תחזיות: אבטחה, הגנה על האינטרנט של הדברים

בסיכום התחזיות שלנו המשמעותיות לשנת 2014, בדקנו יעדי התקפה חדשים, עליית האינטרנט הלאומי, אבטחה ניידת ותשלומים מקוונים. האפשרות שתוקפים יכוונו ל"אינטרנט של הדברים "הייתה התחזית השנייה בשכיחה בקרב מומחי אבטחה, לאחר אבטחה לנייד. סימנטק אפילו כינה את "האינטרנט של הדברים" כ"אינטרנט של פגיעויות ".

Internet of Things מתייחס לאופן שבו למכשירי האלקטרוניקה הצרכנית יש כיום כתובת IP וניתן לשלוט בהם מרחוק. מקררים חכמים, מערכות תרמוסטט ביתי, טלוויזיות חכמות, מכשירי אחסון, מכשירים רפואיים, מכוניות, חיישנים ברשת החשמלית, מכונות התעמלות ואפילו פתיחת דלתות המוסך, הם רק דוגמא קטנה של האינטרנט של הדברים.

התקפות מגיעות

בעודם עדיין בשלבים מוקדמים, ברגע שבשנה הבאה מקררים חכמים, מנעולים ותרמוסטטים יעברו לזרם המרכזי, אמר אנדראס באומהוף, CTO בחברת ThreatMetrix. האינטרנט של הדברים אינו שונה מאוד מסוגים אחרים של פעילויות מקוונות; תוקפי סייבר יוכלו לחטוף את הרשת האלחוטית או לנצל פגיעות כדי לתקוף את הרשת או לגנוב מידע אישי, אמר.

ראינו כמה דוגמאות לתקיפות אפשריות בפרויקטים שונים של הוכחת מושג בכובע השחור וכנסים אחרים ברחבי הארץ. חוקר קוואליס הדגים כיצד ניתן לנצל את הפגיעויות בממשק המשתמש למצלמות IP של D-Link כדי לחטוף את המצלמות ואת הזנת התמונה. ברני ג'ק המנוח הדגים כיצד לפרוץ משאבת אינסולין לפני מספר שנים והיה אמור לדון בסיכונים נגד קוצבי הלב בקאטר hat השנה. סגן הנשיא לשעבר דיק צ'ייני חשף באוקטובר כיצד הרופאים השביתו את הקישוריות האלחוטית בקוצב הלב שלו בגלל חששות שמישהו יצליח לפרוץ למכשיר.

עם זאת, לעתים רחוקות ספקי חומרה חושבים על אבטחה - בין אם מדובר בתיקון באגים בתוכנה המוטמעת או בטיפול בבעיות בצד החומרה - בעת הפעלת מכשירים חדשים לשוק. גם כאשר מזוהים סוגיות, היצרנים גוררים את רגליהם לעיתים קרובות על תיקון הפגיעויות, אמרו חוקרים מ- Rapid7. 2013 הייתה שנה גדולה לתולעים וצורות ניצול אחרות עבור האינטרנט של הדברים, וככל שקצב האימוץ של מכשירים אלה יתפוצץ, נראה יותר סוגים של התקפות.

אבל יש לנו קצת זמן. ב- Internet Identity אמרו כי אירועים בהם "האקרים זדוניים ינצלו את ידי שריפת בתים מרחוק ו / או כיבוי מרחוק של מערכות אבטחה בכדי לאפשר פורצים בפנים, " אינו דבר שעלינו לצפות ב -2014, אך בשנת 2015, IID אמר.

מחקר, הוכחת מושגים

"למרות שאנו לא מצפים שהתקפות נגד 'האינטרנט של הדברים' יתפשטו בשנת 2014, אנו צופים עלייה בפגיעויות המדווחות ובניצולי הוכחת המושג", אמר ג'רארד אסלבק, סמנכ"ל הכספים של סופוס.

איומי האבטחה הם רחבים ו"עלולים להרוס הרס "ועל ארגונים להבטיח כי הטכנולוגיה הן לצרכנים והן לחברות עומדות בסטנדרטים גבוהים של בטיחות וביטחון, אמר סטיב דורבין, סגן נשיא פורום אבטחת האינטרנט. על החברות עצמן להמשיך לבנות אבטחה באמצעות תקשורת ויכולת פעולה הדדית, "אמר דורבין.

קבוצה קטנה של מומחי אבטחה משפיעים קוראים לחוקרים למקד את אנרגייתם במכשירים מחוברים אלה שעלולים להיות פגיעים כמו קוצבי לב, משאבות אינסולין ומערכות משובצות אחרות. הקבוצה, "אנחנו הפרשים", מעוניינת לחנך את הקהל הרחב בנושאים הרציניים הקיימים במכשירים אלה מכיוון שהם פוגעים בשוק כמעט ללא התחשבות באבטחה, ג'וש קורמן, מנהל מודיעין ביטחון באקמאי ואחד מ מנהיגי הקבוצה, אמרו למשתתפים בכנס OWASP AppSec USA בנובמבר.

באותה פרזנטציה אמר ניק פרוקו, מנהל KPMG ומנהיג אחר בקבוצה, "מדובר במחקר על דברים שחשובים ולא על דברים שבאמת לא משנה". אם מישהו עם קוצב לב נפטר, מישהו צריך לעשות טיפול משפטי על הקוצב, הוא אמר. אם קהילת המחקר לא מתמקדת במכשירים אלו ומפרסמת סוגיות, "איך נדע כחברה שלדברים האלה יש ליקויים?" הוא שאל.

"בואו נעשה ביטחון שחשוב, לא רק את עבודות היום שלנו. העולם שבחוץ הוא חלק מהפתרון שנקבע. זה ביטחון לטובת הציבור", אמר קורמן.