차례:
비디오: ì ¤ë¦¬ 몬스터 ë°˜ì§ ì ´ ì¹µí…Œì ¼ 액체괴물 만들기!! í 르는 ì í† ì•¡ê´´ í ´ë ˆì ´ 슬ë (십월 2024)
지난 주말에 미국 인터넷은 분산 서비스 거부 공격 (DDOS)으로 인해 크롤링 속도가 느려졌습니다. 두 가지 이유로 흥미로운 공격이었습니다. 첫째, 공격자는 자신이 누구든 DDOS 공격에 대한 일반적인 MO와 마찬가지로 단일 웹 사이트에 정크 요청을 범하지 않았습니다. 대신, DNS 제공 업체 인 Dyn을 따랐기 때문에 수많은 웹 사이트에서 크롤링이 느려지거나 작업이 완전히 중단되었습니다. DNS 인프라의 중앙 집중화에 대한 경고가 갑자기 매우 흥미로워졌습니다.
주전자가 했어
공격의 중심에는 Mirai가있었습니다. 이는 특히 이국적인 악성 코드가 아닙니다. 항저우 시옹 마이 테크놀로지의 보안 카메라와 홈 라우터를 선호하는 것으로 보이는, 리눅스 기반 IoT 장치로 보이는 것을 웹에 연결된 장치를 검색합니다. 그런 다음 테이블에서 기본 암호를 찾아 로그인합니다. 일단 내부에 들어가면 장치 제어를 중앙 명령 및 제어 서버로 넘깁니다.
이 공격이 달성 한 결과에 충격을 주었지만 불행히도 우리가 오지 않은 것은 없습니다. Craig Heffner는 2013 년 Black Hat 컨퍼런스에서 네트워크로 연결된 보안 카메라를 쉽게 인계 할 수있는 능력을 보여주었습니다. 그의 시연에는 D-Link, Linksys, Cisco, IQInvision 및 3SVision을 포함한 유명 회사가 포함되었습니다. 어떤 기기가 공격에 취약한 지 물었을 때 그는 통제 할 수없는 브랜드를 찾지 못했다고 말했다.
그의 시연을 위해 Heffner는 카메라를 속여 영화처럼 허핑하는 비디오를 표시하도록 속였습니다. 그러나 그의 대화의 실제 내용은 훨씬 더 무서웠다. 보안 카메라, 주전자, 냉장고 등의 IoT 기기, 예. 무선 라우터조차도 인터넷에 연결된 작은 컴퓨터 일뿐입니다. 그는 공격자가 개인이나 회사를 구체적으로 목표로 삼고 자한다면 방어가 잘 안된 장치를 공격하고이를 해수욕장으로 사용하여 피해자의 나머지 네트워크를 탐색 할 수 있다고 말했다. 또한 작은 컴퓨터이기 때문에 침입자가 원하는 코드를 실행하도록 동축 될 수 있습니다.
이런 식으로 생각하십시오: 집을 보호하기 위해 최고의 선택 할 수없는 자물쇠로 가장 강한 문을 구입할 수는 있지만 도둑이 여전히 창문을 뚫을 수 있습니다.
IoT가 다르다
보안 산업에서 우리는 컴퓨터가 아니라 사람들을 비난하는 것을 좋아합니다. 사람들이 더주의를 기울 였다면 Heartbleed 버그가 발견되기 전에 발견되었을 수 있습니다. 어떤 보안 시스템에서 가장 큰 실패 지점은 컴퓨터와 의자 사이라는 것입니다. 예를 들어 힐러리 클린턴 (Hillary Clinton) 캠페인 의장 존 포데 스타 (John Podesta)의 Gmail 계정이 해킹을 통해 리조또 레시피를 소개 한 것은 피싱 사기로 시작되었습니다.
그러나 IoT 보안의 경우 소비자는 같은 방식으로 책임을 질 수 없습니다. 예를 들어 자동차 소유자는 운전 중에주의를 기울이고 합리적인 유지 보수를 제공해야합니다. 자동차 회사는 실제로 당신을 죽이지 않을 제품을 제공해야합니다.
우리 사회가 변화함에 따라 소비자의 기대도 바뀌 었습니다. 소비자 옹호자들은 일부 차량은 "어느 속도에서도 안전하지 않다"고 지적했다. 그리고 진화하는 생물과 마찬가지로 자동차는 안전 벨트, 에어백 및 변화하는 세상에서 소비자를 합리적으로 안전하게 유지하도록 설계된 특수 제작 된 재료와 같은 안전 벨트, 에어백 및 덜 명백한 기능과 같은 새로운 부속물을 발산했습니다.
스마트 폰이 등장하기 시작하자 제조업체와 개발자는 PC 시대의 시험에서 배웠습니다. 모바일 보안은 그 과정에서 약간의 충돌이 있었지만 PC의 역사와 비교할 때 케이크 워크였습니다. 우리는 우리가 Conficker로 본 스마트 폰에 이런 종류의 광범위한 감염을 경험하지 않았으며, 바라지 않을 것입니다.
IoT의 역사는 금붕어를 네비게이터로 사용한 다른 코스를 차트 화했습니다. 장치에 대한 액세스를 제어하고 수십 년 동안 수십억 대의 컴퓨터와 전화를 연결하여 얻은 모범 사례를 사용하는 대신 제조업체는 저렴한 제품을 시장에 출시했습니다. 경우에 따라 서비스, 업그레이드 또는 패치되지 않도록 설계된 제품도 있습니다. 문제가 해결 될 수 있더라도 개인이 컴퓨터와 같은 방식으로 노동 절약 장치를 취급하는 것을 기대하는 것은 합리적이지 않습니다. 대부분의 소비자는 장치에 스크린이나 어떤 종류의 입력 방법이 없다면 서비스를 제공하지 않는다고 가정합니다.
이것은 일어날 필요가 없었습니다
최근 DDoS 공격에서 가장 실망스러운 부분은 IoT 제조업체가 30 년의 소비자 기술 만보고 벽에 기록 된 글을 볼 수 있다는 것입니다. 그들이 그렇게 할 수 없다면 보안 연구원 (기업 및 취미 해커 모두)이 내뿜는 경고에 유의할 수 있습니다. 이 사람들은 어떻게 사용될지를 신중하게 고려하지 않고 인터넷에 수십억 개의 장치를 더 넣는 방법을 듣는 사람들에게 나쁜 생각이라고 말했습니다. 2014 년 Dan Geer는 IoT가 이미 우리에게 있으며 문제를 일으킬 수 있다고 말함으로써 Black Hat 컨퍼런스를 시작했습니다.
냉소를 유지하려는 최선의 노력에도 불구하고 IoT는 피할 수없고 설득력이 있습니다. 공상 과학은 우리에게 수십 년 동안 컴퓨터와 미래의 가전 제품에 대해 이야기 할 것을 약속했으며, 아마도 2020 년까지 인터넷에 64 억 개의 기기가 연결될 것이라는 가트너의 예측이 가능할 것입니다. 이러한 장치는 스트리밍 박스, 게임 콘솔, 무선 라우터 등 이미 가정에 있습니다. 공격자와 자동화 된 공격의 관점에서 볼 때 이는 더 많은 IP 주소입니다.
우리는 휴일을 맞이하고 새로운 세대의 IoT 장치로 나아가면서 사용자가 이해할 수 있도록 설계된 보안을 최우선으로 생각합시다. 2020 년까지 여전히 사람들에게 제공해야 할 최선의 조언이 스마트 장치의 연결을 끊는 것이라면이 산업은 혁신이나 인텔리전스에 대한 명성을 얻지 못합니다.
