Pas dan lupakan:Ancaman yang ditimbulkan oleh IoT yang tidak dikonfigurasi
Pawai teknologi 'pintar' telah melihat setiap perangkat yang ada di rumah dan kantor kita 'ditingkatkan' dengan beberapa bentuk konektivitas. Meskipun ini menawarkan fungsionalitas tambahan untuk beberapa orang, kata Ken Munro, partner di Partner Test Pen , bagi orang lain, penyempurnaan cerdas ini tidak memenuhi persyaratan.
Lagi pula, mengapa menghubungkan mesin cuci Anda secara nirkabel jika Anda senang menggunakan kontrol secara manual? Tak pelak, ini berarti perangkat Internet of Things (IoT) dibeli dan digunakan tanpa menghubungkannya dan ini menciptakan masalah nyata.
Perangkat IoT yang tidak dikonfigurasi masih berfungsi secara efektif sebagai titik akses nirkabel terbuka yang tidak terenkripsi, membuatnya rentan terhadap kompromi. Ini adalah masalah yang tampaknya luput dari perhatian produsen dan regulator. Terlepas dari publikasi berbagai pedoman nasihat, tidak ada satupun yang menangani masalah ini, termasuk Kode Praktik kami sendiri untuk Keamanan IoT Konsumen.
Vektor serangan
Menghubungkan ke perangkat IoT yang tidak dikonfigurasi adalah hal yang sepele. Penyerang dapat mengidentifikasi SSID perangkat menggunakan situs geolokasi seperti wigle.net. Perangkat mudah dikenali, misalnya, ketel menggunakan SSID:iketttle, bak air panas:BWGSPa, Google Chromecast:Chromecast, AC LG:LGE_AC dan EcoWater pelembut air pintar:H2O-6c. Yang perlu mereka lakukan hanyalah mengunduh aplikasi, melewati lokasi, terhubung ke titik akses nirkabel, dan voila mereka memiliki kendali.
Perangkat yang menggunakan konektivitas Bluetooth berpotensi memiliki risiko yang lebih besar daripada perangkat yang menggunakan Wi-Fi. Ini karena perangkat tersebut sering kali tidak memiliki proses untuk mengautentikasi atau mengotorisasi perangkat seluler yang mereka sambungkan, memungkinkan siapa pun dalam jangkauan untuk terhubung.
Setelah dikompromikan, perangkat ini dapat disalahgunakan dengan berbagai cara. Mereka dapat digunakan untuk membuat backdoor ke jaringan, misalnya. Kami bahkan telah melihat ini di lingkungan perusahaan di mana screencaster yang tidak dikonfigurasikan diinstal oleh teknisi AV (dan, oleh karena itu, tidak ada di radar departemen keamanan) menjembatani jaringan perusahaan berkabel dan nirkabel.
Pertimbangkan juga bahwa banyak dari perangkat ini akan mendekam dalam rantai pasokan, terjebak di gudang di suatu tempat sampai dikirim, yang berarti mereka biasanya berusaha memperbarui perangkat lunak mereka setelah dikonfigurasi. Perangkat lunak yang tidak dikonfigurasi dan berjalan kedaluwarsa dapat dieksploitasi dan menjadi target utama untuk firmware jahat.
Setelah firmware jahat diunggah, ini dapat digunakan untuk memodifikasi perangkat, misalnya, berpotensi digunakan untuk menguping. Gagal memperbarui perangkat juga merupakan masalah untuk perangkat IoT jangka panjang lainnya, mulai dari bohlam lampu pintar hingga termostat, yang cenderung tetap di tempat untuk waktu yang lama dan pengguna tidak perlu repot untuk memperbaruinya.
Memecahkan masalah
Ada beberapa solusi desain yang dapat mengatasi masalah IoT yang tidak dikonfigurasi. Salah satu opsinya adalah memasang tombol secara fisik pada perangkat yang kemudian harus digunakan pengguna untuk mengautentikasi, baik itu untuk konektivitas nirkabel atau pemasangan Bluetooth.
Ini kemudian memastikan perangkat hanya dapat dibuat secara manual untuk terhubung ke aplikasi di perangkat pengguna saat berada di dekatnya. Tanpa kunci yang dicegat saat transit, ini sangat mengurangi potensi kompromi, namun, dengan keamanan sering kali hanya menjadi pertimbangan, sangat sedikit perangkat yang memiliki mekanisme kontrol fisik seperti ini.
Solusi yang lebih hemat biaya adalah dengan memaksa semua perangkat IoT untuk mematikan radio frekuensi radio mereka secara default. Ini mungkin terdengar seperti bertentangan dengan poin IoT, tetapi saya yakin kita harus mengendalikan teknologi kita daripada sebaliknya.
Fakta bahwa produk dikirimkan sebagai produk yang cerdas tidak berarti pengguna akan menggunakannya sebagaimana dimaksud. Konsumen harus diberikan pilihan atas bagaimana mereka ingin menggunakan perangkat. Jika tidak, kami berisiko menjadikan rumah pintar kami rentan terhadap serangan lokal melalui Wi-Fi.
