Ungesichertes IoT, unbegrenzte Schwachstellen

Wir alle haben den Satz „Wir leben in einer hypervernetzten Welt“ gehört. Über ein Gerät in unserer Tasche haben wir Zugriff auf riesige Informationsspeicher und Anwendungen. Immer mehr unserer persönlichen und sogar biometrischen Daten werden aktiv in der Cloud verarbeitet, um Erkenntnisse darüber zu gewinnen, wie unser Körper tickt.

Das Internet der Dinge (IoT) ist jedoch nicht ohne Herausforderungen. Indem wir mehr Geräte online bringen (ihnen eine IP-Adresse geben und sie adressierbar machen), vergrößern wir aktiv die Oberfläche einer hackbaren Welt.

Das explosive Wachstum des IoT geht einher mit einem explosiven Wachstum des Gerätemissbrauchs. Die vernetzten Geräte, die uns mit dem Wissen über unsere Gewohnheiten und Muster erfreuen, haben die Fähigkeit, unsere Privatsphäre zu untergraben, unsere Identität zu belagern und in den extremsten Fällen durch Cyber-Kriegsführung echten, physischen Schaden zu verursachen.

Der Rückkanal des IoT

Gartner prognostizierte, dass im Jahr 2017 322 Millionen tragbare Geräte verkauft würden. Der massive Anstieg von 48 % gegenüber 2015 ist teilweise auf die Popularisierung tragbarer Technologie als Lebensstil zurückzuführen. Da Technologie durch Routine oder Gewohnheit in unser tägliches Leben integriert wird, werden wir zu Maschinen, die Mikrobiodaten generieren.

Die Geräte und ihre Konnektivität reichen von sehr kleinen Geräten bis hin zu Geräten mit Bildschirmen und interaktiven Funktionen. Woran wir wahrscheinlich nicht denken, ist die Vielzahl von Geräten, die erforderlich sind, um einen Rückkanal zu haben.

Was nützt eine Messung, wenn Sie sie nicht sehen oder lernen können, was sie bedeutet? Diese Geräte generieren eine Menge Transaktions-E-Mails über unsere Telefone und andere „Ausgabe“-Monitore, damit wir den Wert der Messung unserer täglichen Aktivität erkennen.

E-Mail und IoT-generiertes Messaging bieten einzigartige Möglichkeiten für Phisher und Betrüger.

Jeder Mailstream, der von einem neuen Wearable generiert wird, muss gesichert werden, da Phishing auf jeden Fall auf dem Vormarsch ist.

Laut der APWG (Anti-Phishing Working Group) stiegen Phishing-Angriffe zwischen 2015 und 2016 um 65 Prozent.

Unendliche Verbindungen

Ereignisse in meinem Zuhause generieren E-Mails und Push-Benachrichtigungen, die mich auf Bewegungen aufmerksam machen oder wenn mein Hundeausführer meinen Hund nach einem Toben im Park nach Hause bringt. Nachts tragen Millionen von Menschen ein Fitbit zum Schlafen, damit sie ihre Schlafmuster überwachen, aufzeichnen und analysieren können.

Kinderspielzeug wird mit digitalen Fähigkeiten und Animatronik aufgeladen, und für eine größere Interaktivität kann über Bluetooth und andere Kommunikationsstandards aus der Ferne auf sie zugegriffen werden.

Mein Sous-Vide-Kocher verfügt über eine Wi-Fi- und Bluetooth-Verbindung, sodass er meinem Telefon mitteilen kann, ob sich die Temperatur des Wasserbads ändert oder wann das Essen eingetaucht werden kann. Das GPS meines iPhones verwandelt sich in Kombination mit einem Brustgurt in einen Ganzkörper-Workout-Tracker, der meine Route auf Strava aufzeichnet und wie sehr ich beim Aufstieg in das hügelige Gelände der Bay Area gelitten habe.

Grenzsicherheit

Jedes Gerät, das dem aufkeimenden IoT hinzugefügt wird, ist im Wesentlichen in der Lage, personenbezogene Daten (PII) zu sammeln und zu übertragen. Die Hersteller dieser Geräte versuchen schnell, immer intelligentere und sensiblere Geräte einzuführen, die die gesamte Bandbreite von Biometrie über Heimautomatisierung bis hin zu Fahrzeugkonnektivität abdecken. Diese Geräte bringen jedoch alle neue Sicherheitsrisiken und Herausforderungen in eine bereits unsichere Umgebung ein.

Der vielleicht berühmteste Kompromiss eines IoT-ähnlichen Geräts war überhaupt kein IoT-Gerät, sondern eher ein Air-Gap-Netzwerk. Der Stuxnet-Virus legte eine iranische Atomanreicherungsanlage lahm – ein Computervirus verursachte tatsächlich massiven Schaden in der physischen Welt. Stuxnet war ein Beispiel für Cyber-Kriegsführung, die wir nur in Filmen für möglich gehalten haben. In kleinerem Maßstab, aber unendlich greifbarer, war das Durchsickern von Millionen von Sprachaufnahmen von Kindern und ihren Eltern durch einen verbundenen Teddybären.

Jedes IoT-Gerät ist im Wesentlichen ein Endpunkt, auf den über API oder andere Mittel zugegriffen werden kann, um Informationen zu senden und zu empfangen.

Was für Phisher und Hacker äußerst attraktiv ist, ist die Natur von IoT-Geräten: immer eingeschaltet und nutzen die schnellste verfügbare Verbindung.

Jedes einzelne Gerät erfordert, dass der Endpunkt sicher ist, um sicherzustellen, dass er nicht kompromittiert und in ein Botnet aufgenommen werden kann, das einen DDoS-Angriff oder andere Formen von bösartigem Inhalt starten kann. Da die meisten Geräte im Ausland hergestellt werden, gibt es wenig oder gar keinen Überblick darüber, wie diese Geräte gebaut werden oder welche Arten von Diensten darauf ausgeführt werden.

Gesteigertes Bewusstsein

Sicherheitsbewusste Organisationen wie Arbor Networks schürfen Honeypot-Daten, um die Ausbeutungsaktivitäten rund um das IoT zu messen. In ähnlicher Weise beginnt die Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG) die Bedrohungen einer exponentiell vernetzten Gesellschaft sehr ernst zu nehmen.

Im April 2017 kündigte M3AAWG eine neue IoT-Sonderinteressengruppe an, um die Bemühungen der Mitglieder zur Lösung von Missbrauchsproblemen durch kompromittierte IoT-Geräte zu koordinieren. Die neue Interessengruppe wird neben der Sensibilisierung für die Gefahren des ungesicherten IoT Reputationsrichtlinien und -prozesse für Gerätehersteller entwickeln.

Sicherheit geht vor

Wie U-Boote und ihre Charakterisierung „Lauf leise, lauf tief“ muss das IoT als aufstrebender Technologie-Subsektor die Sicherheit in den Vordergrund des Marschs zu einer innovativeren Geräteherstellung stellen. Es steht außer Frage, dass IoT unser Leben bereichert. Wir sind uns alle einig, dass wir vom Mobiltelefon über Uhren bis hin zu Fitness-Trackern dadurch alle ein bisschen schlauer sind – aber Sicherheitsprotokolle und -richtlinien müssen Schritt halten.

Als Ergebnis muss das Messaging als Teil des Gesamtschutzes der Daten, an die und von denen diese Geräte täglich senden, gesichert werden. Das IoT hat die Datenmenge, die wir gerne der Außenwelt zugänglich machen, und unser Komfortniveau durch die Externalisierung von Details über unsere Routinen erhöht. Aber gleichzeitig müssen wir sicherstellen, dass schlechte Akteure nicht eindringen und diese Daten gegen uns verwenden.

Wenn Sie mehr über andere E-Mail-Betrügereien erfahren möchten und wissen möchten, wie Sie sich schützen können, lesen Sie Phishing, Doxxing, Botnets und andere E-Mail-Betrügereien: Was Sie wissen müssen.