Indholdsfortegnelse:
Video: Curious Beginnings | Critical Role: THE MIGHTY NEIN | Episode 1 (Oktober 2024)
I den sidste weekend bremsede det amerikanske internet ned til et gennemsøgning takket være et distribueret angreb på afslag på tjeneste eller DDOS. Det var et interessant angreb af to grunde. For det første oversvømmede angriberen - uanset hvad de er - et enkelt websted med uønskede anmodninger, hvilket er den sædvanlige MO for DDOS-angreb. I stedet gik de efter DNS-udbyderen Dyn, der fik mange websteder til at langsomt med at gennemgå eller ophøre med operationer helt. Advarsler om overdreven centralisering af DNS-infrastruktur blev pludselig meget interessante.
Tekanden gjorde det
I hjertet af angrebet var Mirai, som ikke er et særligt eksotisk stykke malware. Den søger efter enheder, der er forbundet til Internettet efter, hvad der ser ud til at være Linux-drevne IoT-enheder, hvilket tilsyneladende favoriserer sikkerhedskameraer og hjemm routere fra Hangzhou Xiongmai Technology. Derefter ser den op efter standardkoden på en tabel og logger på. Når den er inde, overleverer den kontrol over enheden til en central kommando- og kontrolserver.
Mens dette angreb var chokerende over hvad det gennemførte, er det desværre ikke noget, vi ikke så komme. På Black Hat-konferencen i 2013 demonstrerede Craig Heffner evnen til let at overtage netværksforbundne sikkerhedskameraer. Hans demonstration omfattede store navnefirmaer, du ville genkende, inklusive D-Link, Linksys, Cisco, IQInvision og 3SVision. Da han blev spurgt om, hvilke enheder der var sårbare over for angreb, sagde han, at han ikke havde fundet et mærke, der ikke kunne kontrolleres.
Til sin demo narrede Heffner kameraet til at vise en looping-video, som i en heistfilm. Men det egentlige indhold af hans snak var langt dybere. IoT-enheder som sikkerhedskameraer, tekande, køleskabe og ja, selv trådløse routere er bare små computere, der er forbundet til Internettet. Hvis angribere vil specifikt målrette sig mod en person eller et firma, sagde han, kan de angribe disse dårligt forsvarede enheder og bruge dem som et strandhoved til at udforske resten af offerets netværk. Og fordi de er små computere, kan de tænkes at blive lokket til at udføre den kode, som angriberen ønsker.
Tænk på det på denne måde: du kan købe de stærkeste døre med de bedste uplukkelige låse for at beskytte dit hus, men en tyv kan stadig bryde ind gennem vinduerne.
IoT er anderledes
I sikkerhedsbranchen kan vi lide at bebrejde mennesker, ikke computere. Hvis folk havde været mere opmærksom, kunne de måske have fanget Heartbleed-buggen, før den blev introduceret. Et populært ordsprog er, at det største mislykkede punkt i ethvert sikkerhedssystem er mellem computeren og stolen. Tilfælde: hacket af Hillary Clinton-kampagneleder John Podestas Gmail-konto - der blandt andet introducerede os til hans risotto-opskrift - tilsyneladende begyndte med en phishing-svindel.
Men i tilfælde af IoT-sikkerhed kan forbrugere ikke holdes ansvarlige på samme måde. Som bilejer er du for eksempel forpligtet til at være forsigtig under kørslen og sørge for rimelig vedligeholdelse. Bilfirmaet skal på sin side give dig et produkt, der faktisk ikke dræber dig.
Da vores samfund ændrede sig, gjorde forbrugernes forventninger det også. Forbrugeradvokater påpeger, at nogle biler var "usikre med enhver hastighed." Og som et skabende skab, spirede biler nye vedhæng: sikkerhedsseler, airbags og mindre indlysende egenskaber som sammenbrudzoner og specielt konstruerede materialer designet til at holde forbrugere rimeligt sikre i en verden i forandring.
Da smartphones begyndte at tage fart, lærte producenter og udviklere fra pc-årene. Mens mobilsikkerhed har haft nogle buler undervejs, har det været en cakewalk sammenlignet med pc'ens historie. Vi har ikke haft den slags udbredte infektion på smartphones, som vi så med Conficker, og forhåbentlig vil vi aldrig gøre det.
IoT's historie kortlagde en anden kursus, måske en, der brugte en guldfisk som navigator. I stedet for at kontrollere adgangen til enheden og anvende den bedste praksis, man lærte ved at forbinde milliarder af computere og telefoner i løbet af årtier, skyndte producenterne billige produkter på markedet. Dem, der i nogle tilfælde var designet til aldrig at blive repareret, opgraderet eller lappet. Og selvom der kunne løses problemer, er det uden tvivl ikke rimeligt at forvente, at enkeltpersoner behandler arbejdsbesparende enheder på samme måde som de gør computere. Langt de fleste forbrugere antager, og med rette, at hvis en enhed ikke har en skærm eller en eller anden form for inputmetode, er det ikke beregnet til at blive serviceret af dem.
Dette behøvede ikke at ske
Den mest frustrerende del af det nylige DDoS-angreb er, at IoT-producenter kun havde brug for at se på 30 års forbrugeteknologi for at se den ordsprægede skrivning på væggen. Og hvis de ikke kunne gøre det, kunne de have fulgt advarslerne fra sikkerhedsforskere (både firma- og hobbyhacker). Disse mennesker har fortalt enhver, der ville lytte til, hvordan det er en dårlig idé at sætte milliarder flere enheder på Internettet uden omhyggelig overvejelse af, hvordan de vil blive brugt. I 2014 åbnede Dan Geer Black Hat-konferencen ved at sige, at IoT allerede er over os og kan føre til problemer.
På trods af min bedste indsats for at forblive kynisk, føles IoT uundgåelig og overbevisende. Sci-fi har lovet os at tale computere og futuristiske apparater i årtier, og måske er det derfor, at Gartners forudsigelse af, at der vil være 6, 4 milliarder enheder, der er forbundet til Internettet i 2020, er mulig. Disse enheder findes allerede i vores hjem: streamingbokse, spillekonsoller, trådløse routere. I angreb af angribere og automatiske angreb er det bare flere IP-adresser, der skal udnyttes.
Når vi kæmper mod helligdagene og trækker os frem til en ny generation af IoT-enheder, lad os sætte sikkerhed, der er designet til at blive forstået af brugerne i forkant. Hvis det bedste råd, jeg stadig har at tilbyde inden 2020, er at afbryde deres smarte enheder, fortjener denne industri ikke sit ry for innovation eller endda intelligens.
