Niezabezpieczony Internet Rzeczy, nieograniczone podatności

Wszyscy słyszeliśmy zdanie „żyjemy w hiperpołączonym świecie”. Dzięki urządzeniu w naszej kieszeni mamy dostęp do ogromnych zasobów informacji i aplikacji. Coraz więcej naszych osobistych, a nawet biometrycznych danych jest aktywnie przetwarzanych w chmurze, aby zapewnić wgląd w to, jak działają nasze ciała.

Jednak Internet rzeczy (IoT) nie jest pozbawiony wyzwań. Udostępniając więcej urządzeń online (nadając im adres IP i czyniąc je adresowalnymi), aktywnie zwiększamy powierzchnię hakowalnego świata.

Gwałtowny wzrost IoT został dopasowany do gwałtownego wzrostu nadużywania urządzeń. Połączone urządzenia, które zachwycają nas wiedzą o naszych nawykach i wzorcach, mogą podważać naszą prywatność, oblegać naszą tożsamość, a w najbardziej ekstremalnych przypadkach wyrządzić rzeczywiste, fizyczne szkody poprzez cyberwojnę.

Kanał opinii IoT

Gartner prognozował, że w 2017 roku sprzedanych zostanie 322 miliony urządzeń ubieralnych. Ogromny wzrost o 48 proc. od 2015 r. wynika częściowo z popularyzacji technologii ubieralnej jako stylu życia. Ponieważ technologia jest integrowana z naszym codziennym życiem poprzez rutynę lub nawyk, zamieniamy się w maszyny generujące mikrobio-dane.

Urządzenia i ich łączność wahają się od bardzo małych, po rzeczy z ekranami i funkcjami interaktywnymi. To, o czym prawdopodobnie nie myślimy, to mnogość urządzeń potrzebnych do posiadania kanału zwrotnego.

Jaki jest pożytek z pomiaru, jeśli nie możesz go zobaczyć lub dowiedzieć się, co to znaczy? Urządzenia te generują mnóstwo transakcyjnych wiadomości e-mail przez nasze telefony i inne monitory „wyjścia”, dzięki czemu zdajemy sobie sprawę z wartości mierzenia naszej codziennej aktywności.

Wiadomości e-mail i generowane przez IoT stwarzają wyjątkowe możliwości dla phisherów i oszustów.

Każdy strumień poczty generowany przez nowe urządzenie do noszenia musi być chroniony, ponieważ phishing zdecydowanie rośnie.

Według APWG (Anti-Phishing Working Group), ataki phishingowe wzrosły o 65 procent w latach 2015-2016.

Nieskończone połączenia

Wydarzenia w moim domu generują e-maile i powiadomienia push, które informują mnie o ruchu lub gdy mój wyprowadzacz przywozi psa do domu po szaleństwie w parku. W nocy miliony ludzi noszą Fitbit do snu, dzięki czemu mogą monitorować, rejestrować i analizować swoje wzorce snu.

Zabawki dla dzieci są doładowywane cyfrowymi możliwościami, animatroniką i można uzyskać do nich zdalny dostęp w celu zwiększenia interaktywności za pośrednictwem Bluetooth i innych standardów komunikacyjnych.

Moja kuchenka sous vide ma połączenie Wi-Fi i Bluetooth, dzięki czemu może poinformować telefon o zmianie temperatury kąpieli wodnej lub o gotowości do zanurzenia jedzenia. GPS mojego iPhone'a w połączeniu z paskiem na klatkę piersiową zamienia się w urządzenie do śledzenia treningu całego ciała, które rejestruje moją trasę na Strava i ile wycierpiałam wspinania się po pagórkowatym terenie Bay Area.

Zabezpieczenia krańcowe

Każde urządzenie dodane do rozwijającego się Internetu Rzeczy jest zasadniczo zdolne do zbierania i przesyłania informacji umożliwiających identyfikację osób (PII). Twórcy tych urządzeń szybko próbują wprowadzać coraz inteligentniejsze i coraz bardziej czułe urządzenia, które obejmują gamę od biometrii po automatykę domową i łączność samochodową. Jednak wszystkie te urządzenia wprowadzają nowe zagrożenia bezpieczeństwa i wyzwania do i tak już niezabezpieczonego środowiska.

Być może najbardziej znanym kompromisem urządzenia podobnego do IoT nie było wcale urządzenie IoT, ale raczej sieć z przerwami w powietrzu. Wirus Stuxnet sparaliżował irański zakład wzbogacania uranu — wirus komputerowy w rzeczywistości spowodował ogromne szkody w świecie fizycznym. Stuxnet był przykładem cyberwojny, którą tylko wyobrażaliśmy sobie, że jest możliwa w filmach. Na mniejszą skalę, ale nieskończenie bardziej namacalną, był wyciek milionów nagrań głosowych dzieci i ich rodziców przez połączonego pluszowego misia.

Każde urządzenie IoT jest zasadniczo punktem końcowym, do którego można uzyskać dostęp za pośrednictwem interfejsu API lub innych środków do wysyłania i odbierania informacji.

To, co jest niezwykle atrakcyjne dla phisherów i hakerów, to charakter urządzeń IoT: zawsze włączone i korzystające z najszybszego dostępnego połączenia.

Każde urządzenie wymaga, aby punkt końcowy był bezpieczny, aby zapewnić, że nie zostanie naruszony i wchłonięty przez botnet zdolny do przeprowadzenia ataku DDoS lub innych form złośliwej zawartości. Ponieważ większość urządzeń jest produkowana za granicą, istnieje niewielki, jeśli w ogóle, nadzór nad sposobem budowy tych urządzeń lub rodzajami usług, które są na nich uruchamiane.

Zwiększona świadomość

Organizacje zorientowane na bezpieczeństwo, takie jak Arbor Networks, eksplorują dane honeypot, aby zmierzyć aktywność związaną z wykorzystywaniem Internetu Rzeczy. Podobnie, Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG) zaczyna bardzo poważnie traktować zagrożenia kryjące się w wykładniczo połączonym społeczeństwie.

W kwietniu 2017 r. M3AAWG ogłosił nową grupę specjalnego zainteresowania IoT, która ma koordynować wysiłki członków w rozwiązywaniu problemów związanych z nadużyciami ze zhakowanych urządzeń IoT. Nowa grupa specjalnego zainteresowania opracuje wytyczne i procesy dotyczące reputacji dla producentów urządzeń, oprócz podnoszenia świadomości na temat zagrożeń związanych z niezabezpieczonym Internetem Rzeczy.

Bezpieczeństwo przede wszystkim

Podobnie jak łodzie podwodne i ich charakterystyka „cichaj, biegnij głęboko”, IoT, jako rozwijający się podsektor technologii, musi postawić bezpieczeństwo na czele marszu w kierunku bardziej innowacyjnej produkcji urządzeń. Nie ma wątpliwości, że Internet Rzeczy wzbogaca nasze życie. Wszyscy możemy się zgodzić, że od telefonów komórkowych, przez zegarki, po urządzenia do monitorowania kondycji, wszyscy jesteśmy dzięki temu trochę mądrzejsi — jednak protokoły i zasady bezpieczeństwa muszą dotrzymywać kroku.

Jako wynik, wiadomości muszą być zabezpieczone jako część ogólnej ochrony danych, które te urządzenia wysyłają do iz tych urządzeń na co dzień. IoT zwiększył ilość danych, które możemy swobodnie otwierać przed światem zewnętrznym, oraz nasz poziom komfortu dzięki uzewnętrznianiu szczegółów na temat naszych procedur. Ale jednocześnie musimy upewnić się, że źli aktorzy nie wkradają się i nie wykorzystują tych danych przeciwko nam.

Jeśli chcesz dowiedzieć się więcej o innych oszustwach związanych z wiadomościami e-mail i o tym, jak możesz się chronić, zapoznaj się z artykułem Phishing, Doxxing, botnety i inne oszustwa e-mail: co musisz wiedzieć.