Sadržaj
- Nezaštićene mreže
- Fizičko ruganje
- Slabo web sučelje
- Zastareli protokoli i ažuriranja sustava
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Šifriranje podataka i uređaja
- Autonomni sustavi
- Kršenja privatnosti
- Zaključak
Izvor: Luke Wilcox / Dreamstime.com
Oduzeti:
Internet stvari (IoT) svakodnevno povezuje sve više i više uređaja. Iako to može značiti veću udobnost za potrošače, to znači i povećane vektore napada za hakere.
Živimo u povezanom svijetu, gdje se gotovo svi uređaji povezuju. Internet stvari (IoT) dolazi na sjajan način i nevjerojatnim mogućnostima - ali donosi i ozbiljne sigurnosne prijetnje. IoT povezuje fizičke uređaje, pa hakiranje IoT uređaja može koštati ljudskog života. Sada je vrijeme za mjerenje i planiranje IoT ranjivosti i njihovu prevenciju. Slijedi nekoliko najvećih zabrinutosti za sigurnost IoT-a. (Više o IoT sigurnosti pogledajte 10 koraka za jačanje vaše IoT sigurnosti.)
Nezaštićene mreže
Praktično, to se odnosi na ranjivosti koje mogu postojati u mrežnim sustavima i na taj način omogućuju hakerima ponovni pristup. To je jedna od glavnih briga, jer uljezi dobivaju pristup povezanim uređajima putem mreže. Daljnje implikacije mogu biti pristup neovlaštenim i potencijalno povjerljivim podacima koji se mogu koristiti za druge zločine.
Neki problemi koji mogu dovesti do nesigurne mreže jesu otvoreni portovi (primjerice, Universal Plug and Play (UPnP)), korisničke usluge protokola Datagram (UDP) koje se mogu iskoristiti, prepuni međuspremnik, uskraćivanje usluge (DoS), mreženje mrežnih uređaja itd. Međutim, postoje i protumjeri za takve probleme, uključujući:
- Dostupni su samo potrebni priključci
- Zaštita usluga od punjenja međuspremnika i nejasnih napada
- Zaštita usluga od DoS napada za uređaje u lokalnoj ili drugoj mreži
- Ne ostavljajući mrežne portove otvorenima za UPnP
Fizičko ruganje
Nezaštićeni otvoreni krajevi poput otvorenih portova, USB priključaka, punjača za mobilne uređaje itd. Također su odgovorni za ubrizgavanje zlonamjernog softvera u IoT uređaje. Fizičko diranje uređaja omogućuje napadaču rastavljanje uređaja i pristup medijima za pohranu podataka i podacima na tom mediju. Nadalje, ako se takav uređaj koristi za održavanje ili konfiguraciju određenih upravljačkih sustava, pristup u pogrešnim rukama može dovesti do pustošenja.
Međutim, opet, donošenje određenih mjera može pomoći u sprečavanju fizičkog neovlaštenja. Na primjer, pohrana podataka treba biti šifrirana i dodatno ih otežati uklanjanje. Druga je mogućnost osigurati da se dozvoli pristup samo vanjskim ulazima potrebnim za funkciju proizvoda. Ograničenje administrativnih mogućnosti uređaja može biti i protiv fizičkog zloporabe. Nadalje, opasnost od držanja opreme na sigurnom mjestu koja omogućava pristup samo ovlaštenom osoblju.
Slabo web sučelje
Web sučelja koriste se za interakciju s IoT uređajima. Iako ovo zahtijeva jednostavnost interakcije s korisnicima, ukoliko nije osigurana, postoji svaka mogućnost da se hakira. Određeni problemi koji sigurno mogu dovesti do toga da napadač dobije neovlašteni pristup uređaju uključuju slabe zadane vjerodajnice, izlaganje vjerodajnica u mrežnom prometu, upravljanje sesijama, skripta na više mjesta (XSS), ubrizgavanje SQL-a itd.
Suzbijanje ovih pitanja može se učiniti na više načina. Promjena zadanih korisničkih imena i lozinki mora se prisiliti tijekom početnih postavki. Metode koje se koriste za oporavak lozinke moraju biti dovoljno robusne da ne dopuštaju curenje informacija. Zaporke također moraju imati pravilo koje omogućuje postavljanje snažnih prolaznih kodova. Uz to, ne smiju biti izloženi u mrežnom prometu. Razvoj sučelja mora biti izveden na način da nisu osjetljivi na XSS i SQL injekciju. Također se mogu zaključavati računi na određenom broju neuspjelih pokušaja.
Zastareli protokoli i ažuriranja sustava
Neki pametni uređaji možda koriste zastarjele protokole i možda ih nisu redovito ažurirali. To je slaba točka i uređaj se može lako hakirati. Sama ideja iza nadogradnji programera jest popraviti greške i ranjivosti u sustavu tijekom vremena. Međutim, korištenje neažuriranog softvera u velikoj mjeri poražava svrhu.U stvari, mnogi pametni sustavi koji se koriste za kontrolu elektroničkih predmeta poput hladnjaka, klima uređaja itd. Mogu lako postati plijen zbog nedostatka ažuriranja softvera. Dakle, jedini način da budete sigurni da su ranjivosti sustava zakrpljene je redovitim ažuriranjima.
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Također, upotreba zastarjelih protokola može povećati rizik i predstavlja ozbiljnu zabrinutost. Jedan primjer takvog protokola je Session Initiation Protocol (SIP).
Šifriranje podataka i uređaja
Ponekad pametni IoT uređaji nisu ispravno šifrirani. To je uglavnom prevladava među lokalnim mrežama i u velikoj mjeri preko interneta. Preneseni podaci, bez šifriranja, u osnovi se nalaze među prometom radi lakšeg tumačenja. Podaci često ostaju nešifrirani ili su ranjivi zbog loše implementacije SSL / TLS-a. Takvi podaci, u pogrešnim rukama, dovode do kompromisa, neovlaštenog mijenjanja i promjene podataka. Način da se to spriječi je korištenje SSL / TLS-a uz odgovarajuću primjenu. Upotreba industrijskih standardnih postupaka enkripcije također može poboljšati sigurnost podataka tijekom pohrane ili prijenosa. (Da biste saznali više o sigurnosti u IoT-u, pogledajte Ključne rizike povezane s IoT-om - i kako ih ublažiti.)
Autonomni sustavi
Sustavi za koje se zna da uživaju potpunu autonomiju često su laki ciljevi hakera. Budući da ti sustavi rijetko zahtijevaju ljudsku intervenciju u svojim operacijama, teško ih je pratiti i također predstavljaju ogroman rizik. Na primjer, razmislite o automobilu koji se vozi samostalno i koji može biti hakiran ako zanemaruje ograničenja brzine. Rezultati očito mogu biti pogubni. Postoji najmanje deset poznatih načina napada na neuronske mreže, što čini se da je osnova za rad autonomnih sustava. Jedan takav primjer je napad na crnu kutiju, gdje se ulazi mogu slati u nepoznati sustav i informacije dobivene iz prikupljanja rezultata.
Jedini način da se nadmaše takvi napadi bilo bi razvijanje slojevitijih i složenijih sustava kako bi ih bilo teže interpretirati i podvaliti. Također, ljudska intervencija s vremena na vrijeme može pomoći u otklanjanju nedostataka i zaštiti od takvih napada.
Kršenja privatnosti
Sumnjivi proizvođači uređaja kao i hakeri često vas mogu besprijekorno pratiti koristeći pametne uređaje. Takve zabrinutosti izazivaju zbog prikupljanja osobnih podataka koji se mogu proučiti korištenjem automatiziranih alata. Ti alati tada mogu prepoznati posebne obrasce koji predstavljaju osjetljive podatke.
Da bi se tome suprotstavili, upotreba uređaja koji dolaze od poznatih tvrtki potencijalno može biti rješenje takvog problema. Drugi način da se osigura sigurnost je vidjeti da se pristupa samo podacima potrebnim za funkcioniranje uređaja ili se može postaviti ograničenje u kojoj mjeri se podaci mogu prikupljati. Šifriranje podataka je također zaštitni položaj za sigurno čuvanje prikupljenih podataka i sprječavanje zlouporabe.
Zaključak
IoT je tu da ostane i postat će još veći u narednim godinama. Stoga, unatoč ranjivosti koje postoje u IoT sustavima i uređajima, jedina ideja je biti oprezan i kontroliran kako bi se sigurnosna pitanja pravilno rješavala.