Med skyggefulde botnet hære, der lurer rundt om i verden og vagtværn grå-hat aktører udså modtagelige enheder, appetit for tingenes Internet security er stærkere end nogensinde.
“Hvis du smider IoT på en con tal, du har fået en ret god chance for at komme ind,” bemærkede information security professional
Jason Kent, da han begyndte sin præsentation på Chicago ‘ s
Thotcon hacking og sikkerhed-konferencen i sidste uge.
Mens de sårbarheder, beskrev han kan ikke have været dem, der har forskere med at finde de mest spændende, de tjente til at illustrere, hvor meget arbejde, der skal gøres for at dæmme op for simpelt, men ødelæggende, sikkerhedshuller.
Med den holder af Mirai og Hajime botnets at drive rovdrift på skår af IoT-enheder, der har svage root-konto passwords og åbn telnet havne, sikkerhed fagfolk er forståeligt nok opsat på nudging industrien væk fra disse faldgruber.
Men der er alvorlige mangler i SSL-implementering og informationssikkerhed, der findes i mange IoT følgesvend mobile apps, Kent påpegede i sin tale, “tingenes internet spind af Intriger.”
Personlige Data Udsat
SSL forkerte konfigurationer, kan synes banalt i forhold til andre trusler, men eksempel på en simpel BØVS proxy indsamling af data, der overføres mellem en mobil app og den tilsvarende server for en masse enheder, fremhæves, hvordan pervasive-og potentielt ødelæggende for brugere — sådanne sårbarheder kan være.
Kent-præsenterede talrige eksempler, der viste, hvordan at opdele den fulde SSL-certifikat i pakker taget fra app kan gøre det muligt for alle at sende kommandoer på vegne af den bruger, der oprindeligt sendte det, som mange IoT enhed servere vil acceptere en pakke bærer den rigtige krypteringsnøgle, uanset om eller ikke de certifikat del, der ledsager den.
I mange tilfælde, at det bliver værre. Når certifikatet er opdelt, ofte overdreven eller creepily invasive data, der er indeholdt i det er tydeligt for alle at se. I tilfælde af et hjem sikkerhed kamera, undersøge pakken ikke blot afsløret, at brugernavn og password i klartekst, men også en variabel indstilling af homeowner forsikring udbyder til brugeren.
En anden kameraets pakker, der indeholdt en GET-anmodning sendt ved godkendelse notering andre familie medlemmer, og deres tilsvarende e-mail-adresser og bruger-id ‘ er, der var autoriseret til at få adgang til kameraet.
Hvis nogen af konferencens deltagere forlod tale følelse dybt urolig med staten IoT praksis, var det mere end forståeligt.
Så, hvor har alle de gabende huller kommer fra?
Revner i Fundamentet
Problemet stammer dels fra en underappreciation af, hvor mange sikkerhedsmæssige konsekvenser er rejst ved at tilslutte enheder, tingenes internet til Internet, eller undlader at hæve dem på alle, Kent fortalte LinuxInsider efter hans tale.
“Jeg var ved at rapportere et problem og aldrig har mødt deres sikkerhed team,” sagde han, beretter en offentliggørelse telefonopkald med en virksomhed. “Jeg mødte deres PR-team, deres advokater-ingen fra sikkerhed. Hvorfor? Fordi dette selskab lavede en maskine, og så lægge det ud på Internettet, ikke at indse, at de er nødvendige for at ændre deres forretning lidt, da det skete.”
Selv om IoT producenter kan drage fordel ved at lave mere en samordnet indsats for at holde trit med moderne netværk, sikkerhed praksis, der er i branchen udfordringer, der er forbundet med brug af SSL-for at styrke usikre underliggende arkitekturer, Kent påpeget.
“De mobile apps er virkelig bare Web-browsere med premade sider,” sagde han. “App’ en beder om data fra API ‘ et og viser, at data for brugeren.”
Korrekt implementeret SSL-så kan du helt sikkert gå en lang vej mod at sikre underliggende processer, men “vi bygger på et fundament, der ikke var sikkert, at begynde med,” Kent observeret.
At arbejde Under Radaren
Stadig, outlook er ikke helt pessimistisk, Kent sagde, at bemærke, at der er mange ressourcer udviklere kan trykke på for at op deres spil.
“Hver app-dev skal være et deltagende medlem af
OWASP,” han rådede, med henvisning til Open Web Application Security Project, et nonprofit foretagende, der er dedikeret til at sammenlægge sikkerheds-bedste praksis i omfattende vejledninger for udviklere på alle niveauer.
Kent også rost den præcedens, som
DEVSECOPS for sin effektivitet, at der kan skabes sikkerhed bevidsthed ind i udviklingsprocessen, så udviklere kan lære at spotte sårbarheder sig selv.
Software udvikling hygiejne kan virke som en irriterende til tider, men det går en lang vej mod at forhindre store hovedpine ned af vejen — og brugere, der helt sikkert vil være til gavn, selv om de ikke altid er opmærksomme på bag-the-scenes indsats.
