Phenquestions
Asjade Internet (IoT) kasvab kiiresti. IoT on seadmete ühenduvus Interneti kaudu. See on nagu sotsiaalne võrgustik või e-posti teenus, kuid inimeste ühendamise asemel ühendab Io tegelikult nutiseadmed, mis hõlmavad, kuid ei piirdu teie arvutitega, nutitelefonidega, nutikate kodumasinatega, automatiseerimisvahenditega ja muuga.
Kuid sarnaselt igat tüüpi tehnoloogiatega on ka IoT kahe otsaga asi. Sellel on oma plussid, kuid selle tehnoloogiaga kaasnevad tõsised ohud. Kuna tootjad võistlevad üksteise vastu, et tuua uusim seade turule, ei mõtle paljud neist oma IoT-seadmetega seotud turvaküsimustele.
Kõige tavalisemad IoT turvaohud
Millised on suurimad julgeolekuohud ja väljakutsed, millega IoT praegu silmitsi seisab? See küsimus on erinevate kasutajagruppide poolt üks kõige enam küsitavaid päringuid, kuna need on lõppkasutajad. Põhimõtteliselt on meie igapäevaselt kasutatavatel IoT-seadmetel palju IoT turvaohte, mis muudavad selle tehnikamaailma haavatavamaks.
Et hoida oma Interneti-süsteemi turvaaukudest eemal, peame tuvastama ja lahendama ohud ja väljakutsed. Siin olen teinud väikese pingutuse, et selgitada välja kõige levinumate IoT turvaohtude loetelu, mis aitavad meil võtta sobivaid kaitsemeetmeid.
1. Uuenduste puudumine
Praegu on kogu maailmas umbes 23 miljardit IoT-seadet. Aastaks 2020 kasvab see arv ligi 30 miljardini, öeldakse Statista raportis. See IoT-ga ühendatud seadmete arvu tohutu suurenemine ei too kaasa mingeid tagajärgi.
Kõigi neid seadmeid välja töötavate ettevõtete suurim probleem on see, et nad on seadmetega seotud turvaküsimuste ja riskide käsitlemisel hooletud. Enamik neist ühendatud seadmetest ei saa piisavalt turvavärskendusi; mõnda ei uuendata kunagi üldse.
Kunagi turvaliseks peetud seadmed muutuvad tehnoloogia arenguga täiesti haavatavaks ja ebakindlaks, mistõttu nad on altid küberkurjategijatele ja häkkeritele.
Tootjad võistlevad omavahel ja lasevad seadmeid iga päev välja, mõtlemata palju turvariskidele ja -probleemidele.
Enamik tootjaid pakuvad küll üle õhu (OTA) püsivara värskendusi, kuid need värskendused peatuvad kohe, kui nad oma uue seadmega tööd alustavad, jättes nende praeguse põlvkonna rünnakutele.
Kui ettevõtted ei paku oma seadmetele regulaarselt turvavärskendusi, paljastavad nad oma kliendibaasi potentsiaalsetele küberrünnakutele ja andmerikkumistele.
2. Rikutud Interneti-seadmed, mis saadavad rämpsposti
Tehnoloogia areng on toonud meile hulga nutiseadmeid, mis hõlmavad, kuid mitte ainult, nutiseadmeid, targa kodu süsteemi jne. Need seadmed kasutavad sarnast arvutusvõimsust kui muud IoT-ga ühendatud seadmed ja neid saab kasutada mitmesuguste tegevuste jaoks.
Ohustatud seadmest saab muuta e-posti serveri. Interneti turvafirma Proofpoint aruande kohaselt kasutati nutikat külmkappi tuhandete rämpsposti saatmiseks ilma, et selle omanikel oleks aimugi. Enamikku neist nutiseadmetest saab muuta e-posti serveriteks massilise e-posti rämpsposti saatmise eesmärgil.
3. IOT-seadmed, mis on ajateenistusse võetud botnettidesse
Sarnaselt massirämpspostiks kaaperdatud ja e-posti serveriteks muudetud seadmetele; nutikaid Interneti-seadmeid saab kasutada ka robotvõrkudena DDoS (Distributed Denial of Service) rünnakute korraldamiseks.
Varem on häkkerid kasutanud suuremahuliste DDoS-rünnakute läbiviimiseks beebimonitore, veebikaameraid, voogesituskaste, printereid ja isegi nutikellasid. Tootjad peavad mõistma Interneti-ühendusega seadmetega seotud riske ja võtma kõik vajalikud meetmed oma seadmete turvamiseks.
4. Ohtlik suhtlus
Paljud IoT-seadmed ei krüpteeri sõnumeid, kui nad neid võrgu kaudu saadavad. See on üks suurimaid IoT turvalisuse väljakutseid seal. Ettevõtted peavad tagama, et seadmete ja pilveteenuste vaheline suhtlus oleks turvaline ja krüptitud.
Parim tava turvalise side tagamiseks on kasutada transpordikrüptimist ja selliste standardite kasutamist nagu TLS. Seadmete eraldamine erinevate võrkude abil aitab luua ka turvalist ja privaatset suhtlust, mis hoiab edastatud andmed turvalise ja konfidentsiaalsena. Enamik rakendusi ja teenuseid on hakanud oma sõnumeid krüptima, et kasutajate teave oleks turvaline.
5. Vaikeparoolide kasutamine
Enamik ettevõtteid saadab seadmeid vaikeparoolidega ega käsu oma klientidel isegi neid muuta. See on üks suurimaid IoT turvaohte, kuna vaikeparoolid on üldteada ja kurjategijad saavad jõhkraks sundimiseks paroolid hõlpsasti kätte.
Nõrkade mandaatide tõttu jäävad peaaegu kõik IoT-ga ühendatud seadmed julmaks sundimiseks ja paroolide häkkimiseks. Ettevõtted, kes kasutavad IoT-seadmetes ebaturvalisi mandaate, seavad nii oma kliente kui ka ettevõtteid ohtu sattuda otseste rünnakute alla ja nakatuda toore jõuga.
6. Kaugjuurdepääs
WikiLeaksi avaldatud dokumentides mainiti, et Ameerika Ühendriikide luurekeskus (CIA) oli omanike teadmata häkkinud IoT seadmetesse ja lülitanud kaamera / mikrofonid sisse. Noh, võimalus, et ründajad pääsevad teie seadmetesse ja salvestavad omanikke nende teadmata, on kohutav ja seda ei kasutanud keegi muu kui valitsus ise.
Nende dokumendid viitasid uusima tarkvara, nagu Android ja iOS, tohututele haavatavustele, mis tähendab, et kurjategijad saavad neid haavandeid ka ära kasutada ja korraldada ennekuulmatuid kuritegusid.
7. Isiklikud andmed lekivad
Kogenud küberkurjategijad võivad tohutut kahju tekitada isegi siis, kui Interneti-protokolli (IP) aadressid saavad teada turvamata IoT-seadmete kaudu. Neid aadresse saab kasutada kasutaja asukoha ja tegeliku elukoha aadressi täpsustamiseks.
Seetõttu soovitavad paljud Interneti-turvalisuse eksperdid kindlustada oma Interneti-ühenduse virtuaalse privaatvõrgu (VPN) kaudu. VPN-i installimine ruuterisse krüpteerib kogu Interneti-teenuse pakkuja kaudu toimuva liikluse. VPN suudab hoida teie Interneti-protokolli aadressi privaatsena ja kaitsta kogu teie koduvõrku.
8. Kodu sissetungid
See peab olema üks hirmutavamaid esemete Interneti turvalisuse ohte, kuna see ületab lõhe digitaalse ja füüsilise maailma vahel. Nagu juba mainitud, võib turvamata IoT-seade lekitada teie IP-aadressi, mida saab kasutada teie elukoha aadressi täpsustamiseks.
Häkkerid saavad seda teavet müüa põrandaalustele veebisaitidele, kus tegutsevad kuritegelikud varustus. Samuti, kui kasutate Interneti-ühendusega nutikodu turvasüsteeme, võivad need ohtu sattuda. Seetõttu peate oma ühendatud seadmed turvama Interneti-ühenduse turvalisuse ja VPN-ide kasutamise kaudu.
9. Sõiduki kaugjuurdepääs
Mitte nii hirmutav kui keegi teie koju sisse tungib, kuid siiski midagi üsna õõvastavat. Täna, kui me igatseme nutikate autode järele, on nende IoT-ga seotud autodega seotud ka suur risk.
Vilunud häkkerid võivad saada juurdepääsu teie nutikale autole ja kaaperdada selle kaugjuurdepääsu kaudu. See on üks hirmutav mõte, sest keegi teine, kes teie auto üle kontrolli võtab, jätaks teid haavatavaks paljude kuritegude suhtes.
Õnneks pööravad nutikad autotootjad nendele “asjade Interneti-turvalisuse” ohtudele suurt tähelepanu ja töötavad kõvasti, et kaitsta oma seadmeid igasuguste rikkumiste eest.
10. Lunavara
Lunavara on pikka aega kasutatud arvuti- ja ettevõttevõrkudes. Kurjategijad krüptivad kogu teie süsteemi ja ähvardavad kõik teie andmed eemaldada, kui te ei maksa „Lunaraha”, seega nimi.
On vaid aja küsimus, millal ründajad hakkavad lukustama erinevaid nutiseadmeid ja nõuavad nende vabastamise eest lunaraha. Teadlased leidsid juba viisi lunavara installimiseks nutikatele termostaatidele, mis on üsna murettekitav, kuna kurjategijad saavad temperatuuri tõsta või langetada, kuni lunaraha on tasutud. Veelgi kohutavam on see, et ründajad saavad kontrolli kodu turvasüsteemide või nutiseadmete üle. Kui palju maksaksite IoT-ga ühendatud garaažiukse avamiseks?
11. Andmevargus
Häkkerid jälgivad alati andmeid, mis hõlmavad, kuid ei piirdu klientide nimede, klientide aadresside, krediitkaardinumbrite, finantsandmete ja muuga. Isegi kui ettevõttel on range Interneti-turvalisus, on küberkurjategijatel erinevaid rünnakuvektoreid.
Näiteks piisab ühest haavatavast IoT-seadmest, et kogu võrk sandistada ja tundlikule teabele juurde pääseda. Kui selline seade on ühendatud ettevõtte võrguga, saavad häkkerid juurdepääsu võrgule ja eraldavad kõik väärtuslikud andmed. Seejärel kasutavad häkkerid neid andmeid kuritarvitades või müüsid suure summa eest teistele kurjategijatele.
12. Meditsiiniseadmete ohustamine
See on küll Hollywoodist väljas, kuid see ei muuda seda vähem IoT turvalisuse ohuks. Kodumaa telesarja episood näitas rünnakut, kus kurjategijad sihtisid inimese mõrvamiseks implanteeritud meditsiiniseadet.
Nüüd pole seda tüüpi rünnakuid tegelikus elus korraldatud, kuid see on siiski oht. Piisav oht, et Ameerika Ühendriikide endine asepresident Dick Cheney lasi selliste stsenaariumide vältimiseks eemaldada tema implanteeritud defibrillaatori traadita funktsioonid. Kuna üha enam meditsiiniseadmeid ühendatakse IoT-ga, jäävad seda tüüpi rünnakud võimaluseks.
13. Rohkem seadmeid, rohkem ohte
See on IoT-seadmete tohutu tõuke negatiivne külg. Teie tulemüüri taga olevate seadmete arv on viimase kümnendi jooksul märkimisväärselt kasvanud. Sel päeval pidime muretsema ainult personaalarvutite turvalisuse eest väliste rünnakute eest.
Nüüd, selles vanuses, on meil muretsemiseks hulk erinevaid IoT-seadmeid. Meie igapäevastest nutitelefonidest nutika kodutehnika ja palju muud. Kuna seadmeid on võimalik häkkida, on häkkerid alati kõige nõrgema lüli taga ja rikuvad seda.
14. Väikesed IoT rünnakud
Me saame alati teada ulatuslikest IoT rünnakutest. Mirai botnetist kuulsime 2 aastat tagasi / Enne Mirai; seal oli Reaper, mis oli palju ohtlikum kui Mirai. Kuigi ulatuslikud rünnakud põhjustavad rohkem kahju, peaksime kartma ka väikesemahulisi rünnakuid, mis jäävad sageli avastamata.
Väikesed rünnakud väldivad sageli avastamist ja libisevad rikkumistest läbi. Häkkerid püüavad nende mikrorünnakute abil oma plaanide elluviimiseks kasutada suuri relvi.
15. Automaatika ja A.Mina
A.Mina. tööriistu kasutatakse maailmas juba praegu. On olemas A.Mina. tööriistad, mis aitavad autosid valmistada, samal ajal kui teised sõeluvad suure hulga andmeid. Kuid automaatika kasutamisel on ka negatiivne külg, kuna kogu A-koodi allavajutamiseks kulub koodis ainult üks viga või vigane algoritm.Mina. võrku ja koos sellega kogu infrastruktuuri, mida ta kontrollis.
A.Mina. ja automatiseerimine on lihtsalt kood; kui keegi sellele koodile juurde pääseb, saab ta automatiseerimise üle juhtida ja teostada mida iganes soovib. Seega peame tagama, et meie tööriistad oleksid selliste rünnakute ja ohtude eest kaitstud.
16. Inimfaktor
Noh, see ei ole otsene oht, kuid muretsema peab kasvava seadmete arvu pärast. Kuna iga seadmega suureneb ka IoT-ga suhtlevate inimeste arv. Kõigil pole küberturvalisuse pärast muret; mõned ei tea isegi digitaalrünnakutest midagi või peavad seda müütiks.
Sellistel inimestel on IoT-seadmete turvamisel sageli kõige madalamad turvastandardid. Need isikud ja nende turvata seadmed võivad kirjutada organisatsiooni või korporatiivse võrgu jaoks hukule, kui nad sellega ühendust saavad.
17. Teadmiste puudumine
See on ka teine oht, mille saab teadmiste nõuetekohase jagamise abil hõlpsasti lahendada. Inimesed kas ei tea IoT-st palju või ei hooli sellest. Teadmiste puudumine võib sageli olla ettevõtte või isikliku võrgu tohutu kahjustamise põhjus.
Esmatähtsaks tuleks seada kõigi põhiteadmiste pakkumine IoT, ühendatud seadmete ja igale inimesele ähvardavate ohtude kohta. Põhiteadmiste omamine IoT mõjust ja selle turvaohtudest võib olla vahe turvalise võrgu omamise ja andmerikkumise vahel.
18. Aja / raha puudus
Enamik inimesi ega organisatsioone ei investeeri turvalisse IoT infrastruktuuri, sest nende arvates on see liiga aeganõudev või liiga kallis. See peab muutuma. Vastasel juhul ootavad korporatsioone rünnaku tõttu suured rahalised kahjud.
Andmed on kõige väärtuslikum vara, mis ettevõttel võib olla. Andmete rikkumine tähendab miljonite dollarite kaotust. Turvalisse Interneti-ühenduse seadistamisse investeerimine ei oleks sama kulukas kui massiline andmeside rikkumine.
19. Masinpüük
Masinpüük muutub lähiaastatel oluliseks probleemiks. Häkkerid tungivad Interneti-seadmetesse ja -võrkudesse võltssignaalide saatmiseks, mis sunnib omanikke tegutsema, mis võib operatiivvõrku kahjustada.
Näiteks võib ründajatel olla tootmisettevõtte aruanne, et see töötab poole võimsusega (samal ajal töötab see 100%) ja jaama operaator püüab veelgi suurendada koormust, mis võib jaamale hävitada.
20. Kehvad autentimisprotokollid
Kuna nii palju IoT-ga ühendatud seadmeid on turgu üle ujutanud, on tootjad tähelepanuta jätnud asjaolu, et iga seade vajab korralikku ja tugevat autentimisprotokolli. Sellised kehvad autoriseerimismehhanismid pakuvad kasutajatele sageli suuremat juurdepääsu kui eeldatavasti.
Enamikul seadmetest pole parooli keerukust, halbu vaikemandaate, krüptimise puudumist, kahefaktorilist autentimist ja ebaturvalist parooli taastamist. Need turvanõrkused võivad hõlpsasti kaasa tuua häkkerite hõlpsa juurdepääsu seadmetele ja võrkudele.
21. Privaatsusprobleemid
Enamik seadmeid kogub igat tüüpi andmeid, mis sisaldavad tundlikku teavet. Privaatsusprobleemid tekivad siis, kui seadmed hakkavad isikuandmeid koguma, ilma et neil oleks nende andmete jaoks asjakohaseid kaitsemeetodeid.
Tänapäeval vajavad peaaegu kõik nutitelefoni rakendused teatud tüüpi õigusi ja andmete kogumist nii iOS-is kui ka Androidis. Peate need õigused üle vaatama ja nägema, milliseid andmeid need rakendused koguvad. Kui kogutavad andmed on isiklikku ja tundlikku laadi, siis on parem oma rakendusega lahti saada, mitte riskida oma isikuandmetega.
22. Kehv füüsiline turvalisus
Nüüd oleme seni rääkinud digitaalsest turvalisusest, kuid see pole ainus IoT-seadme oht. Kui füüsiline turvalisus on kehv, saavad häkkerid seadmetele hõlpsasti juurde pääseda, ilma et peaks palju tööd tegema.
Füüsilised nõrgad küljed on siis, kui häkker saab seadme lihtsalt lahti võtta ja selle salvestusruumi juurde pääseda. Isegi avatud USB-porti või muud tüüpi portide olemasolu korral võivad häkkerid pääseda juurde seadme salvestuskandjale ja seadmes olevaid andmeid ohustada.
23. RFID koorimine
See on selline koorimise tüüp, kus häkkerid võtavad kinni deebetkaartidel, krediitkaartidel, ID-kaartidel / passides ja muudes dokumentides kasutatavat raadiosagedustuvastuse kiipidest saadud traadita teavet ja andmeid.
Nende andmete varjamise eesmärk on varastada isikuandmeid, mida kasutatakse edasiarendatud identiteedivarguste jaoks. Häkkerid kasutavad NFC-toega seadmeid, mis salvestavad kõik RFID-kiipidelt krüptimata andmed ja edastavad seejärel traadita signaalide kaudu.
24. Inimene keskel-rünnakud
See on rünnaku tüüp, kus häkkerid võtavad kahe osapoole vahelise side läbi ebaturvalise IoT-seadme või võrgu haavatavuse kaudu ja muudavad seejärel sõnumeid, samal ajal kui mõlemad osapooled arvavad omavahel suheldes. Need rünnakud võivad asjaosalistele hävitada, kuna kogu nende tundlik teave on suhtluse ajal ohus.
25. Sinkhole skeemid
Häkker suudab hõlpsasti meelitada kogu liikluse traadita sensorvõrgu (WSN) sõlmest, et ehitada auk. Seda tüüpi rünnak loob metafoorilise süvendi, mis kahjustab andmete konfidentsiaalsust ja keelab ka võrgule igasuguse teenuse pakkumise. Seda tehakse kõigi pakettide viskamise asemel sihtkohta saatmisega.
Lõppsõnad
IoT on kindlasti suur asi ja suuremaks läheb see ainult aja möödudes. Kahjuks, mida suuremaks see läheb, seda rohkem on sihtmärke seljas. Ka kõik sellega kaasnevad ohud ja IoT suundumused muutuvad suuremaks. Tootjad ja teised asjade Interneti-tööstusega seotud isikud peavad tõsiselt mõtlema julgeolekuküsimustele ja ohtudele.
Teadmised on esimene oht selliste ohtude vastu. Niisiis peate IoT turvaohtude ja nende vastumeetmetega kiirustama.
