Med skyggefulle botnet hærer som lurer rundt i verden og vigilante grå lue aktører inoculating utsatt enheter, appetitt for tingenes Internett-sikkerhet er sterkere enn noen gang.
“Hvis du kaster IoT på en con snakke, du har fått en ganske god sjanse til å komme inn,” sa information security professional
Jason Kent, som han begynte sin presentasjon på chicagos
Thotcon hacking og sikkerhet-konferansen i forrige uke.
Mens sårbarheter beskrev han kan ikke ha vært de forskere finne den mest spennende, de har tjent for å illustrere akkurat hvor mye arbeid som gjenstår for å demme opp for enkle, men ødeleggende, sikkerhetshull.
Med liker av powerpuff Mirai og Hajime botnett jakter på ranker av IoT enheter som har svake root konto passord og åpne telnet-porter, sikkerhet fagfolk er forståelig nok bestemt på å påvirke bransjen bort fra disse fallgruvene.
Men, det er alvorlige mangler i SSL-implementering og praksis for informasjonssikkerhet finnes i mange IoT ledsager mobile apps, Kent påpekte i sin tale, “IoT Nett av Intriger.”
Personlige Data Utsatt
SSL feilkonfigurering kan virke kjedelige sammenlignet med andre trusler, men eksempel på en enkel RAPER proxy samler inn data som overføres mellom en mobil-app, og den tilsvarende server for en slew av enheter, understreket hvor gjennomgripende — og potensielt ødeleggende for brukere — slike sårbarheter kan være.
Kent presentert mange eksempler som viste hvordan å splitte full SSL-sertifikat i pakker tatt fra app kan tillate hvem som helst å sende kommandoer på vegne av brukeren som opprinnelig sendt det, så mange IoT enheten servere vil godta en pakke med riktig krypteringsnøkkel, uavhengig av om sertifikatet del følger med.
I mange tilfeller, det blir verre. Når sertifikatet er delt, vil den ofte overdreven eller creepily invasive data som finnes innenfor det som er vanlig for alle å se. I tilfelle av et hjem sikkerhet kameraet, undersøke pakken åpenbart ikke bare brukernavn og passord i klartekst, men også en variabel innstilling hus forsikring leverandør for brukeren.
En annen kameraets pakkene inneholdt en GET-forespørsel sendt på godkjenning, som viser andre familie medlemmer, og deres korresponderende e-post-adresser og bruker-Id, som var autorisert til å få tilgang til kameraet.
Hvis noen av konferansens deltakere venstre snakk følelse dypt urolig med staten IoT praksis, det var mer enn forståelig.
Så, hvor ble det av alle de gapende hullene kommer fra?
Sprekker i grunnmuren
Problemet stammer delvis fra en underappreciation av hvor mange sikkerhetsimplikasjoner er oppvokst ved å koble IoT enheter til Internett, eller manglende evne til å oppdra dem i det hele tatt, Kent fortalte LinuxInsider følgende hans tale.
“Jeg var rapporterer et problem, og aldri møtt sin security team,” sa han, gjenforteller en offentliggjøring telefonsamtale med ett selskap. “Jeg møtte deres PR-teamet og deres advokater — ingen fra sikkerhet. Hvorfor? Fordi dette selskapet [gjorde] en maskin, og deretter sette det på Internett, uten å vite at de trengte for å endre sine virksomheter litt når det skjedde.”
Selv om IoT produsenter kan ha nytte av å gjøre en felles innsats for å holde tritt med moderne network security praksis, det er bransjen utfordringer forbundet med bruk av SSL for å styrke usikre underliggende arkitekturer, Kent påpekt.
“Mobile apps er egentlig bare nettlesere med forhåndslagde sider,” sa han. “App ber om data fra API, og viser at data til brukeren.”
Riktig implementert SSL sikkert kan gå en lang vei mot å styrke underliggende prosesser, men “vi bygger på et fundament som ikke var sikker til å begynne med,” Kent observert.
Å jobbe Under Radaren
Likevel, outlook er ikke helt pessimistisk, Kent sa, og understreker at det finnes mange ressurser utviklere kan trykke på for å opp sine spill.
“Hver app dev bør være en deltakende medlem av
OWASP,” rådet han, med henvisning til Open Web Application Security Project, en ideell organisasjon dedikert til å samle sammen de beste sikkerhetspraksisene inn omfattende guider for utviklere på alle nivåer.
Kent også roste presedens sett av
DEVSECOPS for sin effektivitet instilling sikkerhet bevissthet inn i utviklingsprosessen, slik at utviklere kan lære å oppdage sårbarheter i seg selv.
Software development hygiene kan virke som en plage til tider, men det går en lang vei mot å hindre store hodepine nedover veien — og brukere vil sikkert nytte, selv om de ikke alltid er klar over bak-den-scener innsats.
