Na semana passada, a Juniper Research, em um estudo do mercado da Internet das Coisas, previu um aumento duplo no número desses dispositivos até 2022 (
notícias ). Se agora os analistas estimam o número de IoTs ativas em 21 bilhões, em quatro anos o número excederá 50 bilhões.
O mesmo relatório afirma que ainda não sobrevivemos à implementação generalizada da IoT (na indústria e nos negócios): agora ainda é dada prioridade a soluções tradicionais mais
estúpidas . O surgimento de infraestruturas de IoT realmente grandes (cem mil ou mais) terá que esperar, mas não por muito tempo. O relatório não presta atenção à segurança, mas há notícias relevantes suficientes pela segunda semana consecutiva.
Sobre o fato de haver muitos dispositivos IoT e eles não serem seguros, o famoso criptografador Bruce Schneier
falou em 22 de junho. Na opinião dele, estamos prestes a passar de ataques a dados pessoais (quando você rouba informações pessoais, ou os refém ou apaga tudo) a ataques à integridade da infraestrutura, que consiste em dispositivos em miniatura ou seu desempenho. Em suma, quando um carro hackeado contra a sua vontade pisar no freio.
No relatório da Juniper, o interessante termo computação de borda é introduzido - é quando os cálculos são realizados onde o movimento ocorre, e não em algum lugar no data center do fornecedor. A quantidade de computação e dados dificulta o processamento central. Se você combinar o positivo de Juniper e o ceticismo de Schneier, de alguma forma isso não é muito bom: a IoT será mais, será usada em áreas mais críticas (indústria, automóveis, medicina). E de alguma forma eles não os protegerão com mais eficiência: com as IoTs modernas dos consumidores, tudo isso é ruim; nas industriais, não é melhor.
Vamos ver o que exatamente foi ruim na semana passada. O conhecido fabricante de câmeras IP Foscam pede aos proprietários desses dispositivos que atualizem urgentemente o firmware (
notícias ). Curiosamente, a declaração da empresa não indica, como geralmente é o caso, uma lista de modelos com um furo: todos os dispositivos estavam supostamente vulneráveis ou o fornecedor intencionalmente não fornece informações detalhadas. Os pesquisadores do Vdoo que descobriram a vulnerabilidade têm uma descrição
muito mais detalhada .
E havia até três vulnerabilidades e, para invadir o dispositivo, elas devem ser usadas seqüencialmente. Tudo o que é necessário é o endereço IP do dispositivo. Esses dispositivos nem sempre estão disponíveis diretamente na Internet, mas, como regra, podem ser configurados dessa maneira. Muitas vezes, essa configuração está presente por padrão.
O ataque primeiro explora a vulnerabilidade de estouro de buffer, levando à falha do processo responsável pela interface da web. Após a falha, o processo é reiniciado automaticamente e, quando é baixado, torna-se possível excluir um arquivo arbitrário - esta é a vulnerabilidade número dois. A exclusão correta de arquivos nos lugares certos permite ignorar o sistema de autorização, e essa terceira vulnerabilidade fornece controle completo sobre o dispositivo. Este não é o ataque mais trivial, e os pesquisadores dizem diretamente que ainda não viram alguém usá-lo. E como ninguém costuma responder a chamadas para atualizar o firmware, as três vulnerabilidades não são descritas em detalhes.
E agora vamos nos reunir e atualizar algum tipo de IoT em casa. Venha Na verdade não!Os mesmos pesquisadores do Vdoo encontraram vulnerabilidades de outro fabricante - Axis (
notícias ). A detecção maciça de orifícios nos dispositivos IoT foi o resultado de algum evento de
limpeza interna para detectá-los. Aqui o resultado é semelhante: um total de sete vulnerabilidades foram encontradas, das quais três devem ser usadas para um ataque bem-sucedido.
Encontrar ataques complexos (relativamente, mas ainda assim) é uma honra, mas parece que o problema agora é a presença de
botnets de milhares de roteadores, câmeras e outras coisas com problemas muito mais triviais, como senhas padrão, uma interface da web distorcida e a ausência completa de qualquer proteção. Se a Juniper Research estiver certa e a maioria das IoTs industriais resolverem autonomamente muito mais tarefas em cinco anos, a atualização delas se tornará ainda pior do que agora?
E eu gostaria de assumir que na IoT industrial tudo será diferente, embora na verdade
não . Suponho que a única diferença entre os dispositivos de rede industrial é que eles têm um cronograma e um protocolo de serviço e as pessoas responsáveis por ele. A proliferação da IoT é um progresso e legal. As empresas e a sociedade se beneficiarão com isso, quanto mais rápida e mais barata a segurança desses dispositivos, inclusive. A detecção de problemas sérios, incluindo aqueles que não são resolvidos por métodos de software e mesmo após uma implementação em larga escala de dispositivos, sempre será cara.
Offtopic. Lembrete para fãs de screencasts na Internet: desative as notificações antes de iniciar a transmissão.