Mục lục:
Video: Viá»t Nam thá» nghiá»m bảo quản thá»t gà 6 tháng vẫn tÆ°Æ¡i (Tháng Chín 2024)
Cuối tuần vừa qua, Internet Hoa Kỳ đã chậm phát triển nhờ một cuộc tấn công từ chối dịch vụ phân tán, hay DDOS. Đó là một cuộc tấn công thú vị vì hai lý do. Đầu tiên, những kẻ tấn công, bất cứ ai, chúng, không phải là một trang web với các yêu cầu rác, như MO thông thường cho các cuộc tấn công DDOS. Thay vào đó, họ đã theo đuổi nhà cung cấp DNS Dyn, điều này khiến nhiều trang web chậm hoàn toàn thu thập dữ liệu hoặc ngừng hoạt động. Cảnh báo về việc tập trung quá mức vào cơ sở hạ tầng DNS đột nhiên trở nên rất thú vị.
Ấm trà đã làm điều đó
Trọng tâm của cuộc tấn công là Mirai, đây không phải là một phần mềm độc hại đặc biệt kỳ lạ. Nó quét các thiết bị được kết nối với Web để tìm các thiết bị IoT do Linux cung cấp, dường như ưu tiên các camera an ninh và bộ định tuyến gia đình từ Công nghệ Hàng Châu Xiongmai. Sau đó, nó sẽ tìm mật mã mặc định trên một bảng và đăng nhập. Một khi bên trong, nó trao quyền điều khiển thiết bị cho một máy chủ điều khiển và lệnh trung tâm.
Mặc dù cuộc tấn công này đã gây sốc trong những gì nó đạt được, nhưng thật không may, không có gì chúng tôi không thấy sắp tới. Tại hội nghị Black Hat năm 2013, Craig Heffner đã thể hiện khả năng dễ dàng chiếm lấy các camera an ninh được kết nối mạng. Trình diễn của anh bao gồm các công ty tên tuổi mà bạn nhận ra, bao gồm D-Link, Linksys, Cisco, IQInvision và 3SVision. Khi được hỏi những thiết bị nào dễ bị tấn công, anh nói rằng anh đã không tìm thấy một thương hiệu nào không thể kiểm soát được.
Đối với bản demo của mình, Heffner đã lừa máy ảnh để hiển thị một video lặp, giống như trong một phim trộm cắp. Nhưng thực chất cuộc nói chuyện của anh ta còn thảm khốc hơn nhiều. Các thiết bị IoT như camera an ninh, ấm trà, tủ lạnh và vâng, ngay cả các bộ định tuyến không dây cũng chỉ là những máy tính nhỏ được kết nối với Internet. Nếu những kẻ tấn công muốn nhắm mục tiêu một người hoặc một công ty cụ thể, anh ta nói, họ có thể tấn công các thiết bị được bảo vệ kém này và sử dụng chúng như một cái đầu bãi biển để khám phá phần còn lại của mạng nạn nhân. Và bởi vì chúng là những máy tính nhỏ bé, chúng có thể được hình thành để được thực thi bất cứ mã nào mà kẻ tấn công mong muốn.
Hãy nghĩ về nó theo cách này: bạn có thể mua những cánh cửa mạnh nhất với ổ khóa không khóa tốt nhất để bảo vệ ngôi nhà của bạn, nhưng một tên trộm vẫn có thể đột nhập qua các cửa sổ.
IoT là khác nhau
Trong ngành bảo mật, chúng tôi thích đổ lỗi cho mọi người, không phải máy tính. Nếu mọi người đã cảnh giác hơn, họ có thể đã bắt được lỗi Heartbleed trước khi nó được giới thiệu. Một câu nói phổ biến là điểm thất bại lớn nhất trong bất kỳ hệ thống bảo mật nào là giữa máy tính và ghế. Trường hợp điển hình: vụ hack chủ tịch chiến dịch Hillary Clinton của John Podesta, tài khoản Gmail đã giới thiệu cho chúng tôi công thức risotto của anh ấy, trong số những thứ khác, dường như bắt đầu với một trò lừa đảo.
Nhưng trong trường hợp bảo mật IoT, người tiêu dùng không thể chịu trách nhiệm theo cùng một cách. Là một chủ sở hữu xe hơi, ví dụ, bạn được yêu cầu thận trọng trong khi lái xe và cung cấp bảo trì hợp lý. Đổi lại, công ty xe hơi được yêu cầu cung cấp cho bạn một sản phẩm sẽ không thực sự giết chết bạn.
Khi xã hội của chúng ta thay đổi, kỳ vọng của người tiêu dùng cũng vậy. Những người ủng hộ người tiêu dùng chỉ ra rằng một số xe hơi "không an toàn ở bất kỳ tốc độ nào". Và giống như một sinh vật tiến hóa, ô tô mọc lên những phần phụ mới: dây an toàn, túi khí và các tính năng ít rõ ràng hơn như khu vực nhàu nát và vật liệu chế tạo đặc biệt được thiết kế để giữ cho người tiêu dùng an toàn hợp lý trong một thế giới thay đổi.
Khi điện thoại thông minh bắt đầu cất cánh, các nhà sản xuất và nhà phát triển đã học được từ các thử nghiệm của những năm PC. Mặc dù an ninh di động đã có một số trở ngại trên đường đi, nhưng nó đã là một khúc mắc so với lịch sử của PC. Chúng tôi đã không có loại lây nhiễm rộng rãi trên điện thoại thông minh mà chúng tôi đã thấy với Conficker và hy vọng chúng tôi sẽ không bao giờ bị như vậy.
Lịch sử của IoT đã lập biểu đồ cho một khóa học khác, có lẽ là một người đã sử dụng một con cá vàng làm hoa tiêu. Thay vì kiểm soát quyền truy cập vào thiết bị và sử dụng các thực tiễn tốt nhất được học từ việc kết nối hàng tỷ máy tính và điện thoại trong suốt nhiều thập kỷ, các nhà sản xuất đã tung sản phẩm giá rẻ ra thị trường. Những người được thiết kế, trong một số trường hợp, không bao giờ được phục vụ, nâng cấp hoặc vá. Và ngay cả khi các vấn đề có thể được giải quyết, vẫn có thể cho rằng các cá nhân đối xử với các thiết bị tiết kiệm lao động giống như cách họ làm máy tính. Đại đa số người tiêu dùng giả định, và đúng như vậy, rằng nếu một thiết bị không có màn hình hoặc một loại phương thức nhập liệu nào đó, thì nó không có ý định được phục vụ bởi họ.
Điều này không phải xảy ra
Phần khó chịu nhất của cuộc tấn công DDoS gần đây là các nhà sản xuất IoT chỉ cần nhìn vào 30 năm công nghệ tiêu dùng để thấy chữ viết tục ngữ trên tường. Và nếu họ không thể làm điều đó, họ có thể đã chú ý đến các cảnh báo được đưa ra bởi các nhà nghiên cứu bảo mật (cả tin tặc của công ty và sở thích). Những người này đã nói với bất cứ ai nghe cách đưa hàng tỷ thiết bị lên Internet mà không xem xét cẩn thận về cách sử dụng chúng sẽ là một ý tưởng tồi. Vào năm 2014, Dan Geer đã mở hội nghị Mũ Đen bằng cách nói rằng IoT đã sẵn sàng với chúng tôi và có thể dẫn đến rắc rối.
Bất chấp những nỗ lực tốt nhất của tôi để duy trì sự hoài nghi, IoT cảm thấy không thể tránh khỏi và hấp dẫn. Sci-fi đã hứa với chúng ta nói về máy tính và các thiết bị tương lai trong nhiều thập kỷ và có lẽ đó là lý do tại sao dự đoán của Gartner rằng sẽ có 6, 4 tỷ thiết bị kết nối với Internet vào năm 2020 nghe có vẻ khả thi. Các thiết bị này đã có trong nhà của chúng tôi: hộp phát trực tuyến, máy chơi game, bộ định tuyến không dây. Trong mắt những kẻ tấn công và tấn công tự động, đây chỉ là nhiều địa chỉ IP để khai thác.
Khi chúng ta tiến tới các ngày lễ và chen chúc vào một thế hệ thiết bị IoT mới, hãy đặt bảo mật được thiết kế để người dùng hiểu được hàng đầu. Nếu đến năm 2020, lời khuyên tốt nhất tôi vẫn phải cung cấp cho mọi người là ngắt kết nối các thiết bị thông minh của họ, thì ngành công nghiệp này không xứng đáng với danh tiếng về sự đổi mới hay thậm chí là trí thông minh.
