IoT 스핀 사이클 : 장치 제조업체를 계속 괴롭히는 보안 문제

 

올해 3월에는 전문가 용 의료 세척기 인 Miele Professional PG 8528에서 뉴스 콘센트의주의를 끌었습니다.

 

"해당 내장 웹 서버"PST10 WebServer "는 일반적으로 포트 80을 수신하고 디렉토리에 감염되기 쉽습니다 "보안 허위 진술이 드러났습니다"따라서 인증되지 않은 공격자는 이후의 공격을 돕기 위해 민감한 정보에 액세스하기 위해이 문제를 악용 할 수 있습니다. 개념 증명은 GET /../../../../../../../../../../../../etc/shadow HTTP / 1.1입니다. "

 

전 생애 (식기 세척기가 아닌 의료용 세탁기)에서 전문적으로 와셔를 운영 한 결과, 개인적으로 폐점 시간이나 근무 시간 변경시 온수 설정을 변경하여 동료들과 내가 서로를 속이므로 가끔씩 타인을 고문 할 수 있습니다. 조심해야 할 필요성이 더 커졌습니다.

 

이 결함은 인터넷에 세탁기가있는 이유는 무엇입니까? 답 : 와셔는 이제 컴퓨터이기 때문에 다른 컴퓨터를 인터넷에 연결하는 데 비용이 거의 들지 않습니다.

 

그렇다면 세탁기는 왜 컴퓨터입니까? 와셔는 항상 컴퓨터 였기 때문에. 내가 90 년대 중반에 운영 한 고대의 끊임없는 식기 세척기조차도 (실제로 그것은 너무 뜨거웠 기 때문에 대부분 큰 금속 래들로 그것을 치는 것으로) 사실 컴퓨터였습니다. 그것은 세척주기와 수온의 지속 시간을 설정하는 초소형 4 비트 마이크로 컨트롤러를 가지고있었습니다. Wi-Fi를 사용할 수 있었는지 나는 그릴 라인의 누군가가 우리와 함께 엉망으로 온도를 중간에 바꾸는 방법을 발견했다고 확신한다.

 

오늘날 역사가 반복됩니다. 위에 나열된 CVE의 버그 유형 또는 Common Vulnerabilities and Exposures Identifier는 90 년대 후반과 2000 년대 초반 웹 응용 프로그램에서 매우 일반적이었습니다. 결함의 공통성은 두 가지 요인의 결과였습니다. 

 

첫째, 대부분의 시스템 및 프로그램 설계자는 응용 프로그램 처리 공간을 시스템 자원과 분리하는 적절한 방법을 완전히 이해하지 못했습니다. 둘째로, 최초의 인터넷 붐의 영광이 일어나고 있으며 불안한 컴퓨터, 웹 서버 및 응용 프로그램이 놀라운 속도로 인터넷에 연결되었습니다. 당시 CodeRed와 Slammer는 인터넷에 무책임한 컴퓨터를 너무 빨리 설치 한 결과였습니다. 고맙게도 그 당시의 대다수의 사람들은 대부분 궁금했던 Y2K 시대의 해커들에 대해서만 다루었습니다.

 

그 이후 국가의 국가, 조직 범죄 및 많은 다른 사람들이 싸움에 들어갔다. 그들은 지난 20 년 동안 이러한 시스템을보다 효과적으로 활용하기 위해 시간과 자원을 투자했습니다. 반대로 많은 장치 제조업체는 지난 20 년 동안 빠른 패치 시스템을 만들고, 보안 강화 원칙을 현대화하거나, 제품 개발주기의 일부로 SDL (Secure Development Lifecycle)을 구현 하지 않았습니다 . 대신, 그들은 더 나은 와셔 및 기타 장치를 만드는 데 집중했습니다.

결과적으로 우리는 같은 종류의 버그를 가진 2000 년대 시대의 컴퓨터가 인터넷에 계속 나타나고 있지만 더 중요한 것은 2017 년 인터넷에서 2000 년대 시대의 컴퓨터를 방어하려고한다는 사실에 놀랐습니다.

 

우리의 개인적인 삶과 인터넷 사이의 격차를 줄이기 위해 계속 전진하기 위해, 우리는 과거의 해커가 아닌 20 년 전의 해커를 대면하는 것처럼 계속 테스트해야합니다. 이것은 바로 그 방법입니다.

 

물론 우리는 인터넷에 연결된 컴퓨터와 장치로 가득 찬 내일이 우리 삶을 더 쉽고, 연결되고, 안전 해 지도록하고 싶습니다. 내일을 더욱 안전하게 연결하기 위해 우리는 오늘날 디바이스를 어떻게 만들어야 할지를 바꿔야 할 것입니다. 다음은 업계에서 현재이 문제를 공격 할 수있는 4 가지 방법입니다.

모든 컴퓨터를 다른 컴퓨터처럼 취급하십시오.

 

이것이 핵심입니다. 컴퓨터가 마음에 든다는 것을 기억하면 장치의 취약한 특성을 이해하게됩니다. 그리고 그 장치에 대한 결정, 네트워크로의 통합 방법, 보안 단계, 유지 관리, 보안 및 수명주기에 대한 공급 업체의 요구 사항에 대해 생각할 것입니다. 테슬라는 일이되는 컴퓨터를 자동차로 만든다. 룸바는 진공 청소기로 컴퓨터를 만듭니다.

 

애플은 전화 애플리케이션이 설치된 컴퓨터를 만든다.

 

장치가 인터넷상의 다른 컴퓨터와 동일한 종류 및 수준의 공격을받을 것이라는 점을 이해하십시오.

 

식기 세척기의 컴퓨터 안에 민감한 정보 나 전자 화폐를 저장하지 않았다고해서 그것이 공격에 노출되지 않았 음을 의미하지는 않습니다. 동기는 공격 표면의 수만큼 많습니다. 냉장고는 면제됩니다. 대부분의 기기는 특별히 타겟팅되지 않습니다. 공격자는 다른 리소스와 마찬가지로이를 처리하며 봇넷이나 특정 공격의 일부로 재판매되기 위해 대량으로 악용됩니다. 최근에는 카지노 수족관 을 제어하는 컴퓨터 가 악용되어 카지노 내부 네트워크에서 데이터를 전송하는 데 사용되었습니다.

 

SDL을 생성 프로세스 초기에 디바이스 설계에 통합

 

제조업체들이 안전한 개발 라이프 사이클과 견고한 DevSecOps 프레임 워크를 테스트 및 개발에 통합하고 나면 더 안전하게 상호 연결된 세계에 더욱 가까워 질 것입니다. 보안은 SDL 모범 사례를 제품 디자인 및 제작 프로세스에 통합하는 것을 고려한 것이므로 설계 프로세스의 일부가되어야합니다. 개발 라이프 사이클에 SDL을 채택한 회사는 제품 보안이 향상되고 위협이 전반적으로 감소했습니다. SDLC의 결과 로 SQL Server 2005에서 " 91 %의 취약점이 발견되었습니다."

 

항상 앞으로보십시오. 미래의 사악한 배우들로부터의 공격을 예견하고 기대하십시오.

 

여러 가지 공격 경로 및 접근 방법을 고려한 후에는 새로운 공격이 나타나기 전에 미리 예상 할 수 있습니다. 일단 당신이 그들을 예상하고 나면, 당신은 그들을 위해 준비 할 수 있고 그것에 갇히지 않고 보안 조경을 형성하는 것을 도울 수 있습니다. 장치가 네트워크를 확장하는 방법과 관리해야 할 장치를 확실하게 이해하면 공격자가 앞으로 이동할 위치를 예측하는 데 도움이됩니다. 대상의 경우 서로 다른 장치로 네트워크를 확장 한 방법을 이해하지 못하면 공격자가 HVAC 시스템 을 통해 피벗 팅 할 수 있습니다 .