IoT-angreb Alle Bør Kende Til
De innovationer, som IoT har bragt ind i organisationer og enkeltpersoners hverdagsliv, har oplevet en opblomstring i de seneste år. For eksempel vil en tur gennem en bilfabriks samlebånd afsløre intelligente teknologier, der udfører seriel- eller batchaktiviteter med minimal eller ingen menneskelig overvågning.
Det britisk-baserede online supermarked startup – Ocado og Amazon har begge udviklet enorme teknologier til sortering og levering af dagligvarer, som primært er baseret på IoT. Der findes også husholdningsapparater og enheder, der kan betjenes fjernstyret. Gode eksempler er overvågningskameraer, belysningssystemer, automatiserede indkørsler, sprinklersystemer, der vander græsset efter at have analyseret den lokale vejrudsigt, smarte mikrobølgeovne og fuldt synkroniserede lejligheder.
Sådanne smarte enheder med IoT-kapaciteter kræver en aktiv internetforbindelse for optimal effektivitet. Dog udsætter tilslutning af IoT-enheder til internettet dem for potentielle sikkerhedstrusler, som er almindelige for enhver netværksenhed. Den store mulighed for tilslutning, der følger med internetadgang, er næsten altid sat op imod sikkerhedsudfordringer. Der er stadig folk, der leder efter ressourcer (både hårde og bløde) til at udnytte internettet. Hackere kan bruge enheder så uskyldige som opvaskemaskiner eller termostater som et sårbart smuthul i et ellers sikkert netværk.
Er IoT-enheder sårbare?
Men er IoT-enheder sårbare, eller er påstandene om sikkerhedsbrud på dem blot konspirationsteorier for at afskrække teknologielskere fra at tage IoT til sig? Historien om sikkerhedsbrud på internettet, som fremhæves i det næste afsnit, og tydelige beviser på, at IoT-enheder regelmæssigt er mistænkte, besvarer vores spørgsmål.
Berømte eksempler på IoT-angreb
Der er flere tilfælde af IoT-angreb; her er nogle af dem for at skabe et klarere billede:
1. Mirai-nedlukningen af Dyn
I den senere del af 2016 krænkede hackere et fremtrædende Domain Name Service udbyders computernetværk – Dyn. På det tidspunkt var Dyn DNS-udbyder for virksomheder som Twitter, Netflix, Reddit, CNN og The Guardian. DDoS-angrebet blev udført af hackere, der rekrutterede omkring 600.000 IoT-enheder og andre computere, efter at have taget fjernkontrol ved hjælp af en malware ved navn Mirai.
Angrebet fra Mirai-botnettet lammede Dyn i flere timer ved at overvælde firmaets netværksressourcer.
2. Kaprede SUV’er
Hacket, i dette tilfælde, var blot en simulation, men et hack, der er værd at bekymre sig om. En gruppe forskere udnyttede i 2015 en sårbarhed ved firmwareopdatering af en Jeep SUV via et mobiltelefonnetværk. Efter at have fået adgang til køretøjets databus, kunne forskerne sænke farten, stoppe og svinge bilen af vejen.
3. Bogstavelige Hjerteanfald
Fremskridt inden for medicinsk videnskab har gjort det muligt for personer, der har gennemgået hjerteoperationer og fået pacemakere eller defibrillatorer indopereret, at supplere deres svage hjerter. Den amerikanske fødevare- og lægemiddelstyrelse (FDA) bekræftede sårbarheder i de kardiale enheder, som kunne gøre det muligt at gøre dem inaktive eller få dem til at fungere forkert under påvirkning af en hackers justeringer. FDA fandt denne opdagelse særligt bekymrende i forhold til hjerteimplantater, der blev brugt på patienter på et bestemt hospital.
4. Termo-adgang til et Casino
Et andet bredt rapporteret tilfælde af IoT-sårbarhed blev udført af en gruppe hackere, som fandt et sikkerhedshul i form af et termometer installeret i casinoets akvarium. Efter at have fået adgang til casinoets netværk, lykkedes det gruppen at få fat i etablissementets følsomme data.
5. Big Brother Adgangen
Ligesom George Orwells Storebror er adskillige internetforbundne kameraer tilgængelige for hackere, der kender de rigtige huller at grave i. CNN formåede at bevise, hvor sårbare disse enheder kan være ved at bruge Shodan, en IoT-søgemaskine. Ved at bruge Shodan udsendte det private nyhedsselskab live feeds fra kameraerne hos tilfældige mennesker over hele verden, sandsynligvis uden at være bevidste om deres eksponering.
Årsager til sårbarhed i IoT-sikkerhed
Udbredelsen af IoT-teknologier er stadig i sine bedste år og skal endnu adressere nogle kritiske problemer i sin adoption. Ja, IoT-enheder kan være gavnlige, men innovatører er endnu mere bekymrede for enhedernes funktionelle stabilitet, før de tager fat på de voksende daglige rapporter om sikkerhedssårbarheder.
Nedenfor er nogle af de afgørende faktorer, der har fået sikkerhedstruslerne oplevet med IoT-enheder til at vedblive.
1. Brud på IoT-enheder ved at udnytte brugerens uvidenhed eller uagtsomhed
Når det kommer til at beskytte dig selv mod vira, der angriber dit PCs operativsystem, eller skjuler dit online fodaftryk, mens du bruger offentligt Wi-Fi, er den gennemsnitlige bruger af sådanne teknologier ret velinformeret. Men når det kommer til nyere teknologier som IoT-enheder, er brugerne mere optagede af at tjekke vejrudsigten på GUI’en på deres nye køleskab end at bekymre sig om dets sikkerhed. “Hvilken risiko kunne et køleskab muligvis have?” er et rimeligt spørgsmål, der kan dukke op i den gennemsnitlige brugers sind.
I nogle tilfælde er brugere af IoT-teknologier direkte uvidende om konsekvenserne af et brud på deres enheders sikkerhed. At håndtere uønsket spam i indbakken er ikke et problem. Men en tilfældig undersøgelse af IoT-enhedsbrugere ville afsløre, at de ikke forstår grundlaget for at sikre disse let gennemtrængelige teknologier. Nogle hackere får kun adgang til en tidligere sikker IoT-enhed, efter at have fået brugeren til at åbne en smutvej gennem social engineering.
2. Sikkerhedssårbarhed efter store angreb
Efter hvert betydeligt botnet-angreb, der ryster internettet, bør teknologiproducenter naturligt opdatere enheder med sikkerhedscentrerede opdateringer. Dog gør angrebenes hyppighed på internettet sikkerhedsopdateringer trættende. Og desværre efterlader hackernes omhyggelige indsats et sårbart smuthul efter hver episode, som ofte udnyttes gentagne gange, når det ikke adresseres hurtigt.
En anden stor udfordring, når man opdaterer IoT-enheder, er, at de fleste af sådanne opdateringer installeres automatisk, uden at kræve teknisk assistance. Ofte sikkerhedskopierer IoT-enheden sine dokumenter ved at uploade dem til skyen og oplever en kort nedetid, mens den forsøger at genstarte eller omkonfigurere sine indstillinger. Sådanne perioder kunne udnyttes af hackere, især når internetforbindelsen ikke er krypteret.
3. Enhedsudsættelse på grund af producenters manglende overholdelse af sikkerhedsstandarder
Som nævnt tidligere er producenterne mere bekymrede og optagede af at tilfredsstille deres forbrugeres funktionelle behov og producerer glamourøse og innovative enheder uden at vurdere de potentielle sikkerhedshuller, der følger med dem. Denne afsløring betyder, at med hver ny IoT-enhed på markedet, ankommer en ny smutvej for hackere at udnytte.
Producenter er stadig oppe og i gang med at vise innovationsmuskler frem, og der mangler stadig en konsensus om, hvilke sikkerhedsstandarder der skal følges. At have et samlingspunkt, der ligner det, som åben adgangsteknologi tilbyder for IoT-sikkerhed, vil eliminere mange af de stigende udfordringer, der tilskrives dem. Men ak, producenterne er ude på at få den største markedsandel ved at blænde forbrugerne med enheder med forbedret funktionalitet, men som mangler sikkerhed.
4. Fysisk sårbarhed af IoT-enheder
Funktionaliteten af de fleste IoT-enheder indebærer deres operabilitet uden menneskelig kontrol efter installation. For eksempel er Ocado’s automatiserede lagre, som dækker et fysisk område svarende til omkring to standard fodboldbaner, primært bemandet af IoT-drevne robotter og kun et par menneskelige ansatte. Dog kan enhver nemt kapre IoT-enheder installeret på afsides steder uden nogen form for menneskelig overvågning ved at installere malware, ved at bruge tilgængelige porte på enheden. For eksempel kunne CCTV-kameraer nemt manipuleres med eller endda bruges som et adgangspunkt ind i et ellers sikret netværk.
For eksempel kan fysisk adgang til bare én af Ocados dagligvare sortering robotter føre til kompromittering af sikkerheden i alle firmaets lagre over hele verden, det vil sige, hvis de har et delt netværk.
5. Nemhed ved Rekruttering til Botnets
På grund af nødvendigheden af periodisk opdatering af sikkerhedspatches er IoT-enheder blevet *enheder af let dyd* blandt hackere. Før de iværksætter et botnet-angreb, bygger hackere deres botnet-hær ved at installere malware på sårbare enheder via en af flere metoder. Efterfølgende får de kompromitterede enheder en Handler, normalt en controller-server, som derefter bruger dem til at udføre et koordineret DDoS-angreb på en udpeget internetbruger.
Desuden, på grund af den øgede popularitet af IoT-enheder på følsomme systemer, bliver det muligt for hackere at sabotere væsentlige faciliteter som elnettet, varmesystemet eller trafikkontrollen.
6. Manipulering af IoT-enheder til Spion-Software
Forestil dig en hacker, der har fået adgang til dit barns babykamera og sender optagelser, mens du er væk på en forretningsrejse. Sådanne personer kunne udnytte situationen ved at kræve løsepenge som gengæld for at bevare din families privatliv. De tekniske teams fra de centrale sikkerhedsenheder i teknologisk kapable nationer vil sandsynligvis bruge IoT-enheder til at spionere på andre mennesker.
Konklusion — At holde sig sikker, mens man bruger smarte enheder
Sikkerhed bør være en stor bekymring, når du anskaffer en IoT-enhed, da der er nogle sårbarheder, som hackere kunne udnytte. Hvis det sker, at det bliver nødvendigt for dig at anskaffe en IoT-enhed, så husk at ændre standardbrugernavnet og adgangskoden, før du tager den i brug. Læs producentens manual for at forstå trinene i opdatering af enhedens firmware. Opdateringerne vil holde dig sikker fra trusler, der kunne opstå fra huller, som er blevet effektivt lukket af producentens sikkerhedsteam.