Internet of Things har ett enormt löfte. Varje enhet vi interagerar med är nätverksansluten i någon kapacitet, vilket ger billig smarta hemteknik till alla. Detta är bara en av möjligheterna. Tja, tyvärr, så spännande som en helt nätverksansluten värld låter, är Internet of Things konsekvent och bedrövligt osäkert.
En grupp säkerhetsforskare vid Princeton University hävdar att Internet of Things är det så bedrövligt osäkert att även krypterad nätverkstrafik är lätt att känna igen.
Finns det substans i deras påstående, eller är det en annan “standard” IoT-hit? Låt oss ta en titt.
Inbakad
Problemet är att enskilda enheter har individuella säkerhetsprofiler. Och vissa säkerhetsinställningar kommer in i enheten. Detta innebär att slutanvändare inte kan ändra säkerhetsinställningar.
Inställningar som är desamma för tusentals matchande produkter.
Du kan se det enorma säkerhetsproblemet detta är.
I kombination med ett allmänt missförstånd (eller är det ren okunskap?) om hur lätt det är att anslå en IoT-enhet för skändliga aktiviteter, och det finns en verklig, global fråga till hands.
Till exempel berättade en säkerhetsforskare, när han pratade med Brian Krebs, att de hade sett dåligt säkrade internetroutrar som användes som SOCKS-proxyer, som annonserades öppet. De spekulerade i att det skulle vara lätt att använda internetbaserade webbkameror och andra IoT-enheter för samma, och otaliga andra ändamål.
Och de hade rätt.
I slutet av 2016 sågs en massiv DDoS-attack. “Massivt”, säger du? Ja: 650 Gbps (det är ungefär 81 GB/s). Säkerhetsforskarna från Imperva som upptäckte attacken noterade genom nyttolastanalys att majoriteten av kraften kom från komprometterade IoT-enheter. Döpt till “Leet” efter en teckensträng i nyttolasten, är det det första IoT-botnätet som konkurrerar med Mirai (det enorma botnätet som riktade sig till den kända säkerhetsforskaren och journalisten Brian Krebs).
IoT-sniffning
The Princeton research paper, med titeln Ett smart hem är inget slott [PDF], utforskar idén att “passiva nätverksobservatörer, såsom internetleverantörer, potentiellt skulle kunna analysera IoT-nätverkstrafik för att sluta sig till känsliga detaljer om användare.” Forskarna Noah Apthorpe, Dillon Reisman och Nick Feamster tittar på “en Sense-sömnmonitor, en Nest Cam Indoor-säkerhetskamera, en WeMo-switch och ett Amazon Echo.”
Deras slutsats? Trafikfingeravtryck från var och en av enheterna känns igen, även när de är krypterade.
Nest Cam — Observer kan sluta sig till när en användare aktivt övervakar ett flöde, eller när en kamera upptäcker rörelse i sitt synfält. Känsla — Observer kan härleda användarens sömnmönster. WeMo — Observer kan upptäcka när en fysisk apparat i ett smart hem slås på eller av. Eko — Observer kan upptäcka när en användare interagerar med en intelligent personlig assistent.
Gå till paketen
Princeton-tidningen förutsätter att en angripare sniffar (avlyssnar) paket (data) direkt från en ISP. Deras analys kommer direkt från paketmetadata: IP-pakethuvuden, TCP-pakethuvuden och sändnings-/mottagningshastigheter. Oavsett avlyssningspunkt, om du kan komma åt paket i övergång, kan du försöka tolka data.
Forskarna använde en trestegsstrategi för att identifiera IoT-enheter anslutna till deras provisoriska nätverk:
- Separera trafik i paketströmmar. Märk strömmar efter typ av enhet. Undersök trafikpriser.
Denna strategi avslöjade att även om en enhet kommunicerar med flera tjänster behöver en potentiell angripare “vanligtvis bara identifiera en enda ström som kodar enhetens tillstånd.” Till exempel illustrerar tabellen nedan DNS-frågor kopplade till varje ström, mappade till en viss enhet.
Forskningsresultaten bygger på flera antaganden, vissa enhetsspecifika. Data för Sense-sömnmonitorn antar att användare “bara slutar använda sina enheter omedelbart före sömn, att alla i hemmet sover samtidigt och inte delar sina enheter och att användare inte lämnar sina andra enheter igång för att utföra nätverk -intensiva uppgifter eller uppdateringar medan de sover.”
Kryptering och slutsatser
BII uppskattar att det år 2020 kommer att finnas 24 miljarder IoT-enheter online. Open Web Application Security Projects (OWASP) lista över de främsta IoT-sårbarheterna [Broken URL Removed] är som följande:
- Osäkert webbgränssnitt. Otillräcklig autentisering/auktorisering. Osäkra nätverkstjänster. Brist på transportkryptering. Integritetsfrågor. Osäkert molngränssnitt. Osäkert mobilt gränssnitt. Otillräcklig säkerhetskonfigurering. Osäker programvara/firmware. Dålig fysisk säkerhet.
OWASP utfärdade den listan 2014 – och den har inte sett en uppdatering sedan dess sårbarheterna förblir desamma. Och, som Princeton-forskarna rapporterar, är det förvånande hur lätt en passiv nätverksobservatör kan sluta sig till krypterad smart hemtrafik.
Utmaningen är att implementera integrerade IoT VPN-lösningar, eller till och med övertyga IoT-enhetstillverkare om att mer säkerhet är värt besväret (i motsats till en nödvändighet).
Ett viktigt steg skulle vara att göra skillnad mellan enhetstyper. Vissa IoT-enheter är i sig mer integritetskänsliga, till exempel en integrerad medicinsk enhet jämfört med en Amazon Echo. Analysen använde endast sändnings/mottagningshastigheter av krypterad trafik för att identifiera användarbeteende – ingen djup paketinspektion är nödvändig. Och även om ytterligare integrerade säkerhetsfunktioner kan påverka IoT-enhetens prestanda negativt, ligger ansvaret hos tillverkarna att tillhandahålla några sken av säkerhet för slutanvändare.
IoT-enheter blir allt mer genomgripande. Svar på frågor om integritetsrelationer är inte lätt tillgängliga, och forskning som denna illustrerar perfekt dessa farhågor.
Har du välkomnat smarta hem och IoT-enheter i ditt liv? Har du oro över din integritet efter att ha sett denna forskning? Vilken säkerhet tycker du att tillverkare ska vara skyldiga att installera i varje enhet? Låt oss veta dina tankar nedan!
Om författaren
Gavin Phillips (1006 publicerade artiklar)
Gavin är Junior Editor for Technology Explained, en regelbunden bidragsgivare till Really Useful Podcast och en frekvent produktrecensent. Han har en examen i samtida skrivande som plundrats från Devons kullar och mer än ett decennium av professionell skrivarerfarenhet. Han tycker om stora mängder te, brädspel och fotboll.
Mer från Gavin Phillips
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
