IoT Tanpa Jaminan, Kerentanan Tidak Terbatas

Kita semua pernah mendengar ungkapan "kita hidup di dunia yang sangat terhubung." Kami memiliki akses ke toko informasi dan aplikasi yang luas melalui perangkat di saku kami. Semakin banyak data pribadi dan bahkan biometrik kita secara aktif diolah di cloud untuk memberikan wawasan tentang bagaimana tubuh kita bekerja.

Namun, Internet of Things (IoT) bukan tanpa tantangan. Dengan menghadirkan lebih banyak perangkat online, (memberi mereka alamat IP dan membuatnya dapat dialamatkan), kami secara aktif meningkatkan luas permukaan dunia yang dapat diretas.

Pertumbuhan eksplosif IoT telah diimbangi dengan pertumbuhan eksplosif dalam penyalahgunaan perangkat. Perangkat terhubung yang menyenangkan kita dengan pengetahuan tentang kebiasaan dan pola kita memiliki kemampuan untuk merusak privasi kita, mengepung identitas kita, dan dalam kasus yang paling ekstrim menyebabkan kerusakan fisik yang nyata melalui perang cyber.

Saluran Umpan Balik IoT

Gartner memperkirakan bahwa 322 juta perangkat wearable akan terjual pada tahun 2017. Lonjakan besar sebesar 48% dari tahun 2015 sebagian disebabkan oleh mempopulerkan teknologi wearable sebagai gaya hidup. Saat teknologi diintegrasikan ke dalam kehidupan kita sehari-hari melalui rutinitas, atau sebagai kebiasaan, kita diubah menjadi mesin penghasil data mikro-bio.

Perangkat dan konektivitasnya berkisar dari yang sangat kecil, hingga hal-hal dengan layar dan fitur interaktif. Apa yang mungkin tidak kita pikirkan adalah banyaknya perangkat yang dibutuhkan untuk memiliki saluran umpan balik.

Apa gunanya pengukuran jika Anda tidak dapat melihatnya atau mempelajari artinya? Perangkat ini menghasilkan banyak sekali email transaksional melalui telepon dan monitor “output” lainnya sehingga kami menyadari nilai dari pengukuran aktivitas sehari-hari.

Perpesanan yang dihasilkan email dan IoT menghadirkan peluang unik bagi phisher dan penipu.

Setiap aliran email yang dihasilkan oleh perangkat wearable baru harus diamankan karena phishing pasti sedang meningkat.

Menurut APWG (Anti-Phishing Working Group), serangan phishing melonjak 65 persen antara 2015 dan 2016.

Koneksi Tak Terbatas

Acara di rumah saya menghasilkan email dan pemberitahuan push yang memperingatkan saya tentang gerakan atau ketika alat bantu jalan anjing saya membawa pulang anjing saya setelah bermain-main di taman. Pada malam hari, jutaan orang memakai Fitbit untuk tidur sehingga mereka dapat memantau, merekam, dan menganalisis pola tidur mereka.

Mainan anak-anak sedang diisi dengan kemampuan digital, animatronik, dan mereka dapat diakses dari jarak jauh untuk interaktivitas yang lebih besar melalui Bluetooth dan standar komunikasi lainnya.

Sous vide cooker saya memiliki koneksi wi-fi dan bluetooth sehingga dapat memberi tahu ponsel saya jika suhu penangas air berubah, atau saat makanan sudah siap untuk direndam. GPS iPhone saya, dikombinasikan dengan tali pengikat dada, berubah menjadi pelacak latihan tubuh total yang merekam rute saya di Strava dan seberapa besar penderitaan saya saat mendaki medan berbukit di Bay Area.

Keamanan Marjinal

Setiap perangkat yang ditambahkan ke IoT yang sedang berkembang pada dasarnya mampu mengumpulkan dan mentransmisikan Informasi Identifikasi Pribadi (PII). Pembuat perangkat ini bergerak cepat untuk mencoba dan memperkenalkan perangkat yang semakin cerdas, dan semakin sensitif yang menjalankan keseluruhan dari biometrik hingga otomatisasi rumah dan konektivitas otomotif. Namun, semua perangkat ini memperkenalkan risiko dan tantangan keamanan baru ke dalam lingkungan yang sudah tidak aman.

Mungkin kompromi yang paling terkenal dari perangkat mirip IoT bukanlah perangkat IoT sama sekali, melainkan jaringan dengan celah udara. Virus Stuxnet melumpuhkan fasilitas pengayaan nuklir Iran—virus komputer sebenarnya menyebabkan kerusakan besar di dunia fisik. Stuxnet adalah contoh perang dunia maya yang hanya kami bayangkan mungkin terjadi di film. Dalam skala yang lebih kecil, tetapi jauh lebih nyata, adalah bocornya jutaan rekaman suara anak-anak dan orang tua mereka melalui boneka beruang yang terhubung.

Setiap perangkat IoT pada dasarnya adalah titik akhir yang dapat diakses melalui API atau cara lain untuk mengirim dan menerima informasi.

Apa yang sangat menarik bagi phisher dan peretas adalah sifat perangkat IoT: selalu aktif dan memanfaatkan koneksi tercepat yang tersedia.

Setiap perangkat memerlukan titik akhir yang aman untuk memastikan bahwa itu tidak dapat dikompromikan dan diserap ke dalam botnet yang mampu memasang serangan DDoS atau bentuk konten berbahaya lainnya. Karena sebagian besar perangkat diproduksi di luar negeri, ada sedikit, jika ada pengawasan tentang bagaimana perangkat ini dibuat, atau jenis layanan yang dijalankan pada perangkat tersebut.

Peningkatan Kesadaran

Organisasi yang berpikiran keamanan seperti Arbor Networks menambang data honeypot untuk mengukur aktivitas eksploitasi di sekitar IoT. Demikian pula, Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG), mulai menanggapi dengan sangat serius ancaman yang tersirat dalam masyarakat yang terhubung secara eksponensial.

Pada April 2017, M3AAWG mengumumkan grup minat khusus IoT baru untuk mengoordinasikan upaya anggota dalam menyelesaikan masalah penyalahgunaan dari perangkat IoT yang disusupi. Grup minat khusus yang baru akan mengembangkan pedoman dan proses reputasi untuk produsen perangkat selain meningkatkan kesadaran tentang bahaya IoT yang tidak aman.

Keamanan Pertama

Seperti kapal selam, dan karakterisasi “run silent, run deep” mereka, IoT, sebagai subsektor teknologi yang sedang berkembang, perlu menempatkan keamanan di garis depan dalam perjalanan menuju manufaktur perangkat yang lebih inovatif. Tidak diragukan lagi bahwa IoT memperkaya hidup kita. Kita semua bisa setuju bahwa dari ponsel, jam tangan, hingga pelacak kebugaran, kita semua sedikit lebih pintar karenanya—namun, protokol dan kebijakan keamanan perlu mengimbanginya.

Sebagai output, pesan perlu diamankan sebagai bagian dari perlindungan keseluruhan data yang dikirim ke dan dari perangkat ini setiap hari. IoT telah meningkatkan jumlah data yang kami rasa nyaman untuk dibuka ke dunia luar dan tingkat kenyamanan kami dengan mengeksternalisasi detail tentang rutinitas kami. Tetapi pada saat yang sama, kita perlu memastikan bahwa aktor jahat tidak masuk dan menggunakan data itu untuk melawan kita.

Jika Anda ingin mempelajari lebih lanjut tentang penipuan khusus email lainnya dan bagaimana Anda dapat melindungi diri sendiri, lihat Phishing, Doxxing, Botnet, dan Penipuan Email Lainnya: Yang Perlu Anda Ketahui.