Med skumma botnet arméer som lurar runt om i världen och vigilante gray-hat aktörer att ympa känsliga enheter, aptit för Internet of Things säkerhet är starkare än någonsin.
“Om du kastar IoT på en con prata, du har en ganska bra chans att komma in,” anmärkte information security professional
Jason Kent, som han började sin presentation på Chicagos
Thotcon hacking och säkerhet konferens i förra veckan.
Medan de sårbarheter som han beskrev kanske inte har varit de forskare att hitta den mest spännande, de har tjänat till att illustrera hur mycket arbete återstår att göra för att stötta upp enkla, men förödande, säkerhetshål.
Med artister av Mirai och Hajime botnät jagar stråk av sakernas internet enheter som har svaga root-lösenord konto och öppna en telnet-portar, säkerhet och sjukvårdspersonal är förståeligt nog sugen på att påverka branschen bort från dessa fallgropar.
Det finns dock allvarliga brister i SSL-implementering och information om säkerhetsrutiner finns i många IoT följeslagare mobila appar, Kent påpekade i sitt tal, “sakernas internet väv av Intriger.”
Personuppgifter Som Utsätts
SSL-inställningar kan tyckas triviala jämfört med andra hot, men exempel på en enkel RAPA fullmakt att samla in data som överförs mellan en mobil-app och dess motsvarande server för en massa enheter, betonade hur genomgripande — och potentiellt förödande för användare — sådana sårbarheter kan vara.
Kent presenteras ett antal exempel som visar hur en uppdelning av det full SSL-certifikat i paket tagna från app kan tillåta någon att skicka kommandon på uppdrag av den användare som först skickade det, som många IoT enhet servrar kommer att acceptera alla paket med rätt krypteringsnyckel, oavsett om det intyg som delen medföljer.
I många fall blir det värre. När certifikatet är split, ofta alltför stora eller creepily invasiva data som finns inom det är tydligt för alla att se. I fallet med en home security kamera, undersöka paketet visade inte bara användarnamn och lösenord i klartext, men också en variabel inställning husägare försäkring leverantör för användaren.
En annan kamera paket innehöll en GET-begäran skickas på autentisering, med andra familjemedlemmar, och deras motsvarande e-postadresser och användarnamn, som var behöriga att få åtkomst till kameran.
Om någon av konferensens deltagare lämnade prata känsla djupt orolig med tillstånd av sakernas internet som är praxis, det var mer än förståeligt.
Så vart tog alla dessa gapande hål kommer från?
Sprickor i Grunden
Problemet delvis härrör från en underappreciation av hur många konsekvenser för säkerheten höjs genom att ansluta IoT-enheter till Internet, eller underlåtenhet att höja dem alls, Kent berättade LinuxInsider efter hans tal.
“Jag var rapportera ett problem och har aldrig träffat sin security team”, sade han, berättar en avslöjande telefonsamtal med ett företag. “Jag träffade deras PR-team, deras advokater — ingen från säkerhet. Varför? Eftersom detta företag [gjort] en maskin och sedan sätta upp det på Internet, utan att inse att de behöver förändra sin verksamhet lite när som hände.”
Även om IoT tillverkare kan ha nytta av att göra en mer samlad insats för att hålla jämna steg med moderna metoder nätsäkerhet, det är hela branschen utmaningar som är förknippade med användning av SSL för att stärka osäkra underliggande arkitekturer, Kent påpekade.
“Den mobila appar är egentligen bara en webbläsare med premade sidor”, sa han. “Appen ber om data från API: et och visar att data för användaren.”
Korrekt SSL verkligen kan gå en lång väg mot att stärka underliggande processer, men “vi håller på att bygga på en grund som inte var säker till att börja med,” Kent observerats.
Arbetar Under Radarn
Fortfarande är utsikterna inte helt pessimistisk, Kent sa, notera att det finns många resurser som utvecklare kan utnyttja för att upp sitt spel.
“Varje app dev bör vara en deltagande medlemsstats av
OWASP,” rådde han, med hänvisning till the Open Web Application Security Project, en ideell organisation för att aggregera security best practices in omfattande guider för utvecklare på alla nivåer.
Kent berömde också de prejudikat som skapats av
DEVSECOPS för dess effektivitet, att ingjuta trygghet medvetande i utvecklingsprocessen så att utvecklare kan lära sig att upptäcka sårbarheter i sig.
Utveckling av programvara hygien kan verka som en irritation ibland, men det går en lång väg mot att förhindra stora huvudvärk på vägen — och användare verkligen kommer till nytta, även om de inte alltid är medvetna om bakom-kulisserna-insatser.
