Serangan DDoS akibat peretasan Internet of Things (IoT) berpotensi melumpuhkan infrastruktur, sistem, dan cara hidup kita.
Saat ini, hampir semua hal dapat terhubung ke internet. Karena kita terus bergantung pada gadget ini, tidak mengherankan bahwa keamanan gadget ini adalah masalah utama. Ketika datang ke perangkat IoT, kita semua pernah mendengar tentang masalah keamanan siber, dan menghubungkan semakin banyak perangkat ke internet dan satu sama lain membawa risiko bawaan. Serangan oleh peretas jahat dapat menyusup ke ribuan atau jutaan perangkat yang tidak aman, menyebabkan infrastruktur gagal, jaringan mati, atau informasi pribadi dapat diakses. Kami akan fokus pada beberapa kerentanan dan peretasan terbesar yang pernah kita lihat di masa lalu dan efeknya dalam artikel ini.
Mirai Botnet, juga dikenal sebagai Dyn Attack
Digunakan untuk meluncurkan serangan DDoS terbesar yang pernah ada terhadap Dyn, penyedia layanan, pada Oktober 2016. Akibatnya, banyak internet yang mati, termasuk CNN, Netflix, Reddit, Twitter, dan Guardian.
Malware Mirai adalah yang membuat botnet Internet of Things ini menjadi mungkin. Komputer yang terinfeksi Mirai menggunakan nama pengguna dan kata sandi default yang diketahui untuk masuk, menginfeksi mereka dengan malware, dan terus mencari di internet untuk perangkat IoT yang rentan. Perekam video digital dan kamera adalah dua contoh gadget tersebut.
Menurut Majalah PC, insiden tersebut dapat memberikan empat pelajaran keamanan langsung kepada bisnis:
- “Perangkat yang tidak dapat memperbarui perangkat lunak, kata sandi, atau firmware mereka tidak boleh diimplementasikan.
- Mengubah nama pengguna dan kata sandi default harus diwajibkan untuk pemasangan perangkat apa pun di Internet.
- Kata sandi untuk perangkat IoT harus unik per perangkat, terutama saat terhubung ke Internet.
- Selalu tambal perangkat IoT dengan pembaruan perangkat lunak dan firmware terbaru untuk mengurangi kerentanan.”
Perangkat Jantung yang Dapat Diretas dari St. Jude
Menurut sebuah laporan yang diterbitkan oleh CNN pada tahun 2017, “FDA mengonfirmasi bahwa perangkat jantung implan St. Jude Medical memiliki kerentanan yang memungkinkan peretas mengakses perangkat. Begitu masuk, mereka dapat menguras baterai atau memberikan kecepatan atau guncangan yang salah” kejutan, kata FDA.
Fungsi jantung pasien dipantau dan dikendalikan menggunakan perangkat ini, seperti alat pacu jantung dan defibrillator, untuk mencegah serangan jantung.
Artikel itu terus mengatakan, “Kelemahan terjadi pada pemancar yang membaca informasi gadget dan membagikannya dari jarak jauh dengan dokter. Menurut FDA, peretas dapat mengakses pemancar perangkat untuk mengendalikannya.”
Kerentanan Monitor Jantung Bayi WiFi Owlet
Monitor jantung bayi Owlet WiFi mengikuti di belakang perangkat jantung yang diproduksi oleh St. Jude. Kepala Strategi Keamanan Yayasan prpl, Cesare Garlati, menyatakan:
“Kasus terbaru ini adalah contoh lain bagaimana perangkat dengan niat baik, seperti memperingatkan orang tua ketika bayinya mengalami gangguan jantung, dapat berubah menjadi berbahaya jika dimanfaatkan oleh pihak jahat.
Sayangnya, ini lebih sering daripada tidak dalam kasus komputasi tertanam dalam apa yang disebut perangkat pintar. Elemen konektivitas membuatnya dapat dieksploitasi dan jika produsen dan pengembang tidak mempertimbangkan hal ini dan mengambil langkah ekstra untuk mengamankan perangkat di lapisan perangkat keras, ini adalah cerita yang sayangnya akan terus kami dengar.”
Peretasan Webcam TRENDnet
Melanjutkan tema bayi, TechNewsWorld melaporkan bahwa, “TRENDnet memasarkan kamera SecurView untuk berbagai kegunaan mulai dari keamanan rumah hingga pemantauan bayi dan mengklaim bahwa kamera tersebut aman, kata FTC. Namun, mereka memiliki perangkat lunak yang salah yang memungkinkan siapa saja yang memperoleh alamat IP kamera untuk melihatnya — dan terkadang mendengarkan juga.
Selanjutnya, setidaknya mulai April 2010 [hingga sekitar Januari 2012], TRENDnet mengirimkan kredensial login pengguna dalam teks yang jelas dan dapat dibaca melalui Internet, dan aplikasi selulernya untuk kamera menyimpan informasi login konsumen dalam teks yang jelas dan dapat dibaca di perangkat seluler mereka, kata FTC.
Ini adalah praktik keamanan dasar untuk mengamankan alamat IP dari peretasan dan untuk mengenkripsi kredensial login atau setidaknya melindunginya dengan kata sandi, dan kegagalan TRENDnet untuk melakukannya sangat mengejutkan.”
Peretasan Jeep
Beberapa tahun yang lalu, peretasan Jeep dilaporkan di situs web intelijen keamanan IBM, yang menyatakan,“Itu hanya satu, tapi itu sudah cukup. Pada bulan Juli [2015], tim peneliti mampu mengendalikan total SUV Jeep menggunakan bus CAN kendaraan.
Dengan mengeksploitasi kerentanan pembaruan firmware, mereka membajak kendaraan melalui jaringan seluler Sprint dan menemukan bahwa mereka dapat mempercepat, memperlambat, dan bahkan membelok dari jalan. Bukti konsepnya untuk peretasan Internet of Things (IoT) yang muncul: Sementara perusahaan sering mengabaikan keamanan perangkat atau jaringan periferal, konsekuensinya bisa menjadi bencana.”
Jika revolusi Internet of Things (IoT) terus memberikan nilai kepada individu tanpa membahayakan privasi dan keamanan mereka, kita harus mengembangkan protokol, strategi, dan standar keamanan yang lebih baik. Tetapi bagaimana kita akan melakukannya? Para pemimpin di industri harus berkolaborasi.