Video: How dangerous are IOT devices? | Yuval Elovici | TEDxBGU (Desember 2024)
Dalam kumpulan prediksi signifikan kami untuk 2014, kami telah melihat target serangan baru, kebangkitan Internet nasional, keamanan seluler, dan pembayaran online. Kemungkinan bahwa penyerang akan menargetkan "Internet of Things" adalah prediksi paling umum kedua di antara para pakar keamanan, setelah keamanan seluler. Symantec bahkan menjuluki "Internet of Things" sebagai "Internet Kerentanan."
Internet of Things mengacu pada bagaimana perangkat elektronik konsumen sekarang memiliki alamat IP dan dapat dikendalikan dari jarak jauh. Lemari es pintar, sistem termostat rumah, TV pintar, perangkat penyimpanan, peralatan medis, mobil, sensor pada jaringan listrik, mesin latihan, dan bahkan pembuka pintu garasi, hanyalah contoh kecil dari Internet of Things.
Serangan Datang
Sementara masih dalam tahap awal, segera tahun depan kulkas pintar, kunci dan termostat akan pindah ke arus utama, kata Andreas Baumhof, CTO di ThreatMetrix. Internet of Things tidak jauh berbeda dari jenis aktivitas online lainnya; Penyerang cyber akan dapat membajak jaringan nirkabel atau mengeksploitasi kerentanan untuk menyerang jaringan atau mencuri informasi pribadi, katanya.
Kami telah melihat beberapa contoh serangan potensial di berbagai proyek proof-of-concept di Black Hat dan konferensi lainnya di seluruh negeri. Seorang peneliti Qualys menunjukkan bagaimana mungkin untuk mengeksploitasi kerentanan dalam antarmuka pengguna untuk kamera D-Link IP untuk membajak kamera dan umpan gambar. Almarhum Barnaby Jack menunjukkan cara meretas pompa insulin beberapa tahun yang lalu dan telah dijadwalkan untuk membahas risiko terhadap alat pacu jantung di Black Hat tahun ini. Mantan wakil presiden Dick Cheney mengungkapkan pada bulan Oktober bagaimana dokter telah menonaktifkan konektivitas nirkabel pada alat pacu jantungnya karena kekhawatiran bahwa seseorang akan dapat meretas perangkat tersebut.
Namun, vendor perangkat keras jarang memikirkan keamanan - apakah itu memperbaiki bug pada perangkat lunak yang disematkan atau mengatasi masalah di sisi perangkat keras - ketika meluncurkan perangkat baru ke pasar. Bahkan ketika masalah teridentifikasi, pabrikan sering menarik kaki mereka tentang menambal kerentanan, kata para peneliti dari Rapid7. 2013 adalah tahun yang besar untuk cacing dan bentuk eksploitasi lainnya untuk Internet of Things, dan ketika tingkat adopsi untuk perangkat ini meledak, kita akan melihat lebih banyak jenis serangan.
Tapi kami punya waktu. Internet Identity mengatakan insiden di mana "peretas jahat akan mengambil keuntungan dengan membakar rumah-rumah dari jarak jauh dan / atau mematikan sistem keamanan dari jarak jauh untuk memungkinkan pencuri masuk, " bukan sesuatu yang harus kita harapkan pada 2014, tetapi pada 2015, kata IID.
Penelitian, Bukti-Konsep
"Meskipun kami tidak mengharapkan serangan terhadap 'Internet of Things' meluas pada 2014, kami memperkirakan peningkatan kerentanan yang dilaporkan dan eksploitasi konsep-bukti, " kata Gerhard Eschelbeck, CTO di Sophos.
Ancaman keamanan luas dan "berpotensi menghancurkan" dan organisasi harus memastikan bahwa teknologi untuk konsumen dan perusahaan mematuhi standar keselamatan dan keamanan yang tinggi, kata Steve Durbin, wakil presiden Forum Keamanan Internet. "Seharusnya tergantung pada perusahaan sendiri untuk terus membangun keamanan melalui komunikasi dan interoperabilitas, " kata Durbin.
Sekelompok kecil pakar keamanan berpengaruh meminta para peneliti untuk memfokuskan energi mereka pada perangkat yang terhubung dan berpotensi rentan ini seperti alat pacu jantung, pompa insulin, dan sistem tertanam lainnya. Kelompok, "We Are the Cavalry, " ingin mendidik masyarakat umum tentang masalah serius yang hadir dalam perangkat ini karena mereka mengenai pasar dengan sedikit atau tanpa pertimbangan tentang keamanan, Josh Corman, direktur intelijen keamanan di Akamai dan salah satu dari para pemimpin kelompok, mengatakan kepada peserta pada konferensi OWASP AppSec USA pada bulan November.
"Ini tentang melakukan penelitian pada hal-hal yang penting daripada hal-hal yang terus terang tidak penting, " kata Nick Percoco, direktur di KPMG dan pemimpin kelompok lainnya, pada presentasi yang sama. Jika seseorang dengan alat pacu jantung meninggal, seseorang perlu melakukan forensik pada alat pacu jantung, katanya. Jika komunitas riset tidak fokus pada perangkat ini dan mempublikasikan masalah, "bagaimana kita akan tahu sebagai masyarakat bahwa hal-hal ini memiliki kekurangan?" Dia bertanya.
"Mari kita lakukan keamanan yang penting, bukan hanya pekerjaan sehari-hari kita. Dunia luar adalah bagian dari solusi yang ditetapkan. Ini adalah keamanan untuk kebaikan publik, " kata Corman.