Inhoudsopgave:
Video: The Internet of Things presents – #LikeABosch (November 2024)
Afgelopen weekend vertraagde het Amerikaanse internet tot kruipen dankzij een gedistribueerde denial of service-aanval of DDOS. Het was een interessante aanval om twee redenen. Ten eerste hebben de aanvallers - wie ze ook zijn - geen enkele website overspoeld met junkaanvragen, zoals de gebruikelijke MO voor DDOS-aanvallen. In plaats daarvan gingen ze achter DNS-provider Dyn aan, waardoor tal van websites langzamer gingen crawlen of hun activiteiten stopzetten. Waarschuwingen over de overcentralisatie van de DNS-infrastructuur werden plotseling erg interessant.
De theepot deed het
De kern van de aanval was Mirai, wat geen bijzonder exotisch stukje malware is. Het scant naar apparaten die op internet zijn aangesloten op wat IoT-apparaten met Linux lijken te zijn, blijkbaar voorkeur voor beveiligingscamera's en thuisrouters van Hangzhou Xiongmai Technology. Vervolgens wordt de standaardcode op een tafel opgezocht en wordt ingelogd. Eenmaal binnen, geeft het de besturing van het apparaat over aan een centrale opdracht- en controleserver.
Hoewel deze aanval schokkend was in wat het bereikte, is het helaas niets dat we niet zagen aankomen. Op de Black Hat-conferentie in 2013 demonstreerde Craig Heffner de mogelijkheid om eenvoudig verbonden netwerkcamera's over te nemen. Zijn demonstratie omvatte grote bedrijven die je zou herkennen, waaronder D-Link, Linksys, Cisco, IQInvision en 3SVision. Op de vraag welke apparaten kwetsbaar waren voor aanvallen, zei hij dat hij geen merk had gevonden dat niet kon worden bediend.
Voor zijn demo misleidde Heffner de camera tot het weergeven van een lusvideo, zoals in een overvalfilm. Maar de inhoud van zijn toespraak was veel nijpender. IoT-apparaten zoals beveiligingscamera's, theekokers, koelkasten en ja, zelfs draadloze routers zijn slechts kleine computers die met internet zijn verbonden. Als aanvallers zich specifiek op een persoon of een bedrijf willen richten, zei hij, kunnen ze deze slecht verdedigde apparaten aanvallen en ze gebruiken als strandhoofd om de rest van het netwerk van het slachtoffer te verkennen. En omdat het kleine computers zijn, kunnen ze mogelijk worden overgehaald om de code uit te voeren die de aanvaller wenst.
Zie het op deze manier: je kunt de sterkste deuren kopen met de beste ontgrendelbare sloten om je huis te beschermen, maar een dief kan nog steeds door de ramen breken.
IoT is anders
In de beveiligingsbranche willen we mensen de schuld geven, niet computers. Als mensen alerter waren geweest, hadden ze de Heartbleed-bug misschien al opgemerkt voordat deze zelfs werd geïntroduceerd. Een populair gezegde is dat het grootste storingspunt in elk beveiligingssysteem tussen de computer en de stoel zit. Een goed voorbeeld: de hack van Hillary Clinton-campagnevoorzitter John Podesta's Gmail-account - die ons onder meer zijn risotto-recept introduceerde - begon blijkbaar met een phishing-zwendel.
Maar in het geval van IoT-beveiliging kunnen consumenten niet op dezelfde manier aansprakelijk worden gesteld. Als auto-eigenaar bent u bijvoorbeeld verplicht om tijdens het rijden voorzichtig te zijn en redelijk onderhoud te plegen. Het autobedrijf moet op zijn beurt u een product leveren dat u niet echt zal doden.
Naarmate onze samenleving veranderde, veranderde ook de verwachting van de consument. Voorstanders van consumenten wijzen erop dat sommige auto's 'bij elke snelheid onveilig' waren. En als een evoluerend wezen, ontspruiten auto's nieuwe aanhangsels: veiligheidsgordels, airbags en minder voor de hand liggende functies zoals kreukelzones en speciaal ontworpen materialen die zijn ontworpen om consumenten redelijk veilig te houden in een veranderende wereld.
Toen smartphones van start gingen, leerden fabrikanten en ontwikkelaars van de proeven van de pc-jaren. Hoewel mobiele beveiliging onderweg wat hobbels heeft gehad, is het een cakewalk geweest in vergelijking met de geschiedenis van de pc. We hebben nog nooit zo'n wijdverbreide infectie op smartphones gehad die we bij Conficker hebben gezien, en hopelijk zullen we dat nooit doen.
De geschiedenis van IoT heeft een andere koers uitgestippeld, misschien een die een goudvis als navigator gebruikte. In plaats van de toegang tot het apparaat te controleren en best practices te gebruiken die zijn geleerd van het verbinden van miljarden computers en telefoons in de loop van decennia, hebben fabrikanten goedkope producten op de markt gebracht. Degenen die in sommige gevallen zijn ontworpen om nooit te worden onderhouden, geüpgraded of gepatcht. En zelfs als problemen zouden kunnen worden aangepakt, is het onbetwistbaar niet van individuen te verwachten dat ze arbeidsbesparende apparaten op dezelfde manier behandelen als computers. De grote meerderheid van de consumenten gaat er terecht van uit dat als een apparaat geen scherm of een andere invoermethode heeft, het niet bedoeld is om door hen te worden onderhouden.
Dit hoefde niet te gebeuren
Het meest frustrerende deel van de recente DDoS-aanval is dat IoT-fabrikanten slechts 30 jaar consumententechnologie nodig hadden om het spreekwoordelijke schrift aan de muur te zien. En als ze dat niet konden doen, hadden ze acht kunnen slaan op de waarschuwingen van beveiligingsonderzoekers (zowel bedrijven als hobbyisten). Deze mensen hebben iedereen verteld die zou luisteren hoe miljarden meer apparaten op internet zetten zonder zorgvuldig te overwegen hoe ze zullen worden gebruikt, een slecht idee is. In 2014 opende Dan Geer de Black Hat-conferentie door te zeggen dat het IoT al aanwezig is en tot problemen kan leiden.
Ondanks mijn inspanningen om cynisch te blijven, voelt IoT onvermijdelijk en meeslepend. Sci-fi belooft ons al decennia lang over computers en futuristische apparaten, en misschien is dat de reden dat Gartner voorspelt dat er tegen 2020 6, 4 miljard apparaten op internet zullen zijn aangesloten. Deze apparaten zijn al in onze huizen: streamingboxen, gameconsoles, draadloze routers. In de ogen van aanvallers en geautomatiseerde aanvallen zijn dit gewoon meer IP-adressen om te exploiteren.
Terwijl we ons in de richting van de feestdagen haasten en naar een nieuwe generatie IoT-apparaten gaan, laten we beveiliging die is ontworpen om door gebruikers te worden begrepen op de voorgrond plaatsen. Als tegen 2020 het beste advies dat ik mensen nog kan bieden is om hun slimme apparaten los te koppelen, dan verdient deze industrie zijn reputatie voor innovatie of zelfs intelligentie niet.
