емкости хранилища, чем у обычного ноутбука, настольного компьютера или планшета.

Одна из проблем с безопасностью (и одна из причин, по которой многие знающие ИТ-специалисты отключают функции безопасности) заключается в том, что для этого требуются системные ресурсы. Шифрование использует много циклов процессора. Белые и черные списки занимают место на диске. Безопасность негативно влияет на производительность, а бесперебойная работа жизненно важна для устройств IoT, которые потребители ожидают, что они будут «просто работать» — как тостер. Никому не нужен умный тостер, которому требуется полчаса, чтобы подрумянить ломтик хлеба, потому что он занят фильтрацией пакетов, чтобы злоумышленники не захватили его и не сожгли ваш дом.

Устройства IoT также обычно работают более автоматизированным образом с меньшим взаимодействием с пользователем (особенно с административным контролем), чем традиционные компьютеры. Потребители достаточно сбиты с толку, когда Windows спрашивает их, доверять ли сертификату или продолжить процесс, который может представлять угрозу. Они, конечно, не хотят принимать это решение много раз в день в отношении своей бытовой техники, автомобилей и развлекательного оборудования.

Это означает, что потребители будут полагаться на поставщиков для обеспечения безопасности устройств IoT с нуля. В отличие от настольного или портативного компьютера, пользователи не смогут устанавливать свои собственные брандмауэры, программы защиты от вредоносных программ, антивирусы, приложения для мониторинга безопасности и т. д. Однако это не означает, что пользователи не несут часть ответственности за безопасность. В части 3 мы поговорим обо всех применимых конкретных мерах безопасности и о том, как их можно комбинировать в многоуровневом подходе, который уберет часть уязвимостей из IoT.

• Интернет вещей: угрозы продолжают поступать (часть 3)