Provocările de securitate a dispozitivelor IoT sunt un subiect foarte dezbătut, din motive întemeiate. În acest articol, Attila Szasz, CEO și fondator al BugProve, va arunca o lumină asupra motivelor, tendințelor și așteptărilor actuale.
Care sunt provocările globale de securitate cu dispozitivele IoT?
Poate cel mai mare semnal de alarmă a fost atacul Mirai botnet, care a inițiat schimbările. Decodificatoarele compromise și atacurile coordonate care ar putea închide GitHub, Twitter și Reddit au demonstrat cel mai mare risc foarte bine.
Dacă există o vulnerabilitate într-un dispozitiv, aceasta este prezentă și accesibilă în toate dispozitivele implementate. Acesta nu mai este doar un simplu risc de securitate.
Războiul actual dintre Rusia și Ucraina a evidențiat și acest lucru. Agențiile de informații au încercat să pirateze camerele IP, care erau puncte slabe prin care inamicul putea fi spionat cel mai ușor. Să nu uităm că aceste dispozitive nu se află doar în casele noastre, ci și în clădiri guvernamentale și militare, precum și în infrastructura critică.
Indiferent de sector, majoritatea întreprinderilor digitale se confruntă cu riscuri dacă dispozitivele IoT operează în limitele rețelei lor. Vulnerabilitățile dispozitivului pot fi punctele de intrare în timpul atacurilor împotriva țintelor de mare valoare.
Ca un prim exemplu în acest sens, un cazinou a făcut știrea în 2017, adică spart printr-un acvariu inteligent. În ciuda faptului că au investit foarte mult în securitatea informațiilor, acvariul nu s-a gândit că ar putea fi veriga slabă. De atunci, tot mai multe departamente de securitate a informațiilor și-au dat seama de riscurile asociate cu activele IoT din rețeaua lor și și-au mărit cheltuielile pentru a descoperi astfel de încercări rău intenționate și dispozitive riscante.
Ce face dispozitivele IoT diferite? De ce sunt mai provocatoare?
Securitatea sistemelor încorporate este o modalitate fundamental diferită în comparație cu spațiul de aplicații. Iată câțiva factori cheie.
- Poate că cea mai semnificativă diferență inițială este stocarea și resursele limitate, care impun multe constrângeri asupra codului IoT. Deși unele proiecte software au o cotă de piață relativ mare, cum ar fi Linux și FreeRTOS, spectrul tuturor modelelor IoT este foarte eterogen. De obicei, aceste procese implică cod închis specific hardware-ului, care afectează frecvent securitatea.
- Dispozitivele trebuie să rezolve singure întreaga problemă, adesea fără un sistem de operare cu drepturi depline. Codul bare metal este adesea susceptibil la vectori de atac, unde probleme simple, cum ar fi un pointer nul dereferențiat, ajung să fie exploatate din cauza mediului lipsit de protecție a memoriei sau a altor facilități de securitate care sunt de obicei configurate de sistemul de operare.
- Adesea, nu există control asupra anumitor componente achiziționate, iar SDK-urile asociate vin cu exemplu de cod vulnerabil fără nicio garanție. Uneori, codul vulnerabil este distribuit ca cod sursă, unde un audit terță parte le poate detecta. Cu toate acestea, se întâmplă adesea ca SDK-ul ascunde aceste vulnerabilități sub formă de modificări personalizate ale binarelor de sistem care sunt pre-compilate pentru platformă.
- Adăugarea unor complicații suplimentare este faptul că producătorii caută de obicei cel mai ieftin element care îndeplinește cerințele. Atâta timp cât securitatea robustă nu se numără printre cerințele grele, proiectele vor minimiza costurile în detrimentul măsurilor de bază, cum ar fi criptografia puternică sau separarea privilegiilor.
- Limbajele de programare utilizate în mod obișnuit în domeniu, cum ar fi C și C++, sunt provocatoare din perspectiva codării sigure. Problemele cu siguranța memoriei sunt încă principalele clase de vulnerabilitate care afectează aceste modele.
- Dificultatea testării de securitate este ultimul cui din sicriu. Lipsesc instrumente care ar putea ajuta în acest domeniu, fiind disponibile doar câteva proiecte open-source. Acest lucru este agravat de faptul că există o lipsă de câteva milioane de profesioniști în securitate pe piață. Ca atare, este imposibil să te bazezi exclusiv pe supravegherea umană.
Cine poartă responsabilitatea? Operatori sau Producători?
Cu siguranță, abordarea numeroaselor probleme implică utilizarea activă a operațiunilor adecvate, inclusiv firewall-uri, XDR și platforme de observabilitate IoT. Cu toate acestea, chiar și cu aceste măsuri în vigoare, vulnerabilitatea dispozitivelor poate rămâne un risc, mai ales dacă este un atac țintit împotriva unui activ de mare valoare din cadrul unei organizații. Prin urmare, credem că este în primul rând responsabilitatea producătorului să se asigure că produsul lor îndeplinește așteptările de bază de securitate.
Din fericire, situația s-a îmbunătățit într-un aspect semnificativ: dacă descoperim astăzi o vulnerabilitate într-un produs și o raportăm, companiile nu o văd de obicei ca pe un atac de PR, ci mai degrabă ca pe o contribuție binevenită. Producătorii sunt mai predispuși să-și exprime recunoștința și să colaboreze cu noi pentru a rezolva problema.
De ce un tip de dispozitiv are o poziție de securitate mai bună decât altul?
Ceea ce urmează să spun poate să nu fie surprinzător: acele dispozitive aveau un nivel mai ridicat de securitate IT unde exista o motivație de afaceri și un potențial real de atacuri.
Un exemplu excelent în acest sens este set-top box-ul ca dispozitiv. S-ar putea crede că se încadrează în aceeași categorie cu un router, mai ales când se iau în considerare dispozitive mai ieftine, de calitate inferioară. Cu toate acestea, din punct de vedere al securității, am experimentat o diferență semnificativă.
Set-top box-urile ieftine analizate aveau resurse hardware dedicate și funcționau cu o criptare serioasă. Acest lucru se datorează în primul rând creatorilor de conținut care au încheiat contracte cu operatorii și furnizorii de televiziune prin cablu care includeau penalități mari în caz de furt, deoarece doreau să-și protejeze proprietatea intelectuală. Drept urmare, operatorii au avut brusc un interes puternic să se asigure că conținutul ajunge la consumatori în siguranță.
În lumea a treia, aceasta este în special afaceri mari. Pirateria s-a transformat într-o industrie cu drepturi depline, cu unele grupuri rău intenționate care își desfășoară chiar operațiunile prin satelit pirați. Prin urmare, a existat o presiune semnificativă asupra operatorilor, ceea ce a dus la dezvoltarea unor dispozitive mai sigure.
Procese similare au făcut și consolele de jocuri sigure.
Spre deosebire de aceasta, routerele și camerele IP sunt mult mai puțin sigure. Pe baza cercetărilor noastre, vulnerabilități grave există în medie în 8 din 10. Și, în general, am constatat că dispozitivele mai serioase și mai scumpe tind să fie mai sigure.
Reglementare și conștientizare a clienților
Acum ajungem la o problemă critică, care este conștientizarea clienților. Mai simplu spus, amenințările nu sunt încă la un nivel în care îi obligă pe producători să optimizeze pentru securitate, deoarece consumatorii nu penalizează dispozitivele mai slabe. Desigur, se pune întrebarea cum ar putea consumatorii să evalueze acest lucru, dar există probleme mai semnificative în joc.
Unii nici măcar nu au ajuns la punctul de a înțelege problema, care este pericolul în sine.
A existat un articol despre BugProve intitulat ceva de genul, „Îți protejăm frigiderul inteligent de atacuri.” Unul dintre comentariile de top a fost, „Ajutor, ce se va întâmpla cu mine dacă îmi sparg și îmi fură nuggetele de pui?”
Aceasta a fost menită să fie o glumă sarcastică și mi s-a părut și amuzantă. Cu toate acestea, cred că aruncă o lumină și asupra întrebării dacă consumatorul mediu se află într-un dezavantaj psihologic atunci când corelează preocupările privind confidențialitatea și securitatea cu obiectele de uz casnic altfel inofensive. S-ar putea chiar numi asta „eșecul rezervorului de pește”, conform incidentului cazinoului.
Pentru noi, experții în securitate, este ușor să vedem imediat provocările de securitate a dispozitivelor IoT oriunde vedem microcontrolere și alt hardware de calcul conectat la rețele IP, chiar dacă acestea sunt ascunse în obiecte familiare, cu toate acestea, acest lucru nu a fost cazul pentru populația mai largă. .
Rolul reglementărilor
După cum ilustrează exemplul anterior cu cazinoul, riscul nu depinde de funcția originală a dispozitivului compromis; problema este că orice dispozitiv IoT poate servi drept punct de intrare în rețeaua clientului, iar un atacator poate obține resurse suplimentare de acolo. Codul rău intenționat plasat în acest fel rămâne adesea ascuns utilizatorului, dar poate reprezenta un risc continuu.
Acesta este ceva ce reglementările viitoare urmăresc să schimbe. Poate că GDPR nu a fost cea mai bună modalitate de a crește securitatea datelor, dar cel puțin a făcut ca toată lumea să fie conștientă de asta într-o oarecare măsură. Sperăm că RED și CRA vor avea un efect similar.
Și mai remarcabilă este abordarea americană a Marca de încredere cibernetică. Produsele vor purta un logo cu scutul, semnalând consumatorilor că produsul a îndeplinit cel puțin un anumit standard. Va exista, de asemenea, un cod QR pe care consumatorii îl pot folosi ulterior pentru a verifica dacă produsul îndeplinește în continuare aceste standarde.
Cred că unii consumatori vor acorda atenție acestui lucru, dar vor mai fi cei care caută cea mai ieftină opțiune pe rafturi. Aici intervine nevoia de a ridica nivelul general de securitate al întregii industrii. Chiar și cei care optează pentru cea mai ieftină soluție ar trebui să aibă protecție de bază - aceasta este cheia pentru protejarea societății noastre.
Aceasta este o necesitate dacă dorim să continuăm să folosim din ce în ce mai multe dispozitive încorporate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.iotforall.com/iot-security-calling-for-consumer-vigilance-and-responsible-development
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 10
- 2017
- 3
- 8
- a
- Despre Noi
- accesibil
- activ
- Suplimentar
- adresare
- negativ
- afectează
- împotriva
- Agențiile
- urmări
- TOATE
- de asemenea
- Cu toate ca
- american
- printre
- an
- analizate
- și
- O alta
- Orice
- aplicatii
- abordare
- SUNT
- ZONĂ
- articol
- AS
- aspect
- evalua
- activ
- Bunuri
- ajuta
- asociate
- At
- ataca
- Atacuri
- Încercările
- atenţie
- de audit
- disponibil
- in medie
- conştient
- gradului de conştientizare
- bazat
- de bază
- BE
- Urs
- Urșii
- fost
- fiind
- Crede
- CEL MAI BUN
- Mai bine
- între
- Mare
- Cea mai mare
- botnet
- limitele
- Cutie
- Dulapuri
- de clădiri
- afaceri
- dar
- by
- C ++
- cablu
- apel
- apel
- camere video
- CAN
- caz
- Cazinou
- Captură
- Categorii
- CEO
- CEO și fondator
- sigur
- provocări
- provocare
- Schimbare
- Modificări
- mai ieftin
- cele mai ieftine
- clase
- închis
- cod
- Codificare
- colabora
- cum
- vine
- comentarii
- în mod obișnuit
- Companii
- comparație
- complicații
- componente
- agravată
- compromis
- tehnica de calcul
- preocupările
- luand in considerare
- console
- constrângeri
- consumator
- Consumatorii
- conţinut
- creatorii de conținut
- continuu
- contracte
- contrast
- contribuţie
- Control
- coordonat
- corelând
- Cheltuieli
- ar putea
- înscrie-te la cursul
- CRA
- Creatorii
- critic
- Infrastructura critică
- criptografie
- Curent
- personalizat
- client
- PERICOL
- de date
- securitatea datelor
- dedicat
- demonstrat
- departamente
- depinde
- dislocate
- modele
- În ciuda
- Dezvoltare
- dispozitiv
- Dispozitive
- FĂCUT
- diferenţă
- diferit
- Dificultate
- digital
- Dezavantaj
- descoperi
- distribuite
- do
- face
- Nu
- domeniu
- jos
- două
- în timpul
- Mai devreme
- cu ușurință
- uşor
- efect
- element
- încorporat
- angajarea
- criptare
- capăt
- asigura
- asigurare
- intrarea
- Companii
- Întreg
- intrare
- Mediu inconjurator
- mai ales
- Chiar
- toată lumea
- exemplu
- exista
- aşteptări
- cheltuială
- scump
- cu experienţă
- experți
- expres
- măsură
- Față
- facilități
- fapt
- factori
- Falls
- familiar
- departe
- puțini
- firewall-uri
- Pentru
- Forțele
- formă
- găsit
- fondator
- frecvent
- din
- cu drepturi depline
- funcţie
- fundamental
- amuzant
- mai mult
- joc
- GDPR
- General
- GitHub
- Caritate
- Go
- bine
- Guvern
- recunoştinţă
- mare
- Grupului
- crescut
- hack
- HAD
- întâmpla
- Greu
- Piese metalice
- Avea
- aici
- Ascuns
- Înalt
- superior
- Evidențiat
- extrem de
- Case
- speranţă
- gospodărie
- Cum
- Totuși
- HTML
- HTTPS
- uman
- i
- if
- ilustrează
- imediat
- a impune
- imposibil
- îmbunătățit
- in
- incident
- inclus
- Inclusiv
- Crește
- a crescut
- industrie
- ieftin
- informații
- securitatea informațiilor
- Infrastructură
- inițială
- iniţiat
- în interiorul
- intelectual
- de proprietate intelectuală
- Inteligență
- interes
- în
- investind
- implica
- implică
- IoT
- Dispozitiv IoT
- dispozitive iot
- IP
- problema
- probleme de
- IT
- este securitate
- în sine
- jpg
- doar
- A pastra
- Cheie
- Limbă
- mare
- Nume
- mai tarziu
- cel mai puțin
- Led
- mai puțin
- Nivel
- ușoară
- ca
- Probabil
- Limitat
- LINK
- linux
- siglă
- Lung
- mai lung
- Lot
- făcut
- face
- FACE
- rău
- Producătorii
- multe
- Piață
- cotă de piață
- max-width
- Mai..
- me
- a însemnat
- măsuri
- se intalneste
- Memorie
- cu
- metal
- ar putea
- Militar
- milion
- minimaliza
- modificările aduse
- mai mult
- cele mai multe
- motivaţia
- trebuie sa
- my
- Nevoie
- reţea
- rețele
- ştiri
- Nu.
- numeroși
- obiecte
- obține
- of
- de multe ori
- on
- ONE
- afară
- open-source
- funcionar
- operat
- de operare
- sistem de operare
- Operațiuni
- Operatorii
- Optimizați
- Opțiune
- or
- organizație
- original
- OS
- Altele
- in caz contrar
- al nostru
- afară
- peste
- global
- propriu
- parte
- Plătește
- pentru
- perspectivă
- Piraterie
- pirat
- Loc
- plasat
- Ciumă
- platformă
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- Punct
- puncte
- populație
- pune
- potenţial
- pr
- prezenta
- presiune
- în primul rând
- primar
- Prim
- intimitate
- Confidențialitate și securitate
- privilegiu
- Problemă
- probleme
- procese
- Produs
- Produse
- profesioniști
- Programare
- limbaje de programare
- Proiecte
- adecvat
- proprietate
- proteja
- protectoare
- protecţie
- furnizori
- psihologic
- pune
- Codul QR
- întrebare
- ridica
- mai degraba
- atins
- real
- realizat
- motiv
- motive
- Roșu
- regulament
- relativ
- se bazează
- rămâne
- rămășițe
- raportează
- Cerinţe
- cercetare
- Resurse
- responsabilitate
- responsabil
- rezultat
- Risc
- Riscurile
- Riscant
- robust
- Rol
- router
- funcţionare
- Rusia
- Siguranţă
- acelaşi
- sarcastic
- satelit
- Spune
- sdk
- sdks
- sector
- sigur
- în siguranță,
- securitate
- testare de securitate
- vedea
- Căuta
- serios
- servi
- set
- câteva
- Distribuie
- vărsa
- rafturi
- Scut
- deficit
- să
- închide
- Închide
- semnificativ
- asemănător
- simplu
- pur şi simplu
- întrucât
- situație
- inteligent
- Societate
- Software
- Numai
- soluţie
- REZOLVAREA
- unele
- ceva
- uneori
- Sursă
- cod sursă
- Spaţiu
- Spectru
- Cheltuire
- standard
- standarde
- puternic
- Încă
- depozitare
- puternic
- astfel de
- supraveghere
- surprinzător
- susceptibil
- sistem
- sisteme
- vizate
- obiective
- Testarea
- decât
- Mulțumiri
- acea
- furt
- lor
- apoi
- Acolo.
- prin urmare
- Acestea
- ei
- Crede
- Al treilea
- acest
- aceste
- amenințări
- Prin
- cu denumirea
- la
- astăzi
- Unelte
- top
- subiect
- Tendinţe
- încercat
- Încredere
- tv
- stare de nervozitate
- tip
- tipic
- Ucraina
- înţelegere
- viitoare
- us
- utilizare
- utilizat
- Utilizator
- folosind
- obișnuit
- verifica
- foarte
- vigilenţă
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- vrea
- dorit
- război
- a fost
- Cale..
- we
- salutat
- BINE
- au fost
- Ce
- cand
- dacă
- care
- OMS
- de ce
- mai larg
- voi
- cu
- în
- fără
- lume
- încă
- Ta
- zephyrnet