Alla luce dei recenti eventi attorno a Mirai che non sono l'unica botnet IoT, ma che sono uniti da IoTroop / IoT_reaper (vedi qui e qui ), Mi sono chiesto quali passi devono essere presi per utilizzare in modo sicuro un dispositivo IoT. Ovviamente, non è saggio collegare semplicemente il dispositivo alla connessione Internet pubblica IP. Ma non penso che questo sia il solito scenario di distribuzione. La mia configurazione personale è un tipico utente domestico: ISP - > modem via cavo - > router wireless e tutti i computer / dispositivi dietro questo router. Ciò significa che esiste un firewall tra qualsiasi dispositivo e Internet. Per quanto riguarda la mia esperienza di diverse aziende e università, esiste una quantità simile di firewall, se si collegasse il proprio dispositivo IoT a una qualsiasi presa di rete aziendale.
Quindi, la prima parte equivale alla domanda: quali vettori di attacco (di rete) devono essere considerati?
Nell'impostazione sopra descritta ho considerato il dispositivo IoT come non direttamente accessibile da internet. Questo non sembra essere vero in presenza di un router abilitato UPnP. Su diversi siti ho scoperto che la disattivazione di UPnP aumenta la sicurezza. Con la mia mediocre comprensione di ciò che fa UPnP, questo sembra molto logico, dal momento che non voglio che i dispositivi insicuri facciano buchi nel mio firewall. Ma gli stessi siti che suggeriscono di disattivare UPnP, sembrano non menzionare mai quali possibili effetti collaterali potrebbero avere. (Ho letto che alcuni software come Windows Live Messenger si basano su UPnP?)
Senza UPnP e senza reindirizzare manualmente alcuna porta al mio dispositivo IoT, sembra che il mio dispositivo IoT debba effettuare connessioni attive. Posso immaginare due ragioni per effettuare tali connessioni: Connessione a un meccanismo di aggiornamento automatico del firmware e connessione a un produttore / servizio di terze parti, che consente al dispositivo di essere disponibile dall'esterno della mia LAN (ad esempio, come il servizio Ivideon).
Quindi, la seconda parte della domanda è: queste connessioni attive rappresentano una minaccia? (Dato che qualsiasi account su tali siti ha password decenti.) Bisogna aver paura degli attacchi man-in-the-middle sul meccanismo di aggiornamento FW o delle immagini FW mal intenzionalmente modificate?
Ma cos'altro mi sto perdendo?
[Naturalmente, ci sono due suggerimenti di base, uno su base giornaliera: cambia le password predefinite e applica gli aggiornamenti del firmware (se il produttore si prende cura di fornirglielo). ]