Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets?
L'Internet des objets recèle énormément de promesses. Chaque appareil avec lequel nous interagissons est mis en réseau, offrant ainsi une technologie de maison intelligente bon marché à tout le monde. Ce n'est qu'une des possibilités. Eh bien, malheureusement, aussi passionnant qu’un monde entièrement réseauté, l’Internet des objets est systématiquement et terriblement peu sûr..
Un groupe de chercheurs en sécurité de l’Université de Princeton affirme que l’Internet des objets est alors Malheureusement, le trafic réseau, même crypté, est facilement reconnaissable. Comment fonctionne le cryptage et est-il vraiment sans danger? Comment fonctionne le cryptage et est-il vraiment sûr? Lire la suite .
Y at-il une substance à leur demande, ou est-ce une autre “la norme” IoT hit-piece? Nous allons jeter un coup d'oeil.
Cuit au four
Le problème est que les périphériques individuels ont des profils de sécurité individuels. Et certains paramètres de sécurité entrent dans l'appareil. Cela signifie que les utilisateurs finaux ne peuvent pas modifier les paramètres de sécurité..
Paramètres identiques pour des milliers de produits correspondants.
Vous pouvez voir le problème de sécurité majeur qui se pose: pourquoi l'Internet des objets est le plus grand cauchemar de la sécurité Pourquoi l'internet des objets est le plus grand cauchemar de la sécurité . Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez le découvrir à la dure. Lire la suite .
Combiné avec un malentendu général (ou est-ce une pure ignorance?) Sur la facilité avec laquelle il est facile de s'approprier un appareil IoT pour des activités néfastes, il existe un véritable problème mondial.
Par exemple, un chercheur en sécurité, lorsqu’il a parlé à Brian Krebs, a raconté qu’il avait été témoin de routeurs Internet mal sécurisés, utilisés comme proxy par SOCKS, comme annoncé ouvertement. Ils ont émis l'hypothèse qu'il serait facile d'utiliser les webcams et les autres appareils IoT basés sur Internet pour la même chose, et de nombreuses autres choses..
Et ils avaient raison.
La fin de l'année 2016 a vu un massif Attaque DDoS. “Massif,” vous dites? Oui: 650 Gbps (environ 81 Go / s). Les chercheurs en sécurité d’Imperva qui ont détecté l’attaque ont constaté, grâce à l’analyse de la charge utile, que la majeure partie de l’alimentation provenait de dispositifs IoT compromis. Doublé “Leet” après une chaîne de caractères dans la charge utile Voici comment les installateurs de logiciels fonctionnent sous Windows, macOS et Linux Voici comment les installateurs de logiciels fonctionnent sous Windows, macOS et Linux Les systèmes d'exploitation modernes vous fournissent des méthodes simples pour configurer de nouvelles applications. Mais que se passe-t-il lorsque vous exécutez ce programme d'installation ou émettez cette commande? En savoir plus, il s'agit du premier botnet IoT à rivaliser avec Mirai (l'énorme botnet qui ciblait le chercheur et journaliste de renom en matière de sécurité, Brian Krebs).
IoT Sniffing
Le document de recherche de Princeton, intitulé Une maison intelligente n'est pas un château [PDF], explore l'idée que “les observateurs de réseau passifs, tels que les fournisseurs de services Internet, pourraient potentiellement analyser le trafic du réseau IoT pour déduire des informations sensibles sur les utilisateurs.” Les chercheurs Noah Apthorpe, Dillon Reisman et Nick Feamster examinent “un moniteur de sommeil sensé 6 Smart Gadgets pour vous aider à mieux dormir 6 Smart Gadgets pour vous aider à mieux dormir Ne pas dormir une bonne nuit n'est jamais une bonne façon de commencer la journée. Heureusement, il existe de nombreux gadgets pour la maison qui peuvent vous aider à bien dormir la nuit. En savoir plus, une caméra de sécurité Nest Cam Indoor, un commutateur WeMo et un Amazon Echo.”
Leur conclusion? Les empreintes de trafic de chacun des appareils sont reconnaissables, même lorsqu'elles sont cryptées.
- Nest Cam - Observer peut déduire qu'un utilisateur surveille activement un flux ou qu'une caméra détecte un mouvement dans son champ de vision..
- Sens - Observer peut déduire les habitudes de sommeil de l'utilisateur.
- WeMo - Observer peut détecter quand un appareil physique d'une maison intelligente est activé ou désactivé.
- Écho - Observer peut détecter lorsqu'un utilisateur interagit avec un assistant personnel intelligent.
Accéder aux paquets
Le document Princeton suppose qu'un attaquant détecte (intercepte) des paquets (données) directement auprès d'un fournisseur de services Internet. Leur analyse provient directement des métadonnées de paquet: en-têtes de paquet IP, en-tête de paquet TCP et taux d'envoi / réception. Quel que soit le point d’interception, si vous pouvez accéder aux paquets en transition, vous pouvez essayer d’interpréter les données..
Les chercheurs ont utilisé une stratégie en trois étapes pour identifier les appareils IoT connectés à leur réseau de fortune:
- Séparer le trafic en flux de paquets.
- Étiqueter les flux par type d'appareil.
- Examiner les taux de trafic.
Cette stratégie a révélé que même si un appareil communiquait avec plusieurs services, un attaquant potentiel “généralement seulement besoin d'identifier un seul flux qui code l'état de l'appareil.” Par exemple, le tableau ci-dessous illustre les requêtes DNS associées à chaque flux, mappées sur un périphérique particulier..
Les résultats de la recherche reposent sur plusieurs hypothèses, certaines spécifiques à l’appareil. Les données du moniteur de sommeil Sense supposent que les utilisateurs “arrêtez d'utiliser vos appareils immédiatement avant de dormir, veillez à ce que tout le monde à la maison dorme en même temps et ne partage pas leurs appareils, et que les utilisateurs ne laissent pas leurs autres appareils en marche pour effectuer des tâches ou des mises à jour grand réseau.”
Chiffrement et conclusions
BII estime que d'ici 2020, 24 milliards d'appareils IoT seront en ligne. La liste des principales vulnérabilités IoT du projet de sécurité des applications Web ouvertes (OWASP) est la suivante:
- Interface Web non sécurisée.
- Authentification / autorisation insuffisante.
- Services réseau non sécurisés.
- Manque de cryptage de transport.
- Problèmes de confidentialité.
- Interface cloud non sécurisée.
- Interface mobile non sécurisée.
- Configurabilité de sécurité insuffisante.
- Logiciel / micrologiciel non sécurisé.
- Mauvaise sécurité physique.
OWASP a publié cette liste en 2014 - et il n'a pas vu de mise à jour depuis car les vulnérabilités restent les mêmes. Et, comme le rapportent les chercheurs de Princeton, il est étonnant de voir à quel point un observateur de réseau passif peut facilement déduire du trafic crypté de la maison intelligente. Ne croyez pas ces 5 mythes sur le cryptage! Ne croyez pas ces 5 mythes sur le cryptage! Le chiffrement semble complexe, mais est beaucoup plus simple que la plupart des gens ne le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors détruisons quelques mythes sur le cryptage! Lire la suite .
Le défi consiste à déployer des solutions VPN IoT intégrées ou même à convaincre les fabricants d’appareils IoT qu’une sécurité accrue en vaut la peine (par opposition à une nécessité)..
Une étape importante serait d'établir une distinction entre les types d'appareils. Certains périphériques IoT sont intrinsèquement plus sensibles à la confidentialité, tels qu'un périphérique médical intégré par rapport à Amazon Echo. L'analyse utilise uniquement les débits d'envoi / de réception du trafic chiffré pour identifier le comportement des utilisateurs - aucune inspection approfondie des paquets n'est nécessaire. Et tandis que des fonctionnalités de sécurité intégrées supplémentaires peuvent avoir un impact négatif sur les performances des périphériques IoT, il incombe aux fabricants de certains semblant de sécurité pour les utilisateurs finaux.
Les appareils IoT sont de plus en plus répandus. Les réponses aux questions relatives à la protection de la vie privée ne sont pas faciles à trouver, et de telles recherches illustrent parfaitement ces préoccupations..
Avez-vous accueilli des appareils intelligents pour la maison et IoT dans votre vie? Avez-vous des inquiétudes quant à votre vie privée après avoir pris connaissance de cette recherche? Quelle sécurité pensez-vous que les fabricants devraient être obligés d'installer dans chaque appareil? Faites-nous savoir vos pensées ci-dessous!
En savoir plus sur: Internet des objets, Sécurité en ligne.