사물 인터넷 기술
산업 제조
'스마트' 기술의 발전으로 가정과 사무실에서 생각할 수 있는 모든 장치가 일종의 연결로 '향상'되었습니다. 이는 일부 사용자에게 추가 기능을 제공하지만 Pen Test Partners의 파트너인 Ken Munro는 말합니다. , 다른 사람들에게는 이러한 스마트 개선 사항이 요구 사항에 비해 잉여입니다.
컨트롤을 수동으로 사용하는 것이 좋다면 왜 세탁기를 무선으로 연결해야 할까요? 이는 필연적으로 사물인터넷(IoT) 기기를 연결하지 않고 구매하여 사용하고 있다는 것을 의미하며, 이는 실질적인 문제를 야기합니다.
구성되지 않은 IoT 장치는 여전히 암호화되지 않은 개방형 무선 액세스 포인트로 효과적으로 작동하므로 보안 침해에 취약합니다. 이것은 제조업체와 규제 기관 모두의 관심을 피한 것으로 보이는 문제입니다. 수많은 자문 가이드라인이 발표되었음에도 불구하고 소비자 IoT 보안을 위한 자체 행동 강령을 포함하여 어느 가이드라인도 이 문제를 다루지 않습니다.
구성되지 않은 IoT 장치에 연결하는 것은 간단합니다. 공격자는 wigle.net과 같은 지리적 위치 사이트를 사용하여 장치의 SSID를 식별할 수 있습니다. 장치는 쉽게 식별할 수 있습니다. 예를 들어 주전자는 SSID를 사용합니다. ikeetttle, 온수 욕조:BWGSPa, Google Chromecast:Chromecast, LG 에어컨:LGE_AC 및 EcoWater 스마트 연수기:H2O-6c. 그런 다음 그들이 해야 할 일은 앱을 다운로드하고, 그 위치를 지나서 전투를 벌이고, 무선 액세스 포인트에 연결하고, 자신이 제어할 수 있다는 것입니다.
<노스크립트>
Bluetooth 연결을 사용하는 장치는 Wi-Fi를 사용하는 장치보다 잠재적으로 더 큰 위험에 노출되어 있습니다. 그 이유는 이러한 장치에는 연결 중인 모바일 장치를 인증하거나 승인하는 프로세스가 없는 경우가 많아 범위 내에 있는 모든 사람이 연결할 수 있기 때문입니다.
이러한 장치는 일단 손상되면 다양한 방식으로 남용될 수 있습니다. 예를 들어 네트워크에 백도어를 만드는 데 사용할 수 있습니다. AV 엔지니어(따라서 보안 부서의 레이더가 아님)가 설치한 구성되지 않은 스크린캐스터가 유무선 기업 네트워크를 연결하는 엔터프라이즈 환경에서도 이러한 현상을 목격했습니다.
또한 이러한 장치 중 많은 수가 공급망에서 쇠퇴하고 배송될 때까지 어딘가에 창고에 갇혀 있을 것이라는 점을 고려하십시오. 즉, 일반적으로 구성되면 소프트웨어를 업데이트하려고 합니다. 구성되지 않고 실행 중인 오래된 소프트웨어는 악용될 수 있으며 악성 펌웨어의 주요 대상입니다.
악성 펌웨어가 업로드되면 이를 사용하여 장치를 수정할 수 있습니다. 예를 들어 도청에 사용될 가능성이 있습니다. 기기 업데이트 실패는 스마트 전구에서 온도 조절기에 이르기까지 현장 그대로 남아 있을 가능성이 높은 다른 장기 IoT 기기에서도 문제가 됩니다. 오랜 시간 동안 사용자가 업데이트를 귀찮게하지 않을 수 있습니다.
<노스크립트>
구성되지 않은 IoT 문제를 해결할 수 있는 몇 가지 설계 솔루션이 있습니다. 한 가지 옵션은 무선 연결이나 블루투스 페어링을 위해 사용자가 인증에 사용해야 하는 버튼을 기기에 물리적으로 설치하는 것입니다.
그러면 기기가 가까이 있을 때만 사용자 기기의 앱에 수동으로 연결할 수 있습니다. 전송 중에 키가 가로채지 않으면 보안 침해 가능성이 크게 줄어듭니다. 그러나 보안은 기껏해야 나중에 고려되는 경우가 많기 때문에 이와 같은 물리적 제어 메커니즘을 갖춘 장치는 거의 없습니다.
보다 비용 효율적인 솔루션은 모든 IoT 장치가 기본적으로 무선 주파수 라디오를 끄도록 강제하는 것입니다. 이것은 IoT의 요점에 반대되는 것처럼 들릴 수도 있지만 저는 그 반대가 아니라 우리가 기술을 통제해야 한다고 생각합니다.
제품이 스마트하게 배송된다고 해서 사용자가 의도한 대로 사용하는 것은 아닙니다. 소비자는 장치 사용 방법에 대한 선택권을 주어야 합니다. 그렇지 않으면 스마트 홈이 Wi-Fi를 통한 로컬 공격에 취약해질 위험이 있습니다.
저자는 Ken Munro, Pen Test Partners 파트너
사물 인터넷 기술
이번 세계 IoT의 날(전 세계에서 기념하는 th 월요일 4월), 특히 사물 인터넷이 얼마나 발전했는지 알게 되어 매우 기쁩니다. IoT 시장은 2015년 150억 개의 장치 설치 기반에서 2020년 300억 개, 2025년 750억 개의 장치로 성장할 것으로 예상됩니다. 따라서 IoT는 유비쿼터스화되었습니다. 연결된 장치에서 수집된 데이터에서 파생된 통찰력은 생산성을 향상하고 문제를 해결하며 새로운 비즈니스 기회와 운영 효율성을 창출하기 위해 산업 전반에 걸쳐 사용되고 있습니다. 하지만 위험도 존재합니다. James Murphy
회사 네트워크에 자주 연결되는 직원용 가정용 기기는 전염병 기간 동안 IoT 취약성의 원인이었습니다. 올 여름에 발표된 보고서는 IoT 취약성의 위협이 증가하고 있음을 보여줍니다. 보고서에 따르면 IoT 장치에 대한 공격은 지난 2년 동안 700% 증가했습니다. 더 많은 기업이 IoT 기능을 채택함에 따라 조직과 소비자를 사이버 공격으로부터 안전하게 보호하기 위해 보안 우선 프로토콜을 채택해야 합니다. 투자 증가에도 불구하고 증가하는 IoT 취약성 IoT 공격에 대한 회사의 연례 연구인 Zscaler ThreatLabz 보고서