Предсказания: обеспечение, защита интернета вещей

В нашем обзоре значимых прогнозов на 2014 год мы рассмотрели новые цели атак, рост национальной сети Интернет, мобильную безопасность и онлайн-платежи. Возможность того, что злоумышленники нацелятся на «Интернет вещей», была вторым наиболее распространенным прогнозом среди экспертов по безопасности после мобильной безопасности. Symantec даже назвал «Интернет вещей» как «Интернет уязвимостей».

Интернет вещей относится к тому, как устройства бытовой электроники теперь имеют IP-адрес и могут управляться дистанционно. Умные холодильники, домашние термостаты, умные телевизоры, запоминающие устройства, медицинские приборы, автомобили, датчики в электросети, тренажеры и даже устройства для открывания гаражных ворот - это лишь небольшой пример Интернета вещей.

Атаки идут

По словам Андреаса Баумхофа (Andreas Baumhof), технического директора ThreatMetrix, еще на ранних стадиях, когда в следующем году интеллектуальные холодильники, замки и термостаты перейдут в мейнстрим. Интернет вещей не сильно отличается от других видов онлайн-активности; Кибер-злоумышленники смогут захватить беспроводную сеть или использовать уязвимость для атаки на сеть или кражи личной информации, сказал он.

Мы видели несколько примеров потенциальных атак в различных проверочных проектах на Black Hat и других конференциях по всей стране. Исследователь Qualys продемонстрировал, как было возможно использовать уязвимости в пользовательском интерфейсе для IP-камер D-Link для захвата камер и подачи изображения. Покойный Барнаби Джек продемонстрировал, как взломать инсулиновую помпу несколько лет назад, и в этом году планировалось обсудить риски для кардиостимуляторов в Black Hat. Бывший вице-президент Дик Чейни в октябре рассказал, как врачи отключили беспроводную связь на его кардиостимуляторе из-за опасений, что кто-то сможет взломать устройство.

Однако производители оборудования редко задумываются о безопасности - будь то исправление ошибок во встроенном программном обеспечении или решение проблем на стороне оборудования - при развертывании новых устройств на рынке. Исследователи из Rapid7 утверждают, что даже когда проблемы обнаруживаются, производители часто стараются исправлять уязвимости. 2013 год стал большим годом для червей и других форм эксплуатации Интернета вещей, и по мере роста популярности этих устройств мы увидим больше типов атак.

У нас есть время, хотя. Internet Identity сообщает, что инциденты, в которых «злоумышленники воспользуются преимуществом, сожжая дома удаленно и / или удаленно отключая системы безопасности, чтобы пропустить грабителей внутри», - это не то, чего мы должны ожидать в 2014 году, но в 2015 году, по словам IID.

Исследования, подтверждение концепции

«Несмотря на то, что мы не ожидаем, что атаки на« Интернет вещей »станут широко распространенными в 2014 году, мы прогнозируем увеличение числа обнаруженных уязвимостей и эксплойтов для проверки концепции», - сказал Герхард Эшельбек, технический директор Sophos.

Угрозы безопасности являются широкими и «потенциально разрушительными», и организации должны обеспечить, чтобы технологии как для потребителей, так и для компаний придерживались высоких стандартов безопасности и защиты, заявил Стив Дурбин, вице-президент Форума по интернет-безопасности. «Сами компании должны продолжать обеспечивать безопасность посредством связи и взаимодействия», - сказал Дурбин.

Небольшая группа влиятельных экспертов в области безопасности призывает исследователей сосредоточить свои усилия на этих подключенных и потенциально уязвимых устройствах, таких как кардиостимуляторы, инсулиновые помпы и другие встроенные системы. Группа «Мы являемся кавалерией» хочет проинформировать широкую общественность о серьезных проблемах, связанных с этими устройствами, поскольку они выходят на рынок, практически не задумываясь о безопасности, Джош Корман, директор службы безопасности в Akamai и один из лидеры группы, рассказали участники конференции OWASP AppSec USA в ноябре.

«Речь идет о проведении исследований по вопросам, которые имеют значение, а не о вещах, которые, откровенно говоря, не имеют значения», - заявил на той же презентации Ник Перкоко, директор KPMG и другой лидер группы. По его словам, если кто-то с кардиостимулятором умирает, кто-то должен заниматься судебной экспертизой на кардиостимуляторе Если исследовательское сообщество не фокусируется на этих устройствах и не освещает проблемы, «как мы узнаем, как общество, что эти вещи имеют недостатки?» он спросил.

«Давайте обеспечим безопасность, которая важна, а не только наши повседневные дела. Внешний мир является частью набора решений. Это безопасность для общественного блага», - сказал Корман.