Inteligentní lednička Samsung právě dostala Pwned. A co zbytek vašeho inteligentního domova?

reklama

3599 $ je hodně peněz.

Mohlo by vám to poskytnout slušné ojeté auto nebo relativně oklamaný iMac. Můžete si koupit 3599 McChicken hamburgerů, nebo 2589 McDoubles. Nebo by to mohlo dostat Samsung RF28HMELBSR.

Tato (chladně pojmenovaná) lednička má všechno. Má čtyři dveře, obrovský prostor o velikosti 28 kubických stop a integrovaný, 8 ”LCD s podporou WiFi dotykový displej, který vám umožní dělat cokoli od přečtení zpráv, k dálkovému ovládání vašeho Androidu chytrý telefon.

Pokud to zní povědomě, je to proto, že to bylo jednou uvedeno na mém seznamu nejhloupější produkty Smart Home vůbec Tweeting ledničky a vařiče rýže řízené webem: 9 nejhloupějších chytrých domácích spotřebičůExistuje spousta inteligentních domácích zařízení, která si zaslouží váš čas a peníze. ale existují také druhy, které by nikdy neměly vidět denní světlo. Zde je 9 z nejhorších. Přečtěte si více . A zmínil jsem se o tom, že je dodáván s obrovskou zranitelností z bezpečnostních důvodů?

Inteligentní lednička, hloupá chyba

Ano, pro celou svou sofistikovanost byla tato lednička dodána se značnou bezpečnostní vadou, která by potenciálně mohla vidět, že útočník tajně shromažďuje přihlašovací údaje pro Gmail.

Tato chyba zabezpečení byla poprvé nahlášena v rejstříku 24. srpna a objevena britskou infosec firmou Testovací pera zatímco se v poslední době účastníme hackerské výzvy k internetu věcí (IoT) Defcon 23 konference.

Vestavěný dotykový displej v této lednici umožňuje uživateli přístup k vlastnímu Kalendáři Google. Připojení k serverům Google a od nich jsou šifrována pomocí šifrování SSL Co je to SSL certifikát a potřebujete jej?Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. Přečtěte si více , ale implementace SSL společností Samsung nekontroluje platnost certifikátů.

To představuje závažný bezpečnostní problém, protože kdokoli v síti by mohl spustit "Muž uprostřed" Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlilPokud jste slyšeli o útokech typu „muž uprostřed“, ale nejste si jisti, co to znamená, toto je článek pro vás. Přečtěte si více zaútočit a zachytit přihlašovací údaje uživatele při přenosu. Útočník by je také mohl získat spoofingem přístupového bodu nebo bezdrátovým útokem na krádež.

Samsung řekl, že jsou „Vyšetřování této záležitosti co nejrychleji“, a pravděpodobně pracují na vyřešení problému. Tato epizoda však představuje zajímavou ukázku toho, jak špatně se může na internetu věcí pokazit bezpečnost.

(In) Zabezpečení v propojeném světě věcí

V minulosti jsme intenzivně hovořili o rizicích, která představují internet věcí z soukromí Proč internet věcí je největší bezpečnostní noční můrouJednoho dne přijedete z práce domů a zjistíte, že váš domácí bezpečnostní systém podporovaný cloudem byl porušen. Jak se to mohlo stát? S internetem věcí (IoT) byste to mohli najít tvrdě. Přečtěte si více a z bezpečnostního a sociologického hlediska 7 důvodů, proč by vás internet věcí měl vyděsitPotenciální výhody internetu věcí se rozzáří, zatímco nebezpečí se vrhají do tichých stínů. Je na čase upozornit na tato nebezpečí sedmi děsivými sliby IoT. Přečtěte si více . Jejich řešení je obtížné, protože pokud jde o zabezpečení internetu věcí, setkáváme se s několika problémy.

Nejprve se nejedná o počítače ani telefony, protože je lze snadno aktualizovat jednotně (Windows 10 dokonce nainstaluje aktualizace vaším jménem Jak vypnout automatické aktualizace aplikací v systému Windows 10Deaktivace aktualizací systému se nedoporučuje. V případě potřeby však postupujte takto v systému Windows 10. Přečtěte si více ) a prodejci za nimi jsou zapojeni a pravidelně vydávají aktualizace softwaru a zabezpečení. Mnoho chytrých domácích produktů se „neaktualizuje“ bezdrátově, a to buď vyžadováním složitých, nebo nespolehlivé softwarové balíčky, vyměnitelné úložiště nebo jednoduše neumožňující aktualizaci firmwaru na Všechno.

Jak například aktualizujete propojenou nádobu na kávu nebo počítačový termostat? Neexistuje snadný, univerzální způsob, jak toho dosáhnout.

Je také důležité zabývat se skutečností, že mnoho z těchto zařízení je nyní postaveno běžnými lidmi ve svých domovech. Arduino a Raspberry Pi nám umožnili zavést síťové připojení a počítačovou logiku na místa, která jsme nikdy nenapadlo možné, zatímco produkty jako Microsoft Windows 10 pro IoT Windows 10 - Přicházíte k Arduino ve vašem okolí? Přečtěte si více usnadnilo vystavení těchto zařízení širšímu internetu a současně otevřelo svět příležitostí a rizik.

I když mnoho zkušených vývojářů ví, jak tato zařízení sestavit bezpečným způsobem, příliš mnoho vývojářů pro začínající a nadšence to ne.

Pak se dostáváme k problému dlouhověkosti. Opět platí, že tento problém je jedinečně endemický pro svět inteligentních domů. Protože zatímco váš počítač a telefon spouští software, který byl vytvořen společnostmi s dlouhou historií a hlubokými kapsami, většina vašich inteligentních domácích zařízení ne.

Převážná většina těchto společností se rozběhne na začátku až do pozdní fáze, mnohé z nich jsou v pokusném stadiu jejich rozvoje. Pokud se vypnou, co se stane s produkty, které již byly dodány? Kdo bude psát aktualizace softwaru a bezpečnostní záplaty?

Jak jsme psali v minulosti, hardwarové spouštění je těžké Proč jsou hardwarové spouštění těžké: oživení ErgoDoxuZde je kontroverzní názor: Zahájení spouštění softwaru je snadné. Hardware, na druhé straně? Hardwarové spouštění je těžké. Opravdu těžké. Přečtěte si více . Již tento rok jsme to viděli významné propouštění v Leeo a Wink - dva z největších startupů Smart Home. Mnoho dalších - jako Lumos - nepodařilo se úplně dostat ze země.

Největší a nejtrvalejší hrozbou pro zabezpečení inteligentních domů a internetu věcí je ale možná to, že tato zařízení jsou vyrobena tak, aby vydržela déle, než by jejich výrobci dali přednost. Vestavěné systémy a produkty Smart Home mohou pracovat docela šťastně roky a roky. Mnoho z nich nefunguje na předplacené službě.

Čekáme, že Nest a Philips nabídnou aktualizace tak dlouho, dokud Společnost Microsoft podporovala systém Windows XP Co pro vás Windows XPocalypse znamenáMicrosoft v dubnu 2014 zabije podporu pro systém Windows XP. To má vážné důsledky pro podniky i spotřebitele. Pokud používáte systém Windows XP, měli byste vědět. Přečtěte si více ?

Z LAN, do ohně

Tyto bezpečnostní problémy výrazně zhoršuje skutečnost, že mnoho z těchto zařízení je připojení k širšímu internetu a vzdáleně přístupné, čímž se zavádí bezpečí obavy.

Protože když něco připojíte k internetu, představíte každému, kdo je tak motivovaný, nový útočný vektor. Místo toho, aby se musel připojovat k domácí síti, by to někdo mohl vzdáleně kompromitovat.

Je to jednodušší, než si myslíte. K dispozici je dokonce vyhledávač pro vestavěné systémy, volal Shodan. Pomocí několika klávesových zkratek můžete najít systémy, které byly vystaveny internetu po celém světě - od elektráren v Japonsku, přes webové kamery v Holandsku a VoIP telefony v New Yorku.

Jednoduše hledáním „Web Cam“ se zobrazí tisíce vzdáleně přístupných webkamer. Neměl jsem však přístup, protože to by ve mně téměř jistě vyústilo porušení zákona o zneužití počítače z roku 1990 Zákon o zneužívání počítače: zákon, který kriminalizuje hackování ve Velké BritániiVe Velké Británii se zákon o zneužívání počítače z roku 1990 zabývá hackerskými zločiny. Tato kontroverzní legislativa byla nedávno aktualizována, aby poskytla britské zpravodajské organizaci GCHQ zákonné právo proniknout do jakéhokoli počítače. Dokonce i vaše. Přečtěte si více .

To je děsivé. Začali jsme představovat naše domácnosti na internetu a je velmi snadné je najít a zahájit cílené útoky na ně. Měli bychom se bát.

Co tedy lze udělat?

Bezpečnostní chyby, stejně jako ta, která byla nalezena v ledničce Android pro Samsung, budou vždy k dispozici. Pokud je pro dodavatele snadné vydávat opravy a neustále se aktualizují po celou dobu životnosti zařízení, není to problém.

Je však důležité zabývat se dalšími otázkami. Je třeba usilovat o to, aby vývojáři produktů Smart Home a IoT věděli, jak vyvinout zabezpečené systémy. Toho by bylo možné dosáhnout větším kontaktem s bezpečnostní komunitou.

Existuje mnoho precedentů. Projekt OWASP (Open Web Application Security Project) je ten, který vyvstává okamžitě na mysli. Byl spuštěn v roce 2004 a vytvořil volně dostupné vzdělávací materiály, které vývojářům učí, jak vytvářet bezpečné webové stránky, a hackerům, jak správně testovat zabezpečení webových aplikací.

Neexistuje žádný důvod, proč by se něco podobného nemohlo vytvořit pro chytrý domácí svět a pro vývojáře internetu věcí.

Kromě toho musíme zajistit, aby systémy Smart Home byly aktualizovány a udržovány, i když dodavatelé složí. To lze provést pověřením každého, aby uvolnil svůj kód do úschovna zdrojového kódu, kde je kód uvolněn, pokud společnost podá návrh na prohlášení konkurzu, nebo jinak neudržuje software způsobem, který je uspokojivý.

A jako spotřebitelé bychom měli začít požadovat více od dodavatelů. Měli bychom požadovat, aby zařízení, která kupujeme, byla po celou dobu životnosti produktu podporována opravami zabezpečení. Měli bychom očekávat, že jakékoli bezpečnostní problémy budou vyřešeny rychle a rozhodně. Měli bychom očekávat, že prodejci zacházejí s bezpečnostními hrozbami s naprostou průhledností. A neměli bychom sponzorovat dodavatele, kteří nesplňují tento skromný standard.

To vše jsou relativně malé změny, ale není důvod se domnívat, že by nevedly k bezpečnějším zařízením Smart Home. Ale co si myslíš?

Pokud máte nějaké myšlenky nebo máte nějaké hororové příběhy o nejistotě internetu věcí, chci o nich slyšet. Dejte nám vědět v komentářích níže a my si povídáme.

Foto Kredity: Experimentální souprava Arduino (Oomlout), IMG_5145 (JWalsh)