Можем ли да се справим с рисковете на автоматизирания дом?
Разкритията от тази седмица за пробойни в сигурността на SmartThinQ – технологията на LG за автоматизиране на връзката с гамата от “умни” домашни уреди, провокираха редица въпросителни към цялостната идея за Интернет на нещата (IoT), защото хакерите непрестанно усвояват нови способи за нахлуване и завладяване на интелигентни устройства от разстояние.
SmartThinQ на LG е рамка за връзка сред устройствата, която разрешава те да бъдат следени посредством приложения за смарт телефон или гласови команди благодарение на платформи като Amazon Alexa и Гугъл Home. Технологията е вградена в голям брой хладилници, печки, съдомиялни машини, пречистватели на въздуха, перални машини, сушилни, роботизирани прахосмукачки и други
Слабостите в главния програмен продукт, наречени “HomeHack” и разкрити от откривателите на Check Point Software Technologies на 31 юли, разрешават на хакерите да основат подправен акаунт в системата на LG, a по-късно да го употребяват за завладяването на законен профил, осигурявайки си достъп до всички негови уреди.
Това, наред с други неща, провокира съществени опасения за сигурността - камерата за отдалечено наблюдаване на роботизираните прахосмукачки да вземем за пример може да се употребява за наблюдаване на частни домове или офиси.
Рискът за сигурността на IoT устройствата не се лимитира единствено до камерите или контрола на “умните” домашни уреди - даже те да бъдат изцяло изследвани за уязвимости, рискът от пробив в сигурността на медицинските устройства или индустриалните датчици за надзор, които евентуално биха могли да причинят пострадване или гибел, дават необикновен приоритет на нуждата от незабавни усъвършенствания, защото IoT преформулира и концепцията за сигурността на устройствата като цяло.
LG Electronics реагираха бързо на предизвестието на Check Point, актуализирайки платформата си в посока навременното разкриване на проблеми, след което, по думите на мениджърът на екипа за интелигентно развиване на компанията Коонсеок Лий, SmartThinQ действа " гладко и безпроблемно ".
Този видимо равен развой на софтуерно " закърпване " е в основата на опита на множеството производители на IoT устройства, които в началото не са обръщали задоволително внимание на сигурността. Проблемите се усложняват и от бързия ритъм на развиване на IoT стандартите, като MQTT, който усъвършенства връзките сред другите устройствата и по този метод отваря нови канали за завладяване на огромен брой системи по едно и също време.
" Свързаните с мрежата IoT устройства се трансформират в цели за DDoS офанзиви ", сигнализира Стейнтор Бярнасон от Arbor Networks.
Тази липса на задоволително сигурни отбрани трансформира IoT устройствата в лесни жертви за офанзиви от рода на Mirai или неговото отклонение, наречено Persirai, което може да болести 1250 разнообразни модела охранителни камери. Не по-малка заплаха крие и Windows Mirai Spreader – троянски кон, открит през февруари, който освен заразява компютрите с Windows OS, само че ги употребява и за сканиране на корпоративни мрежи за откриването на други уязвими устройства.
Едно огромно завладяване би разрешило на нападателите да генерират големи размери от DDoS данни, употребявайки забележителните мрежови запаси на огромна компания. Тези офанзиви могат да бъдат ориентирани против външни цели или против уязвими вътрешни запаси, в това число центровете за данни и WAN/LAN мрежови инфраструктури, които в множеството случаи не са предпазени от сходни кибер набези, предизвестява Бярнасон.
По-рано тази година един от водачите в корпоративната сигурност - Trend Micro - предизвести, че заканите от рода на Persirai са единствено върхът на айсберга, а формалните проби на промишлени роботи демонстрират, че те са извънредно уязвими за отдалечено завладяване. За да се реши казусът, разработчиците, операторите и компаниите за сигурност би трябвало да създадат " офанзивите против индустриалните роботи толкоз скъпи, че на процедура да са нерентабилни ", предизвестяват от Trend Micro и поучават да се употребяват “строгите практики в софтуерното инженерство за възстановяване на стабилността на кодовете и усилване на главните запаси за удостоверяване”.
Регулаторите работят за повишение на доверието в сигурността на IoT. Доставчиците на услуги, свързани с тази идея, също се движат в тази посока, пробвайки се да подобрят своите практики благодарение на външни консултанти.
Въпреки тези трендове и обстоятелството, че някои производители преразглеждат своите принадлежности за гарантиране на сигурността за да улеснят подобренията на място (както LG съумя да направи в тази ситуация с “HomeHack”), доста други не престават към момента да оферират устройства с беззащитен дизайн и функционалности. Набиращите скорост стратегии SecDevOps също дават обещание да подобрят изцяло практиките за отбрана на равнище разработчици, нопритиснати от времето и условията на фирмите самите разработчици като че ли прекомерно постепенно привикват с новите действителности.
SmartThinQ на LG е рамка за връзка сред устройствата, която разрешава те да бъдат следени посредством приложения за смарт телефон или гласови команди благодарение на платформи като Amazon Alexa и Гугъл Home. Технологията е вградена в голям брой хладилници, печки, съдомиялни машини, пречистватели на въздуха, перални машини, сушилни, роботизирани прахосмукачки и други
Слабостите в главния програмен продукт, наречени “HomeHack” и разкрити от откривателите на Check Point Software Technologies на 31 юли, разрешават на хакерите да основат подправен акаунт в системата на LG, a по-късно да го употребяват за завладяването на законен профил, осигурявайки си достъп до всички негови уреди.
Това, наред с други неща, провокира съществени опасения за сигурността - камерата за отдалечено наблюдаване на роботизираните прахосмукачки да вземем за пример може да се употребява за наблюдаване на частни домове или офиси.
Рискът за сигурността на IoT устройствата не се лимитира единствено до камерите или контрола на “умните” домашни уреди - даже те да бъдат изцяло изследвани за уязвимости, рискът от пробив в сигурността на медицинските устройства или индустриалните датчици за надзор, които евентуално биха могли да причинят пострадване или гибел, дават необикновен приоритет на нуждата от незабавни усъвършенствания, защото IoT преформулира и концепцията за сигурността на устройствата като цяло.
LG Electronics реагираха бързо на предизвестието на Check Point, актуализирайки платформата си в посока навременното разкриване на проблеми, след което, по думите на мениджърът на екипа за интелигентно развиване на компанията Коонсеок Лий, SmartThinQ действа " гладко и безпроблемно ".
Този видимо равен развой на софтуерно " закърпване " е в основата на опита на множеството производители на IoT устройства, които в началото не са обръщали задоволително внимание на сигурността. Проблемите се усложняват и от бързия ритъм на развиване на IoT стандартите, като MQTT, който усъвършенства връзките сред другите устройствата и по този метод отваря нови канали за завладяване на огромен брой системи по едно и също време.
" Свързаните с мрежата IoT устройства се трансформират в цели за DDoS офанзиви ", сигнализира Стейнтор Бярнасон от Arbor Networks.
Тази липса на задоволително сигурни отбрани трансформира IoT устройствата в лесни жертви за офанзиви от рода на Mirai или неговото отклонение, наречено Persirai, което може да болести 1250 разнообразни модела охранителни камери. Не по-малка заплаха крие и Windows Mirai Spreader – троянски кон, открит през февруари, който освен заразява компютрите с Windows OS, само че ги употребява и за сканиране на корпоративни мрежи за откриването на други уязвими устройства.
Едно огромно завладяване би разрешило на нападателите да генерират големи размери от DDoS данни, употребявайки забележителните мрежови запаси на огромна компания. Тези офанзиви могат да бъдат ориентирани против външни цели или против уязвими вътрешни запаси, в това число центровете за данни и WAN/LAN мрежови инфраструктури, които в множеството случаи не са предпазени от сходни кибер набези, предизвестява Бярнасон.
По-рано тази година един от водачите в корпоративната сигурност - Trend Micro - предизвести, че заканите от рода на Persirai са единствено върхът на айсберга, а формалните проби на промишлени роботи демонстрират, че те са извънредно уязвими за отдалечено завладяване. За да се реши казусът, разработчиците, операторите и компаниите за сигурност би трябвало да създадат " офанзивите против индустриалните роботи толкоз скъпи, че на процедура да са нерентабилни ", предизвестяват от Trend Micro и поучават да се употребяват “строгите практики в софтуерното инженерство за възстановяване на стабилността на кодовете и усилване на главните запаси за удостоверяване”.
Регулаторите работят за повишение на доверието в сигурността на IoT. Доставчиците на услуги, свързани с тази идея, също се движат в тази посока, пробвайки се да подобрят своите практики благодарение на външни консултанти.
Въпреки тези трендове и обстоятелството, че някои производители преразглеждат своите принадлежности за гарантиране на сигурността за да улеснят подобренията на място (както LG съумя да направи в тази ситуация с “HomeHack”), доста други не престават към момента да оферират устройства с беззащитен дизайн и функционалности. Набиращите скорост стратегии SecDevOps също дават обещание да подобрят изцяло практиките за отбрана на равнище разработчици, нопритиснати от времето и условията на фирмите самите разработчици като че ли прекомерно постепенно привикват с новите действителности.
Източник: computerworld.bg
КОМЕНТАРИ