IoT nesecurizat, vulnerabilități nelimitate

Cu toții am auzit expresia „trăim într-o lume hiperconectată”. Avem acces la depozite vaste de informații și aplicații printr-un dispozitiv în buzunar. Din ce în ce mai multe dintre datele noastre personale și chiar biometrice sunt analizate în mod activ în cloud pentru a oferi informații despre cum funcționează corpul nostru.

Cu toate acestea, Internetul lucrurilor (IoT) nu este lipsit de provocări. Prin aducerea online a mai multor dispozitive (oferându-le o adresă IP și făcându-le adresabile) creștem în mod activ suprafața unei lumi piratabile.

Creșterea explozivă a IoT a fost asociată cu o creștere explozivă a abuzului de dispozitive. Dispozitivele conectate care ne încântă cu cunoștințele despre obiceiurile și tiparele noastre au capacitatea de a ne submina confidențialitatea, de a ne asedia identitatea și, în cazurile cele mai extreme, de a provoca vătămări fizice reale prin războiul cibernetic.

Canalul de feedback al IoT

Gartner a estimat că 322 de milioane de dispozitive purtabile vor fi vândute în 2017. Creșterea masivă de 48% din 2015 se datorează în parte popularizării tehnologiei purtabile ca stil de viață. Pe măsură ce tehnologia este integrată în viața noastră de zi cu zi prin rutină sau ca obișnuință, suntem transformați în mașini generatoare de micro-bio-date.

Dispozitivele și conectivitatea lor variază de la cele foarte mici la lucruri cu ecrane și funcții interactive. Probabil că nu ne gândim la multitudinea de dispozitive necesare pentru a avea un canal de feedback.

La ce folosește o măsurătoare dacă nu o poți vedea sau învăța ce înseamnă? Aceste dispozitive generează o mulțime de e-mail tranzacțional prin telefoanele noastre și alte monitoare de „ieșire”, astfel încât să realizăm valoarea măsurării activității noastre zilnice.

Mesajele generate de e-mailul și IoT prezintă oportunități unice pentru phishing și fraudatori.

Fiecare flux de corespondență generat de un nou dispozitiv portabil trebuie securizat, deoarece phishingul este cu siguranță în creștere.

Potrivit APWG (Anti-Phishing Working Group), atacurile de phishing au crescut cu 65% între 2015 și 2016.

Conexiuni infinite

Evenimentele din casa mea generează e-mailuri și notificări push care mă avertizează cu privire la mișcare sau când plimbătorul meu de câini îmi aduce câinele acasă după o distracție în parc. Noaptea, milioane de oameni poartă un Fitbit pentru a dormi, astfel încât să își poată monitoriza, înregistra și analiza tiparele de somn.

Jucăriile pentru copii sunt supraîncărcate cu capacități digitale, animatronice și pot fi accesate de la distanță pentru o mai mare interactivitate prin Bluetooth și alte standarde de comunicații.

Aragazul meu sous vide are o conexiune wi-fi și bluetooth, astfel încât să-mi spună telefonului dacă temperatura băii de apă se schimbă sau când este gata pentru scufundarea alimentelor. GPS-ul iPhone-ului meu, combinat cu o curea de piept, se transformă într-un tracker de antrenament pentru întregul corp care înregistrează traseul meu pe Strava și cât de mult am suferit urcând pe terenul deluros al Bay Area.

Securitate marginală

Fiecare dispozitiv adăugat la IoT în plină dezvoltare este capabil, în esență, să colecteze și să transmită informații de identificare personală (PII). Producătorii acestor dispozitive se mișcă rapid pentru a încerca să introducă dispozitive din ce în ce mai inteligente și din ce în ce mai sensibile, care rulează de la biometrie la automatizare la domiciliu și conectivitate auto. Cu toate acestea, toate aceste dispozitive introduc noi riscuri de securitate și provocări în ceea ce este deja un mediu nesigur.

Poate că cel mai faimos compromis al unui dispozitiv asemănător IoT nu a fost deloc un dispozitiv IoT, ci mai degrabă o rețea cu aer întrerupt. Virusul Stuxnet a paralizat o instalație de îmbogățire nucleară iraniană – un virus informatic a provocat de fapt daune masive în lumea fizică. Stuxnet a fost un exemplu de război cibernetic pe care doar ni l-am imaginat posibil în filme. La o scară mai mică, dar infinit mai tangibilă, a fost scurgerea a milioane de înregistrări vocale ale copiilor și ale părinților lor printr-un ursuleț de pluș conectat.

Fiecare dispozitiv IoT este în esență un punct final care poate fi accesat prin API sau prin alte mijloace pentru a trimite și primi informații.

Ceea ce este extrem de atrăgător pentru phisheri și hackeri este natura dispozitivelor IoT: mereu pornite și profitând de cea mai rapidă conexiune disponibilă.

Fiecare dispozitiv necesită ca punctul final să fie securizat pentru a se asigura că nu poate fi compromis și absorbit într-o rețea bot capabilă să monteze un atac DDoS sau alte forme de conținut rău intenționat. Deoarece majoritatea dispozitivelor sunt fabricate în străinătate, există puțină, dacă nu există nicio supraveghere, asupra modului în care sunt construite aceste dispozitive sau a tipurilor de servicii care se execută pe ele.

Conștientizare sporită

Organizațiile care se ocupă de securitate, cum ar fi Arbor Networks, extrag date honeypot pentru a măsura activitatea de exploatare în jurul IoT. În mod similar, Grupul de lucru Messaging, Malware, Mobile Anti-Abusing Working Group (M3AAWG), începe să ia foarte în serios amenințările implicite într-o societate conectată exponențial.

În aprilie 2017, M3AAWG a anunțat un nou grup de interes special IoT pentru a coordona eforturile membrilor în rezolvarea problemelor de abuz de la dispozitivele IoT compromise. Noul grup de interes special va dezvolta linii directoare și procese de reputație pentru producătorii de dispozitive, pe lângă creșterea gradului de conștientizare cu privire la pericolele IoT nesecurizate.

Securitatea în primul rând

La fel ca submarinele și caracterizarea lor „a alerga în tăcere, în adâncime”, IoT, ca subsector tehnologic în plină dezvoltare, trebuie să pună securitatea în prim-planul marșului către fabricarea de dispozitive mai inovatoare. Nu există nicio îndoială că IoT ne îmbogățește viața. Putem fi cu toții de acord că, de la telefonul mobil, la ceasuri, la trackere de fitness, suntem cu toții puțin mai inteligenți din cauza asta – cu toate acestea, protocoalele și politicile de securitate trebuie să țină pasul.

Ca rezultat, mesajele trebuie să fie securizate ca parte a protecției generale a datelor pe care aceste dispozitive le trimit zilnic și de la care le transmit. IoT a crescut cantitatea de date pe care ne simțim confortabil să le deschidem către lumea exterioară și nivelul nostru de confort cu exteriorizarea detaliilor despre rutinele noastre. Dar, în același timp, trebuie să ne asigurăm că actorii răi nu intră și nu folosesc acele date împotriva noastră.

Dacă doriți să aflați mai multe despre alte escrocherii specifice prin e-mail și despre cum vă puteți proteja, consultați Phishing, Doxxing, Botnets și alte escrocherii prin e-mail: Ce trebuie să știți.