|
|
|
|
Эксперт Sitronics Group: IoT-устройства сегодня представляют большой интерес для хакеров
Специалист по наступательной безопасности Sitronics Group Никита Котиков отметил важность защиты «умных» вещей и их компонентов в связи с их широким проникновением и интеграцией в различные сферы экономики, в том числе медицину, промышленность и транспорт. Эксперт Sitronics Group отмечает, что к 2030 году количество IoT-устройств может достичь 30 млрд. Речь идет не только о ставших уже привычными устройствах в виде «умных» колонок и роботов-пылесосов, но и промышленном интернете вещей – сложных системах с датчиками и контроллерами для сбора информации с различных агрегатов о корректности производственных процессов. Поэтому рост количества выпускаемых устройств уже сегодня требует повышения уровня их защиты. В числе самых распространенных угроз можно выделить три направления – физическое, удаленное воздействия на устройство, а также воздействие на backend-инфраструктуру.
«IoT-устройства строятся на базе чипов и сбой в их работе позволяет обойти механизмы Secure Boot и шифрования памяти. Вызвать такой сбой можно направленным электромагнитным полем. Злоумышленник беспрепятственно выкачивает незашифрованную прошивку устройства для анализа, и может загрузить на устройство модифицированный код. Это позволит использовать устройство пользователя не по назначению или привести в состояние «кирпича». Поэтому немаловажным будет обратить внимание на анализ безопасности самого исходного кода прошивки – зачастую именно там содержатся недостатки, приводящие в дальнейшем к появлению 0-day уязвимостей, раскрытию учетных данных, директорий backend-серверов и иной критической информации», - говорит эксперт. Удаленное воздействие на устройство также с использованием атак типа «человек посередине» (MiTM) дает возможность инспектировать все передаваемые между устройствами и серверами данные, в том числе секреты доступа и конфигурационную информацию. В случае воздействия на backend-инфраструктуру в первую очередь необходимо определить наличие открытых портов и используемых сервисов, а также проверить их конфигурацию и актуальность версий.
Также важной задачей является обеспечение безопасного доступа к административным интерфейсам и сервисам, в том числе, исключение использования учетных данных по умолчанию или простых комбинаций. В числе популярных уязвимостей IoT-устройств эксперт называет восемь недостатков. В их числе уязвимости микропроцессоров, небезопасная конфигурация, раскрытие информации (исходный код, bootlog), слабые алгоритмы шифрования, атаки на протоколы пейринга и взаимодействия (BLE, ZigBee) и другие.
«Избежать возникновения недостатков поможет реализация комплексного подхода к безопасности функционала на этапах проектирования, конструирования и разработки ПО, а также использование технологий собственного межсетевого экранирования и стойких алгоритмов шифрования данных», - подытожил специалист Sitronics Group.
Контактное лицо: Надежда Томченко (написать письмо автору)
Компания: Sitronics Group (все новости этой организации)
Добавлен: 22:17, 28.02.2024
Количество просмотров: 154
Страна: Россия
83% студентов Института iSpring получили гранты на обучение, iSpring, 00:47, 08.05.2024, Россия |
176 |
Институт iSpring, частный вуз нового поколения, выделил более 127 млн рублей на гранты студентам в 2023-2024 году. Грантовая программа Института дает всем талантливым абитуриентам равные возможности на качественное образование вне зависимости от дохода семьи. В 2023-2024 году с грантовой поддержкой обучается 83% студентов. |
|
Nubes (НУБЕС) предоставил облако для TravelTech-платформы «Погнали!», Nubes, 00:44, 08.05.2024, Россия |
134 |
ИТ-компания «Погнали!» запустила свое решение в облаке нового поколения NGcloud. На облачных ресурсах Nubes разработчик развернул масштабную онлайн-платформу для любителей путешествовать по России, а для хранения большого объема данных подключил сервис объектного хранилища S3. |
|
Nubes (НУБЕС) предоставил облако для TravelTech-платформы «Погнали!», Nubes, 00:41, 08.05.2024, Россия |
36 |
ИТ-компания «Погнали!» запустила свое решение в облаке нового поколения NGcloud. На облачных ресурсах Nubes разработчик развернул масштабную онлайн-платформу для любителей путешествовать по России, а для хранения большого объема данных подключил сервис объектного хранилища S3. |
|
HRlink повысил надежность работы сервиса кадрового ЭДО, HRlink, 01:11, 04.05.2024, Россия |
396 |
Архитектуру платформы кадрового электронного документооборота (ЭДО) HRlink адаптировали к существенному росту количества пользователей. Кроме того, в 2024 году HRlink первой на рынке решений для безбумажного КДП занялась подключением второго удостоверяющего центра для электронных подписей. |
|
|
|
|
|
|
Разделы //
Новости по странам //
Сегодня у нас публикуются //
|
|