Ne croyez pas le battage médiatique :pourquoi l'IoT stagne

Ken Munro chez Pen Test Partners

Si les cycles de battage médiatique sont quelque chose à passer, nous sommes presque certainement au bord du creux de la désillusion avec l'IoT. Des recherches récentes affirment que 60% des déploiements de test ont échoué. Mais si certains projets pilotes ont peut-être échoué, le poids des appareils en déploiement ne suggère pas encore que nous ayons atteint un sommet. Au contraire, l'adoption elle-même semble vaciller.

L'adoption de l'IoT n'a pas été le succès fulgurant envisagé et cela est dû à un certain nombre de problèmes. Premièrement, l'activation IoT des appareils qui ne justifient pas nécessairement cette connectivité supplémentaire. Prenez l'aquarium IoT qui régule l'alimentation, la température et la qualité de l'eau, explique Ken Munro, partenaire chez Pen Test Partners .

Cela peut sembler être un appareil permettant d'économiser de la main-d'œuvre, mais en fin de compte, un casino où le réservoir a été installé a perdu 10 Go de données au profit d'un appareil en Finlande. La sécurité de l'IoT ne s'arrête pas à l'appareil. Ce que cela illustre, c'est que de tels dispositifs sont utilisés pour créer des portes dérobées exploitables sur les réseaux, permettant le vol d'informations d'identification et l'exfiltration de données.

Les problèmes de longévité entravent également l'adoption, les appareils étant souvent remplacés plutôt que mis à jour, ce qui amène les utilisateurs à remettre en question la viabilité de l'investissement. Ensuite, il y a la question de savoir si le fabricant a les ressources nécessaires pour résoudre les problèmes qui pourraient survenir ?

Des vulnérabilités de sécurité apparaissent au fil du temps et si cela se produit et que vos appareils doivent être corrigés, le fabricant investira-t-il le temps nécessaire pour superviser cela ou nier la culpabilité ou même retirer le support ?

Détails divulgués

Protéger le parc installé existant est un véritable casse-tête pour les industriels. Si vous parcourez le site Web de Shodan, vous verrez des hôtes d'équipements IoT déployés (et de façon inquiétante même des systèmes de contrôle industriels) avec des détails sur l'adresse IP, le système d'exploitation exécuté et la version du logiciel utilisé. Et la FCC publie utilement les schémas des appareils IoT qui seront bientôt commercialisés avec des schémas de circuit pour ceux qui veulent des détails de plus près.

Dans de nombreux cas, un attaquant peut identifier les appareils de Shodan et simplement obtenir les informations d'identification par défaut pour y accéder. Une fois, nous avons trouvé une liste pratique de « super mots de passe » d'informations d'identification quotidiennes pour toute l'année publiée sur le site de médias sociaux par un technicien. De toute évidence, la sécurité de la chaîne d'approvisionnement a tendance à être laxiste, ce cas illustrant à quel point il est facile d'obtenir des données « confidentielles ».

Luttant face à ces aléas, les fabricants cherchent désormais à vendre leurs données à des tiers. Cela peut avoir du sens sur le plan commercial, mais cela compromet davantage la sécurité et la confidentialité de la base d'utilisateurs. Il pourrait voir les plans d'étage de votre bureau, par exemple, vendus si vous êtes l'utilisateur d'un aspirateur IoT. Et si cette information arrivait au marché noir ? Les données du système de gestion du bâtiment (BMS) pourraient être particulièrement utiles. Pensez à l'extorsion qui serait possible si un attaquant installait un ransomware sur des thermostats intelligents.

Résoudre le problème

Les cyniques d'entre vous se demanderont si l'utilisateur final ne devrait pas également assumer une partie de la responsabilité et il est vrai que peu d'appareils reconfigurent lors de la configuration. C'est en partie parce que cela peut être très difficile à faire. Si vous réussissez, avez-vous également modifié le code PIN par défaut sur les applications mobiles ou les applications Web utilisées pour contrôler l'appareil ? On peut toujours se demander si cela en vaut la peine, étant donné qu'un code PIN à quatre ou six chiffres prend quelques heures à déchiffrer.

Le manque de confiance actuel ne peut être attribué qu'à une sécurité médiocre et cela signifie que les fabricants doivent améliorer leur jeu. Ils doivent s'occuper du développement sécurisé d'applications mobiles, d'une gestion de session et d'un cryptage solides sur les services Web, d'une implémentation sécurisée de la norme sans fil choisie et sur l'appareil lui-même, de désactiver les fonctionnalités inutilisées telles que les ports série ou les ports de débogage, d'appliquer des techniques d'obscurcissement et d'implémenter des stockage de clé tandis que le firmware doit être crypté et signé.

Malheureusement, tant que les fournisseurs ne commenceront pas à donner la priorité à la sécurité, l'adoption de l'IoT faiblira. Il suffit d'une autre attaque de malware audacieuse, peut-être sur une interface universelle telle que le port 80, pour endommager irrémédiablement l'absorption. À l'heure actuelle, l'industrie doit se concentrer sur l'instauration de la confiance, ce qui signifie adopter une réglementation auto-imposée ou législative.

L'auteur de ce blog est Ken Munro, partenaire chez Pen Test Partners