Letzte Woche prognostizierte Juniper Research in einer Studie über den Markt für das Internet der Dinge einen zweifachen Anstieg der Anzahl solcher Geräte bis 2022 (
Nachrichten ). Wenn Analysten jetzt die Anzahl der aktiven IoTs auf 21 Milliarden schätzen, wird ihre Zahl in vier Jahren 50 Milliarden überschreiten.
In demselben Bericht heißt es, dass wir die gegenwärtige, weit verbreitete Implementierung von IoT (in Industrie und Wirtschaft) nicht überlebt haben: Jetzt haben immer noch
dummere traditionelle Lösungen Vorrang. Das Entstehen wirklich großer (einhunderttausend oder mehr) IoT-Infrastrukturen muss warten, aber nicht lange. Der Bericht achtet nicht auf die Sicherheit, aber es gibt genug relevante Nachrichten darüber für die zweite Woche in Folge.
Über die Tatsache, dass es viele IoT-Geräte geben wird und diese unsicher sein werden,
sprach der berühmte Kryptograf Bruce Schneier am 22. Juni. Seiner Meinung nach sind wir dabei, von Angriffen auf personenbezogene Daten (wenn Sie personenbezogene Daten stehlen, als Geiseln nehmen oder alles löschen) zu Angriffen auf die Integrität der Infrastruktur, die aus Miniaturgeräten besteht, oder deren Leistung überzugehen. Kurz gesagt, wenn ein gehacktes Auto gegen Ihren Willen auf die Bremse tritt.
Im Juniper-Bericht wird der interessante Begriff Edge Computing eingeführt. In diesem Fall werden die Berechnungen dort ausgeführt, wo die Bewegung stattfindet, und nicht irgendwo im Rechenzentrum des Anbieters. Der Rechenaufwand und die Datenmenge erschweren die zentrale Verarbeitung. Wenn Sie Junipers positive und Schneiers Skepsis kombinieren, ist das irgendwie nicht sehr gut: IoT wird mehr sein, sie werden in kritischeren Bereichen (Industrie, Automobil, Medizin) eingesetzt. Und irgendwie werden sie sie nicht effizienter schützen: Mit modernen IoTs für Verbraucher ist das alles schlecht, in industriellen ist es nicht besser.
Mal sehen, was letzte Woche genau schlecht war. Der bekannte Hersteller von IP-Kameras Foscam fordert die Besitzer solcher Geräte auf, die Firmware dringend zu aktualisieren (
News ). Interessanterweise enthält die Erklärung des Unternehmens nicht, wie dies normalerweise der Fall ist, eine Liste von Modellen mit einer Lücke: Alle Geräte waren angeblich anfällig, oder der Anbieter liefert absichtlich keine detaillierten Informationen. Vdoo-Forscher, die die Sicherheitsanfälligkeit entdeckt haben, haben eine
viel detailliertere Beschreibung.
Es gab bis zu drei Sicherheitslücken, und um das Gerät zu hacken, müssen sie nacheinander verwendet werden. Erforderlich ist lediglich die IP-Adresse des Geräts. Solche Geräte sind nicht immer direkt aus dem Internet verfügbar, können aber in der Regel auf diese Weise konfiguriert werden. Sehr oft ist eine solche Konfiguration standardmäßig vorhanden.
Der Angriff nutzt zunächst die Sicherheitsanfälligkeit durch Pufferüberlauf aus, die zum Absturz des für die Weboberfläche verantwortlichen Prozesses führt. Nach dem Absturz wird der Prozess automatisch neu gestartet, und wenn er heruntergeladen wird, kann eine beliebige Datei gelöscht werden - dies ist die zweite Sicherheitsanfälligkeit. Durch das korrekte Löschen von Dateien an den richtigen Stellen können Sie das Autorisierungssystem umgehen, und diese dritte Sicherheitsanfälligkeit ermöglicht die vollständige Kontrolle über das Gerät. Dies ist nicht der trivialste Angriff, und die Forscher sagen direkt, dass sie noch niemanden gesehen haben, der ihn benutzt. Und da normalerweise niemand auf Aufrufe zur Aktualisierung der Firmware reagiert, werden nicht alle drei Sicherheitslücken detailliert beschrieben.
Und jetzt wollen wir uns alle zusammensetzen und eine Art Heim-IoT aktualisieren. Komm schon Nein wirklich!Dieselben Forscher von Vdoo fanden Schwachstellen eines anderen Herstellers - Axis (
Nachrichten ). Die massive Erkennung von Löchern in IoT-Geräten war das Ergebnis eines internen
Bereinigungsereignisses , um diese zu erkennen. Hier ist das Ergebnis ähnlich: Insgesamt wurden sieben Sicherheitslücken gefunden, von denen drei für einen erfolgreichen Angriff verwendet werden sollten.
Es ist eine Ehre, komplexe (relativ, aber immer noch) Angriffe zu finden, aber es scheint, dass das Problem jetzt das Vorhandensein von
Botnetzen von Tausenden von Routern, Kameras und anderen Dingen mit viel trivialeren Problemen wie Standardkennwörtern, einer krummen Weboberfläche und dem völligen Fehlen von solchen ist Schutz. Wenn Juniper Research Recht hat und die meisten industriellen IoTs in fünf Jahren viel mehr Aufgaben autonom lösen, wird ihre Aktualisierung dann noch schlimmer als jetzt?
Und ich möchte davon ausgehen, dass im industriellen IoT alles anders sein wird, obwohl dies tatsächlich
nicht der Fall ist. Ich gehe davon aus, dass der einzige Unterschied zwischen industriellen Netzwerkgeräten darin besteht, dass sie einen Zeitplan und ein Serviceprotokoll haben und die dafür verantwortlichen Personen. Die Verbreitung von IoT ist Fortschritt und cool. Wirtschaft und Gesellschaft werden davon profitieren, je schneller, desto billiger ist die Sicherheit solcher Geräte, einschließlich. Das Erkennen schwerwiegender Probleme, einschließlich solcher, die mit Softwaremethoden und auch nach einer umfangreichen Implementierung von Geräten überhaupt nicht gelöst werden können, ist immer teuer.
Offtopic. Notiz an Fans von Screencasts im Internet: Deaktivieren Sie Benachrichtigungen, bevor Sie mit der Übertragung beginnen.