Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Интернет на нещата
31 окт
2017
 
 

Можем ли да се справим с рисковете на автоматизирания дом?

Пробив в сигурността на SmartThinQ на LG демонстрира нагледно уязвимостта на IoT устройствата

2421 прочитания

Разкритията от тази седмица за пробойни в сигурността на SmartThinQ – технологията на LG за автоматизиране на комуникацията с гамата от “умни” домашни уреди, предизвикаха редица въпросителни около цялостната концепция за Интернет на нещата (IoT), тъй като хакерите непрекъснато усвояват нови методи за нападение и превземане на интелигентни устройства от разстояние.

1

SmartThinQ на LG е рамка за комуникация между устройствата, която позволява те да бъдат контролирани чрез приложения за смартфон или гласови команди с помощта на платформи като Amazon Alexa и Google Home. Технологията е вградена в множество хладилници, печки, съдомиялни машини, пречистватели на въздуха, перални машини, сушилни, роботизирани прахосмукачки и др.

Слабостите в основния софтуер, наречени “HomeHack” и разкрити от изследователите на Check Point Software Technologies на 31 юли, позволяват на хакерите да създадат фалшив акаунт в системата на LG, a след това да го използват за превземането на легитимен профил, осигурявайки си достъп до всички негови уреди.

Това, наред с други неща, предизвиква сериозни опасения за сигурността - камерата за дистанционно наблюдение на роботизираните прахосмукачки например може да се използва за наблюдение на частни домове или офиси.

Рискът за сигурността на IoT устройствата не се ограничава само до камерите или контрола на “умните” домашни уреди - дори те да бъдат напълно изследвани за уязвимости, рискът от пробив в сигурността на медицинските устройства или индустриалните сензори за контрол, които потенциално биха могли да причинят нараняване или смърт, дават особен приоритет на необходимостта от спешни подобрения, тъй като IoT преформулира и концепцията за сигурността на устройствата като цяло.

LG Electronics реагираха бързо на предупреждението на Check Point, актуализирайки платформата си в посока навременното откриване на проблеми, след което, по думите на мениджърът на екипа за интелигентно развитие на компанията Коонсеок Лий, SmartThinQ функционира "плавно и безпроблемно".

Този привидно гладък процес на софтуерно "закърпване" е в основата на опита на повечето производители на IoT устройства, които първоначално не са обръщали достатъчно внимание на сигурността. Проблемите се усложняват и от бързия темп на развитие на IoT стандартите, като MQTT, който подобрява комуникациите между различните устройствата и по този начин отваря нови канали за превземане на голям брой системи едновременно.

"Свързаните с мрежата IoT устройства се превръщат в мишени за DDoS атаки", алармира Стейнтор Бярнасон от Arbor Networks.

2

Тази липса на достатъчно сигурни защити превърна IoT устройствата в лесни жертви за атаки от рода на Mirai или неговото разклонение, наречено Persirai, което може да зарази 1250 различни модела охранителни камери. Не по-малка опасност крие и Windows Mirai Spreader – троянски кон, открит през февруари, който не само заразява компютрите с Windows OS, но ги използва и за сканиране на корпоративни мрежи за откриването на други уязвими устройства.

Едно мащабно превземане би позволило на нападателите да генерират огромни обеми от DDoS данни, използвайки значителните мрежови ресурси на голяма компания. Тези атаки могат да бъдат насочени срещу външни цели или срещу уязвими вътрешни ресурси, включително центровете за данни и WAN/LAN мрежови инфраструктури, които в повечето случаи не са защитени от подобни кибер нападения, предупреждава Бярнасон.

По-рано тази година един от лидерите в корпоративната сигурност - Trend Micro - предупреди, че заплахите от рода на Persirai са само върхът на айсберга, а официалните тестове на промишлени роботи показват, че те са изключително уязвими за отдалечено превземане. За да се реши проблемът, разработчиците, операторите и фирмите за сигурност трябва да направят "атаките срещу индустриалните роботи толкова скъпи, че на практика да са нерентабилни", предупреждават от Trend Micro и съветват да се използват “строгите практики в софтуерното инженерство за подобряване на стабилността на кодовете и засилване на основните ресурси за удостоверяване”.

Регулаторите работят за повишаване на доверието в сигурността на IoT. Доставчиците на услуги, свързани с тази концепция, също се движат в тази посока, опитвайки се да подобрят своите практики с помощта на външни консултанти.

Въпреки тези тенденции и факта, че някои производители преразглеждат своите инструменти за гарантиране на сигурността с цел да улеснят подобренията на място (както LG успя да направи в случая с “HomeHack”), много други продължават все още да предлагат устройства с незащитен дизайн и функции. Набиращите скорост програми SecDevOps също обещават да подобрят цялостно практиките за защита на ниво разработчици, нопритиснати от времето и изискванията на компаниите самите разработчици сякаш твърде бавно свикват с новите реалности.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ

Слайдшоу
ИНТЕРВЮ
Тод Англин, Progress:  София има страхотна общност от софтуерни разработчициТод Англин, Progress: София има страхотна общност от софтуерни разработчици

Конференцията DevReach се завръща в София, има месец до събитието, а всички билети вече са разпродадени, коментира главният евангелист на Progress.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас