Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets?

  • Owen Little
  • 0
  • 1539
  • 317
Publicité

L'Internet des objets recèle énormément de promesses. Chaque appareil avec lequel nous interagissons est mis en réseau, offrant ainsi une technologie bon marché à la maison intelligente. Ce n'est qu'une des possibilités. Eh bien, malheureusement, aussi passionnant qu’un monde totalement réseauté, l’Internet des objets est systématiquement et terriblement peu sûr..

Un groupe de chercheurs en sécurité de l’Université de Princeton soutient que l’Internet des objets est alors Malheureusement, le trafic réseau, même crypté, est facilement reconnaissable. Comment fonctionne le cryptage et est-il vraiment sans danger? Comment fonctionne le chiffrement et est-il vraiment sûr?? .

Y at-il une substance à leur demande, ou est-ce une autre “la norme” IoT hit-piece? Nous allons jeter un coup d'oeil.

Cuit au four

Le problème est que les périphériques individuels ont des profils de sécurité individuels. Et certains paramètres de sécurité entrent dans l'appareil. Cela signifie que les utilisateurs finaux ne peuvent pas modifier les paramètres de sécurité..

Paramètres identiques pour des milliers de produits correspondants.

Vous pouvez voir le problème de sécurité majeur qui se pose: pourquoi l'Internet des objets est le plus grand cauchemar de sécurité Pourquoi l'internet des objets est-il le plus grand cauchemar de sécurité . Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez découvrir la difficulté. .

Combiné avec un malentendu général (ou est-ce une pure ignorance?) Sur la facilité avec laquelle il est facile de s'approprier un appareil IoT pour des activités néfastes, il existe un véritable problème mondial.

Par exemple, un chercheur en sécurité, lorsqu’il a parlé à Brian Krebs, a expliqué qu’il avait été témoin de routeurs Internet mal sécurisés utilisés comme proxy par SOCKS, comme annoncé ouvertement. Ils ont émis l'hypothèse qu'il serait facile d'utiliser les webcams et les autres appareils IoT basés sur Internet pour la même chose, et de nombreuses autres choses..

Et ils avaient raison.

La fin de l'année 2016 a vu un massif Attaque DDoS. “Massif,” vous dites? Oui: 650 Gbps (environ 81 Go / s). Les chercheurs en sécurité d’Imperva qui ont détecté l’attaque ont constaté, grâce à l’analyse de la charge utile, que la majeure partie de l’alimentation provenait de périphériques IoT compromis. Doublé “Leet” après une chaîne de caractères dans la charge utile Voici comment les installateurs de logiciels fonctionnent sous Windows, macOS et Linux Voici comment les installateurs de logiciels fonctionnent sous Windows, macOS et Linux Les systèmes d'exploitation modernes vous fournissent des méthodes simples pour configurer de nouvelles applications. Mais que se passe-t-il lorsque vous exécutez ce programme d'installation ou émettez cette commande? , c'est le premier botnet IoT à rivaliser avec Mirai (l'énorme botnet qui ciblait le chercheur et journaliste de renom en matière de sécurité, Brian Krebs).

IoT Sniffing

Le document de recherche de Princeton, intitulé Une maison intelligente n'est pas un château [PDF], explore l'idée que “les observateurs de réseau passifs, tels que les fournisseurs de services Internet, pourraient potentiellement analyser le trafic du réseau IoT pour déduire des informations sensibles sur les utilisateurs.” Les chercheurs Noah Apthorpe, Dillon Reisman et Nick Feamster examinent “un moniteur de sommeil sensé 6 Smart Gadgets pour vous aider à mieux dormir 6 Smart Gadgets pour vous aider à mieux dormir Ne pas dormir une bonne nuit n'est jamais une bonne façon de commencer la journée. Heureusement, il existe de nombreux gadgets pour la maison qui peuvent vous aider à bien dormir la nuit. , une caméra de sécurité Nest Cam Indoor, un commutateur WeMo et un Amazon Echo.”

Leur conclusion? Les empreintes de trafic de chacun des appareils sont reconnaissables, même lorsqu'elles sont cryptées.

  • Nest Cam - Observer peut déduire lorsqu'un utilisateur surveille activement un flux ou qu'une caméra détecte un mouvement dans son champ de vision.
  • Sens - Observer peut déduire les habitudes de sommeil de l'utilisateur.
  • WeMo - Observer peut détecter l'activation ou la désactivation d'un appareil physique dans une maison intelligente.
  • Écho - Observer peut détecter lorsqu'un utilisateur interagit avec un assistant personnel intelligent.

Accéder aux paquets

Le document Princeton suppose qu'un attaquant détecte (intercepte) des paquets (données) directement auprès d'un FAI. Leur analyse provient directement des métadonnées de paquet: en-têtes de paquet IP, en-tête de paquet TCP et taux d'envoi / réception. Quel que soit le point d’interception, si vous pouvez accéder aux paquets en transition, vous pouvez essayer d’interpréter les données..

Les chercheurs ont utilisé une stratégie en trois étapes pour identifier les appareils IoT connectés à leur réseau improvisé:

  1. Séparer le trafic en flux de paquets.
  2. Étiqueter les flux par type d'appareil.
  3. Examiner les taux de trafic.

Cette stratégie a révélé que même si un appareil communiquait avec plusieurs services, un attaquant potentiel “généralement seulement besoin d'identifier un seul flux qui code l'état de l'appareil.” Par exemple, le tableau ci-dessous illustre les requêtes DNS associées à chaque flux, mappées sur un périphérique particulier..

Les résultats de la recherche reposent sur plusieurs hypothèses, certaines spécifiques à l’appareil. Les données du moniteur de sommeil Sense supposent que les utilisateurs “arrêtez d'utiliser vos appareils immédiatement avant de dormir, que tout le monde à la maison dorme en même temps et ne partage pas leurs appareils, et que les utilisateurs ne laissent pas leurs autres appareils fonctionner pour effectuer des tâches ou des mises à jour grand réseau.”

Chiffrement et conclusions

BII estime que d'ici 2020, 24 milliards d'appareils IoT seront en ligne. La liste des principales vulnérabilités IoT du projet de sécurité des applications Web ouvertes (OWASP) est la suivante:

  1. Interface Web non sécurisée.
  2. Authentification / autorisation insuffisante.
  3. Services de réseau non sécurisés.
  4. Manque de cryptage de transport.
  5. Problèmes de confidentialité.
  6. Interface cloud non sécurisée.
  7. Interface mobile non sécurisée.
  8. Configurabilité de sécurité insuffisante.
  9. Logiciel / micrologiciel non sécurisé.
  10. Mauvaise sécurité physique.

OWASP a publié cette liste en 2014 - et il n'a pas vu de mise à jour depuis, car les vulnérabilités restent les mêmes. Et, comme le rapportent les chercheurs de Princeton, il est étonnant de voir à quel point un observateur de réseau passif peut facilement déduire du trafic crypté de la maison intelligente. Ne croyez pas ces 5 mythes sur le cryptage! Ne croyez pas ces 5 mythes sur le cryptage! Le chiffrement semble complexe, mais est beaucoup plus simple que la plupart des gens ne le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors faisons tomber quelques mythes sur le cryptage! .

Le défi consiste à déployer des solutions VPN IoT intégrées ou même à convaincre les fabricants d’appareils IoT qu’une sécurité accrue en vaut la peine (par opposition à une nécessité)..

Une étape importante serait d'établir une distinction entre les types d'appareils. Certains périphériques IoT sont intrinsèquement plus sensibles à la confidentialité, tels qu'un périphérique médical intégré par rapport à Amazon Echo. L'analyse utilise uniquement les débits d'envoi / de réception du trafic chiffré pour identifier le comportement des utilisateurs - aucune inspection approfondie des paquets n'est nécessaire. Et même si des fonctionnalités de sécurité intégrées supplémentaires peuvent avoir un impact négatif sur les performances des périphériques IoT, il incombe aux fabricants de fournir certains semblant de sécurité pour les utilisateurs finaux.

Les appareils IoT sont de plus en plus répandus. Les réponses aux questions relatives à la protection de la vie privée ne sont pas faciles à trouver, et de telles recherches illustrent parfaitement ces préoccupations..

Avez-vous accueilli des appareils intelligents pour la maison et IoT dans votre vie? Avez-vous des inquiétudes au sujet de votre vie privée après avoir pris connaissance de cette recherche? Quelle sécurité pensez-vous que les fabricants devraient être obligés d'installer dans chaque appareil? Faites-nous savoir vos pensées ci-dessous!




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.