NEW YORK - Akıllı ev cihazları ve diğer "Nesnelerin İnterneti" cihazlarının şimdi güvenlik altına alınması gerekiyor, çünkü geçen Cuma (Ekim Cuma günü internetin büyük bölümlerini ortadan kaldıran saldırıya benzer saldırılar). 12). Bu, bugün burada konuşan bir güvenlik uzmanları panelinin ulaştığı fikir birliğiydi (Ekim. 24) Ulusal Siber Güvenlik İttifakı tarafından düzenlenen bir konferansta.

Kredi: Alexander Kirch / Shutterstock
(Resim kredisi: Alexander Kirch / Shutterstock)

Kimlik koruma firması LifeLock'un baş bilgi güvenliği ofisi Neil Diswani, "Bugünden önce IoT güvenliği tartışmalı olabilirdi" dedi. "Ama artık durum böyle değil."

Yine de uzmanlar nihai hedef üzerinde hemfikir olsalar da, oraya nasıl gidecekleri konusunda anlaşamadılar. Bazıları, akıllı ev güvenliğini zorunlu kılmak için hükümet düzenlemesini savunurken, diğerleri, tüketiciler güvenli olmayan cihazları reddettikçe, serbest pazarın IoT satıcılarını güvenliği dahil etmeye zorlayacağını savunuyor.

DAHA: Akıllı Ev Cihazlarınızı Nasıl Korursunuz

Hollandalı yonga üreticisi NXP Semiconductors'ın siber güvenlik çözümlerinden sorumlu başkan yardımcısı Sami Nassar, "Güvenliğin sonradan akla geldiği internette yaptığımız hatanın aynısını yapamayız," dedi. "En başından itibaren güvenliği tasarım gereği düşünmeliyiz."

Beş panelistin tamamı bunun değerli bir hedef olduğu konusunda hemfikirdi, ancak Diswani sektörün kendi kendini düzenlemesinin öncülük edeceğini umduğunu söylerken IoT üreticilerinin daha iyi güvenliği dahil etmeleri için, başka bir konuşmacı, yalnızca devlet müdahalesinin sorunu çözebileceğine karşı çıktı. konu.

"Bankalar sonunda güvenilen cihaz sayısının sıfır olduğunu fark ettikleri noktaya geldi. Columbus, Ohio'daki Panopticon Laboratories'den Matthew Cook, ağın tehlikeye girdiğini varsaymanız gerektiğini söyledi.

Cook, "Kullanıcılar çok ama çok motive olduklarında bile üreticilerin uygulamaları değiştirmelerini sağlamanın kolay olduğuna dair herhangi bir kanıt görmedim," diye ekledi. "Bankaların kendi kendilerini düzenlemelerini sağlamak için yedi yılımı harcadım, ancak düzenleme getirilene kadar etmediler."

Mirai Botnet ile Mücadele

Geçtiğimiz Cuma günü Kuzey Amerika'daki ağ kesintilerine, en azından kısmen, ABD tarafından başlatılan dağıtılmış hizmet reddi (DDoS) Mirai botnet. Bu, bilinmeyen kişiler tarafından enfekte olmuş ve kontrol edilmiş binlerce DVR ve ağa bağlı kameranın bir toplamıdır. Alan Adı Sistemi (DNS) sunucularını, sunucuları bunaltan gereksiz istek selleri ile bombalamaya yönlendirildi. Cuma.

Ağustos ayında Mirai botnet, şimdiye kadar kaydedilen en büyük DDoS saldırılarından birinden sorumluydu. O zamandan beri, Mirai kaynak kodu halka açıldı ve sonuç olarak, herhangi bir yarı yetenekli çevrimiçi yanlış kişi onu daha fazla IoT cihazına bulaşmak ve daha fazla botnet oluşturmak için kullanabilir.

Mirai kötü amaçlı yazılım, birçok IoT cihazının aynı varsayılan yönetici kullanıcı adlarına ve şifrelerine sahip olması nedeniyle çalışır. Tüketiciler bu kimlik bilgilerini nadiren değiştirirler - çoğu durumda, tüketiciye var oldukları veya değiştirilebilecekleri bile söylenmez. Mirai, interneti bu tür cihazlar için tarar ve bulduğu her biri için yönetici kimlik bilgilerini dener, ardından savunmasız cihazları botnetinin bir parçası olacak şekilde yeniden yapılandırır.

Cihazlar Nasıl Güvenli Hale Getirilir

Varsayılan kimlik bilgileri sorunu, DVR'ler ve kameralarla sınırlı değildir. Milyonlarca ev Wi-Fi yönlendiricisi - çoğu ev kullanıcısı için internete gerçek bir ağ geçidi - hala varsayılan kimlik bilgilerini kullanıyor ve kullanıcılarını saldırıya maruz bırakıyor.

Milyonlarca akıllı kilitler, spor bantları, akıllı buzdolapları ve diğer cihazlarda aynı sorun var, hatta bazıları Wi-Fi şifrelerini herhangi birinin araya girmesi için açık havada iletiyor. Ne en iyi antivirüs yazılımıne de en iyi Mac antivirüs yazılımı ne de en iyi Android antivirüs uygulamaları seni koruyabilecek.

"Web kameranız bir ulusa saldırmak için ele geçirilebilirse, aynı teknik ne zaman kullanılabilir? Slovak antivirüs üreticisinin Kuzey Amerika bölümü CEO'su Andrew Lee'ye sordu ESET. "Ya Wi-Fi şifreniz kapı ziliniz tarafından sızdırılırsa? Bu şeylerin herhangi bir insan müdahalesi olmadan paylaştığı ve topladığı veri hacmi, büyük bir saldırı yüzeyi oluşturabilir. "

Ulusal Siber Güvenlik İttifakı'nın yönetici müdürü Michael Kaiser, "Ben buna Benim İnternetim diyorum" dedi. "Bu cihazların gerçekten çalışması için sizin hakkınızda çok şey bilmeleri gerekir. Akıllı termostatınızın çalışması için eve ne zaman geldiğinizi bilmesi gerekir. "

"Varsayılan şifreleri değiştirerek bu cihazları kilitlemeye başlamamız gerekiyor." - Andrew Lee, ESET

Ancak o zaman bile, uzmanlar cihazların nasıl güvenli hale getirileceği konusunda anlaşamadılar. Lee, tüketicilerin, her akıllı ev cihazı kutudan çıkar çıkmaz idari kimlik bilgilerini değiştirmek için eğitilmesi gerektiğini savundu.

Lee, "Varsayılan şifreleri değiştirerek bu cihazları kilitlemeye başlamamız gerekiyor," dedi. "İnsanlara, bu cihazlarda şifrelerini açar açmaz değiştirmemiz gerektiğini nasıl öğretebiliriz?"

Nassar, üreticilerin yükü taşıması gerektiğini ima etti.

"Marka ile sorumluluk gelir" dedi. "Bir sorumluluk sorunu var. Minimum kurallara ve minimum düzeyde güvenliğe sahip olmanız gerekir... En başından itibaren güvenliği göz önünde bulundurarak inşa ederseniz, güvenlik işin itici gücü olur. "

"Baştan itibaren güvenliği göz önünde bulundurarak inşa ederseniz, güvenlik işin itici gücü olur." - Sami Nassar, NXP Semiconductors

Diswani, Underwriters Laboratories'e benzer şekilde, Nesnelerin İnterneti cihazlarının kullanımının güvenli olduğunu onaylayacak üçüncü taraf kuruluşların kurulmasını savundu. (Ünlü hacker Peiter "Mudge" Zatko ve eşi Sarah Zatko böyle bir organizasyon yarattı.)

Diswani, "Eşyalara rozet koymak tüketiciler için iletişim konusunda yardımcı olabilir." Dedi.

Yanıt olarak, bir dinleyici üyesi "Cihazın altındaki UL mührünü kaç kişi kontrol ediyor?" Diye sordu.

"Çok değil," diye yanıtladı Kaiser.

Cook, "Bu yarın bitmeyecek ve gelecek yıl bitmeyecek," diyerek, "IoT'nin bazı çok özel zorlukları var" dedi.

  • Nesnelerin İnterneti Sizi Nasıl Öldürebilir?
  • En İyi Akıllı Ev Aletleri
  • Akıllı Cihazlar Siber Suçluların Evinize Girmesine Nasıl İzin Verir?