Konvensi ritel tahunan Black Friday dan Cyber Monday telah lama memiliki tradisi untuk menghadirkan produk teknologi terbaru menjelang Natal. Produk berkemampuan Internet of Things (IoT) telah menjadi andalan yang semakin populer dari serbuan penjualan, termasuk asisten rumah virtual, teknologi yang dapat dikenakan, mainan pintar, dan peralatan yang terhubung.
Namun, karena produk yang terhubung ini terus mendominasi pasar penjualan liburan, mereka juga menyoroti masalah keamanan yang sudah berlangsung lama dengan perangkat IoT. Produk sering ditemukan kurang perlindungan keamanan dasar, berpotensi mengekspos pengguna ke pelanggaran privasi, serangan cyber, dan bahkan bahaya fisik.
Mereka yang berbelanja secara royal pada perangkat yang mendukung IoT dalam penjualan tahun ini perlu menyadari potensi keamanan baru (terbuka di tab baru) ancaman terhadap diri mereka sendiri dan majikan mereka.
Tentang Penulis
Richard Hughes adalah Kepala Keamanan Siber Teknis di A&O IT Group (terbuka di tab baru)
Betapa lemahnya keamanan IoT mengundang peretas ke rumah
Kerentanan keamanan IoT sangat umum, dan penyelidik kami sendiri telah menemukan kelemahan besar dalam segala hal mulai dari ceret hingga mainan seks. Ada irama stabil pelanggaran keamanan IoT yang menjadi berita utama selama beberapa tahun terakhir, termasuk penemuan potensi kerentanan dan kasus eksploitasi aktual.
Salah satu contoh terbaru yang paling menonjol adalah bel pintu pintar Ring yang diproduksi oleh Amazon. Perangkat ini seolah-olah dirancang untuk membantu pengguna dengan keamanan rumah, memungkinkan mereka mengakses umpan video dan audio dari jarak jauh dari ponsel cerdas mereka, serta menerima peringatan saat ada pengunjung.
Namun, dengan cepat menjadi jelas bahwa Ring tidak memiliki beberapa fitur keamanan penting. Perangkat dikendalikan oleh aplikasi seluler tetapi tidak menetapkan batasan apa pun pada upaya login yang salah atau memberi tahu pengguna jika ada upaya yang gagal atau login yang berhasil dari lokasi atau perangkat baru. Ini berarti pelaku ancaman dapat dengan kasar memaksa masuk ke akun pengguna dan terhubung ke perangkat. Ada banyak contoh perangkat Dering yang dibajak untuk memata-matai rumah tangga, serta fungsi pengeras suara yang digunakan untuk melecehkan dan mengancam orang dengan kekerasan fisik. Menghubungkan ke perangkat Dering juga memungkinkan penyerang mendapatkan informasi Wi-Fi yang berguna untuk memfasilitasi serangan lebih lanjut.
Pabrikan Ring dengan cepat merespons dan memperbarui perangkat lunak untuk menambal kerentanan ini. Namun, perlu dicatat bahwa ada banyak bel pintu pintar merek lain yang tersedia, dan tidak semua pabrikan rajin menutup kerentanan yang dilaporkan.
Bagaimana perangkat IoT dapat dieksploitasi?
Perangkat IoT adalah jembatan alami antara dunia maya dan dunia fisik, yang berarti mereka memiliki profil risiko yang berbeda dibandingkan dengan titik akhir tradisional. Tidak seperti laptop atau smartphone yang diretas, banyak perangkat IoT yang sebenarnya bisa digunakan untuk melakukan tindakan fisik.
Bentuk dan tingkat keparahan risiko yang ditimbulkannya sangat bergantung pada fungsi perangkat. Banyak perangkat IoT seperti lemari es dan sikat gigi secara fisik tidak berbahaya. Di sisi lain, ketel yang terhubung misalnya dapat dipicu dari jarak jauh hingga mendidih kering, berpotensi menimbulkan kebakaran.
Perangkat apa pun yang terlibat dalam keamanan fisik menimbulkan ancaman yang jelas dan langsung jika disusupi. Seperti yang telah kita lihat dengan Dering, perangkat pengawasan yang tidak aman dapat dibajak untuk mengaktifkan mata-mata visual dan audio dan kunci yang terhubung juga dapat disusupi untuk masuk ke gedung.
Jenis perangkat terhubung lainnya yang memiliki kemampuan merekam juga dapat digunakan untuk melanggar privasi jika disusupi, dari perangkat hub hingga mainan anak yang tampaknya tidak berbahaya.
Bahkan jika perangkat itu sendiri tidak memiliki kemampuan pengawasan langsung, itu masih dapat digunakan untuk memantau rumah tangga secara diam-diam dan memberikan intelijen kepada penjahat. Sebuah termostat pintar misalnya akan memberikan banyak data yang akan menunjukkan kapan tempat tersebut cenderung kosong dan karena itu rentan terhadap pencurian.
Di samping eksploitasi atribut unik mereka, semua perangkat IoT yang kurang aman juga menawarkan jalur serangan yang mudah untuk mendapatkan akses ke jaringan gedung. Penyerang dapat menggunakan perangkat yang terhubung sebagai titik awal ke router dan kemudian dapat mulai bergerak secara lateral ke perangkat lain yang terhubung di jaringan. Seperti Ring, beberapa perangkat IoT membuat segalanya lebih mudah dengan memungkinkan penyerang mengakses informasi tentang jaringan Wi-Fi dengan mudah.
Perangkat IoT sering gagal mengikuti praktik terbaik untuk keamanan, gagal mengenkripsi data, dan tidak mengharuskan pengguna mengubah kredensial masuk default atau menerapkan pembaruan keamanan. Memang, menerapkan tambalan seringkali cukup sulit untuk banyak perangkat.
Dari sudut pandang konsumen, ini jelas menempatkan individu pada risiko serangan besar terhadap perangkat pribadi mereka yang lain, tetapi juga merupakan risiko bisnis karena penyerang dapat membahayakan perangkat perusahaan apa pun yang digunakan di jaringan rumah.
Meskipun mereka cenderung tidak berbelanja gadget Black Friday, bisnis juga menghadapi risiko ancaman ini secara langsung jika mereka memiliki perangkat IoT di tempat, seperti kamera keamanan dan sensor cerdas untuk penerangan.
Mengapa IoT berjuang dengan keamanan?
Meskipun ada kekhawatiran yang meluas dari sektor keamanan dan meningkatnya jumlah pelanggaran profil tinggi yang menjadi berita utama, keamanan standar keseluruhan untuk perangkat IoT tetap buruk dibandingkan titik akhir tradisional. Ada sejumlah faktor yang berkontribusi terhadap masalah yang sedang berlangsung ini.
Pertama dan terpenting adalah bahwa penetapan harga merupakan penghalang besar untuk keamanan yang memadai. Pabrikan umumnya bersaing dengan versi normal dari apa pun yang mereka buat, sehingga produk seperti peralatan pintar dan mainan tidak dapat diberi harga terlalu jauh di atas produk standar.
Oleh karena itu, perangkat pintar biasanya dibuat menggunakan komponen kelas bawah, umumnya menggunakan chip pemrosesan murah yang bersumber dari China. Chip ini bertenaga terlalu rendah untuk menangani proses kriptografi, sehingga data tidak dienkripsi.
Selain keterbatasan fisik, pengujian keamanan masih sering dianggap sebagai tambahan yang mahal dan memakan waktu yang dapat dilewati untuk menjaga harga tetap rendah. Hal ini terutama terjadi ketika produsen bertujuan untuk mengeluarkan produk mereka tepat waktu selama periode penjualan liburan. Selain itu, banyak perangkat pintar adalah hasil dari pabrikan yang ingin mengembangkan IoT, sehingga keamanan bukanlah spesialisasi atau prioritas. Demikian pula, meski kesadaran tumbuh, keamanan masih bukan nilai jual yang penting bagi konsumen rata-rata.
Bagaimana celah keamanan dapat ditangani?
IoT adalah bidang teknologi yang relatif baru dan selalu membutuhkan waktu untuk standar manufaktur dan pengembangan yang baik untuk diterapkan. Kami belum mencapai peraturan hukum khusus untuk perangkat yang terhubung dengan cara yang sama kami memiliki GDPR untuk perlindungan data yang lebih luas, tetapi ada beberapa kemajuan ke arah ini.
Komite Teknis ETSI baru-baru ini meluncurkan standar dasar baru untuk keamanan IoT konsumen, tetapi ini masih merupakan panduan daripada undang-undang yang dapat ditegakkan. Inggris juga sedang merencanakan standar baru untuk perangkat yang terhubung.
Poin utama dalam kedua kasus termasuk mencegah pengguna menggunakan kredensial pengguna umum atau standar pabrik dan memberikan informasi yang jelas tentang dukungan tambalan pembaruan. Tindakan seperti ini pasti akan membantu menutup beberapa kerentanan paling jelas yang saat ini ada di perangkat IoT, tetapi kami perlu melihat produsen melampaui dasar-dasar untuk mengamankan produk mereka.
Ini berarti pengujian keamanan menyeluruh sebelum produk dirilis, serta penggunaan chip dengan spesifikasi lebih tinggi dan komponen lain untuk memfasilitasi elemen keamanan seperti enkripsi. Namun seperti yang telah dibahas, ini tidak mungkin menjadi fitur standar di pasar yang didominasi oleh poin harga. Sementara beberapa produk mungkin memperlakukan keamanan sebagai nilai jual, akan ada sejumlah besar produk murah yang mengabaikan keamanan. Sampai ada undang-undang yang dapat ditegakkan untuk standar keamanan, sebagian besar konsumen akan terus mengabaikan keamanan jika itu berarti harga yang lebih rendah.
Sementara itu, siapa pun yang membeli perangkat IoT dalam obral liburan dan seterusnya harus meluangkan waktu untuk melihat kredensial keamanannya dan mempertimbangkan potensi risiko kompromi. Ini lebih penting dari sebelumnya karena semakin banyak orang bekerja dari rumah dan menghubungkan perangkat perusahaan mereka ke jaringan yang sama dengan gadget pintar yang berpotensi rentan.
