Интернет вещей имеет огромное количество обещаний. Каждое устройство, с которым мы взаимодействуем, подключено к сети в той или иной степени, предлагая каждому дешевую технологию умного дома. Это только одна из возможностей. Ну, к сожалению, как бы захватывающе ни звучал полностью сетевой мир, Интернет вещей постоянно и крайне небезопасен.
Группа исследователей из Принстонского университета утверждает, что Интернет вещей настолько ужасно небезопасен, что даже зашифрованный сетевой трафик легко узнаваем
,
Есть ли смысл в их претензиях или это еще один «стандартный» хит IoT? Давайте взглянем.
Запеченный в
Проблема в том, что отдельные устройства имеют индивидуальные профили безопасности. И некоторые параметры безопасности приходят запекаться в устройстве. Это означает, что конечные пользователи не могут изменять настройки безопасности.
Настройки одинаковы для тысячи подходящих товаров.
Вы можете увидеть огромную проблему безопасности, это
,
В сочетании с общим недоразумением (или это чистое невежество?) Относительно того, насколько легко присвоить устройство IoT для гнусных действий, и налицо реальная, глобальная проблема.
Например, исследователь безопасности, разговаривая с Брайаном Кребсом, сообщил, что они были свидетелями того, что они стали свидетелями плохо защищенных интернет-маршрутизаторов, используемых в качестве прокси-серверов SOCKS. Они предположили, что было бы легко использовать веб-камеры в Интернете и другие устройства IoT для того же, а также множество других целей.
И они были правы.
Конец 2016 года ознаменовался массивный DDoS-атака. «Массивно», говорите вы? Да: 650 Гбит / с (это около 81 ГБ / с). Исследователи безопасности из Imperva, обнаружившие атаку, в ходе анализа полезной нагрузки отметили, что большая часть энергии исходит от скомпрометированных устройств IoT. Дублированный «Leet» после строки символов в полезной нагрузке
Это первый ботнет IoT, конкурирующий с Mirai (огромным ботнетом, нацеленным на известного исследователя и журналиста по безопасности Брайана Кребса).
IoT Sniffing
Исследовательский документ Принстона под названием «Умный дом — не замок» [PDF] исследует идею о том, что «наблюдатели пассивной сети, такие как поставщики интернет-услуг, потенциально могут анализировать сетевой трафик IoT, чтобы выявлять важные сведения о пользователях». Исследователи Ноа Апторп, Диллон Рейсман и Ник Фимстер смотрят на «монитор сна Sense»
, внутренняя камера видеонаблюдения Nest Cam, коммутатор WeMo и Amazon Echo ».
Их вывод? Отпечатки трафика на каждом устройстве распознаются даже в зашифрованном виде.
- Гнездо Cam — Наблюдатель может сделать вывод, когда пользователь активно отслеживает канал или когда камера обнаруживает движение в поле своего зрения.
- Смысл — Наблюдатель может вывести пользовательские схемы сна.
- WEMO — Наблюдатель может обнаружить, когда физическое устройство в умном доме включено или выключено.
- эхо — Наблюдатель может обнаружить, когда пользователь взаимодействует с интеллектуальным личным помощником.
Доступ к пакетам
Документ Принстона предполагает, что злоумышленник нюхает (перехватывает) пакеты (данные) непосредственно от интернет-провайдера. Их анализ происходит непосредственно из метаданных пакетов: заголовки пакетов IP, заголовки пакетов TCP и скорости отправки / получения. Независимо от точки перехвата, если вы можете получить доступ к пакетам при переходе, вы можете попытаться интерпретировать данные.
Исследователи использовали трехэтапную стратегию для идентификации устройств IoT, подключенных к их временным сетям:
- Разделите трафик на потоки пакетов.
- Пометить потоки по типу устройства.
- Изучите показатели трафика.
Эта стратегия показала, что даже если устройство обменивается данными с несколькими службами, потенциальному злоумышленнику «обычно требуется идентифицировать только один поток, который кодирует состояние устройства». Например, в приведенной ниже таблице показаны запросы DNS, связанные с каждым потоком, сопоставленные с конкретным устройством. ,
Результаты исследований основаны на нескольких допущениях, некоторые специфические для устройства. Данные для монитора сна Sense предполагают, что пользователи «только прекращают использовать свои устройства непосредственно перед сном, что все в доме спят в одно и то же время и не используют свои устройства совместно, и что пользователи не оставляют свои другие устройства включенными для работы в сети». -интенсивные задачи или обновления, пока они спят.
Шифрование и выводы
По оценкам BII, к 2020 году в Интернете будет 24 миллиарда устройств IoT. Список открытых уязвимостей IoT в проекте безопасности открытого веб-приложения (OWASP) выглядит следующим образом:
- Небезопасный веб-интерфейс.
- Недостаточная аутентификация / авторизация.
- Небезопасные сетевые сервисы.
- Отсутствие транспортного шифрования.
- Проблемы конфиденциальности.
- Небезопасный облачный интерфейс.
- Небезопасный мобильный интерфейс.
- Недостаточная конфигурация безопасности.
- Небезопасное программное обеспечение / прошивка.
- Плохая физическая безопасность.
OWASP выпустил этот список в 2014 году, и с тех пор не обновлялся уязвимые места остаются прежними. И, как сообщают исследователи из Принстона, удивительно, как легко наблюдатель пассивной сети может вывести зашифрованный трафик умного дома
,
Задача заключается в развертывании интегрированных решений IoT VPN или даже в том, чтобы убедить производителей устройств IoT в необходимости повышения безопасности (в отличие от необходимости).
Важным шагом будет проведение различия между типами устройств. Некоторые устройства IoT по своей природе более чувствительны к конфиденциальности, такие как интегрированное медицинское устройство по сравнению с Amazon Echo. В анализе использовались только скорости отправки / получения зашифрованного трафика для определения поведения пользователя — глубокая проверка пакетов не требуется. И хотя дополнительные встроенные функции безопасности могут негативно повлиять на производительность устройств IoT, ответственность за обеспечение подобия безопасности для конечных пользователей лежит на производителях.
IoT-устройства становятся все более распространенными. Ответы на вопросы, касающиеся конфиденциальности, не всегда ожидаются, и подобные исследования прекрасно иллюстрируют эти опасения.
Приветствовали ли вы умный дом и устройства IoT в своей жизни? У вас есть сомнения по поводу вашей конфиденциальности, увидев это исследование? Какую безопасность, по вашему мнению, производители должны устанавливать на каждом устройстве? Дайте нам знать ваши мысли ниже!