Obsah:
Video: Jak nahradit napínák řemenu VW T5 (Listopad 2024)
Tento minulý víkend americký internet zpomalil na procházení díky distribuovanému útoku na odmítnutí služby nebo DDOS. Byl to zajímavý útok ze dvou důvodů. Za prvé, útočníci - ať už jsou kdokoli - nezaplavili jediný web žádostí o nevyžádanou poštu, jako je obvyklé MO pro útoky DDOS. Místo toho šli po poskytovateli DNS Dyn, který způsobil, že četné weby zpomalily procházení nebo zcela zastavily operace. Varování o nadměrné centralizaci infrastruktury DNS se náhle staly velmi zajímavými.
Čajník to udělal
Srdcem útoku byla Mirai, což není nijak zvlášť exotický kousek malwaru. Hledá zařízení připojená k webu, která vypadají jako zařízení IoT se systémem Linux, a zjevně upřednostňují bezpečnostní kamery a domácí směrovače od technologie Hangzhou Xiongmai. Poté vyhledá výchozí přístupový kód v tabulce a přihlásí se. Jakmile je uvnitř, předá ovládání zařízení centrálnímu příkazovému a řídícímu serveru.
Zatímco tento útok šokoval tím, čeho dosáhl, bohužel nic, co jsme neviděli přicházet. Na konferenci Black Hat v roce 2013 Craig Heffner předvedl schopnost snadno převzít bezpečnostní kamery připojené k síti. Jeho demonstrace zahrnovala velké společnosti, které byste poznali, včetně D-Link, Linksys, Cisco, IQInvision a 3SVision. Na otázku, která zařízení jsou náchylná k útoku, řekl, že nenašel značku, kterou nelze ovládat.
Pro své demo Heffner přiměl kameru, aby zobrazila smyčkové video, jako v loupežním filmu. Ale skutečná podstata jeho přednášky byla mnohem hroznější. IoT zařízení, jako jsou bezpečnostní kamery, čajové konvice, ledničky, a ano, i bezdrátové směrovače jsou jen malé počítače připojené k internetu. Pokud útočníci chtějí zacílit konkrétně na osobu nebo společnost, řekl, že mohou zaútočit na tato špatně bráněná zařízení a použít je jako hlavu pláže k prozkoumání zbytku sítě oběti. A protože jsou to malé počítače, je možné je přimět k provedení jakéhokoli kódu, který si útočník přeje.
Přemýšlejte o tom tímto způsobem: můžete si koupit nejsilnější dveře s nejlepšími nevyzpytatelnými zámky, které chrání váš dům, ale zloděj se stále může proniknout okny.
IoT je jiný
V bezpečnostním odvětví obviňujeme lidi, ne počítače. Pokud by lidé byli více ostražití, mohli by zachytit chybu Heartbleed ještě předtím, než byla představena. Oblíbeným výrokem je, že největším bodem selhání jakéhokoli bezpečnostního systému je mezi počítačem a židlí. Příklad: hacker kampaně Hillary Clintonové vedl účet Gmailu Johna Podestu, který nás mimo jiné uvedl do svého receptu na rizoto - zřejmě začal podvodem typu phishing.
V případě bezpečnosti internetu věcí však nemohou být spotřebitelé odpovědní stejným způsobem. Například jako majitel automobilu musíte být při řízení opatrní a zajistit přiměřenou údržbu. Automobilová společnost je zase povinna poskytnout vám produkt, který vás ve skutečnosti nezabije.
Jak se naše společnost změnila, tak se také očekávání spotřebitelů. Zastánci spotřebitelů poukazují na to, že některá auta byla „nebezpečná při jakékoli rychlosti“. A stejně jako vyvíjející se stvoření, auta vyklíčela nové přívěsky: bezpečnostní pásy, airbagy a méně zřejmé rysy, jako jsou zmačkané zóny a speciálně konstruované materiály navržené tak, aby spotřebitelům zůstaly v měnícím se světě přiměřeně bezpečné.
Když se chytré telefony začaly vzlétnout, výrobci a vývojáři se poučili ze zkoušek let PC. I když mobilní zabezpečení mělo na cestě nějaké rány, ve srovnání s historií PC to byl dort. Na smartphonech, které jsme viděli s Confickerem, jsme neměli takovou rozšířenou infekci a doufejme, že nikdy nebudeme.
Historie IoT mapovala jiný směr, snad ten, který použil zlatou rybku jako navigátor. Namísto kontroly přístupu k zařízení a používání osvědčených postupů získaných při připojování miliard počítačů a telefonů v průběhu desetiletí, výrobci spěchali na trh levné výrobky. Ty, které byly v některých případech navrženy tak, aby nikdy nebyly opravovány, upgradovány nebo opravovány. A i když by bylo možné problémy řešit, není patrně rozumné očekávat, že jednotlivci budou zacházet se zařízeními šetřícími práci stejně jako počítače. Drtivá většina spotřebitelů předpokládá a správně tak, že pokud zařízení nemá obrazovku nebo nějaký způsob zadávání, není zamýšleno, aby jimi opravovali.
To se nemuselo stát
Nejvíce frustrující součástí nedávného útoku DDoS je to, že výrobci IoT potřebovali jen podívat se na 30 let technologie spotřebitelů, aby viděli příslovečné psaní na zdi. A pokud by to nemohli udělat, mohli by dbát na varování, která vystrkují výzkumní pracovníci v oblasti bezpečnosti (stejně jako hackeri z řad korporací i fandů). Tito lidé řekli komukoli, kdo by poslouchal, jak uvádění miliard zařízení na internet bez pečlivého zvážení, jak budou používána, je špatný nápad. V roce 2014 zahájil Dan Geer konferenci Black Hat tím, že IoT je již na nás a může vést k problémům.
Navzdory mému nejlepšímu úsilí zůstat cynickým, je internet věcí nevyhnutelný a přesvědčivý. Sci-fi nám slibovala, že mluvíme o počítačích a futuristických zařízeních po celá desetiletí, a možná právě proto je předpovědi společnosti Gartner, že do roku 2020 bude k internetu připojeno 6, 4 miliardy zařízení, zní zvuk proveditelný. Tato zařízení jsou již u nás doma: streamovací boxy, herní konzole, bezdrátové směrovače. V očích útočníků a automatizovaných útoků jsou to jen další IP adresy, které lze využít.
Když spěcháme k prázdninám a vyrazíme vpřed do nové generace zařízení IoT, pojďme dát zabezpečení, které je navrženo tak, aby jim uživatelé v popředí rozuměli. Pokud do roku 2020 nejlepší nabídkou, kterou stále musím lidem nabídnout, je odpojit jejich inteligentní zařízení, pak si toto odvětví nezaslouží svou pověst pro inovace nebo dokonce inteligenci.
