Интернет индустрии вещей подвел нас | Макс Эдди

В прошедшие выходные интернет в США замедлился из-за распределенной атаки типа «отказ в обслуживании» или DDOS. Это была интересная атака по двум причинам. Во-первых, злоумышленники, кем бы они ни были, не заполняли ни один веб-сайт нежелательными запросами, как это обычно делается для DDOS-атак. Вместо этого они пошли за DNS-провайдером Dyn, который заставил множество веб-сайтов замедлить сканирование или полностью прекратить работу. Предупреждения о чрезмерной централизации инфраструктуры DNS внезапно стали очень интересными.

Второй, и более важный момент, заключается в том, что значительная часть устройств, участвующих в DDoS-атаке, была так называемыми интеллектуальными устройствами Интернета вещей. Обычно злоумышленники распространяют вредоносное ПО по компьютерам, которые затем следуют указаниям злоумышленника и одновременно запрашивают информацию с веб-сайтов до тех пор, пока сайт не прогнется под нагрузкой. Но на этот раз в цифровом накопителе зомби были установлены камеры безопасности и беспроводные маршрутизаторы.

Чайник сделал это

В основе атаки был Mirai, который не представляет особой вредоносной вредоносной программы. Он сканирует устройства, подключенные к Интернету, на предмет устройств IoT на базе Linux, очевидно, отдавая предпочтение камерам безопасности и домашним маршрутизаторам от Hangzhou Xiongmai Technology. Затем он ищет пароль по умолчанию на таблице и входит в систему. Оказавшись внутри, он передает управление устройством центральному серверу управления и контроля.

Хотя эта атака была шокирующей в том, что она совершила, к сожалению, мы ничего не увидели. На конференции Black Hat в 2013 году Крэйг Хеффнер продемонстрировал способность легко захватывать камеры безопасности, подключенные к сети. В его демонстрации приняли участие известные компании, в том числе D-Link, Linksys, Cisco, IQInvision и 3SVision. Когда его спросили, какие устройства были уязвимы для атаки, он сказал, что не нашел бренда, который нельзя контролировать.

Для своей демонстрации Хеффнер обманом заставил камеру показать зацикленное видео, как в фильме с ограблениями. Но фактическая суть его разговора была куда страшнее. Устройства IoT, такие как камеры видеонаблюдения, чайники, холодильники и даже беспроводные маршрутизаторы - это просто крошечные компьютеры, подключенные к Интернету. По его словам, если злоумышленники хотят нацелиться на конкретного человека или компанию, они могут атаковать эти плохо защищенные устройства и использовать их в качестве плацдарма для изучения остальной части сети жертвы. А поскольку они являются крошечными компьютерами, их, вероятно, можно уговорить выполнить любой код, который захочет атакующий.

Подумайте об этом так: вы можете купить самые прочные двери с лучшими непробиваемыми замками, чтобы защитить свой дом, но вор все же может взломать окна.

IoT отличается

В индустрии безопасности нам нравится обвинять людей, а не компьютеры. Если бы люди были более внимательны, они могли бы поймать ошибку Heartbleed еще до ее появления. Популярная поговорка гласит, что самая большая точка отказа в любой системе безопасности - это компьютер и кресло. Показательный пример: взлом учетной записи председателя Gmail Хиллари Клинтон в Gmail Джона Подеста, который, помимо прочего, познакомил нас с его рецептом ризотто, очевидно, начался с фишинг-мошенничества.

Но в случае безопасности IoT потребители не могут быть привлечены к ответственности таким же образом. Например, как владелец автомобиля, вы должны соблюдать осторожность при вождении и обеспечивать разумное техническое обслуживание. Автомобильная компания, в свою очередь, обязана предоставить вам продукт, который на самом деле не убьет вас.

Как изменилось наше общество, изменились и ожидания потребителей. Защитники потребителей отмечают, что некоторые автомобили были «небезопасны на любой скорости». И, как развивающееся существо, автомобили привели к появлению новых придатков: ремней безопасности, подушек безопасности и менее очевидных особенностей, таких как смятые зоны и специально разработанные материалы, разработанные для обеспечения разумной безопасности потребителей в изменяющемся мире.

То же самое относится и к потребительским технологиям. Распространение вредоносного программного обеспечения и опасности для любого устройства, которое просто подключается к Интернету, подтолкнуло производителей к более активной роли в защите потребителей. Например, Windows теперь поставляется с антивирусом, установленным и поддерживаемым Microsoft. Компания также выпускает исправления на регулярной основе, потому что проблемы, с которыми сталкиваются потребители, слишком сложны, чтобы они могли решать их самостоятельно.

Когда смартфоны начали взлетать, производители и разработчики извлекли уроки из испытаний ПК лет. Несмотря на то, что на пути безопасности мобильных устройств возникли некоторые проблемы, по сравнению с историей ПК это было нелегко. У нас не было такой распространенной инфекции на смартфонах, которую мы видели с Conficker, и, надеюсь, мы никогда не будем.

История IoT наметила другой курс, возможно, тот, который использовал золотую рыбку в качестве навигатора. Вместо того, чтобы контролировать доступ к устройству и использовать лучшие практики, извлеченные из подключения миллиардов компьютеров и телефонов в течение десятилетий, производители бросили на рынок дешевые продукты. Те, которые были разработаны, в некоторых случаях, чтобы никогда не обслуживаться, не обновляться и не исправляться. И даже если проблемы могут быть решены, вероятно, не разумно ожидать, что люди будут относиться к трудосберегающим устройствам так же, как к компьютерам. Подавляющее большинство потребителей предполагают, и совершенно справедливо, что если устройство не имеет экрана или какого-либо другого метода ввода, оно не предназначено для обслуживания ими.

Это не должно было случиться

Самая разочаровывающая часть недавней DDoS-атаки заключается в том, что производителям IoT нужно было только взглянуть на 30-летнюю технологию производства, чтобы увидеть пресловутые надписи на стене. И если бы они не могли этого сделать, они могли бы прислушаться к предупреждениям, исходящим от исследователей безопасности (как корпоративных, так и хобби-хакеров). Эти люди рассказывают всем, кто послушает, как выкладывать миллиарды устройств в Интернет, не задумываясь о том, как они будут использоваться, - плохая идея. В 2014 году Дэн Гир открыл конференцию Black Hat, заявив, что IoT уже на нас и может привести к проблемам.

Несмотря на все мои усилия, чтобы оставаться циничным, IoT чувствует себя неизбежным и неотразимым. Научно-исследовательская фантастика обещала нам говорить о компьютерах и футуристических приборах на протяжении десятилетий, и, возможно, именно поэтому прогноз Gartner о том, что к 2020 году будет 6, 4 миллиарда устройств, подключенных к Интернету, оправдан. Эти устройства уже в наших домах: потоковые боксы, игровые приставки, беспроводные маршрутизаторы. В глазах злоумышленников и автоматических атак это всего лишь дополнительные IP-адреса для использования.

По мере того, как мы приближаемся к выходным и кидаемся в новое поколение устройств IoT, давайте поставим безопасность на первый план для пользователей. Если к 2020 году лучший совет, который мне еще предстоит дать людям, - это отключить их интеллектуальные устройства, то эта отрасль не заслуживает своей репутации в области инноваций или даже интеллекта.