İçindekiler:
Video: Vodafone'un ucuz ve hızlı internet planı (Kasım 2024)
Geçtiğimiz hafta sonu, ABD İnternet dağıtık hizmet reddi saldırısı ya da DDOS sayesinde yavaşlamaya başladı. İki nedenden dolayı ilginç bir saldırıydı. İlk olarak, saldırganlar - her kim olursa olsun - DDOS saldırıları için her zamanki MO gibi tek bir web sitesini önemsiz taleplerle doldurmadı. Bunun yerine DNS sağlayıcısı Dyn'in peşinden gittiler, bu sayede birçok web sitesi gezinmeye yavaşladı ya da işlemleri tamamen durdurdu. DNS altyapısının aşırı merkezileşmesi ile ilgili uyarılar aniden çok ilginç hale geldi.
Çaydanlık yaptı
Saldırının merkezinde, özellikle egzotik bir kötü amaçlı yazılım parçası olmayan Mirai vardı. Linux destekli IoT cihazları olduğu görünen Web’e bağlı cihazları tarar, görünüşe göre Hangzhou Xiongmai Teknolojisinden güvenlik kameralarını ve ev yönlendiricilerini tercih eder. Daha sonra bir masadaki varsayılan şifreyi arar ve giriş yapar. İçeri girdiğinde, cihazın kontrolünü merkezi bir komuta ve kontrol sunucusuna devreder.
Bu saldırı başardıklarını şok ederken, ne yazık ki gelmediğini göremedik. 2013'teki Black Hat konferansında Craig Heffner, ağ bağlantılı güvenlik kameralarını kolayca ele geçirme yeteneğini gösterdi. Gösterisi, D-Link, Linksys, Cisco, IQInvision ve 3SVision dahil tanıyacağınız büyük şirketlerden oluşuyordu. Hangi cihazların saldırıya açık olduğu sorulduğunda, kontrol edilemeyen bir marka bulamadığını söyledi.
Heffner, gösterimi için, kamerayı bir soygun filminde olduğu gibi döngüsel bir video göstermesi için kandırdı. Ancak konuşmasının asıl özü çok daha korkunçtu. Güvenlik kameraları, çay su ısıtıcıları, buzdolapları ve evet gibi IoT aygıtları, kablosuz yönlendiriciler bile internete bağlı küçük bilgisayarlardır. Saldırganlar özel olarak bir kişiyi veya şirketi hedeflemek istiyorsa, kötü korunan bu cihazlara saldırabileceklerini ve kurbanın ağının geri kalanını keşfetmek için onları plaj başı olarak kullanabileceklerini söyledi. Ve küçük bilgisayarlar oldukları için, saldırganın istediği kodu yürütmek için makul bir şekilde eşeksenli olabilirler.
Bunu şu şekilde düşünün: evinizi korumak için en iyi kapamayan kilitlerle en güçlü kapıları satın alabilirsiniz, ancak bir hırsız hala camlardan içeri girebilir.
Çok Farklı
Güvenlik endüstrisinde, insanları değil bilgisayarları suçlamayı severiz. İnsanlar daha fazla uyanık olsaydı, tanıştırılmadan önce Heartbleed böceklerini yakalamış olabilirler. Popüler bir deyiş, herhangi bir güvenlik sistemindeki en büyük başarısızlık noktasının bilgisayar ile sandalye arasında olmasıdır. Örnek olay: Hillary Clinton kampanya başkanı hack John Podesta'nın Gmail hesabının kesilmesi - bizi diğer risotto tarifiyle tanıttı - görünüşe göre bir kimlik avı dolandırıcılığıyla başladı.
Ancak IoT güvenliği durumunda, tüketiciler aynı şekilde sorumlu tutulamaz. Örneğin bir araç sahibi olarak, sürüş sırasında dikkatli olmanız ve makul bir bakım sağlamanız gerekir. Sırasıyla, otomobil şirketinin size sizi gerçekten öldürmeyecek bir ürün sağlaması gerekiyor.
Toplumumuz değiştikçe tüketicilerin beklentileri de değişti. Tüketici savunucuları, bazı otomobillerin "herhangi bir hızda güvensiz" olduğuna işaret ediyor. Gelişen bir yaratık gibi, otomobiller de yeni ekleri filizledi: emniyet kemerleri, hava yastıkları ve ezilme bölgeleri ve tüketicileri değişen bir dünyada makul bir şekilde güvende tutmak için özel olarak tasarlanmış malzemeler gibi daha az belirgin özellikler.
Akıllı telefonlar kalkmaya başladığında, üreticiler ve geliştiriciler PC yıllarının denemelerinden öğrendiler. Mobil güvenlik yol boyunca bazı darbelere sahip olsa da, PC tarihine kıyasla bir engel oldu. Conficker ile gördüğümüz akıllı telefonlarda bu tür yaygın bir enfeksiyon yaşamadık ve umarım asla çözemeyiz.
IoT'in tarihi, belki de bir akvaryum balıkını denizci olarak kullanan farklı bir rota çizdi. Cihaza erişimi kontrol etmek ve yıllarca milyarlarca bilgisayarı ve telefonu birbirine bağlamaktan öğrenilen en iyi uygulamaları kullanmak yerine, üreticiler piyasaya ucuz ürünler koştu. Bazı durumlarda, hiçbir zaman servis yapılmayacak, yükseltilemeyecek ya da yamalanmayacak olanlar. Ve sorunların çözülebilmesine rağmen, bireylerin işgücü tasarrufu sağlayan cihazlara bilgisayarları gibi davranmalarını beklemek makul değildir. Tüketicilerin büyük bir çoğunluğu, bir cihazın bir ekranı veya bir tür giriş yönteminin olmaması durumunda, bunlar tarafından hizmet edilmesinin amaçlanmadığını varsaymaktadır.
Bunun Olması Gerekmedi
Son DDoS saldırısının en sinir bozucu kısmı, IoT üreticilerinin duvardaki meşhur yazıyı görmek için sadece 30 yıllık tüketici teknolojisine bakmaları gerektiğidir. Ve bunu başaramazlarsa, güvenlik araştırmacılarının (hem kurumsal hem de hobi korsanları) verdiği uyarıları dikkate alabilirlerdi. Bu insanlar, nasıl kullanılacağına dikkat etmeden, milyarlarca cihazı daha fazla İnternet'e nasıl sokacaklarını dinleyenlere, kötü bir fikir olduğunu söyledi. 2014 yılında, Dan Geer, IoT'nin zaten üzerimizde olduğunu ve sorun yaşayabileceğini söyleyerek Black Hat konferansını başlattı.
Sinik olma çabalarıma rağmen, IoT kaçınılmaz ve çekici geliyor. Bilim kurgu bize onlarca yıldır bilgisayarlardan ve fütüristik cihazlardan bahsettiğimizi vaat etti ve belki de Gartner’in 2020’ye kadar internete bağlı 6, 4 milyar cihaz olacağına dair öngörülebilir. Bu cihazlar zaten evimizde: akış kutuları, oyun konsolları, kablosuz yönlendiriciler. Saldırganların ve otomatik saldırıların gözünde bunlar, istismar edilecek daha fazla IP adresi.
Tatillere doğru ilerlerken ve yeni nesil IoT cihazlarına girerken, kullanıcılar tarafından anlaşılacak şekilde tasarlanan güvenliği ön plana çıkaralım. 2020 yılına kadar hala insanlara sunmak zorunda olduğum en iyi tavsiye akıllı cihazlarının bağlantısını kesmekse, bu endüstri yenilikçilik ve hatta istihbarat konusundaki itibarını hak etmiyor.
