America사물 인터넷의 사물이 해킹된다면? Managing the Intenet of (Hackable) Things
인류의 삶이 중앙처리장치의 지배를 받으면서, 사이버 보안은 정부와 기업뿐만 아니라 이제 개인의 평온한 삶을 책임져야 하는 과제까지 안게 되었다. 특히 오늘날 사물 인터넷과 자율 주행 자동차, 진화하고 있는 이동 수단 등 여러 가지 혁명이 동시다발적으로 진행되면서, 보안에 대한 위협이 갑자기 더 커졌고, 이제 즉각적 대응이 필요한 상황으로 돌변하고 있다. 무엇이 우리의 삶을 위협하고 있는가? 현존하는 사이버 위협은 어느 수준인가? 정부와 기업, 개인은 이러한 위협에 어떻게 대응해야 하는가? 라이프스타일, 프라이버시, 기업의 수익성 등 각 측면에서 이 문제를 살펴보자.
사물인터넷(IoT)이 일상의 비즈니스와 삶을 혁명적으로 변화시키고 있다. 기술 리서치 회사 가트너(Gartner) Inc.는 2016년 하루 평균 약 550만 개에 달하는 거의 모든 유형의 제품들이 인터넷에 연결되고 있으며, 2016년 말에는 65억 개의 기기들이 네트워크화 되었고, 이 수치는 2015년 기준 30% 증가한 것이라고 밝혔다. 이 속도라면 2020년에 이르러 약 208억 개의 기기가 인터넷에 연결될 것이다.
그렇다면 사물인터넷에 연결되고 있는 사물(Things)은 어떤 것들일까? 거의 모든 것이라고 봐도 무방하다. 신생아 모니터링 기기, 웨어러블 피트니스 트랙커, 의료 기기, 폐쇄회로 보안 카메라, 도난 경보기, 스마트 온도조절장치, 자동차, 토스터, 냉장고, 식기세척기, 스마트 TV, 스마트 시계, 디지털 카메라, 애완용 목걸이, 전자 장치, 공장 기계, 파워 그리드, 정수 필터 등 수도 없이 많다.
맥킨지 & 컴퍼니 글로벌 연구소는 2025년 사물인터넷의 전체적인 경제 수혜 규모가 연간 3조9천억 달러에서 11조1천억 달러가 될 것으로 보고 있다. 이 기술은 분명히 부를 창출하는 데 상당한 기회들을 열어주고 있는 것은 확실하다. 물론 그러한 기회들이 모두 합법적인 것은 아닐 것이다. 합법적 비즈니스들은 사물인터넷을 통해 수익을 발생시키는 다양한 방식에서 운용될 것이지만, 반면 사이버 범죄 또한 그러한 잠재력에 버금갈 만큼 기승을 부릴 수 있기 때문이다.
이것은 단순히 누군가의 토스트를 태운다거나, 냉장고의 아이스크림을 녹이는 형태의 위협은 아닐 것이다. 물론 그러한 가능성도 열려 있다. 그러나 실제 더 치명적인 위협은 홈 네트워크에 접속하여 보안이 취약한 부분을 공격하는 것으로, 범죄자들이 개인 정보 혹은 금융 정보를 훔치는 것이다. 왜 훔치는지는 굳이 설명하지 않아도 될 것이다.
이런 일이 아직은 시기상조라고 생각하는 사람들이 있을 것이다. 그러나 정말 그럴까? 최근 FBI가 발표한 내용을 보자.
"빈약한 보안 능력과 사물인터넷의 취약점, 여기에 소비자들의 보안 인식 부족으로, 사이버 범죄자들이 이러한 기기를 이용할 수 있는 기회가 발생하고 있다. 범죄자들은 원격으로 다른 시스템을 공격하기 위해, 악의적인 스팸성 이메일을 보내기 위해, 개인 정보를 훔치기 위해, 혹은 보안을 방해하기 위해, 이러한 기회를 활용할 수 있다. 사물인터넷의 주요 위협은 다음과 같다."
- 수많은 사물인터넷 기기에 접근하기 위한 UPnP(universal plug and play, 마이크로소프트 사가 제창한 것으로 각종 가전 제품을 홈 네트워크에 접속하는 인터페이스 규격. 윈도 운영 체제가 가지고 있는 플러그 앤드 플레이 기능을 가전으로 확장한 것)의 악용. 이 프로토콜은 어떤 기기가 원격적으로 연결되어 인증 없이 자동적으로 네트워크와 소통할 때의 프로세스를 형성하는 것이다. UPnP는 특정 IP 어드레스에 속할 때 스스로 자동 설정되도록 고안되었기 때문에, 보안에 매우 취약한 구조를 갖고 있다. 사이버 범죄자들은 설정을 바꿀 수 있고, 기기에 명령을 내릴 수도 있다. 잠재적으로 기기에서 민감한 정보를 뽑아내거나 가정과 사업장에 대한 공격도 감행할 수 있다. 디지털 도청도 가능하다.
- 악의적인 스팸 메일을 발송하기 위해 혹은 개인 식별 정보나 신용카드 정보를 훔치기 위한 디폴트(default, 초기설정) 패스워드의 이용
- 물리적 피해를 야기하기 위한 사물인터넷 기기 조작
- 기기를 동작 불능 상태로 만들기 위한 과부하
- 비즈니스 거래 방해
스마트 시계 내의 모션 센서와 같은 사소한 기술조차도 범죄에 악용될 수 있는데, 사용자의 건강관리 목표를 추적하기 위한 기술 용도가 손의 움직임을 해킹으로 모니터링하여 신용 카드의 패스워드 입력을 낚아 채가는 것으로 바뀔 수도 있다.
또한 해커는 봇네트(botnet, 일종의 군대처럼 악성 봇에 감염되어 명령·제어 서버에 의해 제어당하는 대량의 시스템들로 구성된 네트워크. 수십에서 수만 대의 시스템이 동시에 명령을 전달받아 실행하여 대규모의 네트워크 공격 등 다양한 악의의 행위가 가능하다)를 만들기 위해 사물인터넷 기기의 통제권을 빼앗을 수도 있다.
수년 전, 보안 회사 프루프포인트(Proofpoint)사가 최초의 사물인터넷 봇네트를 적발한 바 있다. 이 봇네트에 감염된 기기의 1/4은 신생아 모니터링 기기, 텔레비전, 기타 비전통적인 컴퓨팅 기기였다.
2016년에는 수쿠리 시큐러티(Sucuri Security)사가 해킹 당한 폐쇄회로 보안 카메라 25,500대 이상으로 구성된 봇네트를 적발했다. 이 봇네트는 서비스 거부 공격(denial of service attacks, 서버가 처리할 수 있는 능력 이상의 것을 요구하여, 그 요구만 처리하게 만듦으로써 다른 서비스를 정지시키거나 시스템을 다운시키는 것) 방식인데, 상업용 웹사이트들을 공격하기 위한 목적으로 사용되고 있었다.
이러한 카메라들은 해커들에게 아주 매력적인 목표가 되는데, 지난해에만 2억5천5백만 대가 공격 대상으로 노출되어 있었기 때문이다. 소비자들을 둘러싼 수많은 카메라들과 더불어 디폴트 패스워드는 거의 변하지 않기 때문에 누구나 그 카메라들에 수월하게 접근할 수 있는 상태였다.
사실 가장 큰 위협은 프라이버시나 금융 정보의 잠재적 도난이 아니다. 사물인터넷의 취약한 보안 프로토콜로 가능한 공격이 인간의 생명을 잃게 할 수도 있다.
「ZDNET」의 한 포스트에 따르면, 인터넷 보안 전문가 브루스 슈나이어(Bruce Schneier)가 최근 인포시큐러티 유럽(InfoSecurity Europe) 컨퍼런스에서 커넥티드 카(connected cars)의 취약성에 대해 경고했다.
"우리가 자동차를 생각하면, 그 취약성의 위협이 훨씬 더 심각하다는 사실을 알게 된다. 이것은 생명과 재산에 대한 실질적인 위기이기도 하다."
브루스 슈나이어는 해커들이 운전자의 프라이버시를 침해하는 것도 나쁘지만 더 크고 나쁜 위협에 대해 밝히고 있다.
"브레이크를 불능 상태로 만든다면? 1년이나 2년에 한 번 정도라도 자동차 CPU에 랜섬웨어(ransomeware)를 설치하는 방법을 누군가가 파악했다면? 이것은 웃을 일이 아니라 컴퓨터가 존재하는 한 상존하는 위협이 된다."
랜섬웨어는 해커 공격의 한 형태로, 침입자가 희생자의 컴퓨터, 전화, 자동차 등을 작동 불능 상태로 만드는 것이다. 감염된 컴퓨터는 시스템에 대한 접근이 제한되며 이를 해제하려면 해커가 요구하는 금전을 제공해야 한다. 자동차 핸들이나 브레이크가 다시 작동하도록 하는 것도 마찬가지다. 시맨텍(Symantec)사는 이러한 범죄자들이 매년 희생자들로부터 5백만 달러 이상을 갈취하고 있지만, 돈을 받았다고 약속을 이행하는 것도 아니라고 말한다.
이러한 위협이 자신의 자동차에는 해당되지 않을 것으로 생각한다면 순진하고 어리석은 생각이다. 해커들은 자동차 브레이크나 액셀에 대한 통제권을 쉽게 장악할 수 있고, 일단 피해를 입히면 사고를 당할 수 있다는 협박으로 돈을 즉각 보낼 것을 요구하고 있다.
이것은 전혀 특별한 일이 아니다. 컴퓨터 전문가들의 조사에 따르면 이미 이러한 일은 충분히 가능한 것으로 증명되었다. 실제로 2011년, 캘리포니아 대학교와 워싱턴 대학교의 연구진들은 쉐보라 임팔라의 도어락 기능과 브레이크 기능을 원격으로 불능 상태로 만들 수 있었다.
2015년, 「와이어드(Wired)」지는 크리스 발라세크(Chris Valasek)와 찰리 밀러(Charlie Miller)라는 화이트 해커를 통해 지프 체로키를 원격으로 통제할 수 있음을 보도했다. 기자 중 한 명이 세인트 루이스 고속도로에서 해당 체로키를 운전했고, 해커들은 자신의 집에서 원격으로 이 SUV의 에어컨과 라디오, 와이퍼 등을 조작했다. 운전자가 할 수 있는 것은 아무 것도 없었다.
이 조작은 이들 해커들이 다음에 시도한 조작에 비하면 아무 것도 아니었다. 이들은 체로키의 변속기를 마비시켰고, 액셀 기능을 무력화함으로써 자동차 속도를 현저하게 감속시켰다. 18인치 핸들은 제대로 작동되지 않아 자동차는 통제 불능 상태가 되었다. 해커들은 지프의 브레이크 기능도 마비시켜 운전자가 브레이크를 밟아도 기능이 발휘되지 않게 만들었다.
두 해커는 그들이 CAN bus라 불리는 엔진과 브레이크, 타이어에 명령을 주관하는 컴퓨터 네크워크의 취약성을 공격했다고 밝혔다. 이 보도가 나간 뒤, 피아트크라이슬러(FiatChrysler)는 문제를 해결하기 위해 140만대의 자동차를 리콜해야 했다. 그러나 모든 차주가 리콜에 응답한 것은 아니기 때문에, 현재 도로 위에는 이러한 위협에 노출된 자동차들이 여전히 운행 중이다.
최근 우버(Uber)의 첨단기술센터(Advanced Technology Center)에 채용된 발라사크와 밀러는 연이어 액셀을 작동시키거나 운전대를 통제하는 방법을 통해 지프를 180도 회전시키는 등 아무 것도 할 수 없는 운전자와 동승자에게 치명적인 결과를 초래할 수 있는 가능성도 밝혀냈다.
한편 2016년 8월, 미시건 대학교 과학 팀은 그들이 트럭을 해킹해 대시보드 패널의 디스플레이를 변화시켜 텅 빈 연료 탱크가 가득찬 것처럼 보이게 만들 수 있다고 밝혔다. 감속을 하려는 운전자의 의도와 달리 트럭을 가속시킬 수도, 트럭의 브레이크 시스템의 하나를 비활성화시키는 것도 가능했다.
미시건 연구진 중 한 명인 빌 하스(Bill Hass)는 "트럭들은 위험한 화학물질과 많은 양의 화물을 수송하며, 국가 경제의 근간을 담당하고 있다. 그런데 누군가가 트럭을 해킹해 의도치 않게 가속을 시킨다면... 얼마나 나쁜 일들이 발생할 것인지를 생각하는 것이 어렵지 않을 것이라 본다"고 밝혔다.
트럭을 해킹하는 일은 승용차를 공격하는 것보다 더 쉽다. 승용차는 다양한 회사들이 다양한 형태의 시스템을 사용하지만, 모든 트럭과 스쿨 버스는 J1939라는 표준 시스템을 공유하기 때문이다. 따라서 범죄자나 테러 조직이 이 소프트웨어에 침투하는 방법을 배운다면, 수천 대의 트럭들이 통제 불능 상태에 빠지는 재앙이 발생할 수 있다.
이러한 현 보안 위기를 고려하면, 우리는 앞으로 4가지의 미래를 예측할 수 있다.
첫째, 제조사와 소비자들이 연결성(connectivity)에 대한 니즈와 보안에 대한 니즈 사이에서 균형을 찾을 것이다. 문제는 제조사들이 커넥티드 제품을 시장에 먼저 선보이려는 경쟁을 하고 있다는 점이다. 이러다 보니 대부분의 경우, 제조사들은 보안이나 소비자 프라이버시에 대한 안전을 먼저 고려하는 시간을 할애하지 못하고 있다. 심지어 조잡한 보안 프로토콜이 그 자리를 대체하고 그마저도 최종 소비자들의 무관심의 대상이 되기도 한다.
실제로, 커넥티드 제품의 구매자 대부분이 디폴트 패스워드에 대한 재설정에 서투르고, 이로 인해 현관문이 밤낮으로 열려 있는 것처럼 침입자에게 무방비로 개방되어 있다. 자동차의 경우, 켈리 블루 북(Kelly Blue Book)가 조사한 서베이는 사용자의 42%, 밀레니얼 세대의 60%가 그들 자동차가 커넥티드되기를 희망하는 것을 보여준다. 그러나 2/3는 그러한 자동차가 쉽게 사이버 범죄자들의 표적이 되리라곤 생각하지 못하고 있다.
둘째, 사물인터넷 기기에 대한 최고 수준의 보안을 제공하는 기업들은 앞으로 큰 수익을 얻을 것이다. 인터넷 보안에 있어 전체 시장 규모는 2020년까지 1천700억 달러로 성장할 것으로 보인다. 사물인터넷 보안은 현 전체 시장의 9%를 차지하지만, 2020년까지 매년 최소 16%씩 성장할 것이다. 조사 전문 기업 마켓&마켓(Markets&Markets)사가 수행한 연구는 사물인터넷 시장이 2015년 68억9천만 달러에서 2020년이 되면 280억9천만 달러로 성장할 것으로 예측한다. 2015년에서 2020년까지 연평균 33.2%의 성장이다.
이러한 시장을 선도하고 있는 두 기업으로 젬알토(Gemalto)와 마이크로소프트가 있다. 젬알토 사는 모바일 결제 보안을 제공하는 기업이다. 이 기업은 그들의 시큐어 엘레먼트(Secure Element) 플랫폼을 자동차 제조사와 유틸리티 회사까지 확대하고 있다. 쉽게 조작될 수 없는 젬알토의 기술이 기기에 장착되어, 데이터를 암호화하고 기기 간 접근을 제한함으로써 안정적 보안을 제공할 수 있다. 마이크로소프트는 비트라커(BitLocker) 암호화와 시큐어 부트(Secure Boot) 기술을 윈도우 10 사물인터넷 운영 시스템에 탑재하고 있다. 비트라커는 침입자로부터 데이터를 보호할 수 있도록 전체 디스크 볼륨을 암호화할 수 있다. 시큐어 부트는 신뢰할 만한 소프트웨어만으로 부팅을 하게 함으로써 PC를 해킹으로부터 보호해준다.
셋째, 비즈니스 사업자와 개인들은 그들 스스로 인터넷에 연결하는 모든 사물의 보안에 주의를 기울이지 않는다면 사물인터넷 기기에 대한 해킹으로 큰 고통을 받을 것이다. FBI는 다음과 같은 조치를 취할 것을 권고한다.
- 자체 보호 네트워크에서 사물인터넷 기기를 개별화하라
- 라우터에서 UPnP를 해제하라
- 사물인터넷 기기가 의도된 목적에 맞는지 고려하라
- 보안 시스템을 제공하는 제조사의 사물인터넷 기기를 구매하라
- 가능하다면, 사물인터넷 기기의 보안 패치를 업데이트 하라
- 가정과 비즈니스 내 장착된 기기의 성능을 인지하라 디폴트 패스워드를 변경하고 보안 와이파이 네트워크 하에서만 운용되게 하라
- 사물 인터넷 기기를 무선 네트워크에 연결할 때, 그리고 원격으로 사물인터넷 기기에 접속할 때, 현재 최상의 보안 운용 조건을 준수하라.
- 원격 의료 관련 기기의 성능에 대해 인지하고, 데이터 전송 혹은 원격 진료가 가능한 기기일수록 해커의 표적이 될 수 있음에 주의하라
- 모든 디폴트 패스워드는 보안을 생각하여 강력한 패스워드로 변경하라. 기기 제조사가 설정한 디폴트 패스워드를 계속 사용하지 마라
넷째, 커넥티드 자동차 시장이 확대될수록, 자동차와 트럭 제조사들은 사물인터넷 보안에 더 큰 주의를 기울일 것이다. "I AM the Cavelry"로 불리는 사물인터넷 보안 단체의 공동 설립자 조시 코만(Josh Corman)은 자동차 제조사들이 개선 노력보다 상황이 더 빠르게 악화되고 있음을 경고하고 있다. 해킹이 가능한 신제품을 출시하는 데 1년이 걸린다면, 그것을 보호하는 조치를 취하는 데는 현재 4∼5년이 소요된다는 것이다.
「와이어드(Wired)」지에 따르면, 이 단체는 자동차 제조사들에게 5가지를 권고한다.
- 공격 여지를 줄이는 더 안전한 설계
- 객관적인 제3자 테스트
- 내부 모니터링 시스템 구축
- 어떠한 공격에도 피해를 최소화하는 분할된 아케텍처 구축
- 보안 소프트웨어 업데이트
다행히도, 일부 제조사들이 개선 작업을 시작하고 있다. 포드와 BMW는 자동차 구매자를 딜러나 정비소에 방문시키기보다는 인터넷을 통해 보안 소프트웨어 업데이트를 전송해주기 시작하고 있다. 크라이슬러는 최근 버그 포상(bug bounty) 프로그램을 선언했다. 이것은 자동차의 취약점을 알려주는 해커들에게 현금을 지불하는 보상 프로그램이다.
***
글로벌 트렌드 DB 서비스는 美 Trend Magazine社과 정식계약으로 제공되는 지식 정보 콘텐츠입니다.
글로벌 트렌드 DB 서비스는 전 세계 2만여 명의 각 산업별 전문가들이 혁신 기술, 문화, 경제, IT, 바이오, 나노테크, 인터넷 등 각 분야에서 세계 경제 지도를 바꾸는 트렌드를 선정하고, 지식과 정보, 오피니언을 하나의 콘텐츠로 묶어, 세계의 현재와 미래를 알고 분석, 예측할 수 있도록 안내하는 프리미엄 서비스입니다.
본 글로벌 트렌드 콘텐츠는 저작권법의 보호를 받는 콘텐츠입니다.
(이용문의 - 네오넷코리아, 02-539-3233)
Managing the Internet of (Hackable) ThingsThe Internet of Things (IoT) promises to revolutionize our businesses and lives. According to tech research firm Gartner Inc.; on an average day this year, 5.5 million new products of all types will be connected to the Internet. By the end of the year, 6.4 billion devices will be networked, an increase of 30 percent from last year, with the number jumping to a staggering 20.8 billion by the end of the decade.
What types of “things” are being connected to the Internet of Things? The list includes baby monitors, wearable fitness trackers, medical devices, closed-circuit security cameras, burglar alarms, smart thermostats, cars, toasters, refrigerators, dishwashers, smart TVs, smart watches, digital cameras, pet collars, electronic gadgets, factory equipment, power grids, water filters, and more.
McKinsey & Company’s Global Institute found that the total economic benefit of IoT in 2025 could be from $3.9 trillion to $11.1 trillion per year.1
While this technology will open many opportunities for wealth creation, not all of those opportunities will be legal ones. Just as legitimate businesses and entrepreneurs are working on ways to make money from the Internet of Things, cyber thieves are equally enthusiastic about its potential.
Clearly, the risk is not that criminals will hack into your appliances in order to burn your toast or melt your ice cream, although they will certainly have that capability. The real threat is that they will use weakly protected appliances as portals into your home network, where they will steal personal and financial information stored on your laptop to commit identity theft and banking fraud.
________________________________________
As the FBI recently announced:
“Deficient security capabilities and difficulties for patching vulnerabilities in [IoT] devices, as well as a lack of consumer security awareness, provide cyber actors with opportunities to exploit these devices.2 Criminals can use these opportunities to remotely facilitate attacks on other systems, send malicious and spam emails, steal personal information, or interfere with physical safety. The main IoT risks include:
- An exploitation of the Universal Plug and Play protocol (UPnP) to gain access to many IoT devices. [This protocol] describes the process when a device remotely connects and communicates on a network automatically without authentication. UPnP is designed to self-configure when attached to an IP address, making it vulnerable to exploitation. Cyber actors can change the configuration, and run commands on the devices, potentially enabling the devices to harvest sensitive information or conduct attacks against homes and businesses, or engage in digital eavesdropping.
- An exploitation of default passwords to send malicious and spam emails, or steal personally identifiable information or credit card information.
- Compromising the IoT device to cause physical harm.
- Overloading the devices to render the device inoperable.
? Interfering with business transactions.”
Even a seemingly benign technology like the motion sensor within a smart watch can be subverted from tracking your fitness goals to monitoring the movements of your hand as you enter a password that unlocks access to your credit card.
Also, hackers can gain control over IoT devices to create a botnet?defined as “a network of private computers infected with malicious software and controlled as a group without the owners’ knowledge,” which can be used to distribute spam emails or launch a denial of service attack.
Two years ago, the security firm Proofpoint identified what it called the “first IoT botnet,” in which more than one-fourth of the devices were baby monitors, televisions, and other nontraditional computing devices.3
This year, Sucuri Security discovered a botnet consisting of more than 25,500 hacked closed-circuit security cameras that were being used to target business websites with denial of service attacks.4
Such cameras are particularly tempting targets to hackers because nearly 250 million professionally installed units were in use last year, with countless other cameras deployed by consumers?and since the default passwords are rarely changed, anyone can access them.
But the biggest threat isn’t the potential loss of privacy or financial information. Attacks enabled by the IoT’s weak security protocols could cause the loss of human lives.
According to a post on ZDNet, Internet security expert Bruce Schneier warned about the vulnerabilities of connected cars at a recent InfoSecurity Europe conference: “When you start thinking about a car, you quickly realize the integrity and vulnerability threats are much worse than confidentiality threats and there’s real risks to life and property here.”5 He pointed out that even though it would be bad for hackers to invade the privacy of drivers, “It’d be really bad if they could disable the brakes. It’d be really bad?and it’ll happen in a year or two?when someone figures out how to apply ransomware to the CPUs of cars. That’s not going to be fun, but as long as there are computers it’ll happen.”
Ransomware is a type of hacker attack in which the intruder disables the victim’s computer, phone, or car, demanding payment of hundreds or thousands of dollars to restore access to the victim’s data or control of the brakes and steering wheel. Symantec estimates that extortionists collect more than $5 million each year from victims, and in many instances, they don’t hold up their end of the bargain and unlock the data.6
But if you think this type of threat doesn’t apply to your car, you’re wrong. Hackers could easily seize control of a car’s brakes or acceleration and demand an immediate payment to prevent a collision.
This isn’t just speculation; experiments by computer experts outside the automobile industry have proven that it can be done. In 2011, researchers from the University of California at San Diego and the University of Washington demonstrated that they were able to remotely disable the locks and the brakes on a Chevrolet Impala.
________________________________________
Last year, Wired reported that a pair of “white hat” hackers, Chris Valasek and Charlie Miller, had figured out how to remotely control a Jeep Cherokee.7 One of its reporters drove the Cherokee on a St. Louis highway while the hackers sat on their couch and cranked up the SUV’s air conditioning, blasted rap music on its sound system, and turned on the windshield wipers, while the driver sat helpless to override their commands.
Those were minor annoyances compared to the hackers’ next stunt: They shut down the Cherokee’s transmission, disabling the driver’s accelerator so that it slowed to a crawl, while an 18-wheel semi behind it narrowly averted slamming into the disabled vehicle. They also disconnected the Jeep’s brakes, causing the driver to pump the brakes in vain as it skidded into a ditch.
Valasek and Miller say they exploited a vulnerability in the computer network, called a CAN bus, that is used to issue commands to the engines, brakes, and tires. After the breach became public, FiatChrysler responded by recalling 1.4 million vehicles to fix the problem. But because not every owner responds to a recall, many of the vulnerable vehicles are likely still on the road.
Valasek and Miller, who were recently hired by Uber’s Advanced Technology Center, subsequently figured out how to trigger the acceleration or seize control of the steering wheel, allowing them to whip the Jeep into a 180-degree turn in traffic, with potentially fatal consequences for the helpless driver and passengers.
Meanwhile, in August 2016, a team of scientists from the University of Michigan announced that they had hacked into a truck to change the displays on the dashboard instrument panel so that they could make an empty fuel tank appear to be full; speed up the truck despite the driver’s attempts to slow it down; and turn off one of the truck’s braking systems.8
According to Michigan researcher Bill Hass, “These trucks carry hazard chemicals and large loads. And they’re the backbone of our economy. If you can cause them to have unintended acceleration…I don’t think it’s too hard to figure out how many bad things could happen with this.”
________________________________________
Hacking into trucks is actually simpler than attacking cars because different car manufacturers use different types of communications systems. However, all trucks and school buses use a shared communication standard called J1939, so once a criminal or terrorist organization learns how to penetrate the software, it could cause a catastrophe by causing thousands of trucks to accelerate and plow into vehicles in front of them, or it could shut down a fleet of trucks in traffic while issuing a demand for ransom.
Based on our analysis of this trend, we offer the following forecasts:
First, manufacturers and consumers will balance the desire for connectivity with the need for security.
The problem is that manufacturers are racing each other to push connected products onto the market. In most cases, they’re not taking the time to worry about security or consumer privacy?and even the flimsy security protocols that are in place are frequently ignored by end users: In fact, most purchasers of connected products fail to reset the default password, leaving the entire home just as vulnerable to intruders as if the front door were left wide open all day and all night. In the case of vehicles, a survey by Kelley Blue Book found that 42 percent of its users, and 60 percent of Millennials, want their cars to become more connected. Yet, about two-thirds believe that those cars will be easy targets for cyber criminals.
Second, companies that provide top-notch security for IoT devices will reap big profits.
The entire market for Internet security is expected to grow to $170 billion by 2020. Security for the Internet of Things accounts for 9 percent of the total market, and by 2020 it is likely to reach at least 16 percent. Projections by the research firm MarketsandMarkets reveal that the IoT security market is expected to grow from $6.89 billion in 2015 to $28.9 billion by 2020, at a compound annual growth rate of 33.2 percent from 2015 to 2020. Two companies to watch in this space are Gemalto and Microsoft. Gemalto is a company that provides security for mobile payments. It is extending its Secure Element platform to car manufacturers and utility companies. The supposedly tamper-proof technology is embedded in devices to provide security by encrypting data and limiting access from one connected device to another. Microsoft is including BitLocker encryption and Secure Boot technology into its Windows 10 IoT operating system for IoT devices. BitLocker can encrypt entire disk volumes to keep data protected from intrusions, while Secure Boot prevents PCs from being hijacked by ensuring that they boot only with trusted software.
Third, businesses and individuals will suffer breaches via IoT devices unless they make an effort to focus on the security of every object they connect to the Internet.
The FBI recommends that people take the following precautions:
- “Isolate IoT devices on their own protected networks.
- Disable UPnP on routers.
- Consider whether IoT devices are ideal for their intended purpose.
- Purchase IoT devices from manufacturers with a track record of providing secure devices.
- When available, update IoT devices with security patches.
- Consumers should be aware of the capabilities of the devices and appliances installed in their homes and businesses. If a device comes with a default password or an open Wi-Fi connection, consumers should change the password and only allow it to operate on a home network with a secured Wi-Fi router.
- Use current best practices when connecting IoT devices to wireless networks, and when connecting remotely to an IoT device.
- Patients should be informed about the capabilities of any medical devices prescribed for at-home use. If the device is capable of remote operation or transmission of data, it could be a target for a malicious actor.
- [The FBI recommends] all default passwords [be] changed to strong passwords. Do not use the default password determined by the device manufacturer.
Fourth, car and truck manufacturers will place a major emphasis on IoT security as the market for connected vehicles explodes.
Josh Corman, co-founder of an IoT security organization called I Am the Cavalry, cautions that vehicle manufacturers are “getting worse faster than they’re getting better. If it takes a year to introduce a new hackable feature, then it takes them four to five years to protect it.” According to Wired, the organization recommends that manufacturers follow five recommendations: “safer design to reduce attack points, third-party testing, internal monitoring systems, segmented architecture to limit the damage from any successful penetration, and the same internet-enabled security software updates that PCs now receive.”9 Fortunately, some manufacturers are starting to make progress. Ford and BMW are now starting to send software updates over the Internet, rather than requiring car owners to visit dealers or mechanics. Chrysler recently announced a “bug bounty” program that offers cash rewards to hackers who tell the company about vulnerabilities that can be hacked in its vehicles.
References
1. To access the McKinsey Global Institute report “The Internet of Things: Mapping the Value Beyond the Hype”, visit their website at: http://www.mckinsey.com/business-functions/business-technology/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world2. DarkReading.com, January 14, 2016, “IoT Security: $1-Per-Thing to Protect Connected Devices,” by Steve Morgan. ⓒ 2016 UBM. All rights reserved. http://www.darkreading.com/vulnerabilities---threats/iot-security-%241-per-thing-to-protect-connected-devices/a/d-id/13239213. TechTarget, September 2015, “IoT Security (Internet of Things Security),” by Margaret Rouse. ⓒ 2015 Tech Target. All rights reserved. http://internetofthingsagenda.techtarget.com/definition/IoT-security-Internet-of-Things-security4. PCWorld, June 28, 2016, “Thousands of Hacked CCTV Devices Used in DDoS Attacks,” by Lucian Constantin. ⓒ 2016 IDG Consumer & SMB. All rights reserved, http://www.pcworld.com/article/3089346/security/thousands-of-hacked-cctv-devices-used-in-ddos-attacks.html5. ZDNet, July 1, 2016, “The First Big Internet of Things Security Breach Is Just Around the Corner,” by Danny Palmer. 2016 CBS Interactive. All rights reserved. http://www.zdnet.com/article/the-first-big-internet-of-things-security-breach-is-just-around-the-corner/6. Wired, September 17, 2015, “Hacker Lexicon: A Guide to Ransomware, the Scary Hack That’s on the Rise,” by Kim Zetter. ⓒ 2015 Conde Nast. All rights reserved. https://www.wired.com/2015/09/hacker-lexicon-guide-ransomware-scary-hack-thats-rise/7. Wired, July 21, 2015, “Hackers Remotely Kill a Jeep on the Highway?with Me in It,” by Andy Greenberg ⓒ 2015 Conde Nast. All rights reserved. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/8. Wired, August 2, 2016, “Hackers Hijack a Big Rig Truck’s Accelerator and Brakes,” by Andy Greenberg. ⓒ 2016 Conde Nast. All rights reserved. https://www.wired.com/2016/08/researchers-hack-big-rig-truck-hijack-accelerator-brakes/9. Wired, July 21, 2015, “Hackers Remotely Kill a Jeep on the Highway?with Me in It,” by Andy Greenberg ⓒ 2015 Conde Nast. All rights reserved. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
