อุตสาหกรรมสิ่งต่าง ๆ อินเทอร์เน็ตล้มเหลวเรา | Max Eddy

สุดสัปดาห์ที่ผ่านมาอินเทอร์เน็ตของสหรัฐฯชะลอตัวลงเนื่องจากการรวบรวมข้อมูลเนื่องจากการปฏิเสธการโจมตีแบบกระจายบริการหรือ DDOS มันเป็นการโจมตีที่น่าสนใจด้วยเหตุผลสองประการ ขั้นแรกผู้โจมตี - ไม่ว่าพวกเขาจะเป็นใคร - ไม่ได้ล้นเว็บไซต์เดียวที่มีคำขอขยะเช่นเดียวกับ MO ปกติสำหรับการโจมตี DDOS แต่พวกเขาไปตามผู้ให้บริการ DNS Dyn ซึ่งทำให้เว็บไซต์จำนวนมากชะลอการรวบรวมข้อมูลหรือหยุดดำเนินการโดยสิ้นเชิง คำเตือนเกี่ยวกับการรวมศูนย์โครงสร้างพื้นฐาน DNS อย่างฉับพลันกลายเป็นเรื่องที่น่าสนใจมาก

ประเด็นที่สองและที่สำคัญกว่านั้นก็คืออุปกรณ์ที่เกี่ยวข้องกับการโจมตี DDoS ที่เรียกว่าสมาร์ทเน็ตเวิร์กของอุปกรณ์ต่างๆ โดยปกติแล้วผู้โจมตีจะแพร่กระจายมัลแวร์ผ่านคอมพิวเตอร์ที่จะทำตามคำสั่งของผู้โจมตีและขอข้อมูลจากเว็บไซต์พร้อม ๆ กันจนกว่าเว็บไซต์จะมีปัญหาในการโหลด แต่คราวนี้ซอมบี้ดิจิตอลที่เสี่ยงโชครวมกล้องรักษาความปลอดภัยและเราเตอร์ไร้สาย

กาน้ำชาทำมัน

หัวใจสำคัญของการโจมตีคือมิไรซึ่งไม่ใช่มัลแวร์แปลกใหม่เป็นพิเศษ มันสแกนหาอุปกรณ์ที่เชื่อมต่อกับเว็บสำหรับสิ่งที่ดูเหมือนจะเป็นอุปกรณ์ IoT ที่ใช้พลังงานจาก Linux ซึ่งเห็นได้ชัดว่าได้รับความนิยมจากกล้องรักษาความปลอดภัยและเราเตอร์โฮมจากเทคโนโลยีหางโจว จากนั้นจะค้นหารหัสผ่านเริ่มต้นบนโต๊ะและล็อกอินเมื่อเข้าสู่ภายในจะมอบการควบคุมอุปกรณ์ให้กับคำสั่งกลางและเซิร์ฟเวอร์ควบคุม

ในขณะที่การโจมตีครั้งนี้ตกตะลึงในสิ่งที่ทำสำเร็จ แต่น่าเสียดายที่ไม่มีอะไรที่เราไม่ได้เห็นมา ในการประชุม Black Hat ในปี 2556 Craig Heffner แสดงให้เห็นถึงความสามารถในการเข้ายึดกล้องรักษาความปลอดภัยที่เชื่อมต่อกับเครือข่ายได้อย่างง่ายดาย การสาธิตของเขารวมถึง บริษัท ขนาดใหญ่ที่คุณรู้จักเช่น D-Link, Linksys, Cisco, IQInvision และ 3SVision เมื่อถูกถามว่าอุปกรณ์ใดที่มีความเสี่ยงต่อการถูกโจมตีเขาบอกว่าเขาไม่พบแบรนด์ที่ไม่สามารถควบคุมได้

สำหรับการสาธิตของเขา Heffner หลอกให้กล้องแสดงวิดีโอวนซ้ำเช่นในภาพยนตร์ปล้น แต่เนื้อหาที่แท้จริงของคำพูดของเขานั้นเลวร้ายยิ่งกว่าเดิมมาก อุปกรณ์ IoT เช่นกล้องรักษาความปลอดภัยกาต้มน้ำชาตู้เย็นและใช่แม้กระทั่งเราเตอร์ไร้สายก็เป็นเพียงคอมพิวเตอร์ขนาดเล็กที่เชื่อมต่อกับอินเทอร์เน็ต หากผู้โจมตีต้องการกำหนดเป้าหมายบุคคลหรือ บริษัท โดยเฉพาะเขากล่าวว่าพวกเขาสามารถโจมตีอุปกรณ์ที่ได้รับการปกป้องที่ไม่ดีเหล่านี้และใช้พวกเขาเป็นหัวชายหาดเพื่อสำรวจเครือข่ายส่วนที่เหลือของเหยื่อ และเนื่องจากเป็นคอมพิวเตอร์ขนาดเล็กจึงสามารถเกลี้ยกล่อมให้ดำเนินการตามรหัสที่ผู้โจมตีต้องการ

ลองใช้วิธีนี้: คุณสามารถซื้อประตูที่แข็งแกร่งที่สุดได้ด้วยกุญแจล็อคที่ไม่สามารถแก้ไขได้ที่ดีที่สุดเพื่อปกป้องบ้านของคุณ แต่โจรก็ยังสามารถเจาะทะลุผ่านหน้าต่างได้

IoT นั้นแตกต่างกัน

ในอุตสาหกรรมความปลอดภัยเราชอบที่จะตำหนิคนไม่ใช่คอมพิวเตอร์ หากผู้คนตื่นตัวมากขึ้นพวกเขาอาจจับ Heartbleed bug ก่อนที่มันจะถูกนำมาใช้ คำพูดที่นิยมคือจุดที่ใหญ่ที่สุดของความล้มเหลวในระบบรักษาความปลอดภัยใด ๆ อยู่ระหว่างคอมพิวเตอร์และเก้าอี้ ตรงประเด็น: การแฮ็คบัญชี Hillary Clinton เป็นประธานบัญชี Gmail ของ John Podesta ซึ่งแนะนำให้เรารู้จักกับสูตรอาหาร risotto ของเขาเหนือสิ่งอื่นใดเริ่มเห็นได้ชัดจากการหลอกลวงแบบฟิชชิ่ง

แต่ในกรณีของการรักษาความปลอดภัย IoT ผู้บริโภคไม่สามารถรับผิดชอบได้ในลักษณะเดียวกัน ตัวอย่างเช่นในฐานะเจ้าของรถคุณต้องใช้ความระมัดระวังขณะขับรถและให้การบำรุงรักษาที่เหมาะสม บริษัท รถยนต์ในทางกลับกันจะต้องให้ผลิตภัณฑ์ที่จะไม่ฆ่าคุณ

เมื่อสังคมของเราเปลี่ยนแปลงไปความคาดหวังของผู้บริโภคก็เช่นกัน ผู้บริโภคชี้ให้เห็นว่ารถยนต์บางคัน "ไม่ปลอดภัยไม่ว่าจะด้วยความเร็วใดก็ตาม" และเช่นเดียวกับสิ่งมีชีวิตที่พัฒนาขึ้นรถยนต์แตกแขนงใหม่: เข็มขัดนิรภัยถุงลมนิรภัยและคุณสมบัติที่ชัดเจนน้อยลงเช่นโซนยู่ยี่และวัสดุที่ออกแบบมาเป็นพิเศษเพื่อให้ผู้บริโภคปลอดภัยในโลกที่เปลี่ยนแปลง

เช่นเดียวกับเทคโนโลยีผู้บริโภค การแพร่กระจายของซอฟต์แวร์ที่เป็นอันตรายและอันตรายที่ปรากฏต่ออุปกรณ์ใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตทำให้ผู้ผลิตมีบทบาทมากขึ้นในการปกป้องผู้บริโภค ตัวอย่างเช่น Windows ตอนนี้มาพร้อมกับโปรแกรมป้องกันไวรัสที่ติดตั้งและดูแลโดย Microsoft บริษัท ยังออกแพทช์เป็นประจำเพราะความท้าทายที่ผู้บริโภคเผชิญนั้นซับซ้อนเกินกว่าที่พวกเขาจะรับมือได้ด้วยตัวเอง

เมื่อสมาร์ทโฟนเริ่มปิดตัวผู้ผลิตและนักพัฒนาเรียนรู้จากการทดลองใช้พีซีมาหลายปี ในขณะที่การรักษาความปลอดภัยมือถือมีการกระแทกบ้างระหว่างทางมันเป็นสัญญาณเตือนเมื่อเทียบกับประวัติของพีซี เราไม่ได้มีการติดเชื้ออย่างแพร่หลายในสมาร์ทโฟนที่เราเห็นด้วย Conficker และหวังว่าเราจะไม่ทำ

ประวัติความเป็นมาของ IoT ได้สร้างเส้นทางที่แตกต่างกันซึ่งอาจเป็นปลาที่ใช้ปลาทองเป็นเครื่องมือนำทาง แทนที่จะควบคุมการเข้าถึงอุปกรณ์และใช้วิธีปฏิบัติที่ดีที่สุดที่เรียนรู้จากการเชื่อมต่อคอมพิวเตอร์และโทรศัพท์หลายพันล้านเครื่องมาเป็นเวลาหลายทศวรรษผู้ผลิตจึงเร่งผลิตสินค้าราคาถูกออกสู่ตลาด คนที่ได้รับการออกแบบในบางกรณีจะไม่ได้รับการบริการอัพเกรดหรือแก้ไข และถึงแม้ว่าจะสามารถแก้ไขปัญหาได้ แต่ก็ไม่สมเหตุสมผลที่จะคาดหวังว่าบุคคลจะใช้อุปกรณ์ประหยัดแรงงานแบบเดียวกับที่ใช้ในคอมพิวเตอร์ ผู้บริโภคส่วนใหญ่สันนิษฐานและถูกต้องว่าหากอุปกรณ์ไม่มีหน้าจอหรือวิธีการป้อนข้อมูลบางชนิดมันไม่ได้ตั้งใจที่จะให้บริการโดยพวกเขา

สิ่งนี้ไม่จำเป็นต้องเกิดขึ้น

ส่วนที่น่าผิดหวังที่สุดของการโจมตี DDoS เมื่อไม่นานมานี้คือผู้ผลิต IoT ต้องการเพียงแค่มองไปที่ 30 ปีของเทคโนโลยีผู้บริโภคเพื่อดูการเขียนสุภาษิตบนกำแพง และหากพวกเขาไม่สามารถทำเช่นนั้นได้พวกเขาก็สามารถฟังคำเตือนที่พ่นออกมาโดยนักวิจัยด้านความปลอดภัย (องค์กรและแฮ็กเกอร์มือสมัครเล่น) คนเหล่านี้ได้บอกใครก็ตามที่ฟังว่าการเพิ่มอุปกรณ์หลายพันล้านรายการบนอินเทอร์เน็ตโดยไม่พิจารณาอย่างรอบคอบว่าจะใช้งานอย่างไรเป็นความคิดที่ไม่ดี ในปี 2014 Dan Geer เปิดการประชุม Black Hat โดยบอกว่า IoT เป็นของเราอยู่แล้วและอาจนำไปสู่ปัญหา

แม้จะพยายามอย่างที่สุดที่จะเหยียดหยาม แต่ IoT ก็รู้สึกว่าหลีกเลี่ยงไม่ได้และน่าสนใจ Sci-fi ได้ให้สัญญากับเราในการพูดคุยกับคอมพิวเตอร์และอุปกรณ์ที่ล้ำสมัยมานานหลายทศวรรษและนั่นอาจเป็นเหตุผลที่ Gartner ทำนายว่าจะมีอุปกรณ์ 6.4 พันล้านเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตในปี 2020 เสียงเป็นไปได้ อุปกรณ์เหล่านี้มีอยู่ในบ้านของเราแล้ว: กล่องสตรีม, เครื่องเล่นเกม, เราเตอร์ไร้สาย ในสายตาของผู้โจมตีและการโจมตีอัตโนมัติเหล่านี้เป็นเพียงที่อยู่ IP ที่จะใช้ประโยชน์

เมื่อเรารีบเข้าสู่ช่วงวันหยุดและซบเซาไปสู่อุปกรณ์ IoT รุ่นใหม่เราจะนำความปลอดภัยที่ออกแบบมาเพื่อให้ผู้ใช้งานเข้าใจในแนวหน้า หากในปี 2563 คำแนะนำที่ดีที่สุดที่ฉันยังต้องเสนอต่อประชาชนก็คือการตัดการเชื่อมต่ออุปกรณ์สมาร์ทของพวกเขาดังนั้นอุตสาหกรรมนี้จึงไม่สมควรได้รับชื่อเสียงในด้านนวัตกรรมหรือความชาญฉลาด