Jika siklus sensasi adalah sesuatu yang harus dilalui, kita hampir pasti tertatih-tatih di ambang kekecewaan dengan IoT. Penelitian terbaru mengklaim bahwa 60% dari penerapan pengujian telah gagal. Tetapi sementara beberapa proyek percontohan mungkin tersendat, belum ada bobot perangkat dalam penerapan yang menunjukkan bahwa kami telah mencapai puncaknya. Sebaliknya, adopsi itu sendiri tampaknya goyah.
Adopsi IoT belum menjadi kesuksesan besar yang dibayangkan dan ini disebabkan oleh sejumlah masalah. Pertama, pengaktifan perangkat IoT yang tidak selalu menjamin konektivitas tambahan ini. Ambil tangki ikan IoT yang mengatur pemberian makan, suhu dan kualitas air, kata Ken Munro, partner di Pen Test Partners .
Itu mungkin terdengar seperti perangkat penghemat tenaga kerja tetapi pada akhirnya ia melihat Kasino tempat tangki dipasang kehilangan 10GB data ke perangkat di Finlandia. Keamanan IoT tidak berhenti di perangkat. Hal ini menggambarkan bahwa perangkat tersebut digunakan untuk membuat pintu belakang yang dapat dieksploitasi ke jaringan, memungkinkan pencurian kredensial dan pemusnahan data.
Kekhawatiran umur panjang juga menghambat adopsi, dengan perangkat sering ditukar daripada diperbarui yang menyebabkan pengguna mempertanyakan kelayakan investasi. Lalu ada pertanyaan apakah produsen memiliki sumber daya untuk memperbaiki masalah yang mungkin muncul?
Kerentanan keamanan muncul dari waktu ke waktu dan jika itu terjadi dan perangkat Anda perlu ditambal, apakah produsen akan menginvestasikan waktu yang diperlukan untuk mengawasi hal ini atau menolak kesalahan atau bahkan menarik dukungan?
Detail yang diungkapkan
Melindungi basis terpasang yang ada adalah sakit kepala nyata bagi produsen. Jika Anda membaca dengan teliti situs web Shodan, Anda akan melihat host peralatan IoT yang digunakan (dan bahkan Sistem Kontrol Industri yang mengkhawatirkan) dengan perincian tentang alamat IP, sistem operasi yang dijalankan, dan versi perangkat lunak yang digunakan. Dan FCC membantu memublikasikan skema untuk perangkat IoT yang akan segera dirilis lengkap dengan diagram sirkuit untuk mereka yang menginginkan detail lebih dekat.
Dalam banyak kasus, penyerang dapat mengidentifikasi perangkat dari Shodan dan hanya mendapatkan kredensial default untuk mendapatkan akses. Kami pernah menemukan daftar 'kata sandi super' yang berguna dari kredensial masuk harian sepanjang tahun yang dipublikasikan di situs media sosial oleh seorang teknisi. Jelas, keamanan rantai pasokan cenderung lemah, dengan kasus ini menggambarkan betapa mudahnya mendapatkan data 'rahasia'.
Berjuang dalam menghadapi peluang ini, produsen sekarang ingin menjual data ke pihak ketiga. Itu mungkin masuk akal secara komersial tetapi selanjutnya membahayakan keamanan dan privasi basis pengguna. Itu bisa melihat denah lantai untuk kantor Anda, misalnya, dijual jika Anda adalah pengguna penyedot debu IoT. Dan bagaimana jika informasi itu masuk ke pasar gelap? Data Building Management System (BMS) bisa sangat berguna. Pikirkan pemerasan yang mungkin terjadi jika penyerang menempatkan ransomware di atas termostat pintar.
Memecahkan masalah
Orang-orang sinis di antara Anda akan mempertanyakan apakah pengguna akhir juga tidak harus memikul sebagian tanggung jawab dan memang benar bahwa hanya sedikit perangkat yang mengonfigurasi ulang setelah penyiapan. Itu sebagian karena sangat sulit untuk melakukannya. Jika Anda berhasil, apakah Anda juga mengubah PIN default pada aplikasi seluler atau aplikasi web yang digunakan untuk mengontrol perangkat? Masih dipertanyakan apakah ini layak dilakukan mengingat PIN empat atau enam digit membutuhkan waktu beberapa jam untuk dipecahkan.
Kurangnya kepercayaan saat ini hanya dapat dikaitkan dengan keamanan yang buruk dan itu berarti produsen perlu meningkatkan permainan mereka. Mereka perlu hadir untuk mengamankan pengembangan aplikasi seluler, manajemen sesi yang kuat dan enkripsi pada layanan web, implementasi yang aman dari standar nirkabel yang dipilih, dan pada perangkat itu sendiri, menonaktifkan fungsionalitas yang tidak digunakan seperti port serial atau port debug, menerapkan teknik kebingungan dan menerapkan keamanan penyimpanan kunci sementara firmware harus dienkripsi dan ditandatangani.
Sayangnya, sampai vendor mulai memprioritaskan keamanan, adopsi IoT akan goyah. Hanya diperlukan serangan malware berani lainnya, mungkin melalui antarmuka universal seperti port 80, untuk merusak serapan yang tidak dapat diperbaiki. Saat ini industri perlu fokus untuk membangun kepercayaan dan itu berarti mengadopsi peraturan yang dibuat sendiri atau peraturan perundang-undangan.
Penulis blog ini adalah Ken Munro, partner di Pen Test Partners
