Hvorfor Krack Wi-Fi Mess vil ta flere tiår å rydde opp


Et sårbarhet i Wi-Fi kryptering har sendt hele teknologibransjen scrambling; det såkalte Krack-angrepet påvirker nesten alle trådløse enheter i en viss grad, slik at de blir utsatt for kapslede internettforbindelser. Når det gjelder omfanget, blir det ikke mye verre, særlig for tingets ting.

omfanget av Krack fallout gjenstår å bli sett. Sikkerhetsanalytikere sier at det er vanskelig å utsette seg for, og store plattformer som iOS, macOS og Windows er enten upåvirket eller allerede blitt oppdatert. Men gitt millioner av rutere og andre IoT-enheter som sannsynligvis aldri ser en løsning, kan den virkelige prisen på Krack spille ut i årevis.

"For det generelle sfæren av IoT-enheter, som sikkerhetskameraer , vi er ikke bare under vann, sier Kevin Fu, en datavitenskapsmann ved University of Michigan som fokuserer på medisinsk utstyrssikkerhet. «19459008]

Krack avslører bare hvor dypt disse problemene går – og hvor sakte industrien har flyttet for å fikse dem.

Katastrofe

Uansett råd du kanskje har hørt for å håndtere Krack, har bare en faktisk konkret fordel: Pakk enhetene dine. (Du finner en løpsliste over selskaper som har gitt en her .)

Hvis du har en iPhone, Mac eller Windows-datamaskin, bør du virkelig lappe akkurat nå. Hvis du har en Android-enhet, er det en oppdatering i offingen, men det kan ta litt tid for å nå deg hvis du har noe annet enn en Pixel eller Nexus. Men etter det er du klar! De er i god form.

'Vi er ikke bare under vann. Vi er under kvicksand under vann. '

Prof. Kevin Fu, University of Michigan

Men ruteren din? Ditt sikkerhetskamera? Din Internett-tilkoblede garasjeport ? Bli komfortabel.

"Vi vil nok sannsynligvis finne sårbare enheter 20 år fra nå," sier HD Moore, nettverkssikkerhetsforsker hos Atredis Partners.

Det skyldes at selv IoT-enheter mottar sjelden de nødvendige programvareoppdateringene for å rette sikkerhetsproblemer. For et problem som er så komplekst som Krack, som påvirker næringen på et protokollnivå og krever en koordinert innsats for å fikse, er det i mange tilfeller din beste innsats å bare kjøpe nytt utstyr når patched alternativer er på markedet.

Utfordringene går også utover bare tilgjengeligheten av en patch. Ta Netgear. Til kreditt har selskapet gjort reparasjoner tilgjengelig for et dusin av rutermodellene den dagen Krack ble offentlig. Men det produserer over 1200 produkter, som hver av dem må testes for en bestemt Krack-effekt. I mange tilfeller kan Netgear ikke gjøre disse rettelsene alene;

Og når disse patchene blir tilgjengelige, har selskapet begrensede måter å informere kunder de trenger for å oppdatere så snart som mulig. Den sender e-post til de som registrerer sine produkter, og sender ut en rådgivende og innlegg i fellesskapsfora. Resten av Netgear-kunder – hovedparten av dem – må lese en nyhetsrapport som denne, og jakte ned den riktige nedlastingslenken for å installere reparasjonen. Og selv om de gjør den krever den faktiske patchingprosessen å logge inn i Netgears tilgangspunkts web-administrasjonsgrensesnitt fra datamaskinen din, noe som med rette kan baffle en rekke router eiere.

"Jeg ville ikke hevde at noen bare kan gjøre det," sier Netgear CIO Tejas Shah. "Vi anerkjenner behovet for å utdanne kunden og hjelpe kunden når de står overfor dette problemet."

Disse problemene er ikke unike for Netgear, som igjen får en stjerne for å lage oppdateringer umiddelbart tilgjengelig . Men de understreker bare hvor ille forberedt trådløse enheter er for denne typen industrielle ulykker.

Og det er bare rutere, som folk i det store og hele er minst klar over å koble til Internett. IoT-enheter er et helt ekstra nivå av ugjennomsiktig.

"Brukerne kan ikke engang innse at de har en Wi-Fi-IoT-enhet. Kjøleskapet kan være en av dem, sier Bob Rudis, sjefsdataforsker ved sikkerhetsselskapet Rapid7. "Kjøleskapet kommer sannsynligvis ikke til å få patcher i seg selv."

Et tilkoblet kjøleskap kan høres ut som et dumt eksempel, men de eksisterer, som også koblet vinduer og sprinklersystemer og stort sett alt annet. Disse har ofte ikke noe lett tilgjengelig grensesnitt, noe som gjør det vanskelig å bruke patcher, selv om de på en eller annen måte eksisterer. Og Rudis sier at mens et hacket apparat ikke vil hoste nettleserloggen eller kontaktlister til en hacker, presenterer sårbare IoT-enheter en annen type trussel.

"Det er ikke bare konfidensialitet. Det er integriteten. Hvis noen klarer å lykkes med å gjøre dette angrepet og målretter mot IoT-enhetene, kan de dra nytte av sikkerhetsproblemet og åpne garasjen eller låse opp døren din, sier Rudis.

Og til eller med mindre du oppgraderer dem (unødvendig å si dyre) tilkoblede enheter, sjansene er at de forblir utsatt i flere tiår.

Auto Motives

Den følelsen som synker inn er håpløshet. Problemene med IoT-sikkerhet kjører både så bredt og så dypt, og Krack utsetter dem så fullstendig at oppgivelsen helt og fullt føles om riktig.

Det trenger ikke, skjønt. Det har i løpet av de siste månedene og årene vært en viss bevegelse mot å fikse IoT-sikkerheten, eller i det minste gjør den mindre komisk ukjent.

Gå tilbake til rutere i et minutt. Hvis du har en eldre modell, er du nesten helt uheldig – faktisk, hvis du går tilbake langt nok, kan det ikke engang støtte WPA2 i utgangspunktet. Men et glimt av håp har dukket opp i en ny generasjon nettverks-rutere, enheter som følger med en app for enkel tilgang til grensesnitt, og det gir viktig auto-oppdateringsevner.

Det betyr at når en Krack skjer, selskapet kan både varsle brukere umiddelbart til problemet, og skyve ut en løsning uten at en eier må løfte en finger, mye mindre å navigere et tilgangspunkt for web-administrasjons GUI.

Ta Eero, en av de opprinnelige nettverksselskapene. Det hadde automatisk presset ut en reparasjon til sine betakunder innen timer etter Krack-nyheten. Etter grundig testing – for å sikre at kuren ikke har uventede bivirkninger, sender den sin Krack-patch ut til alle sine brukere samtidig.

"Vårt system ble utviklet for scenarier som dette fra grunnet opp, sier Eero CEO Nick Weaver. "Hvis vi trenger å presse en oppdatering til 100 prosent av våre Eeros, kan vi gjøre det nesten øyeblikkelig. Det er en av kjernevennene til produktet vårt. "

'Hvis en bilprodusent har en grunnleggende feil i en bil, spiller det ingen rolle hvor lenge feilen har vært der. Når det er blitt identifisert, må de gjøre en tilbakekalling, de må fikse det eller erstatte det. '

Bob Rudis, Rapid7

Autoupdatoer har deres egne problemer. I august klarte et smart-lock-selskap, kalt Lockstate, utilsiktet en av sine produkter ved å skyve en buggy-programvare. Noen kunder måtte sende sine låser tilbake til selskapet for en "reset" før de klarte å sikre sine dører igjen. Ikke ideell. Hackere har også brukt autoupdates til å skape malware i stor skala, som NotPetya malware som plaget Ukraina og flere store multinasjonale selskaper – gjorde denne sommeren.

Fortsatt i IoT autoupdates ser ut til å være en god nettopp, spesielt med en grundig beta-prosess på plass for å kaste bort eventuelle feil før de går brede.

"Generelt er autoupdate mer gunstig enn ikke, sier Moore, "forutsatt at det er gjort riktig."

Netgear har også tatt imot den modellen på sitt høyere ende Orbi mesh nettverkssystem. Shah sier at selskapet planlegger å "aktivere så mange produkter som mulig for autoupdate." Det hjelper imidlertid ikke noen av Krack-rammede rutere allerede på markedet.

Krackdown

Slow forbedring har også kommet fra andre kvartaler. Prisen for oppføring i et smart hjemme-økosystem som Apples HomeKit inkluderer møte visse sikkerhetskrav; da IoT-industrien fortsetter å samle seg rundt disse plattformene, må de demonstrere minst en grunnkompetanse for å holde sine enheter trygge, og en interesse i å opprettholde den integriteten.

Og i mangel av dette, reguleringsspektret vevstoler. Senator Mark Warner of Virginia introduserte en regning i august som ville kreve visse sikkerhetsminimum for smarte enheter. Selv om det ikke har sett mye trekkraft ennå, kan svært publiserte sikkerhetsmeltinger som Krack presse andre lovgivere til å legge merke til.

"Sikkerhetsproblem i WPA2 fremhever virkningen av sårbarheter i allment vedtatte komponenter og protokoller, og illustrerer viktigheten av å vedta grunnleggende hygienekrav for det raskt spredende Internettet, sa Warner i en uttalelse til WIRED.

Disse tiltakene kan hjelpe noen, men eksperter er fortsatt skeptiske til at de går langt nok.

] "Jeg mistenker at på slutten av dagen vil det være noen form for regulatoriske, eller i hvert fall policybaserte metoder for å stimulere baseline cybersecurity hygiene," sier Fu, som har vitnet før kongressen om IoT-sikkerhetsproblemer. "Den triste nyheten er, det er så langt under baren. Det er som å utdele Kleenex når du har Ebola. "

Rapid7s Rudis foreslår lån fra en annen industris eksisterende rammeverk.

" Hvis en bilprodusent har en grunnleggende feil i en bil, gjør det ikke Det spiller ingen rolle hvor lenge den feilen har vært der. Når det er blitt identifisert, må de gjøre en tilbakekalling, de må fikse det eller erstatte det, sier Rudis.

Et tilsvarende system bruker faktisk tilkoblet medisinsk anordninger . Bedrifter trenger ikke bare å utgjøre tilbakekallinger, men følg gjennom på dem, ta kontakt med hver enkelt forbruker direkte. Det virker imidlertid usannsynlig å overføre til den bredere verden av IoT når som helst snart.

Det er sannsynligvis ikke noe paradis for IoTs sikkerhetsproblemer. Det beste håpet ligger sannsynligvis i en kombinasjon av bedrifter som blir mer smidige, bedre i stand til å reparere ødelagte ting raskt, og for forbrukerne å se det som et viktig salgsargument for å skape et økonomisk incitament der det for øyeblikket ikke eksisterer.

«Vi må skape disse tingene slik at de kan mislykkes grasiøst, snarere enn katastrofalt,» sier Fu.

Det ser ikke ut til å være så mye å spørre. Men en katastrofe som Krack viser hvor langt IoT har før den kommer dit.