zdravim a rad bych pozornost zdejsiho velevazeneho publika nasmeroval na udalost pred par dny, kdy v US Kongresu probehlo slyseni ve kterem se pozvani experti Bruce Schneier (znamy kryptograf,tvurce nekolika sifer a zaroven security researcher) spolu s dr.Fu (associate professor in computer science at University Michigan) snazili objasnit pritomnym nebezpeci narustajiciho poctu IoT zarizeni a jejich mizerneho ci spise nuloveho zabezpeceni pro americkou infrastrukturu.
Video zde:
http://www.dailydot.com/layer8/bruce-schneier-internet-of-things/ ci eventuelne zde:
https://www.youtube.com/watch?v=BvId5-0295U#t=1h10m10s Behem cca hodinove rozpravy a zejmena pri zodpovidani otazek od kongresmanu/kongresmanek zaznelo nekolik klicovych informaci a postrehu ktere (doufam) mohou rozsirit obzory kazdemu kdo se o security na internetu zajima.
Zaroven si pravdepodobne kazdy uvedomi ze "divoke/zivelne pripojovani IoT do internetu" tak jak probiha v soucasnosti je z dlouhodobeho hlediska neudrzitelne a celkove krajne nebezpecne.
Pokud nedojde k zasadnimu prehodnoceni pristupu k IoT a to tak ze rychle, nebude trvat dlouho a nastane stav na zpusob tohoto:
http://www.geekculture.com/joyoftech/joyimages/2340.png Coz muze na prvni pohled pusobit usmevne, ovsem nedavne ransomware utoky na nektery americke nemocnice, utok na DynDNS ci utok na web Briana Krebse kdy byl vyDOSovan z internetu silou 620Gbps
https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ uz tak vesele nejsou. Zejmena utok na Krebse se stal urcitym milnikem v dejinach internetovych utoku, protoze zaprve ukazal "jakou palebnou silu" staci pouzit ci lepe receno jak malo to vlastne stoji odstrelit nekoho natrvalo z tak "otevreneho a liberalniho media" jakym je/byl internet a za druhe naznacil ze klasicke DDOSove utoky pomoci DNS reflection attack ci SYN flood zacinaji byt nahrazovany jeste snadnejsimi a levnejsimi utoky od infikovanych a naprosto nezabezpecenych IoT hracek(sracek) vseho druhu hromadne pripojovanych do site kterych pro efektivni botnet ani nemusi byt prilis mnoho. Podle cerstve zpravy Akamai ktera fungovala 20zari2016 tedy v dobe utoku jako stit pro Krebsuv web, postacilo 24.000 kompromitovanych IoT.
viz.
https://krebsonsecurity.com/2016/11/akamai-on-the-record-krebsonsecurity-attack/ V Kongresu je rovnez zmineno riziko hackovani aut coz vypada v realu takto:
"Hackers Remotely Kill a Jeep on the Highway—With Me in It"
https://www.youtube.com/watch?v=MK0SrxBC1xs ci takto "Car Hacking Research: Remote Attack Tesla Motors by Keen Security Lab" :
https://www.youtube.com/watch?v=c1XyhReNcHY&feature=youtu.be PS: v debate Schneier takzte vysvetluje PROC NELZE OCEKAVAT ze "trh se sam bude regulovat" (ano koukam na tebe Ivane Novy znamy to optimalni prerozdelovaci zdroju a slepe duverujici spravedlive ruce trhu....)
PS2: dluzno dodat ze druhymi nejvetsimi priznivci IoT hned po producentech jsou samotni hackeri- protoze rozsirovani botnetu v jejich sprave se stalo jeste snadnejsim, i kdyz se zverejnenim zdrojoveho kodu k Mirai botnetu
https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/ se da predpokladat ze z "kolace se bude snazit ukusovat vice zajemcu..."
Je tedy opravdu nejvyssi cas aby se zakonodarci sebrali a urychlene zavedli minimalni POVINNE standardy pro zarizeni ktera si nicnetusici uzivatele odnaseji po tisicich domu a zapojuji je do site...
Ono to, ze sami hackeri oznacuji IoT jako "Internet of Trash" neni jen tak bez duvodu, a kazdemu je jasne ze ocekavat jakoukoliv sebereflexi od vyrobcu nelze protoze "security costs money."
1 Odpovědí
2201 Zhlédnutí