Glauben Sie dem Hype nicht:Warum das IoT ins Stocken gerät

Ken Munro bei Pen Test Partners

Wenn es um Hype-Zyklen geht, stehen wir mit ziemlicher Sicherheit am Rande der Ernüchterung über das IoT. Jüngste Untersuchungen haben ergeben, dass 60 % der Testimplementierungen fehlgeschlagen sind. Aber obwohl einige Pilotprojekte ins Stocken geraten sind, deutet das Gewicht der Geräte im Einsatz noch nicht darauf hin, dass wir den Höhepunkt erreicht haben. Vielmehr scheint die Akzeptanz selbst ins Stocken zu geraten.

Die Einführung des IoT war nicht der geplante durchschlagende Erfolg, und dies ist auf eine Reihe von Problemen zurückzuführen. Erstens die IoT-Fähigkeit von Geräten, die diese zusätzliche Konnektivität nicht unbedingt gewährleisten. Nehmen Sie das IoT-Aquarium, das Fütterung, Wassertemperatur und -qualität reguliert, sagt Ken Munro, Partner bei Pen Test Partners .

Das mag nach einem arbeitssparenden Gerät klingen, aber letztendlich verlor ein Casino, in dem der Tank installiert war, 10 GB Daten an ein Gerät in Finnland. IoT-Sicherheit hört nicht beim Gerät auf. Dies zeigt, dass solche Geräte verwendet werden, um ausnutzbare Hintertüren zu Netzwerken zu erstellen, die den Diebstahl von Anmeldeinformationen und die Exfiltration von Daten ermöglichen.

Bedenken hinsichtlich der Langlebigkeit behindern auch die Akzeptanz, da Geräte oft ausgetauscht statt aktualisiert werden, was die Benutzer dazu veranlasst, die Rentabilität der Investition in Frage zu stellen. Dann stellt sich die Frage, ob der Hersteller die Ressourcen hat, um eventuell auftretende Probleme zu beheben?

Im Laufe der Zeit treten Sicherheitslücken auf und wenn dies passiert und Ihre Geräte gepatcht werden müssen, wird der Hersteller dann die Zeit investieren, um dies zu überwachen oder die Schuld zu leugnen oder sogar den Support einzustellen?

Ausgesprochene Details

Der Schutz der bestehenden installierten Basis bereitet den Herstellern echte Kopfschmerzen. Wenn Sie die Shodan-Website durchsuchen, sehen Sie eine Vielzahl von bereitgestellten IoT-Geräten (und beunruhigend sogar industrielle Steuerungssysteme) mit Details zur IP-Adresse, dem ausgeführten Betriebssystem und der verwendeten Softwareversion. Und die FCC veröffentlicht hilfreicherweise die Schaltpläne für bald erscheinende IoT-Geräte, komplett mit Schaltplänen für diejenigen, die nähere Details wünschen.

In vielen Fällen kann ein Angreifer Geräte von Shodan identifizieren und einfach die Standardanmeldeinformationen abrufen, um Zugriff zu erhalten. Wir haben einmal eine praktische „Super-Passwort“-Liste mit täglichen Anmeldedaten für das ganze Jahr gefunden, die von einem Techniker auf einer Social-Media-Site veröffentlicht wurde. Offensichtlich ist die Sicherheit der Lieferkette tendenziell lasch. Dieser Fall zeigt, wie einfach es ist, an „vertrauliche“ Daten zu gelangen.

Angesichts dieser Widrigkeiten versuchen Hersteller nun, Daten an Dritte zu verkaufen. Das mag kommerziell sinnvoll sein, aber es gefährdet die Sicherheit und Privatsphäre der Benutzerbasis weiter. Es könnte zum Beispiel die Grundrisse Ihres Büros sehen, die weiterverkauft werden, wenn Sie der Benutzer eines IoT-Staubsaugers sind. Und was ist, wenn diese Informationen auf dem Schwarzmarkt landen? Daten des Gebäudemanagementsystems (BMS) könnten besonders nützlich sein. Denken Sie an die Erpressung, die möglich wäre, wenn ein Angreifer Ransomware über intelligente Thermostate legen würde.

Das Problem lösen

Die Zyniker unter Ihnen werden sich fragen, ob nicht auch der Endanwender die Verantwortung übernehmen sollte und es stimmt, dass nur wenige Geräte beim Einrichten neu konfigurieren. Das liegt zum Teil daran, dass dies sehr schwierig sein kann. Wenn Sie erfolgreich sind, haben Sie auch die Standard-PIN in mobilen Apps oder Web-Apps geändert, die zur Steuerung des Geräts verwendet werden? Es ist immer noch fraglich, ob sich dies lohnt, da es Stunden dauert, eine vier- oder sechsstellige PIN zu knacken.

Der derzeitige Mangel an Vertrauen kann nur auf mangelnde Sicherheit zurückgeführt werden, und das bedeutet, dass die Hersteller ihr Spiel verbessern müssen. Sie müssen sich um die sichere Entwicklung mobiler Apps, starkes Sitzungsmanagement und Verschlüsselung in Webdiensten, die sichere Implementierung des gewählten drahtlosen Standards und auf dem Gerät selbst kümmern, ungenutzte Funktionen wie serielle Ports oder Debug-Ports deaktivieren, Verschleierungstechniken anwenden und sicheres implementieren Schlüsselspeicherung, während die Firmware verschlüsselt und signiert werden sollte.

Bedauerlicherweise wird die Einführung des IoT ins Stocken geraten, bis die Anbieter beginnen, der Sicherheit Priorität einzuräumen. Es braucht nur einen weiteren kühnen Malware-Angriff, vielleicht über eine universelle Schnittstelle wie Port 80, um die Aufnahme irreparabel zu beschädigen. Im Moment muss sich die Branche darauf konzentrieren, Vertrauen aufzubauen, und das bedeutet, entweder selbst auferlegte oder gesetzliche Vorschriften zu erlassen.

Der Autor dieses Blogs ist Ken Munro, Partner bei Pen Test Partners