Noll
Framväxten av ansluten Internet of Things (IoT) – enheter kan ha gjort hemma liv mer sammankopplade, smart och effektivt-i vissa fall-men det har också orsakat en säkerhet minfält full av hål och utnyttjar.
Vi behöver bara tänka tillbaka till Mirai botnät, som hundratusentals av sakernas internet och mobila prylar var förslavade till ett botnet av sådan storlek att det lyckats kort knock out anslutning för hela landet.
Botnät bestod av sakernas internet enheter med standard referenser som är lätt att brute-force. Sedan dess, Mirai-stil botnet copycats har framkommit att rikta online-tjänster. I ett aktuellt fall, ett hot skådespelare kunde bygga ett botnät som bygger på utsatta IoT enheter 18,000-stark i endast 24 timmar.
Om lax och protokollen för säkerhet finns på plats, allt från smart belysning inställning till övervakningskameror kan inte bara lösas genom hot aktörer, men används mot sin ägare.
Nu tycks det som om Message Queuing-Telemetry Transport (API) – protokollet, som används för att styra smarta hem-enheter, är nu orsakar en ny säkerhet huvudvärk.
Enligt säkerhetsforskare från Avast, API gör sin väg in i våra bostäder och företag som ett medel för att kontrollera de stora utbud av sakernas internet enheter till vårt förfogande.
Men it-företaget säger att det i protokollet, vilket kräver en server eller mini-PC som Raspberry Pi, är att utsätta IoT-enheter för att attackera.
Medan API i sig är säker, som är den vanligaste server programvara som implementerar protokollet-som kallas Api — när genomförts felaktigt i produkter och tjänster såsom smarta hem-hubbar, servrar kan bli synligt som banar väg för en angripare att kompromettera ansluten IoT-enheter.
CNET: IoT-attacker är värre — och ingen lyssnar
När dessa enheter är anslutna till ett system, till exempel, angripare kan få tillgång till andra system, stjäla information och mer. Säkerhetsbrister i ålderdomliga fax kan användas för att stjäla data från företag, och så att användningen av sakernas internet enheter, på samma sätt, är inte orealistiskt.
Enligt it-företaget, prospektering genom Shodan sökmotor upptäckt över 49 000 API-servrar som var synliga för allmänheten på grund av felkonfiguration av API-protokollet.
Dessutom 32,000 av de servrar som finns hade inget skydd alls, eftersom inget lösenord var på plats för att förhindra inträde.
Avast
“Den tidiga användningen fall för IoT-enheter har stor del industri,” Avast säger. “Det andra problemet är att människor i allmänhet inte fokus på säkerhet när du ställer upp IoT-enheter. Om du inte uppmuntra användaren att ändra inställningar (minst för att ändra standardlösenordet), de kommer förmodligen att sluta med standardkonfigurationen.”
TechRepublic: Hur att inokulera tech besättning från sakernas internet it-infektioner
För att testa hur känsliga smarta hem kan vara, forskare valde en öppen API-server och tecknade till protokollet på distans, vilket kräver ingen autentisering. I det här fallet, de kunde för att övervaka kommunikationskanal mellan olika home automation system, liksom spionera på alla ljus som var de tänds och släcks.
Inte bara kan denna typ av tillgång göra det möjligt för angripare att kontrollera om eller inte någon är hemma — vilket potentiellt kan leda till fysiska inbrott-men de kan också utföra “replay-attacker” för att ta kontroll över sakernas internet enheter, som smart dörren lås.
För att göra saken värre, forskarna kunde också få tillgång till smarta hem system instrumentpaneler även när API-servrar var säker.
Många IoT-produkter är beroende av open-source-komponenter såsom Domoticz, Hem Assistent, och OpenHAB, som Avast finns ofta används standard-konfigurationer som krävs inga bevis för att komma åt.
När instrumentbrädan och servern var både skyddade, det tog bara en snabb kontroll av andra tjänster som är anslutna till dem att hitta andra säkerhetshål att utnyttja.
I vissa fall, öppen och oskyddad SMB-aktier finns tillgängliga, och dessa offentligt delade kataloger som finns konfigurationsfiler som innehåller referenser lagras i klartext, vilket leder till ohämmad tillgång till smarta hem instrumentpaneler.
Se även: ‘Hacky hack hack’: Tonåring gripen för att bryta sig in i Apples nätverk
“Eftersom det fortfarande finns många dåligt säkrad protokoll som går tillbaka till en svunnen teknik epoker när säkerhet har inte högsta prioritet, det är skrämmande lätt att få tillgång till och kontroll av en persons smarta hem”, säger forskarna. “Att underlätta för IoT-enheter och smarta hem hubbar är ansluten till internet är ett tveeggat svärd, och det finns en trade-off mellan användarvänlighet och säkerhet.”
Tidigare och relaterade täckning
Öppen källkod sårbarheter som inte kommer att dö: den Som är skyldig? Mozilla våtservetter 23 Firefox add-ons från kartan för att spåra användarnas verksamhet Allvarlig sårbarhet exponerar WordPress hemsidor till attack
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0