Цього року безліч конференцій будуть проходити онлайн. Безумовна перевага такого формату у тому, що онлайн зможуть виступити ті спікери, які з різних причин ніяк не могли приїхати до України.
Один з них – Alex “Jay” Balan – фахівець з інформаційної безпеки, дослідник та прес секретар Bitdefender. Його кар’єра – 15-річний досвід в інформаційній безпеці, інноваціях та продуктовій стратегії.
Алекс бере активну участь у підвищенні обізнаності спільноти, виступаючи на конференціях, таких як RSA, DefCon, BSides, ISC China, DefCamp, IMWorld. Тепер в їх числі й NoNameCon 2020.
Переосмислення безпеки, коли ми живемо, працюємо та навчаємося вдома
Останні місяці безпека домашньої мережі стала експоненціально більш критичною, оскільки все більше людей працюють і навчаються вдома.
Попри те, як розвиватиметься пандемія – спосіб життя докорінно змінюється. Віддалене підключення через інтернет стирає грань між роботою та домом, а кібербезпека набуває абсолютно нового значення та стає частиною звичайних побутових задач.
DDOS-атаки, спроби фішингу та зараження шкідливим програмним забезпеченням підсилюються, оскільки зловмисники використовують нові вразливості домашніх мереж та безлічі підключених до них пристроїв.
На конференції RSA-2019 Алекс відмітив: «Люди вірять, що принтер – безпечний, адже це фізична коробка. Я можу вийняти папір, й ніхто не зможе друкувати. Але насправді, будь-хто в мережі може отримати доступ до принтера, а більшість з них має консоль керування без пароля».
Для того, щоб отримати доступ до документів, які коли-небудь друкувалися на принтері, навіть не потрібен експлойт.
Алекс Балан зазначає, що слабкий бік пристроїв IoT – використання BusyBox як операційної системи. Це урізана версія Linux розміром 3 МБ. А корисний код пристрою зазвичай пишеться як веб сервіс. Під час розробки, програмісти часто не зважають на безпеку або просто недосвідчені у розробці безпечних сервісів.
«IoT код – відстій. Він погано написаний», – заявляє Балан.
Сучасні операційні системи відбивають безліч атак з допомогою ASLR (рандомізації розташування адресного простору). Використовувати ASLR просто: треба лише встановити прапорець під час компіляції коду. Але IoT-кодери ігнорують цей корисний запобіжний засіб, оскільки він знижує продуктивність.
Окрім цього, не існує стандартів безпечної розробки програмного забезпечення IoT пристроїв, а 90% таких програм не проходять тестування безпеки. При цьому кожна компанія створює своє власне програмне забезпечення, практично не маючи досвіду розробки системи безпеки.
Нові рішення кібербезпеки засновані на штучному інтелекті, можуть захистити домашні мережі за допомогою поведінкового аналізу трафіку, швидко виявляти шкідливі загрози та ізолювати пристрої, які поводяться незвично. (Лікарю, моя праска поводиться незвично! Що з нею?)
Постачальники послуг зацікавлені в захисті безпеки та надійності домашньої мережі своїх клієнтів. Але є вразливості та загрози безпеки, шаблонні або нестандартні помилки, які необхідно врахувати розробникам IoT перед тим, як поставляти свої рішення на ринок.
На думку Alex “Jay” Balan необхідно:
- Розробити систему «сертифікації безпеки» для IoT.
- Навчати та «стимулювати» постачальників IoT для належного реагування на інциденти та впровадження механізмів автоматичного оновлення.
- Навчати кінцевих користувачів інструментам, які захищають IoT пристрої.
На NoNameCon Alex “Jay” Balan виступить із доповіддю “Using cloud implementations to hack IoT. A practical guide working on multiple vendors”.
Оскільки більшість постачальників IoT переходять на хмарне керування, це питання потребує більш уважного вивчення. Протягом п’яти років разом зі своєю командою Alex “Jay” Balan публікував статті про хмарну безпеку IoT. Ця доповідь – фінальний випуск у серії.
Акцент доповіді буде на тому, що більшість хмарних реалізацій не використовують традиційну автентифікацію між застосунком керування та пристроєм, і практично всі проаналізовані бінарні файли не використовують ASLR. Алекс продемонструє найсвіжіші дані про хмарні реалізації продуктів чотирьох популярних вендорів, а також наведе приклади виявлених вразливостей: обхід автентифікації, спуфінг пристроїв та віддалене виконання довільного коду.
“У додатках кожен день виявляються вразливості, але в міру розвитку IoT у нас буде про що поговорити цілу вічність” – Alex “Jay” Balan