La semaine dernière, Juniper Research, dans une étude sur le marché de l'Internet des objets, a prédit une multiplication par deux du nombre de ces appareils d'ici 2022 (
news ). Si maintenant les analystes estiment le nombre d'IoT actifs à 21 milliards, alors en quatre ans leur nombre dépassera 50 milliards.
Le même rapport indique que nous n'avons pas survécu à la mise en œuvre actuelle et généralisée de l'IoT (dans l'industrie et les entreprises): désormais, la priorité est toujours donnée aux solutions traditionnelles plus
stupides . L'émergence d'infrastructures IoT vraiment importantes (cent mille ou plus) devra attendre, mais pas pour longtemps. Le rapport ne fait pas attention à la sécurité, mais il y a suffisamment de nouvelles pertinentes à ce sujet pour la deuxième semaine consécutive.
À propos du fait qu'il y aura de nombreux appareils IoT et qu'ils seront dangereux, a
déclaré le célèbre cryptographe Bruce Schneier le 22 juin. Selon lui, nous sommes sur le point de passer d'attaques contre des données personnelles (lorsque vous volez des informations personnelles, ou de les prendre en otage, ou de tout effacer) à des attaques contre l'intégrité de l'infrastructure, consistant en des appareils miniatures, ou ses performances. En bref, lorsqu'une voiture piratée contre votre volonté frappe les freins.
Dans le rapport Juniper, le terme informatique de bord intéressant est introduit - c'est lorsque les calculs sont effectués là où le mouvement se produit, et non quelque part dans le centre de données du fournisseur. La quantité de calcul et de données rend le traitement central difficile. Si vous combinez le positif de Juniper et le scepticisme de Schneier, ce n'est en quelque sorte pas très bon: l'IoT sera plus, ils seront utilisés dans des domaines plus critiques (industrie, automobile, médecine). Et d'une manière ou d'une autre, ils ne les protégeront pas plus efficacement: avec les objets de consommation modernes, tout cela est mauvais, dans les industriels, ce n'est pas mieux.
Voyons ce qui était vraiment mauvais la semaine dernière. Le célèbre fabricant de caméras IP Foscam appelle les propriétaires de ces appareils à mettre à jour d'urgence le firmware (
news ). Fait intéressant, la déclaration de la société n'indique pas, comme c'est généralement le cas, une liste de modèles avec un trou: tous les appareils étaient censés être vulnérables, ou le vendeur ne fournit pas intentionnellement des informations détaillées. Les chercheurs de Vdoo qui ont découvert la vulnérabilité ont une description
beaucoup plus détaillée .
Et il y avait jusqu'à trois vulnérabilités, et pour pirater l'appareil, elles doivent être utilisées séquentiellement. Tout ce qui est requis est l'adresse IP de l'appareil. De tels appareils ne sont pas toujours disponibles directement sur Internet, mais, en règle générale, ils peuvent être configurés de cette manière. Très souvent, une telle configuration est présente par défaut.
L'attaque exploite d'abord la vulnérabilité de débordement de la mémoire tampon, entraînant le crash du processus responsable de l'interface Web. Après le crash, le processus redémarre automatiquement, et lorsqu'il est téléchargé, il devient possible de supprimer un fichier arbitraire - c'est la vulnérabilité numéro deux. La suppression correcte des fichiers aux bons endroits vous permet de contourner le système d'autorisation, et cette troisième vulnérabilité donne un contrôle complet sur l'appareil. Ce n'est pas l'attaque la plus banale, et les chercheurs disent directement qu'ils n'ont encore vu personne l'utiliser. Et puisque personne ne répond généralement aux appels pour mettre à jour le firmware, les trois vulnérabilités ne sont pas décrites en détail.
Et maintenant, rassemblons-nous et mettons à jour une sorte d'IoT domestique. Allez Non vraiment!Les mêmes chercheurs de Vdoo ont découvert des vulnérabilités d'un autre fabricant - Axis (
news ). La détection massive de trous dans les appareils IoT était le résultat d'un événement de
nettoyage interne pour les détecter. Ici, le résultat est similaire: un total de sept vulnérabilités ont été trouvées, dont trois devraient être utilisées pour une attaque réussie.
Trouver des attaques complexes (relativement, mais toujours) est un honneur, mais il semble que le problème soit maintenant la présence de
botnets provenant de milliers de routeurs, de caméras et d'autres choses avec des problèmes beaucoup plus triviaux tels que les mots de passe par défaut, une interface Web tordue et l'absence totale de tout protection. Si Juniper Research a raison et que la plupart des objets connectés industriels résoudront de manière autonome beaucoup plus de tâches en cinq ans, leur mise à jour deviendra-t-elle encore pire que maintenant?
Et je voudrais supposer que dans l'IoT industriel, tout sera différent, bien qu'en fait
pas . Je suppose que la seule différence entre les périphériques réseau industriels est qu'ils ont un calendrier et un protocole de service, et les personnes responsables. La prolifération de l'IoT est un progrès et cool. Les entreprises et la société en bénéficieront plus vite et moins cher la sécurité de tels appareils, y compris. La détection de problèmes graves, y compris ceux qui ne sont pas du tout résolus par des méthodes logicielles, et même après une implémentation à grande échelle de dispositifs, sera toujours coûteuse.
Offtopic. Mémo aux fans de screencasts sur Internet: désactivez les notifications avant de commencer la diffusion.