Pekan lalu, Juniper Research memperkirakan peningkatan dua kali lipat dalam jumlah perangkat tersebut pada tahun 2022 dalam studi pasar Internet of Things (
berita ). Jika sekarang analis memperkirakan jumlah IoT aktif pada 21 miliar, maka dalam empat tahun jumlah mereka akan melebihi 50 miliar.
Laporan yang sama menyatakan bahwa kita belum selamat sampai sekarang, penerapan IOT (dalam industri dan bisnis) yang meluas: sekarang prioritas masih diberikan pada solusi tradisional yang lebih
bodoh . Munculnya infrastruktur IoT yang sangat besar (seratus ribu atau lebih) harus menunggu, tetapi tidak lama. Laporan itu tidak memperhatikan keamanan, tetapi ada cukup berita yang relevan tentang hal itu untuk minggu kedua berturut-turut.
Tentang fakta bahwa akan ada banyak perangkat IoT dan mereka tidak akan aman, ahli kriptografi terkenal Bruce Schneier
berbicara pada 22 Juni. Menurutnya, kami akan beralih dari serangan pada data pribadi (ketika Anda mencuri informasi pribadi, atau menyandera, atau menghapus semuanya) menjadi serangan terhadap integritas infrastruktur, yang terdiri dari perangkat miniatur, atau kinerjanya. Singkatnya, ketika mobil yang diretas melawan keinginan Anda menginjak rem.
Dalam laporan Juniper, istilah edge computing yang menarik diperkenalkan - ini adalah saat perhitungan dilakukan di mana perpindahan terjadi, dan bukan di suatu tempat di pusat data vendor. Jumlah perhitungan dan data mempersulit pemrosesan terpusat. Jika Anda menggabungkan Juniper positif dan skeptisisme Schneier, itu entah bagaimana tidak terlalu baik: IoT akan lebih, mereka akan digunakan di area yang lebih kritis (industri, mobil, obat-obatan). Dan entah bagaimana mereka tidak akan melindunginya dengan lebih efisien: dengan IoT konsumen modern, ini semua buruk, di industri tidak lebih baik.
Mari kita lihat apa yang sebenarnya buruk minggu lalu. Produsen kamera IP terkenal Foscam meminta pemilik perangkat tersebut untuk segera memperbarui firmware (
berita ). Menariknya, pernyataan perusahaan tidak menunjukkan, seperti biasanya, daftar model dengan lubang: semua perangkat diduga rentan, atau vendor sengaja tidak memberikan informasi terperinci. Peneliti Vdoo yang menemukan kerentanan memiliki deskripsi yang
jauh lebih rinci .
Dan ada sebanyak tiga kerentanan, dan untuk meretas perangkat, mereka harus digunakan secara berurutan. Yang diperlukan hanyalah alamat IP perangkat. Perangkat semacam itu tidak selalu tersedia langsung dari Internet, tetapi, sebagai suatu peraturan, dapat dikonfigurasi dengan cara ini. Cukup sering, konfigurasi seperti itu hadir secara default.
Serangan itu pertama-tama mengeksploitasi kerentanan buffer overflow, yang mengarah ke crash proses yang bertanggung jawab untuk antarmuka web. Setelah crash, proses secara otomatis reboot, dan ketika diunduh, menjadi mungkin untuk menghapus file yang sewenang-wenang - ini adalah kerentanan nomor dua. Penghapusan file yang benar di tempat yang tepat memungkinkan Anda mem-bypass sistem otorisasi, dan kerentanan ketiga ini memberikan kontrol penuh atas perangkat. Ini bukan serangan yang paling sepele, dan para peneliti secara langsung mengatakan bahwa mereka belum melihat ada yang menggunakannya. Dan karena tidak ada yang biasanya menanggapi panggilan untuk memperbarui firmware, ketiga kerentanan tidak dijelaskan secara rinci.
Dan sekarang mari kita semua berkumpul dan memperbarui semacam IOT rumah. Ayo Tidak benar!Para peneliti yang sama dari Vdoo menemukan kerentanan dari produsen lain - Axis (
berita ). Deteksi besar-besaran lubang pada perangkat IoT adalah hasil dari beberapa acara
pembersihan internal untuk mendeteksi mereka. Di sini hasilnya sama: total tujuh kerentanan ditemukan, di antaranya tiga harus digunakan untuk serangan yang berhasil.
Menemukan serangan yang kompleks (relatif, tetapi masih) adalah suatu kehormatan, tetapi tampaknya masalahnya sekarang adalah kehadiran
botnet dari ribuan router, kamera dan hal-hal lain dengan masalah yang jauh lebih sepele seperti kata sandi default, antarmuka web bengkok, dan tidak adanya sama sekali perlindungan. Jika Juniper Research benar dan sebagian besar IoT industri akan menyelesaikan lebih banyak tugas secara mandiri dalam lima tahun, akankah pembaruan mereka menjadi lebih buruk dari sekarang?
Dan saya ingin berasumsi bahwa dalam industri IoT semuanya akan berbeda, walaupun pada kenyataannya
tidak . Saya berasumsi bahwa satu-satunya perbedaan antara perangkat jaringan industri adalah bahwa mereka memiliki jadwal dan protokol layanan, dan orang yang bertanggung jawab untuk itu. Proliferasi IOT adalah kemajuan dan keren. Bisnis dan masyarakat akan mendapat manfaat dari ini semakin cepat semakin murah keamanan perangkat tersebut, termasuk. Deteksi masalah serius, termasuk yang tidak diselesaikan sama sekali dengan metode perangkat lunak, dan bahkan setelah implementasi perangkat skala besar, akan selalu mahal.
Offtopic. Memo untuk penggemar screencasts di Internet: matikan notifikasi sebelum memulai siaran.