Internet of Things: Tính năng phong phú, bảo mật kém


Bùi Thái Thảo
10 tháng trước
Hữu ích 8 Chia sẻ Viết bình luận 0
Đã xem 7061

Chào mừng bạn đến với bản tóm tắt về một vài sự kiện an ninh mạng không ngẫu nhiên gần đây trong vương quốc rộng lớn của Internet vạn vật (IoT) :

Nest Camera bị hack hack

NBC News đã báo cáo rằng một người sử dụng công nghệ nhà thông minh của người hâm mộ đã nói với nhà ga rằng sau khi nghe thấy tiếng ồn từ phòng ngủ của đứa con 7 tháng tuổi của mình, anh ta đã kiểm tra và tìm thấy một giọng nói nam trầm sâu đến từ camera an ninh Nest trong phòng trẻ. Kẻ xâm nhập trực tuyến cũng đã kiểm soát bộ điều nhiệt trong phòng và đặt nhiệt độ thành 90 độ.

Đây chỉ là một trong nhiều câu chuyện trong những ngày gần đây về trục trặc của Nest.

Bóng đèn thông minh bị hack

Một nhà nghiên cứu bảo mật đã xử lý LimitedResults đã báo cáo rằng bằng cách sử dụng một vài công cụ như cưa sắt và hàn sắt, anh ta có thể xâm nhập vào bóng đèn LIFX thông minh và nhận được thông tin Wi-Fi (được lưu trữ trong bản rõ trong bộ nhớ flash ), chứng chỉ gốc và khóa riêng RSA từ phần sụn.

Đồng hồ thông minh có thể hack

Cách đây hơn một năm, Hội đồng Người tiêu dùng Na Uy (NCC) đã phân tích bốn chiếc smartwatch dành cho trẻ em - điện thoại di động có thể đeo được, cho phép cha mẹ liên lạc và theo dõi con cái.

Họ đã báo cáo những sai sót nghiêm trọng của những người khác có thể cho phép tin tặc nắm quyền kiểm soát các ứng dụng, do đó có thể truy cập vào địa điểm lịch sử và thời gian thực của trẻ em và các chi tiết cá nhân. Giáo dục

Và một năm sau? Pen Test Partners đã báo cáo tuần trước rằng họ đã xem cùng một chiếc đồng hồ và tìm thấy: Gu Guess gì? Một con tàu đắm. Bất cứ ai cũng có thể truy cập vào vị trí, tên, thông tin chi tiết về thời gian thực của cha mẹ, vv. Và những lỗ hổng này đã bao phủ nhiều thương hiệu và hàng chục ngàn đồng hồ.

Ứng dụng Bluetooth cũng có thể hack

Các nhà nghiên cứu từ Đại học Liên bang Pernambuco của Brazil và Đại học Michigan ở Mỹ đã đưa ra một báo cáo về một nghiên cứu họ thực hiện 32 ứng dụng điện thoại thông minh được sử dụng để định cấu hình và kiểm soát 96 thiết bị hỗ trợ Bluetooth và Bluetooth bán chạy nhất trên Amazon .

Họ phát hiện ra rằng 31% ứng dụng không sử dụng bất kỳ loại tiền điện tử nào để bảo vệ giao tiếp ứng dụng của thiết bị và 19% sử dụng các khóa được mã hóa cứng. Một phần đáng kể của các ứng dụng (40 HP60 phần trăm) cũng sử dụng giao tiếp cục bộ hoặc truyền thông cục bộ, do đó cung cấp một đường tấn công để khai thác thiếu tiền điện tử hoặc sử dụng các khóa mã hóa được mã hóa cứng.

Tất cả những điều đó dường như sẽ đưa ra tuyên bố của blogger, nhà hoạt động, và tác giả Cory Doctorow , trong khi thô thiển và thô lỗ, khá nhiều về mục tiêu. Trong một bài viết ngắn phản ứng với bài viết về bóng đèn thông minh, anh ta gọi nó là Internet Internet-of-sh., Không bao giờ nói rằng Doctorow không nói cho bạn biết anh ta thực sự cảm thấy thế nào.

Fallout từ IoT Hacks

Bụi phóng xạ từ những câu chuyện này? Google, công ty sở hữu Nest, nói với cả NBC và CNN rằng một số khách hàng đã sử dụng mật khẩu đã bị vi phạm và xuất bản trên các trang web khác. Công ty cho biết - như các chuyên gia không ngừng làm - rằng người dùng nên sử dụng mật khẩu duy nhất và xác thực hai yếu tố (2FA), để thêm một lớp bảo mật.

Và có, người dùng có trách nhiệm sử dụng các biện pháp bảo mật mạnh nhất có sẵn cho họ. Tuy nhiên, Google chỉ biết mọi thứ về mọi người. Vì vậy, có vẻ như công ty có thể đã thông báo cho chủ sở hữu Nest nếu họ đang sử dụng mật khẩu bị xâm nhập.

Thật vậy, công ty vừa tung ra tiện ích mở rộng Kiểm tra mật khẩu Chrome , được thiết kế để thông báo cho người dùng nếu họ cố đăng nhập vào một trang web có tên người dùng và mật khẩu bị lộ. Và theo một báo cáo vào tháng 12 , sau khi một chủ sở hữu Nest được cảnh báo bởi một hacker mũ trắng đã truy cập vào máy ảnh của mình, Nest cho biết họ đã thiết lập lại tất cả các tài khoản đang sử dụng mật khẩu bị xâm nhập.

Trong các sự cố khác, LIFX cho biết họ đã giải quyết các lỗ hổng trong bóng đèn bằng các bản cập nhật firmware tự động.

Và trong trường hợp có ít nhất một trong những chiếc smartwatch - Gator - Pen Test Partners cho biết, sau một vài lần qua lại, nhà cung cấp đã khắc phục lỗ hổng trong 48 giờ.

IoT đang phát triển quá nhanh vì lợi ích của chính nó?

Tuy nhiên, đây là những ví dụ về những gì dường như là một vấn đề không đáng có trong IoT phổ biến và vẫn đang phát triển bùng nổ: các nhà cung cấp có xu hướng sửa chữa mọi thứ chỉ sau khi vi phạm hoặc sau khi một nhà nghiên cứu bảo mật lộ lỗ hổng. Họ không ngăn chặn các vấn đề bằng cách xây dựng bảo mật mạnh mẽ vào các sản phẩm trước khi phát hành chúng.

Nhưng ít nhất một số chuyên gia bảo mật nói rằng không phải các nhà sản xuất đang bỏ qua bảo mật hoàn toàn. Chỉ là IoT đang phát triển nhanh hơn rất nhiều so với những cải tiến gia tăng về bảo mật, như Ted Harrington, đối tác điều hành của Tổ chức đánh giá an ninh độc lập, đưa ra. Nghe có vẻ giống như một bệnh dịch - đối với mỗi bệnh nhân, các bác sĩ chữa trị, có thêm hai người mắc bệnh.

Một số nhà sản xuất đang bắt đầu ưu tiên bảo mật tốt hơn, ông nói. Tuy nhiên, ngành công nghiệp đang phát triển rất nhanh đến mức những lợi ích gia tăng này đang bị vượt qua rất nhiều bởi sự thiếu tiến bộ nói chung trong nhóm người chơi thị trường đang mở rộng.

Larry Trowell, nhà tư vấn chính tại Synopsys, cho rằng các giai thoại không nhất thiết phản ánh thực tế chung. Tỷ lệ các thiết bị đang được thử nghiệm đang tăng lên, vì hiện tại có nhiều người trong nghề hơn, ông nói. Không đề cập đến việc các công cụ kiểm tra bảo mật đang ngày càng hoàn thiện hơn.

Đề cập đến trường hợp của những chiếc smartwatch, ông cho biết hầu hết những người thử bút đều cho các công ty 90 ngày để sửa các lỗ hổng. Nhưng Pen Test Partners chỉ cho Gator 30 ngày. Được cấp, đó là vì sự an toàn của trẻ em. Đó là một cuộc gọi khó khăn, nhưng nó vẫn hơi vội vàng, theo ý kiến ​​của tôi, anh ấy nói.

Trong trường hợp hack Nest, ông nói, người dùng nên đã sử dụng 2FA. Có, Nest có thể đã buộc anh ta sử dụng 2FA và họ có thể đã làm tốt hơn khi thông báo cho anh ta về tùy chọn này. Nhưng tôi không thấy rằng hệ thống của họ có điểm yếu, ông nói.

Kêu gọi quy định của chính phủ về IoT

Tuy nhiên, lũ lụt liên tục của những câu chuyện về vi phạm IoT đã đạt đến mức một số chuyên gia đang kêu gọi chính phủ quy định về bảo mật IoT . Blogger, tác giả và chuyên gia mã hóa Bruce Schneier, CTO của IBM Resilient, đã vận động trước Quốc hội cho nó. Ông lập luận rằng vì tất cả mọi thứ là một máy tính, nên việc hack các thiết bị IoT có thể gây ra hậu quả thảm khốc. Cuốn sách mới nhất của ông có tựa đề Bấm vào đây để giết mọi người .

Nhưng không phải ai cũng ở trong bandwagon quy định. Quy định của thế giới đòi hỏi quá nhiều sự đánh đổi, quá rộng để có thể hoạt động tốt cho bất kỳ trường hợp sử dụng cụ thể nào và mất quá nhiều thời gian để ban hành rằng nó thường không liên quan trên thị trường vào thời điểm nó có hiệu lực.

Trowell cho biết vấn đề với quy định của chính phủ là công nghệ di chuyển nhanh hơn luật pháp. Chính phủ của ông khá giỏi trong việc điều chỉnh những việc đã được thực hiện trước đó và được hiểu, ông nói. Không có quá nhiều thứ mà mọi người chưa làm.

Điều đó, ông lưu ý, là những gì liên tục xảy ra trong IoT. Mỗi yếu tố của IoT được tạo ra có một cái gì đó mới - thứ gì đó làm cho nó khác biệt và, trong rất nhiều trường hợp, kém an toàn hơn, ông nói.

Ông cũng lưu ý rằng trừ khi các thành viên của Quốc hội có chuyên môn kỹ thuật quan trọng, thì có một câu hỏi về cách họ có thể đối phó với việc tạo ra luật pháp đó theo cách có thể duy trì được.

Làm thế nào để ngăn chặn hack IoT

Vì vậy, nếu có bất cứ điều gì, có thể di chuyển đáng kể bảo mật của IoT theo đúng hướng?

Vấn đề sẽ được giải quyết khi phong trào bảo mật IoT đạt được đủ động lực mà nó không thể bỏ qua, ông Har Harrington nói. “ IOT Village [bởi công ty của ông được tổ chức và hoạt động ở nhiều hội nghị trong suốt cả năm] là một ví dụ điển hình của nhiều bên liên quan-từ các nhà nghiên cứu bảo mật cho các nhà sản xuất thiết bị để điều chỉnh-cộng tác. Nó đã tạo ra động lực mạnh mẽ trong các góc của cộng đồng nghiên cứu bảo mật, nhưng chưa đủ lực kéo trong ngành.

Trowell nói rằng nó đi xuống một từ: Chú ý .

Càng nhiều ánh đèn sân khấu chiếu vào lỗ hổng, sẽ càng có ít sai sót hơn, anh nói. Xe ô tô đã tốt hơn vì dây an toàn, khung, túi khí. Mọi người nhìn thấy vấn đề, nhận ra nó rất quan trọng và yêu cầu thay đổi. Những thứ này đã được bán trong những chiếc xe mô hình hàng đầu trước khi chúng là bắt buộc.

Đây là điều quan trọng mà các chuyên gia bảo mật giải thích tại sao những điều này lại quan trọng và cũng là cách khắc phục chúng. Nếu chúng ta chỉ thực hiện một trong hai nhiệm vụ này, sẽ không có gì hoàn thành, anh ấy nói.

Hữu ích 8 Chia sẻ Viết bình luận 0
Đã xem 7061