사물 인터넷 기술
산업 제조
Pen Test Partners의 Ken Munro
과대 광고의 주기가 지나치면 우리는 IoT에 대한 환멸의 저점에 서 있는 것이 거의 확실합니다. 최근 연구에 따르면 테스트 배포의 60%가 실패했다고 합니다. 그러나 일부 파일럿 프로젝트가 흔들렸을 수 있지만 아직 배포 중인 장치의 무게가 정점에 이르렀음을 암시하지 않습니다. 오히려 입양 자체가 흔들리고 있는 것 같다.
IoT 채택은 예상했던 급격한 성공이 아니었으며 이는 여러 가지 문제로 귀결됩니다. 첫째, 이러한 추가 연결을 반드시 보증하지 않는 장치의 IoT 지원입니다. Pen Test Partners의 파트너인 Ken Munro는 먹이, 수온, 수질을 규제하는 IoT 어항을 예로 들어 설명합니다. .
노동 절약 장치처럼 들릴 수 있지만 궁극적으로 탱크가 설치된 카지노에서 핀란드의 장치에 10GB의 데이터가 손실되는 것을 확인했습니다. IoT 보안은 디바이스에서 그치지 않습니다. 이것은 이러한 장치가 네트워크에 악용 가능한 백도어를 만드는 데 사용되어 자격 증명 도용 및 데이터 유출을 허용한다는 것을 보여줍니다.
기기가 업데이트되지 않고 교체되는 경우가 많아 사용자가 투자의 타당성에 의문을 제기하는 등 수명 문제도 채택을 방해하고 있습니다. 그런 다음 제조업체에 밝혀질 수 있는 문제를 해결할 수 있는 리소스가 있는지 여부에 대한 질문이 있습니다.
보안 취약점은 시간이 지남에 따라 나타나며 이러한 일이 발생하여 장치를 패치해야 하는 경우 제조업체에서 이를 감독하거나 책임을 부인하거나 지원을 철회하는 데 필요한 시간을 투자할 것입니까?
기존 설치 기반을 보호하는 것은 제조업체에게 정말 골치 아픈 일입니다. Shodan 웹사이트를 정독하면 IP 주소, 운영 체제 실행 및 사용 중인 소프트웨어 버전에 대한 세부 정보와 함께 배포된 IoT 장비(그리고 걱정할 정도로 산업 제어 시스템까지)의 호스트를 볼 수 있습니다. 그리고 FCC는 가까운 세부 사항을 원하는 사람들을 위해 회로도와 함께 곧 출시될 IoT 장치에 대한 회로도를 유용하게 게시합니다.
많은 경우 공격자는 Shodan의 장치를 식별하고 기본 자격 증명을 얻어 액세스 권한을 얻을 수 있습니다. 우리는 한 기술자가 소셜 미디어 사이트에 게시한 일년 내내 일일 로그온 자격 증명의 편리한 '슈퍼 비밀번호' 목록을 발견했습니다. 분명히 공급망 보안은 느슨한 경향이 있으며, 이 사례는 '기밀' 데이터를 확보하는 것이 얼마나 쉬운지를 보여줍니다.
이러한 역경에 직면하여 제조업체는 이제 데이터를 제3자에게 판매할 방법을 모색하고 있습니다. 이는 상업적으로 타당할 수 있지만 사용자 기반의 보안 및 개인 정보를 더욱 손상시킵니다. 예를 들어 IoT 진공 청소기 사용자라면 사무실의 평면도를 볼 수 있습니다. 그리고 그 정보가 암시장에 유출되면 어떻게 될까요? 빌딩 관리 시스템(BMS) 데이터가 특히 유용할 수 있습니다. 공격자가 스마트 온도 조절 장치에 랜섬웨어를 설치하면 가능한 갈취를 생각해 보십시오.
냉소적인 사람들은 최종 사용자가 일부 책임을 져야 하는지 여부에 대해 의문을 제기할 것이며 설정 시 장치를 재구성하는 사람은 거의 없는 것이 사실입니다. 부분적으로 그렇게 하는 것이 매우 어려울 수 있기 때문입니다. 성공하면 장치를 제어하는 데 사용되는 모바일 앱 또는 웹 앱의 기본 PIN도 변경 했습니까? 4자리 또는 6자리 PIN을 해독하는 데 몇 시간이 걸린다는 점을 감안할 때 이것이 가치가 있는지는 여전히 의문입니다.
현재의 자신감 부족은 보안이 취약하기 때문일 수 있으며 이는 제조업체가 게임을 강화해야 함을 의미합니다. 보안 모바일 앱 개발, 웹 서비스의 강력한 세션 관리 및 암호화, 선택한 무선 표준의 보안 구현 및 장치 자체에서 직렬 포트 또는 디버그 포트와 같은 사용하지 않는 기능 비활성화, 난독화 기술 적용 및 보안 구현에 참석해야 합니다. 펌웨어가 암호화되고 서명되어야 하는 동안 키 저장.
유감스럽게도 공급업체가 보안을 우선시하기 전까지 IoT 채택은 흔들리게 될 것입니다. 복구할 수 없는 피해를 입히려면 포트 80과 같은 범용 인터페이스를 통해 또 다른 대담한 맬웨어 공격이 필요합니다. 지금 업계는 신뢰 구축에 중점을 두어야 하며 이는 자체 부과 또는 입법 규제를 채택해야 함을 의미합니다.
이 블로그의 작성자는 Pen Test Partners의 파트너인 Ken Munro입니다.
사물 인터넷 기술
다양한 유형의 무선 기술과 네트워크를 통해 장치는 케이블 없이 서로 통신하고 웹(TCP/IP 네트워크)과 통신(데이터 전송)할 수 있습니다. 사물 인터넷(IoT) 및 M2M(Machine to Machine) 통신을 위한 하드웨어 제품에서 구현할 수 있는 다양한 무선 기술이 있습니다. IEEE(Institute of Electrical and Electronics Engineers)에는 802.15 기술을 위한 7개의 작업 그룹이 있습니다. 이러한 그룹은 개인 영역 네트워크에 사용되는 일반적인 유형의 무선 기술에 대한 표준을 설정
기업이 IoT를 도입해야 하는 이유는 무엇입니까? IoT의 T는 Things를 의미하며 회사뿐만 아니라 자동차, 가정, 의료, 슈퍼마켓, 심지어 좋아하는 테이크 아웃의 주방에도 엄청나게 많은 것들이 있습니다. 목록은 매일 증가하고 있으며 거의 끝이 없으며 측정할 수 있는 것과 측정할 수 있는 방법에 대한 상상으로만 제한됩니다. 이것이 IoT 도입이 중요한 이유입니다. 단순히 사물에 센서를 넣는 것이 아닙니다. 그러나 그것이 바로 지금의 힘을 활용하여 데이터로 할 수 있는 일입니다. 우리가 할 수 있는 일은 시간, 상황 및 잠재