Video: Internet der Dinge einfach erklärt (explainity Erklärvideo®) (November 2024)
In onze samenvatting van belangrijke voorspellingen voor 2014 hebben we gekeken naar nieuwe aanvalsdoelen, de opkomst van het nationale internet, mobiele beveiliging en online betalingen. De mogelijkheid dat aanvallers het 'internet der dingen' zouden aanvallen, was de tweede meest voorkomende voorspelling onder beveiligingsexperts, na mobiele beveiliging. Symantec noemde het 'internet der dingen' zelfs het 'internet van kwetsbaarheden'.
Internet of Things verwijst naar hoe consumentenelektronica-apparaten nu een IP-adres hebben en op afstand kunnen worden bediend. Slimme koelkasten, thermostaten voor thuisgebruik, smart-tv's, opslagapparaten, medische apparaten, auto's, sensoren op het elektriciteitsnet, fitnessapparaten en zelfs garagedeuropeners zijn slechts een kleine greep uit het internet der dingen.
Er komen aanvallen aan
Hoewel nog in een vroeg stadium, zodra volgend jaar slimme koelkasten, sloten en thermostaten in de mainstream worden geplaatst, zei Andreas Baumhof, CTO bij ThreatMetrix. Het internet der dingen verschilt niet veel van andere soorten online activiteiten; cyber-aanvallers kunnen het draadloze netwerk kapen of misbruik maken van een kwetsbaarheid om het netwerk aan te vallen of persoonlijke informatie te stelen, zei hij.
We hebben enkele voorbeelden van mogelijke aanvallen gezien in verschillende proof-of-concept-projecten op Black Hat en andere conferenties in het hele land. Een onderzoeker van Qualys liet zien hoe het mogelijk was om de kwetsbaarheden in de gebruikersinterface voor D-Link IP-camera's te exploiteren om de camera's en de beeldfeed te kapen. De overleden Barnaby Jack demonstreerde een paar jaar geleden hoe hij een insulinepomp kon hacken en was gepland om dit jaar de risico's tegen pacemakers bij Black Hat te bespreken. Voormalig vice-president Dick Cheney onthulde in oktober hoe artsen de draadloze connectiviteit op zijn pacemaker hadden uitgeschakeld vanwege zorgen dat iemand het apparaat zou kunnen hacken.
Hardwareleveranciers denken echter zelden aan beveiliging - of het nu gaat om het oplossen van bugs in de ingebedde software of het aanpakken van problemen met de hardware - bij het uitrollen van nieuwe apparaten op de markt. Zelfs wanneer problemen worden geïdentificeerd, slepen fabrikanten vaak hun voeten over het repareren van de kwetsbaarheden, aldus onderzoekers van Rapid7. 2013 was een groot jaar voor wormen en andere vormen van uitbuiting voor het internet der dingen, en naarmate de snelheid van acceptatie voor deze apparaten explodeert, zullen we meer soorten aanvallen zien.
We hebben wel wat tijd. Internet Identity zei incidenten waarbij "kwaadwillende hackers voordeel halen uit het op afstand platbranden van huizen en / of op afstand beveiligingssystemen uitschakelen om inbrekers binnen te laten", is niet iets wat we in 2014 zouden verwachten, maar in 2015, zei IID.
Onderzoek, proof-of-concepten
"Hoewel we niet verwachten dat aanvallen op het 'internet der dingen' in 2014 wijdverspreid zullen worden, voorspellen we wel een toename van gerapporteerde kwetsbaarheden en proof-of-concept-exploits, " zei Gerhard Eschelbeck, CTO bij Sophos.
De beveiligingsbedreigingen zijn breed en "potentieel verwoestend" en organisaties moeten ervoor zorgen dat technologie voor zowel consumenten als bedrijven voldoet aan hoge normen voor veiligheid en beveiliging, zei Steve Durbin, vice-president van het Internet Security Forum. "Het is aan de bedrijven zelf om veiligheid te blijven bouwen door communicatie en interoperabiliteit, " zei Durbin.
Een kleine groep invloedrijke beveiligingsexperts roept onderzoekers op hun energie te richten op deze verbonden en potentieel kwetsbare apparaten zoals pacemakers, insulinepompen en andere ingebedde systemen. De groep, 'We Are the Cavalry', wil het grote publiek informeren over de ernstige problemen in deze apparaten, aangezien ze de markt betreden met weinig tot geen aandacht voor beveiliging, Josh Corman, directeur veiligheidsinformatie bij Akamai en een van de leiders van de groep, vertelden de aanwezigen op de OWASP AppSec USA-conferentie in november.
"Dit gaat over het doen van onderzoek naar dingen die ertoe doen in plaats van naar dingen die eerlijk gezegd er niet toe doen, " zei Nick Percoco, directeur van KPMG en een andere leider van de groep, tijdens dezelfde presentatie. Als iemand met een pacemaker sterft, moet iemand forensisch onderzoek doen naar de pacemaker, zei hij. Als de onderzoeksgemeenschap zich niet op deze apparaten concentreert en problemen publiceert, "hoe gaan we dan als samenleving weten dat deze dingen gebreken vertonen?" hij vroeg.
"Laten we beveiliging doen die ertoe doet, niet alleen onze dagelijkse taken. De buitenwereld maakt deel uit van de oplossing. Dit is beveiliging voor het algemeen belang, " zei Corman.
