Kompromissangriffe auf IoT-Anmeldeinformationen öffnen Ihre Geräte für Spionage

Das Internet der Dinge und die Sicherheitsherausforderungen, denen sich Technologieunternehmen gegenübersehen. Michele Guel von Cisco, Distinguished Engineer und Chief Security Architect, erläutert das Internet der Dinge und wie Unternehmen daran arbeiten, die IoT-Infrastruktur zu sichern.

IoT-Sicherheitskameras (Internet of Things) haben noch nie den Ruf einer robusten Gerätesicherheit genossen - ein Mangel, der zumindest mäßig ironisch ist, da Sicherheit im Namen richtig ist. Zwischen Websites wie Insecam, auf denen Menschen völlig ungesicherte Webcams aus der ganzen Welt sehen können (wie diesem mysteriösen Kreisverkehr in Tokio), und Berichten über eine kompromittierte Nest-Kamera, die vor einem bevorstehenden nordkoreanischen Raketenangriff warnt, ist sicherlich viel Platz Mehr Sicherheit in Ihrer Überwachungskamera.

Das Sicherheitsforschungsunternehmen Barracuda Labs untersuchte eine unbenannte IoT-Überwachungskamera und identifizierte umfangreiche Probleme im Sicherheitsdesign des Produkts, einschließlich einer mobilen App, die die Gültigkeit von Sicherheitszertifikaten ignoriert, ausnutzbares Cross-Site-Scripting in der Web-App und die Möglichkeit, Dateien zu durchlaufen in einem Cloud-Server und nicht signierte Geräte-Firmware-Update-Pakete. Zusammengenommen ermöglichte dies den Forschern, Anmeldeinformationen vom Gerät selbst zu erwerben und dieses zu kompromittieren, ohne physischen Zugriff auf die Kamera zu haben.

Wenn die mobile App das Sicherheitszertifikat ignoriert, stellt ein Gerätebesitzer über sein Smartphone eine Verbindung zur Kamera her, während er mit einer böswilligen Wi-Fi-Verbindung verbunden ist - z. B. an einem öffentlichen Ort wie einem Internetcafé oder einem Café. Das feindliche Netzwerk kann diesen Datenverkehr abfangen, um einen ungesalzenen MD5-Hash des Benutzerkennworts zu erhalten, indem es als Man-in-the-Middle für den Server des Produktherstellers fungiert.

Durch den Angriff auf die Anbieterinfrastruktur ist das erfolgreiche Hacken von IoT-Kameras wesentlich einfacher als das Durchsuchen von Shodan-Scans nach anfälligen Geräten. Der Bericht geht davon aus, dass "Fehler nicht den Produkten eigen sind, sondern den Prozessen, Fähigkeiten und dem Bewusstsein der Entwickler. Mit der Verlagerung des Zugriffs und der Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste wurden auch die Sicherheitslücken und damit die Arten von Angriffen möglich, die von aufgedeckt wurden." das Barracuda Labs Team. "

Barracuda bietet IoT-Geräteherstellern einige Hinweise, wie wichtig es ist, eine Webanwendungs-Firewall bereitzustellen und sicherzustellen, dass Cloud-Sicherheitsmaßnahmen ergriffen werden.

Für Verbraucher empfiehlt das Unternehmen, den Gerätehersteller zu untersuchen und zu behaupten, "einige Unternehmen, die IoT-Geräte herstellen, verstehen die Software-Sicherheit". Es wurde betont, dass die Erfolgsbilanz von Anbietern berücksichtigt werden muss. Wenn sie unsichere Produkte versenden, sind ihre zukünftigen Produkte wahrscheinlich unsicher, während Anbieter, die häufige und zeitnahe Patches für Schwachstellen bereitstellen, vertrauenswürdiger sein sollten.

Die großen Imbissbuden für Technologieführer:

  • Bei IoT-Geräten, die von Barracuda Networks analysiert wurden, wurden mehrere Versehen bei grundlegenden Sicherheitspraktiken beobachtet.
  • Aftermarket-Sicherheitsupdates und Support von IoT-Geräteherstellern sind wichtige Faktoren bei der Kaufentscheidung für IoT-Geräte.

Top Story des Tages Newsletter

Wenn Sie nur eine technische Geschichte pro Tag lesen können, ist dies die richtige. Wochentags geliefert

Heute anmelden

© Copyright 2020 | mobilegn.com