האינטרנט של ענף הדברים נכשל בנו | מקסימום אדי

בסוף השבוע האחרון, האינטרנט האמריקני האט עד לזחילה בזכות מתקפת מניעת שירות מפוזרת, או DDOS. זו הייתה התקפה מעניינת משתי סיבות. ראשית, התוקפים - יהיו אשר יהיו - לא הציפו אתר אינטרנט אחד בבקשות זבל, וכך גם ה- MO הרגיל להתקפות DDOS. במקום זאת הם עקבו אחר ספק ה- DNS, שגרם לאתרים רבים להאט לזחילה או להפסיק את פעולתם לחלוטין. אזהרות לגבי ריכוזיות יתר של תשתיות DNS הפכו פתאום למעניינות מאוד.

הנקודה השנייה, והחשובה יותר, היא שמנתח גדול של המכשירים שהיו מעורבים בהתקפת DDoS היו מה שמכונה מכשירי Internet of Things חכמים. בדרך כלל, התוקפים מפיצים תוכנות זדוניות דרך מחשבים אשר לאחר מכן יבצעו את הפקודה של התוקף ובמקביל יבקשו מידע מאתרים עד שהאתר יתכרבל תחת העומס. אלא שהפעם, מטען הזומבים הדיגיטלי המביש כלל מצלמות אבטחה ונתבים אלחוטיים.

התה עשה זאת

בלב התקיפה עמדה מיראי, שאינה קטע זדוני אקזוטי במיוחד. הוא סורק אחר מכשירים המחוברים לרשת אחר מה שנראה כמכשירי IoT המופעלים על ידי לינוקס, ככל הנראה מעדיפים מצלמות אבטחה ונתבים ביתיים מטכנולוגיית Hangzhou Xiongmai. לאחר מכן הוא מחפש את קוד הגישה המוגדר כברירת מחדל בטבלה ונכנס. ברגע שהוא בפנים, הוא מעביר את השליטה במכשיר לשרת פקודה ובקרה מרכזי.

למרות שההתקפה הזו הייתה מזעזעת במה שהיא הצליחה, זה למרבה הצער שום דבר שלא ראינו בא. בכנס השחור כובע בשנת 2013, קרייג הפנר הדגים את היכולת להשתלט בקלות על מצלמות אבטחה מחוברות לרשת. ההפגנה שלו כללה חברות בעלות שם גדול שתכירו, כולל D-Link, Linksys, Cisco, IQInvision ו- 3SVision. כשנשאל אילו מכשירים חשופים להתקפה, הוא אמר שהוא לא מצא מותג שלא ניתן לשלוט בו.

לצורך ההדגמה שלו, הפנר רמה את המצלמה להציג סרטון לולאה, כמו בסרט הייסט. אבל המהות בפועל של שיחתו הייתה חמורה בהרבה. מכשירי IoT כמו מצלמות אבטחה, קומקומי תה, מקררים וכן, אפילו נתבים אלחוטיים הם רק מחשבים זעירים המחוברים לאינטרנט. אם התוקפים רוצים לפנות לאדם או לחברה באופן ספציפי, הוא אמר, הם יכולים לתקוף את המכשירים המוגנים בצורה גרועה זו ולהשתמש בהם כראש חוף כדי לחקור את שאר רשת הקורבן. ומכיוון שמדובר במחשבים זעירים, ניתן לשער שהם יכולים לשדל לבצע את כל הקוד שהתוקף חפץ בו.

חשבו על זה כך: תוכלו לקנות את הדלתות החזקות ביותר עם המנעולים הטובים ביותר שניתן לבחירה כדי להגן על הבית שלכם, אך גנב עדיין יכול לפרוץ דרך החלונות.

IoT שונה

בענף האבטחה אנחנו אוהבים להאשים אנשים ולא מחשבים. אם אנשים היו ערניים יותר, הם עלולים היו תופסים את החיידק של Heartbleed לפני שהוא אפילו הוצג. אמירה פופולרית היא שנקודת הכישלון הגדולה ביותר במערכת אבטחה כלשהי היא בין המחשב לכיסא. המקרה העניין: הפריצה של יו"ר הג'ון פודסטה של ​​יו"ר קמפיין הילרי קלינטון - שהציגה אותנו, בין היתר, את מתכון הריזוטו שלו - ככל הנראה החל בהונאת דיוג.

אך במקרה של אבטחת IoT, צרכנים אינם יכולים לתת דין וחשבון באותה צורה. כבעלי רכב, למשל, אתה נדרש לנקוט בזהירות בזמן הנהיגה ולספק תחזוקה סבירה. חברת הרכב, בתורו, נדרשת לספק לכם מוצר שלא יהרוג אתכם בפועל.

ככל שהחברה שלנו השתנתה, כך גם הציפיות של הצרכנים. תומכי הצרכנים מציינים כי מכוניות מסוימות היו "לא בטוחות בכל מהירות". וכמו יצור מתפתח, מכוניות הצמיחו נספחים חדשים: חגורות בטיחות, כריות אוויר ותכונות פחות ברורות כמו אזורי פירוק וחומרים מהונדסים במיוחד שנועדו לשמור על צרכנים בטוחים באופן סביר בעולם משתנה.

הדבר נכון גם לטכנולוגיית הצרכן. ריבוי התוכנות הזדוניות והסכנות המוצגות לכל מכשיר שרק מתחבר לאינטרנט דחפו את היצרנים לקחת חלק פעיל יותר בהגנה על הצרכנים. Windows, למשל, כעת נשלח עם אנטי-וירוס המותקן ומתוחזק על ידי מיקרוסופט. החברה גם מוציאה טלאים על בסיס קבוע, מכיוון שהאתגרים העומדים בפני הצרכנים מורכבים מכדי להתמודד איתם בעצמם.

כאשר החלו הסמארטפונים להמריא, למדו היצרנים והמפתחים מהניסויים של שנות ה- PC. בעוד שבאבטחת הסלולר היו כמה מהמורות לאורך הדרך, זו הייתה מסלול דרך בהיסטוריה של המחשב האישי. לא חווינו זיהום נפוץ מסוג זה בסמארטפונים שראינו עם Conficker, ואנחנו מקווים שלעולם לא נעשה זאת.

ההיסטוריה של IoT מציגה מסלול אחר, אולי כזה שהשתמש בדגי זהב כנווט. במקום לשלוט בגישה למכשיר ולהשתמש בשיטות מומלצות שנלמדו מחיבור מיליארדי מחשבים וטלפונים במהלך עשרות שנים, מיהרו היצרנים מוצרים זולים לשוק. חלקים שתוכננו, במקרים מסוימים, לעולם לא לשירות, לשדרוג או לתיקון. וגם אם ניתן לטפל בבעיות, אין זה מן הסתם לצפות מאנשים מסוימים להתייחס למכשירים חוסכי עבודה באותה דרך שהם מבצעים מחשבים. הרוב המכריע של הצרכנים מניחים, ובצדק, שאם למכשיר אין מסך או שיטת קלט כלשהי, הוא לא נועד לשירותם על ידי השירות.

זה לא היה צריך להתרחש

החלק המתסכל ביותר במתקפת ה- DDoS האחרונה הוא שיצרני IoT נאלצו להסתכל רק על 30 שנות טכנולוגיית צריכה כדי לראות את הכתיבה הפתגמית על הקיר. ואם הם לא היו יכולים לעשות זאת, הם היו יכולים לשמוע על אזהרותיהם של חוקרי האבטחה (האקר של חברות ותחביבים כאחד). אנשים אלה אמרו לכל מי שישמע כיצד לשים מיליארדים נוספים של מכשירים באינטרנט מבלי שקול בזהירות כיצד ישמשו אותם הוא רעיון רע. בשנת 2014 פתח דן גייר את ועידת הכובע השחור באומרו שה- IoT כבר עלינו ועלול להוביל לצרות.

למרות מיטב המאמצים שלי להישאר ציניים, IoT מרגיש בלתי נמנע ומשכנע. מדע בדיוני הבטיח לנו מדברים על מחשבים ומכשירים עתידניים מזה עשרות שנים, ואולי זו הסיבה שהניבוי של גרטנר שיהיו 6.4 מיליארד מכשירים המחוברים לאינטרנט עד 2020 נשמע ריאלי. מכשירים אלה כבר נמצאים בבתים שלנו: קופסאות סטרימינג, קונסולות משחקים, נתבים אלחוטיים. בעיני התוקפים וההתקפות האוטומטיות, אלה פשוט יותר כתובות IP לניצול.

כשאנחנו מתמודדים עם החגים ומתקדמים לדור חדש של מכשירי IoT, בואו נניח את האבטחה שתוכננה להבנת המשתמשים בחזית. אם עד 2020 העצה הטובה ביותר שיש לי עדיין להציע לאנשים היא לנתק את המכשירים החכמים שלהם, אז התעשייה הזו לא ראויה למוניטין שלה לחדשנות או אפילו לאינטליגנציה.