La semana pasada, Juniper Research, en un estudio del mercado de Internet de las cosas, predijo un aumento doble en el número de tales dispositivos para 2022 (
noticias ). Si ahora los analistas estiman el número de IoT activas en 21 mil millones, entonces en cuatro años su número superará los 50 mil millones.
El mismo informe afirma que aún no hemos vivido hasta la implementación actual y generalizada de IoT (en la industria y los negocios): ahora se da prioridad a las soluciones tradicionales más
estúpidas . La aparición de infraestructuras de IoT realmente grandes (cien mil o más) tendrá que esperar, pero no por mucho tiempo. El informe no presta atención a la seguridad, pero hay suficientes noticias relevantes al respecto por segunda semana consecutiva.
Sobre el hecho de que habrá muchos dispositivos IoT y serán inseguros, el famoso criptógrafo Bruce Schneier
habló el 22 de junio. En su opinión, estamos a punto de pasar de ataques a datos personales (cuando robas información personal, o la tomas como rehén, o borras todo) a ataques a la integridad de la infraestructura, que consiste en dispositivos en miniatura, o su rendimiento. En resumen, cuando un auto pirateado contra tu voluntad golpea los frenos.
En el informe de Juniper, se introduce el término interesante computación de borde: esto es cuando los cálculos se llevan a cabo donde ocurre el movimiento, y no en algún lugar del centro de datos del proveedor. La cantidad de cómputo y datos dificulta el procesamiento central. Si combina lo positivo de Juniper y el escepticismo de Schneier, de alguna manera no es muy bueno: IoT será más, se usarán en áreas más críticas (industria, automóviles, medicina). Y de alguna manera no los van a proteger de manera más eficiente: con las IoT de consumo modernas, todo esto es malo, en las industriales no es mejor.
Veamos qué estuvo mal la semana pasada. El conocido fabricante de cámaras IP Foscam hace un llamado a los propietarios de dichos dispositivos para actualizar urgentemente el firmware (
noticias ). Curiosamente, la declaración de la empresa no indica, como suele ser el caso, una lista de modelos con un agujero: todos los dispositivos eran supuestamente vulnerables o el proveedor no proporciona información detallada intencionalmente. Los investigadores de Vdoo que descubrieron la vulnerabilidad tienen una descripción
mucho más detallada .
Y había hasta tres vulnerabilidades, y para hackear el dispositivo deben usarse secuencialmente. Todo lo que se requiere es la dirección IP del dispositivo. Dichos dispositivos no siempre están disponibles directamente desde Internet, pero, por regla general, se pueden configurar de esta manera. Muy a menudo, dicha configuración está presente por defecto.
El ataque primero explota la vulnerabilidad de desbordamiento del búfer, lo que lleva al bloqueo del proceso responsable de la interfaz web. Después del bloqueo, el proceso se reinicia automáticamente y, cuando se descarga, es posible eliminar un archivo arbitrario; esta es la vulnerabilidad número dos. La eliminación correcta de los archivos en los lugares correctos le permite omitir el sistema de autorización, y esta tercera vulnerabilidad proporciona un control completo sobre el dispositivo. Este no es el ataque más trivial, y los investigadores dicen directamente que aún no han visto a nadie usarlo. Y como generalmente nadie responde a las llamadas para actualizar el firmware, las tres vulnerabilidades no se describen en detalle.
Y ahora vamos a reunirnos y actualizar algún tipo de IoT hogareño. Vamos No realmente!Los mismos investigadores de Vdoo encontraron vulnerabilidades de otro fabricante: Axis (
noticias ). La detección masiva de agujeros en dispositivos IoT fue el resultado de algún evento de
limpieza interna para detectarlos. Aquí el resultado es similar: se encontraron un total de siete vulnerabilidades, de las cuales tres deberían usarse para un ataque exitoso.
Encontrar ataques complejos (relativamente, pero aún así) es un honor, pero parece que el problema ahora es la presencia de
botnets de miles de enrutadores, cámaras y otras cosas con problemas mucho más triviales, como contraseñas predeterminadas, una interfaz web torcida y la ausencia total de cualquier protección Si Juniper Research tiene razón y la mayoría de las IoT industriales resolverán de manera autónoma muchas más tareas en cinco años, ¿su actualización será aún peor que ahora?
Y me gustaría asumir que en el IoT industrial todo será diferente, aunque en realidad
no lo será. Supongo que la única diferencia entre los dispositivos de red industriales es que tienen un horario y un protocolo de servicio, y las personas responsables de ello. La proliferación de IoT es progreso y genial. Las empresas y la sociedad se beneficiarán de esto cuanto más rápido, más barato, la seguridad de tales dispositivos, incluidos. La detección de problemas graves, incluidos aquellos que no se resuelven en absoluto mediante métodos de software, e incluso después de una implementación a gran escala de dispositivos, siempre será costosa.
Offtopic. Nota para los fanáticos de los screencasts en Internet: apague las notificaciones antes de comenzar a transmitir.