Güvenli Olmayan IoT, Sınırsız Güvenlik Açıkları

Hepimiz “hiper bağlantılı bir dünyada yaşıyoruz” ifadesini duyduk. Cebimizdeki bir cihaz aracılığıyla geniş bilgi ve uygulama depolarına erişebiliyoruz. Gittikçe daha fazla kişisel ve hatta biyometrik verimiz, vücudumuzun nasıl çalıştığına dair içgörüler sağlamak için bulutta aktif olarak sıkıştırılıyor.

Bununla birlikte, Nesnelerin İnterneti (IoT) zorlukları olmadan değildir. Daha fazla cihazı çevrimiçi hale getirerek (onlara bir IP adresi vererek ve adreslenebilir hale getirerek), hacklenebilir bir dünyanın yüzey alanını aktif olarak artırıyoruz.

IoT'nin patlayıcı büyümesi, cihaz kötüye kullanımında patlayıcı bir büyüme ile eşleştirildi. Alışkanlıklarımız ve kalıplarımız hakkında bizi memnun eden bağlantılı cihazlar, gizliliğimizi baltalama, kimliğimizi kuşatma ve en uç durumlarda siber savaş yoluyla gerçek, fiziksel zarar verme yeteneğine sahiptir.

IoT'nin Geri Bildirim Kanalı

Gartner, 2017'de 322 milyon giyilebilir cihazın satılacağını tahmin etti. 2015'teki %48'lik büyük artış, kısmen giyilebilir teknolojinin bir yaşam tarzı olarak yaygınlaşmasından kaynaklanıyor. Teknoloji rutin veya alışkanlık olarak günlük hayatımıza entegre olurken, mikro biyo-veri üreten makinelere dönüşüyoruz.

Cihazlar ve bağlantıları çok küçükten ekranlı ve etkileşimli özelliklere sahip şeylere kadar çeşitlilik gösterir. Muhtemelen düşünmediğimiz şey, bir geri bildirim kanalına sahip olmak için gereken çok sayıda cihazdır.

Göremiyorsanız veya ne anlama geldiğini öğrenemiyorsanız, bir ölçüm ne işe yarar? Bu cihazlar, günlük faaliyetlerimizi ölçmenin değerini anlamamız için telefonlarımız ve diğer "çıktı" monitörlerimiz aracılığıyla bir ton işlemsel e-posta oluşturuyor.

E-posta ve IoT tarafından oluşturulan mesajlaşma, kimlik avcıları ve dolandırıcılar için benzersiz fırsatlar sunar.

Yeni bir giyilebilir cihaz tarafından oluşturulan her posta akışının güvence altına alınması gerekiyor çünkü kimlik avı kesinlikle yükselişte.

APWG'ye (Kimlik Avı Önleme Çalışma Grubu) göre, kimlik avı saldırıları 2015 ile 2016 arasında yüzde 65 arttı.

Sonsuz Bağlantılar

Evimdeki olaylar, hareket ettiğimde veya köpeğim parkta bir boğuşmadan sonra köpeğimi eve getirdiğinde beni uyaran e-postalar ve push bildirimleri oluşturur. Milyonlarca insan geceleri uyumak için bir Fitbit takıyor, böylece uyku düzenlerini izleyebiliyor, kaydedebiliyor ve analiz edebiliyorlar.

Çocuk oyuncakları, dijital yetenekler, animatronik ile süper şarj ediliyor ve Bluetooth ve diğer iletişim standartları aracılığıyla daha fazla etkileşim için uzaktan erişilebilirler.

Sous vide pişiricimde bir wi-fi ve bluetooth bağlantısı var, bu sayede telefonuma su banyosunun sıcaklığının değişip değişmediğini veya yemeğin daldırılmaya hazır olduğunu söyleyebilir. iPhone'umun GPS'i, göğüs kemeriyle birleştiğinde, Strava'daki rotamı ve Bay Area'nın engebeli arazisine tırmanırken ne kadar acı çektiğimi kaydeden tam bir vücut egzersiz takipçisine dönüşüyor.

marjinal güvenlik

Gelişmekte olan IoT'ye eklenen her cihaz, esasen Kişisel Tanımlanabilir Bilgileri (PII) toplama ve iletme yeteneğine sahiptir. Bu cihazların yapımcıları, biyometriden ev otomasyonuna ve otomotiv bağlantısına kadar uzanan yelpazeyi çalıştıran her zamankinden daha akıllı ve her zamankinden daha hassas cihazları denemek ve tanıtmak için hızla hareket ediyor. Bununla birlikte, bu cihazların tümü, zaten güvenli olmayan bir ortama yeni güvenlik riskleri ve zorluklar getiriyor.

Belki de IoT benzeri bir cihazın en ünlü uzlaşması, bir IoT cihazı değil, daha çok hava boşluklu bir ağdı. Stuxnet virüsü bir İran nükleer zenginleştirme tesisini felce uğrattı - bir bilgisayar virüsü aslında fiziksel dünyada büyük hasara neden oldu. Stuxnet, sadece filmlerde mümkün olduğunu hayal ettiğimiz bir siber savaş örneğiydi. Daha küçük bir ölçekte, ancak sonsuz derecede daha somut, bağlı bir oyuncak ayı aracılığıyla çocukların ve ebeveynlerinin milyonlarca ses kaydının sızdırılmasıydı.

Her bir IoT cihazı, esasen, bilgi göndermek ve almak için API veya başka yollarla erişilebilen bir uç noktadır.

Kimlik avcıları ve bilgisayar korsanları için son derece çekici olan şey, IoT cihazlarının doğasıdır: her zaman açık ve mevcut en hızlı bağlantıdan yararlanıyor.

Her bir cihaz, güvenliğinin ihlal edilmediğinden ve bir DDoS saldırısı veya diğer kötü niyetli içerik biçimleri oluşturabilen bir botnet tarafından emilemeyeceğinden emin olmak için uç noktanın güvenli olmasını gerektirir. Cihazların çoğu yurtdışında üretildiğinden, bu cihazların nasıl yapıldığına veya üzerlerinde çalıştırılan hizmet türlerine dair herhangi bir gözetim varsa da çok az şey vardır.

Arttırılmış farkındalık

Arbor Networks gibi güvenlik odaklı kuruluşlar, IoT çevresindeki sömürü etkinliğini ölçmek için bal küpü verilerini araştırıyor. Benzer şekilde, Mesajlaşma, Kötü Amaçlı Yazılım, Mobil Kötüye Kullanımı Önleme Çalışma Grubu (M3AAWG), katlanarak bağlantılı bir toplumda örtük olan tehditleri çok ciddiye almaya başlıyor.

Nisan 2017'de M3AAWG, üyelerin güvenliği ihlal edilmiş IoT cihazlarından kaynaklanan kötüye kullanım sorunlarını çözme çabalarını koordine etmek için yeni bir IoT özel ilgi grubu duyurdu. Yeni özel ilgi grubu, güvenli olmayan IoT'nin tehlikeleri hakkında farkındalığı artırmanın yanı sıra cihaz üreticileri için itibar yönergeleri ve süreçleri geliştirecek.

Önce Güvenlik

Denizaltılar ve onların "sessiz koş, derin koş" karakterizasyonları gibi, gelişen bir teknoloji alt sektörü olarak IoT'nin de daha yenilikçi cihaz üretimine yönelik yürüyüşün güvenliğini ön plana koyması gerekiyor. IoT'nin hayatımızı zenginleştirdiğine hiç şüphe yok. Hepimiz cep telefonundan saatlere ve fitness takipçilerine kadar hepimizin bu yüzden biraz daha akıllı olduğumuz konusunda hemfikiriz; ancak güvenlik protokolleri ve politikalarının buna ayak uydurması gerekiyor.

Bir çıktı olarak, bu cihazların günlük olarak gönderip aldığı verilerin genel korumasının bir parçası olarak mesajlaşmanın güvenliğinin sağlanması gerekir. IoT, rutinlerimizle ilgili ayrıntıları dışa vurarak dış dünyaya rahatça açabileceğimiz veri miktarını ve konfor seviyemizi artırdı. Ancak aynı zamanda, kötü aktörlerin içeri girmediğinden ve bu verileri bize karşı kullanmadığından emin olmamız gerekiyor.

E-postaya özgü diğer dolandırıcılıklar ve kendinizi nasıl koruyabileceğiniz hakkında daha fazla bilgi edinmek istiyorsanız Kimlik Avı, Doxxing, Botnet'ler ve Diğer E-posta Dolandırıcılıkları: Bilmeniz Gerekenler bölümüne bakın.