目次:
ビデオ: ç¯ å´Žæ„›â˜†å¯æ„›ã„オッãƒ'イåã (十一月 2024)
先週末、分散型サービス拒否攻撃(DDOS)のおかげで、米国のインターネットはクロール速度が低下しました。 これは2つの理由で興味深い攻撃でした。 まず、攻撃者は誰であっても、DDOS攻撃の通常のMOのように、1つのWebサイトをジャンクリクエストであふれさせませんでした。 代わりに、彼らはDNSプロバイダーのDynを追跡しました。これにより、多数のWebサイトのクロールが遅くなったり、操作が完全に停止したりしました。 DNSインフラストラクチャの過剰集中化に関する警告は、突然非常に興味深いものになりました。
ティーポットはそれをやった
攻撃の中心にあったのがMiraiで、これは特に珍しいマルウェアではありません。 Linuxを搭載したIoTデバイスのように見えるWebに接続されたデバイスをスキャンし、明らかに杭州Xiongmai Technologyのセキュリティカメラとホームルーターを優先します。 次に、テーブルでデフォルトのパスコードを検索してログインします。内部に入ると、デバイスの制御を中央のコマンドアンドコントロールサーバーに渡します。
この攻撃はそれが成し遂げたことに衝撃的でしたが、残念ながら私たちが来るとは思いもしませんでした。 2013年のBlack Hatカンファレンスで、Craig Heffnerはネットワークに接続されたセキュリティカメラを簡単に引き継ぐ能力を実証しました。 彼のデモンストレーションには、D-Link、Linksys、Cisco、IQInvision、3SVisionなどの有名企業が含まれます。 どのデバイスが攻撃に対して脆弱であるかを尋ねられたとき、彼はコントロールできないブランドを見つけていないと言いました。
彼のデモでは、ヘフナーはカメラをだまして、強盗映画のようにループするビデオを表示させました。 しかし、彼の話の実際の実体はもっと悲惨だった。 防犯カメラ、やかん、冷蔵庫などのIoTデバイス、そしてもちろん、ワイヤレスルーターでさえ、インターネットに接続された小さなコンピューターです。 攻撃者が個人または企業を特に標的にしたい場合、これらの防御力の低いデバイスを攻撃し、それらを被害者のネットワークの残りの部分を探索するためのビーチヘッドとして使用できると彼は言いました。 そして、それらは小さなコンピューターであるため、攻撃者が望むコードを実行するように誘導される可能性があります。
このように考えてください。あなたは家を守るために最高の盗むことのできないロックを備えた最強のドアを買うことができますが、泥棒はまだ窓から侵入することができます。
IoTは異なる
セキュリティ業界では、コンピューターではなく人々を非難するのが好きです。 人々がもっと警戒していたら、それが導入される前に、Heartbleedのバグを見つけたかもしれません。 人気のある格言は、セキュリティシステムの最大の障害点はコンピューターと椅子の間です。 好例:ヒラリークリントンのキャンペーンチェアであるジョンポデスタのGmailアカウント(彼のリゾットレシピなどを紹介しました)のハッキングは、明らかにフィッシング詐欺から始まりました。
しかし、IoTセキュリティの場合、消費者が同じように責任を負うことはできません。 たとえば、車の所有者は、運転中に注意を払い、合理的なメンテナンスを提供する必要があります。 自動車会社は、順番に、実際にあなたを殺さない製品を提供する必要があります。
私たちの社会が変わると、消費者の期待も変わりました。 消費者の支持者は、一部の車は「どんな速度でも安全ではない」と指摘しています。 そして、進化する生き物のように、車は新しい付属物を発芽させました:シートベルト、エアバッグ、しわくちゃゾーンや、変化する世界で消費者を合理的に安全に保つために特別に設計された材料などのあまり目立たない機能。
同じことが消費者テクノロジーにも当てはまります。 悪意のあるソフトウェアの急増と、単にインターネットに接続するだけのデバイスにもたらされる危険性により、メーカーは消費者を保護するためにより積極的な役割を果たすようになりました。 たとえば、Windowsには、Microsoftがインストールおよび保守するウイルス対策が付属しています。 同社はまた、定期的にパッチを発行しています。消費者が直面する課題は複雑すぎて、自分で対処することができないためです。スマートフォンが離陸し始めたとき、メーカーと開発者はPCの長年の試練から学んだ。 モバイルセキュリティにはいくつかの問題がありますが、PCの歴史と比較すると、簡単なことです。 Confickerで見たようなスマートフォンでのこのような広範囲の感染はありませんでしたが、うまく行かないことを願っています。
IoTの歴史は、おそらく金魚をナビゲーターとして使用した別のコースを作成しました。 デバイスへのアクセスを制御し、数十年にわたって数十億台のコンピューターと電話を接続することから学んだベストプラクティスを採用する代わりに、メーカーは安価な製品を市場に急いで行きました。 場合によっては、サービス、アップグレード、またはパッチを適用しないように設計されたもの。 また、問題に対処できたとしても、個人が省力デバイスをコンピューターと同じように扱うことを期待することは、おそらく間違いなく合理的ではありません。 大多数の消費者は、当然のことながら、デバイスに画面や何らかの入力方法がない場合、それらのサービスを受けることを意図していないと考えています。
これは起こりませんでした
最近のDDoS攻撃で最も苛立たしいのは、IoTメーカーが壁に書かれていることわざを見るために30年間の消費者技術を見ればよいということです。 そして、それができなければ、セキュリティ研究者(企業や趣味のハッカーも同様)が噴出した警告に注意する必要がありました。 これらの人々は、使用方法を慎重に検討せずにインターネット上に数十億個のデバイスを追加することは悪い考えであるということを聞くだろう人に言った。 2014年、Dan Geerは、IoTがすでに私たちの手元にあり、トラブルにつながる可能性があると述べて、Black Hat会議を開きました。
シニカルな姿勢を保つための私の最善の努力にもかかわらず、IoTは避けられず、説得力があると感じています。 Sci-fiは、コンピューターや未来の機器について話すことを何十年も約束してきました。そのため、2020年までにインターネットに接続されるデバイスが64億台になるというGartnerの予測は実現可能です。 これらのデバイスはすでにストリーミングボックス、ゲームコンソール、ワイヤレスルーターなどの家庭にあります。 攻撃者と自動化された攻撃の観点から見ると、これらは悪用するIPアドレスにすぎません。
私たちが休日に向かって急いで、新世代のIoTデバイスに飛び込むとき、最前線のユーザーが理解できるように設計されたセキュリティを導入しましょう。 2020年までに私がまだ人々に提供しなければならない最良のアドバイスがスマートデバイスの接続を解除することである場合、この業界はイノベーションや知性でさえその評判に値しません。