IoT Secrets

Political Squabbling Puts the Brakes on U.S. IoT Security Reform 정치적 다툼으로 US IoT 보안 재편이 멈춰졌다 요약 IoT기기 제조사/사용자에 기기의 보안 조치를 즉각 해야한다. 하지만 원인이된 중국 제품에 대한 법적 조치가 가능한가? 새로운 트럼프 행정부의 불확실성이 우려를 더 키우고 있다. 더우기 년말 연휴 이후에 감염되는 IoT 기기가 늘어날 것이다. 원문 링크 IoT (Internet of Things) 장치와 관련하여 주목을 끄는 해킹이 많아지면 누구나 걱정할 필요가 있습니다. 해킹이 발생하는 큰 이유는 IoT 장치에 대한 적절한 보안 표준의 부족과 관련이 있습니다. 저명한 전문가 중 다수는 최근 의회가 IT 산업이 아닌 정부에 의해 제정되어야 한다고 말했습니다. The mounting number of high-profile hacks related to IoT (Internet of Things) devices should give anyone cause for concern. A big reason the hacks are occurring has to do with a lack of proper security standards for IoT devices—which a number of prominent experts recently told Congress should be enacted by the government and not the tech industry. 하원 에너지 및 상거래위원회의 위원들은 DNS 제공자인 Dyn (오라클이 인수)에 대한 지난 달의 DDoS (분산 서비스 거부) 공격에 대해 논의하기 위해 회의를 가졌으며 Bruce Schneier와 같은 보안 전문가로부터 소식을 들었습니다. 그는 준비된 발언에서 의원들에게 즉각적인 규제 조치를 취할 것을 촉구했다. Members of the House Energy and Commerce Committee met to di

Mirai Botnet - 가정용 라우터를 탈취하다 요즘 전세계에 걸쳐 여러 문제가 있지만, 사이버 공격이 내 집에서 일어나고, 이전과 다르게 대응이 어려운 IoT 기기, CCTV, Router 등에서 발생하는 현실이 되었기에 관련자/전문가/행정에서 준비하기 전에 내 주변에서 위험에 대응하는게 어떻까 해서 글을 적습니다.   Mirai Botnet 공개 후 봇넷에 대해 대응/보완/개선을 위한 장점보다 단점이 더 부각되는 것 같아서 안타깝습니다. 여기에 대처하는 관련 제조사, 인터넷 사업자 그리고 정부 관련자들도 아직은 소극적이고 일이 터지고 회피하는 습관 때문 일 것입니다.  우리는 현재 준비 안된 상태에서 제조사/사업자들이 보급을 확대하면서 편리함을 앞세워서 IoT 기기과 인터넷 사용에 필요한  기기를 관리를 하고/받고/사용하는 방법에서 보안을 무시하는 경향이 큽니다. 여러 편의에서 발생하는, 알수 없는 위협에 노출될 수 있어서 우려스러운 것입니다. Mirai botnet 관련해서  미국, 러시아, 등등 기관에 대한 공격 소식이( 11월 3주 - IoT 보안 ) 끝나기 무섭게, 이제 개인 인터넷에 있는 기기 를 이용한 공격이 가해지고 있습니다. 아래 글은 원문 링크 를 요약한 것으로, 아주 위험한 시기 라고 느껴집니다. DDoS 공격 전에 가정용 라우터를 탈취 할 수 있는 첫번째 사례이기 때문에 경각심을 느껴야 한다고 생각합니다. 이제라도 공공기관/기업/사무실 등에서 무말랭이 널어 놓듯이 방치된 라우터(공유기)에 대해 보안을 꼭 설정하고 가정에서도 꼭 살펴봐야 합니다. ------------------------------ 독일의 백만 가구에서 인터넷일 불통되는 공격을 받았다고 독일 연방보안사무소가 밝혔다. 유럽 전역에서 지난 주말을 걸쳐 월요일까지 사이버 협력 공격으로 가정의 홈 라우터를 가로채는일이 발생했다. 원문 링크 Deutsche Telekom 2천만 가입자중 5%가 일요일에서 월요일까지 인터넷 중단을 격었다.( according to Reuters

스탠포드 박사후 과정인 Nariman Farsad는 일반 화학제품을 사용해 텍스트 메시지 주고 받을 수 있도록 Arduino와 화학제품을 파이프에 연결해 성공했다. 보통 한 장치에서 다른 장치로 신호를 보낼 때는 선으로 연결하거나 와이파이, 블루투스 같은  무선을 사용한다. Farsad는 전통적인 방법과 다르게 작업을 해서, 일반 화학 제품을 액체상태로 바꾸고 액체의 염기성 혹은 산성 상태를 이용하는 바이너리 통신 프로토콜을 화학제품과 아두이노에서 응용했다고 한다. 일반적인 바이너리 통신에서 다루는 0과 1을 사용하지 않고 산성(식초)과 염기성(유리세정제)의 성질을 이용한 펄스로서 전송한다. 기기에서 문자를 작성해서 전송하면, 화학제품을 액체 상태로 플라스틱 튜브에 담겨 전송되고, 수신측에서 흘러온 액체의 pH의 변화를 읽어서 메시지를 해독한다고 한다. 미래에 Sci-Fic으로 고려할 만하지만 로봇 기술에 접목할 수 있을 것이라고 기대한다.  기사    링크 http://news.stanford.edu/2016/11/15/stanford-researchers-send-text-messages-using-household-chemicals/

5 Hot Coding Jobs in 2017 기존 프로그래밍 직업도 꾸준할 것이지만 2017년에는 새롭게 떠오르는 기술에 필요한 코딩 직업이 있다. 원문:  5 Hot Coding Jobs in 2017 1. Data Scientists & Engineers 데이터 사이언스, 머신 러닝과 빅데이터는 더이상 회사들에게 외계어가 아니다. Data science, machine learning and Big Data are no longer foreign terms to most companies. 이제 모든 사람들이 충실한 데이터에 기반해서 결정하기를 원한다. No one wants to be left behind and everyone wants to make sure their decisions are based on solid data. 데이터 사이언티스트와 데이터엔지니어 역할을 하려면, 데이터엔지니어는 기반  구조 를 준비하고, 데이터사이언티스트가 수학자와 개발자의 동일한 역할을 수행 해, 데이터를 분석해서 기업이 데이터를 기반한 결정에 통찰을 이끌어 낸다. Cue in the data scientists and engineers. While data engineers prepare the infrastructure, data scientists are equal parts mathematicians and developers, analysing data and extracting insights that help companies make smarter, data-based decisions. 2. Augmented Reality and Virtual Reality Engineer 포켓몬고가 일반 소비자에게 AR 열풍을 일으켰다면, Magic Leap 같은 곳은 미디어, 엔터테인먼트, 교육 등에 대해 고민하는 것에 변화 를 가져왔다. If Pokemon Go brought Augmented Reality (AR) to the mainstream

OpenSSL 취약점:CVE-2016-7053 CVE-2016-7054 CVE-2016-7055 2016-11-13 OpenSSL 다중 취약점 발견! 보안 업데이트 필수  기사에  OpenSSL 1.1.0b 이하 버전에서 세가지 주요 취약점이 발견됐다고 한다 - 자세한 내용은 기사 참조 자주 사용하는 오에스의 openssl 버전을 살펴보면, Openssl 1.0.1~1.0.2 버전이다 - "Opppps". Ubuntu 14.04 Trusty: 1.0.1f Ubuntu 16.04 Xenial: 1.0.2g Debian Jessie: 1.0.1t-1 Mac Homebrew의 Openssl은 안정버전이 openssl: stable 1.0.2j  이것만 봐서는 현재 오에스에 문제가 있어보이지만, 오에스 패키지는 취약점이 발견되면 패치로 업그레이드를 하고 있다. update를 꾸준히 했거나 최신 OS로 사용중이라면 패키지 버전만 가지고 겁내지 말자! 기사에 나타난 CVE-2016-7053 CVE-2016-7054 CVE-2016-7055 취약점은 최신 Debian Jessie와 wheezy는 영향이 없는 듯 하다. 다음 debian tracker 참조 https://security-tracker.debian.org/tracker/CVE-2016-7053 https://security-tracker.debian.org/tracker/CVE-2016-7054 https://security-tracker.debian.org/tracker/CVE-2016-7055 레드헷 계열은 https://access.redhat.com/security/cve/cve-2016-7053 사이트 내용을 확인후 대응하자. 의심이 든다면, 다른 시스템 서비스에 영향이 없다고 판단하면 컴파일해서 최신 openssl 1.1.x 버전을 수동으로 설치해 사용하는 것도 방법이다. Compile Openssl 1.1.x 컴파일은 Openssl wiki 를 참조해서 다음 같이 할 수 있다.

2016/11/22 - 랜섬웨어 '박근혜 하야' 기사 클릭하면 'Cerber' 랜섬웨어 감염  -  기사 링크 제로써트(ZeroCert)에 따르면 국내 정치 이슈를 이용해서  ‘박근혜 대통령 하야’ 란 뉴스사이트로 위장하 가짜 페이지를 만들어 자동으로, 광고 클릭 없이도 랜섬웨어를 설치하는 공격을 하고 있다. 바탕화면에 주요 문서/폴더를 두고 사용하는 컴퓨터 사용자들이 많은 점을 노려 바탕화면의 모든 파일을 암호화하는 아이랜섬iRansom에 주의가 필요하다. MS의 닷넷프레임워크를 이용해 암호화/복호화 한다고 한다. 아래 기사를 참조. 기사 긴급] 박근혜 하야! 기사 클릭하면 랜섬웨어 ‘Cerber’ 감염된다! 바탕화면 파일 암호화하는 “아이랜섬(iRansom)” 감염 주의 [IT]나의 비트로커(BitLocker) 랜섬 극복기, 예방법 2016/11/24 - IP Camera가 악성코드 감염에 98초 Dyn DNS, Russia 은행 등 공격에 Mirai botnet을 이용한 DDoS 공격이 증가하는 가운데 ' 로버트 그래함' 에라트라 시큐리티 대표가 IP Camera를 인터넷 연결시 얼마만에 감염되는지 실험을 했는데, 98초만에 첫번째 감염 이 일어났다고 한다. 그리고 얼마후 Mirai Botnet 으로도 감염되었는데, 이 실험에선 Web이 아닌  Telenet으로 감염되었다고 한다. 자세한 설명은 아래 기사... 기사 IP카메라 악성코드 감염에 걸리는 시간은? Average time to infection: 4 minutes 2016/11/15 - On IoT and Security 엣지 노드에 집중해서 'access token' 혹은 'authentication method'로 password를 사용시: A. 엣지 노드에 꼭 패스워드 사용 B. 설정과 작업 이외에는 접근이 안되게 한다 C. 반복적이고 빠르게 설정과 접근 방법에 접근하게 하지 말고, 이럴경우 진입을 검사하거나 다른 서

라즈베리파이 키패드 햇 라즈베리파이에서 키패드를 달 수 있게 KEYPAD HAT인 'CapHat'이 나왔다. 로봇, 3D 프린터, 시큐리티 락, 아두이노 연결 등에 다양하게 사용할 수 있다. 모든 라즈베리파이 버전에 호환된다. [키패드 햇 CatHat ] [Raspberry Pi에 부착한 모습] 현재 kickstarter 에서 펀딩을 하고 있고 첫번째 기부에 £14 이면 충분하다. 2017년 초에 배송이 된다고 한다.  동영상에서 사용 사례를 확인할 수 있다. 자세한 정보는  http://www.caphat.io  에서 볼 수 있다. 기사   CapHat Raspberry Pi Capacitive Keypad HAT  

Update PolySync에서 OSCC Developer board 출시 Arduino와 Arduino Shield로 구성된 오픈소스  자동차 제어 프로젝트 OSCC 개발 보드가 출시. 기아 소울을 대상으로 $1000 정도의 개발 킷을 이용하면 무인 자동차가 탄생한다. 기사 POLYSYNC LAUNCHES OPEN-SOURCE KIT FOR AUTONOMOUS CAR DEVELOPMENT 무선 마우스에 레이저 포인터 넣기 ^^ 멋지네요 무선마우스에 레이저다이오드를 넣어 레이저 포인터가 만들어 졌다.   원문 : http://blog.naver.com/twophase/220862578018 2016/11/15 - AP-MCU, 경계를 넘다 스마트폰 빅뱅, IoT 시대에는 Application Processor와 MCU 벽을 넘는 솔루션 등장  - 삼성전자 ARTIK   - 인텔 IoT전용 Quark  - ST마이크로 AP영역 넘보는 STM32H7에서 AP가 담당하던 동영상 처리 가능 기사  -  http://www.kinews.net/news/articleView.html?idxno=1879 2015/11/15 - IoT가 여러 서비스로 탄생 SK텔링크, IoT 기반 지게차 배터리 렌털 서비스 출시 日 Kp네트웍스, 공장 IoT화 간소화할 수 있는 무선랜 기기 개발 KT·참빛원주都, 소물인터넷으로 도시가스 계량 원격검침 IoT로 실종자 찾고 ‘아바타’ 로봇이 구조! 2016/11/15 - 전자업계 이제는 SW중심 삼성전자 타이젠 확삭에 주력  - 타이젠은 2011년 삼성전자와 리눅스 재단이 모바일오에스로 출시  - 스마트폰을 비롯해 태블릿, 웨어러블, TV, 스마트가전 등 여러 제품에 고루 적용 중.  - 삼성전자 스마트폰 Z시리즈,스마트워치 기어시리즈 - 인도,서남아,동남아,아프리카 등  - 러시아 디그마 테블릿  - 중국 화웨이 스마트워치 LG전자 SW체계 구축에 주력  - 설계-구현-검증 3단계에 걸친 SW 개발 프로세스를 구축  - 설계 전문가인 아키텍

이전  10월 5주 - IoT 분야에서 보안 IoT Security 2016/11/5 - IoT 기기 보안취약점 11월중 집중 신고기간 KISA에서 IP camera, Smart controller, 공유기 등 IoT기기, IoT용 스마트폰 앱 관련 취약점 신고를 받는다. 보안 취약점 신고 포상제’, 일명 ‘버그바운티(Bug Bounty)’이다. 신고에 따라 30~500만원 포상금 지급  -  www.krcert.or.kr 기사:  KISA가 IoT 기기 버그바운티를 시작하는 이유 2016/11/5 - 드론으로 IoT 조명 해킹 미국 화이트해커 그룹이 드론으로 건물 외부, 70m 떨어진 주차장에서 드론을 날려 건물 안의 조명 제어 시스템을 해킹해 필립스 Hue 전구를 해킹했다고 한다. 기사:  링크 Mirai Botnet Dyn DDoS 공격에 대한 우려가 높아지고 있습니다. 대규모 보안성 없는 IoT 기기들을 이용해 보안이 되었는 사이트/서비스를 공격 하다는 점에서 심각한 문제이다. 2016/10/27 - ISP가 IoT보안의 핵심이 될 수 없다. ISP는 Internet Service Provider의 약자로, 우리가 인터넷 가입시 인터넷 네트워크와 인터넷 주소를 사용할 수 있도록 해준다. 이 기사에서 ISP측면에서 IoT 멀웨어를 방지할 수 있는 방법을 고민해 보고 있다: 1) ISP는 의심스러운 트래픽을 막거나 필터링 할 수 있다- BCP38(RFC2827) 표준 을 사용하면 스푸핑을 줄일 수 있다. 스푸핑 방지만으로도 Dyn을 공격한 것과 같은 방해 전략 트래픽을 막을 수 있다. 그렇지만 ISP가 이 전략을 도입하기까지 수년이 걸릴 수 있다. [그림. BCP38 구현 사례 (bcp38.info)] 2) ISP는 그들 네트워크에 악의적인 트래픽을 발생하는 집단 혹은 개인을 경고를 보낼 수 있고 그리고 링크 같은 법적 사항을 고지 할 수 있다. 3) 그렇지만 ISP가 직접적으로 의심스런 트래픽을 발생하는 단말을 제제할 수 있을지는 의문이다. 4) I

IoT Devices 2016/11/4 - MIT가 시금치로 지뢰 찾기 시도 MIT에서 시금치에 Carbon Nanotube를 넣어 적외선 카메라를 이용해 화약 물질이 있는 곳을 찾을 수 있는 방법을 개발했다. 지뢰가 묻혀있는 지대에 나노튜브를 가진 시금치를 퍼트리기만 하면 손쉽게 지뢰를 감지할 수 있을 듯 하다. [그림. 적외선 카메라와 나노튜브 함유 시금치 (유튜브)] [그림. 화약 물질 감지] 기사:  링크 Youtube 링크 2016/11/4 - 엔더스 게임에 영감 얻은 VR 'Globe' Florian Mauer가 엔더스게임에서 보여준 멋진 UX 를 제공할 수 있는 VR 도구를 만들었다. 이것은 'Hand Bracelet'이라 불리고 손으로 UX를 제공하게 구현되었다. [그림. Enders Game ( pinterest.com )] Hand Bracelet은 팔찌 형태로 손에 착용할 수 있고, ​인체의 힘/기울기 등을 감지하는 IMU 센서 , Arduino Pro Micro와 버튼으로 구성되어 있다. 제스처 방식으로 게임을 콘트롤 할 수 있다. [그림. VR Glove 모습 ] [그림. VR Glove 모습 ] 실제 게임에 적용한 영상을 다음과 같다. 기사 ​ Florian Mauer Web site   Arduino.cc IoT 전용망: NB-IoT, LoRa 2016/11/8 - P lug-and-play LoRa Develope board  - 링크    kck.st/2fziSab LoRa 네트워크에서 사용할 수 있는 IoT 제품을 위한 개발 보드로 킥스타터에 공개되어있다. 2017년 2월에 배송을 목표로 하고 있다. [ Marvin LoRa developement board] LoRa는    IoST Internet of small things를 위한 표준으로 NB-IoT, LoRa 등 시장에서 각축을 벌이고 있다.  기사 참조 [ LoRa network ] SKT와 LGU+에서 IoST 관련해 망서비스를 확대하

새로운 IoT 프로세서 삼성 ARTIK0, ARTIK7, 인텔 E3900이 출시되고 퀄콤이 반도체 생산 기업을 인수했다. 2016/10/27 - 퀄콤 '470억달러' NXP 인수 팹리스 업체인 퀄콤이 세계 최대 자동차 반도체 생산 기업 NXP 인수로 생산설비까지 보유하게되었다.  - 기사: 퀄컴, 470억달러에 NXP 인수..반도체 역사상 최대 '빅딜 2016/10/26 - IoT수요에 반도체 시장 10년내 두 배 이상 패션에도 IoT 접목, 유튜브 1분마다 400시간 분량 업로드 등 메모리 반도체 비중 높아진다. IoT기기수 2014년 127억개 -> 2020년 500억개 이상, 시스코 따르면 데이터 처리량 2015년 1.6ZB 클라우드 정보량 2019년 8.6ZB 이를 전망, IoT 수집 정보 분류/분석하는 프로세싱/압축/클라우드 이용량 폭발적 증가 전망. 이에 따라 연산CPU, 저장Memory 구분이 무믜미해지고 2015년 12월 삼성이 '바이오프로세서 양산 - 심박/심전도/온도 생체 칩으로 인텔 헬스케어 칩인 큐리와 경쟁하고 삼성과 인텔은 아틱과 아톰E3900 프로세서로 경쟁하고 있다.  - 기사:  [반도체, 판이 바뀐다] IoT·클라우드발 수요 폭발…반도체 시장 10년 내 두 배로 커진다 2016/10/26 - 삼성 IoT 플랫폼 아틱 신제품 공개 ARTIK 0, ARTIK 7 공개 ARTIK 0 : HVAC(Heating, Ventilation, Air Conditioning), 조명, 건강 정보를 모니터링 할 수 있는 제품 등에 특화된 개발 모듈, Zeebee, BLE 탑재 아틱 제품군 ARTIK 0, ARTIK 1, ARTIK 5, ARTIK 7, ARTIK 10  - 기사:  삼성전자, IoT 플랫폼 아틱 신제품 공개 2016/10/27 - IoT최적화 인텔 아톰 E3900 시리즈 E3900시리즈는 IoT에 대응하기 위해 14나노로 센서노드 에지에서 클라우드 네트워크 컴퓨팅에 필요한 프로세싱 제공 - &qu

개인적으로 IoT 보안 면에서 기존의 3GPP에서 표준화를 주도한 LTE망에 접목한 IoT 통신을 사용하는 것이 비용/시간 면에서 유리하지 않을까 생각한다. 혹은 비전문가 입장에서 왜 꼭 광대역 망에 접속해야 하나? 하는 생각도 든다. IoT의 I는 "internet" 이라는 것은 알고있는 사실이다. 집안, 회사, 공장, 거리에 있는 장치/기기/기구 들에 부착되는 IoT노드 들은 인터넷을 통해 측정/수집/제어 등의 기능을 수행하게끔 디자인하고 있다. 인터넷에 연결해서 안전하고 정확하고 믿을 만한 기능을 수행하기 위해서는 보안이 비용보다 우선시 되야 하는 것은 의심의 여지가 없다. 비용이 우선한 위험은  얼마전 발생한 Mirai botnet에 의한 미국 Dyn DNS DDos 공격 에서 알 수 있다. 이런 위험은 직접적으로 보안 리눅스/암호화 네트워크/보안칩을 준비하지 못하는 일반적인 IoT제품을 생산하는 업체에서는 보안이 준비된 네트워크 망을 이용하는 것이 하나의 대안이 될 수 있을 것 같다. 이런 수요에 대비해 3GPP 주도의 LTE-M 같은 규격과 LoRa Alliance에서 새롭게 주도하는 IoST Internet of Small Things 를 위한 통신 규격을 제정하고 각국의 통신사에서 서비스를 출시하고 있다. 소물인터넷 IoST 통신 요약 (업데이트) 트렌드 검색 국내는 SKT 주도 LoRa, KT+LGU+ 연합 NB-IoT을 표준으로 내세워 서비스를 제공하고 있다. 궁금해서 구글 트렌드에 얼마나 관심이 LoRa, NB-IoT 에 집중되나 검색해 보았다. 의외로 NB-IoT, LTE-M 에 대한 검색이 없어서 놀랬다. 트렌드 키워드에서 NB-IOT는 최근 NB-IOT 3gpp 키워드로 검색이 유입되고 있는 듯 하다.  검색해보면 알지만 5년 검색어로만 보면 LoRa에 대한 관심이 많은 듯 하다. NB-IoT는 1년 사이 검색이 꾸준히 되는 듯.  LoRa는 전세계적으로 관련한 검색을 꾸준히 하고 있는 듯... 관련 기사 10월 5