Ada sedikit teknologi tertanam yang terhubung ke internet di hampir semua perangkat baru. Jenis "barang" yang mendukung internet termasuk teko teh (serius), pelatih (sepatu kets), dan televisi.
Juga, hal-hal yang mungkin tidak terhubung ke Internet tetapi sering terhubung ke jaringan lokal termasuk perangkat medis seperti alat pacu jantung dan pompa insulin. Tren ini, kata Art Dahnert, konsultan pengelola di Synopsys, Inc. , telah terjadi selama beberapa tahun sekarang dan sepertinya tidak akan berhenti dalam waktu dekat.
Masalahnya adalah terlalu banyak hal di Internet of Things (IoT) juga diretas.
Anda tidak perlu melihat terlalu jauh untuk melihat cerita tentang kamera keamanan yang diubah menjadi botnet atau TV Anda digunakan untuk memata-matai Anda, atau monitor kebugaran yang digunakan untuk mengidentifikasi pangkalan militer rahasia. Masalah dengan semua serangan ini adalah bahwa perangkat lunak yang mendukung perangkat ini tidak dibangun dengan mempertimbangkan keamanan. Seringkali, tidak ada yang memikirkan keamanan sampai semuanya terlambat dan perangkat IoT mereka ada di mana-mana.
Kendaraan rentan
Tidak ada tempat yang lebih jelas daripada dengan mobil saat ini. Kendaraan modern saat ini memiliki lebih dari 100 CPU (unit co-prosesor) dan menggunakan jutaan baris kode. Semua kode ini diperlukan untuk mendukung teknologi canggih seperti adaptif cruise control, lane-keep assist, self-parking, dan fitur pengereman darurat, yang belum ada 10 tahun yang lalu.
Kombinasi kode baru dan fitur baru bersama dengan tekanan kecepatan-ke-pasar berarti beberapa sudut kemungkinan besar dipotong — termasuk kontrol keamanan. Mungkin juga persyaratan keamanan tidak dianggap cukup tinggi untuk dijadikan produk akhir. Apa pun alasannya untuk tidak menyertakan keamanan di awal, kendaraan yang tidak aman siap untuk dieksploitasi dan dikendalikan oleh penyerang.
Dan inilah tepatnya yang telah terjadi. Kebanyakan orang jahat yang menyerang perangkat lunak otomotif tidak ingin menabrak ribuan mobil saat mereka berkendara di jalan; mereka akan melakukan apa yang dilakukan orang jahat, mencuri barang. Yaitu mencuri kendaraan, atau paling tidak apa yang ada di dalam kendaraan. Itulah yang terjadi di Houston pada tahun 2016, dengan geng mencuri lebih dari 30 Jeep dengan memanfaatkan kurangnya kontrol keamanan di software kendaraan.
Apa yang bisa dilakukan?
Pertama, perusahaan perlu memperhatikan keamanan dengan serius, dan membangun keamanan ke dalam produk mereka sejak awal, menggunakan praktik terbaik keamanan. Ini dimulai dengan melatih staf pengembangan tentang menulis perangkat lunak yang aman, dan termasuk mengembangkan atau menggunakan arsitektur yang mengintegrasikan keamanan ke dalam sistem secara keseluruhan. Memiliki modul atau komponen yang ditulis dengan aman adalah satu hal, tetapi jika sistem meneruskan data (sandi) dalam teks yang jelas, pada akhirnya Anda masih akan berkompromi.
Selain kode dan arsitektur yang aman, perusahaan perlu berinvestasi dalam SDLC yang mengintegrasikan keamanan pada titik-titik tertentu dalam proses. Ini mungkin termasuk alat analisis kode statis yang memindai sumber setiap kali pembangunan dimulai. Dan terakhir, melakukan penilaian keamanan (uji penetrasi) pada produk sebelum dikirim ke produksi sering digunakan untuk memvalidasi persyaratan keamanan.
Keamanan perangkat lunak adalah sebuah perjalanan dan langkah-langkah ini hanyalah permulaan. Dengan semuanya menjadi IoT, setiap "hal" di Internet of Things harus aman.
Penulis blog ini adalah Art Dahnert, konsultan pengelola di Synopsys, Inc.
Tentang penulis:
Art Dahnert adalah konsultan Keamanan Informasi yang memiliki pengalaman lebih dari 19 tahun di bidang teknologi informasi dengan lebih dari 9 tahun dalam pengujian penetrasi aplikasi. Dahnert telah menyelesaikan ratusan penilaian risiko keamanan, uji penetrasi, dan penilaian kerentanan aplikasi web, aplikasi desktop, dan aplikasi seluler.
Dia telah menilai keamanan sistem dan infrastruktur mulai dari ukuran kecil hingga besar termasuk; aplikasi web sederhana, aplikasi perbankan perusahaan besar, dan sistem penyebaran khusus militer AS yang berfungsi penuh.