Michael Fisher
0 
3503
214
3599 $ je hodně peněz.
Mohlo by vám to poskytnout slušné ojeté auto nebo relativně oklamaný iMac. Můžete si koupit 3599 McChicken hamburgerů, nebo 2589 McDoubles. Nebo by to mohlo dostat Samsung RF28HMELBSR.
Tato lednička (snappily-name) má všechno. Má čtyři dveře, obrovskou 28 kubickou stopu prostoru a integrovanou, 8” LCD dotykový displej s podporou WiFi, který vám umožní číst vše od přečtení novinek, přes dálkové ovládání smartphonu Android.
Pokud to zní dobře, je to proto, že byl jednou uveden v mém seznamu těch nejhloupějších produktů Smart Home, kdy byly Tweeting ledničky a vařiče rýže řízené webem: 9 z Stupidest Smart Home Appliance Spotřebiče Existuje spousta inteligentních domácích zařízení, která si zaslouží váš čas a peníze. ale existují také druhy, které by nikdy neměly vidět denní světlo. Zde je 9 z nejhorších. . A zmínil jsem se o tom, že je dodáván s obrovskou zranitelností z bezpečnostních důvodů?
Inteligentní lednička, hloupá chyba
Ano, z důvodu veškeré své sofistikovanosti je tato lednička dodávána se značnou bezpečnostní vadou, která by mohla potenciálně vidět, že útočník tajně získává přihlašovací údaje pro Gmail.
Tato chyba byla poprvé ohlášena v Registru 24. srpna a byla objevena britskou infosec firmou Pen Test Parters při účasti na hackerské výzvě Internet of Things (IoT) na nedávné konferenci Defcon 23..
Vestavěný dotykový displej v této lednici umožňuje uživateli přístup k vlastnímu Kalendáři Google. Připojení k serverům Google a od nich jsou šifrována pomocí šifrování SSL Co je to certifikát SSL a potřebujete jej? Co je to SSL certifikát a potřebujete jej? Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. , ale implementace SSL společností Samsung nekontroluje platnost certifikátů.
To představuje závažný bezpečnostní problém, protože kdokoli v síti by mohl spustit “Muž uprostřed” Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlil, co je to útok člověka uprostřed? Bezpečnostní žargon vysvětlil Pokud jste slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, jedná se o článek pro vás. zaútočit a zachytit přihlašovací údaje uživatele při přenosu. Útočník by je také mohl získat spoofingem přístupového bodu nebo bezdrátovým útokem na krádež.
Samsung řekl, že jsou “vyšetřování této záležitosti co nejrychleji”, a pravděpodobně pracují na vyřešení problému. Tato epizoda však představuje zajímavou ukázku toho, jak špatně se může na internetu věcí pokazit bezpečnost.
(In) Zabezpečení v propojeném světě věcí
V minulosti jsme intenzivně hovořili o rizicích, které představuje internet věcí, a to jak z důvodu ochrany soukromí, proč je internet věcí největší noční můrou pro bezpečnost, proč internet věcí je největší noční můrou pro bezpečnost Jednoho dne přijedete domů z snažte se zjistit, že váš domácí bezpečnostní systém podporovaný cloudem byl porušen. Jak se to mohlo stát? S internetem věcí (IoT) byste to mohli najít tvrdě. az bezpečnostního a sociologického hlediska 7 důvodů, proč by vás měl vyděsit internet věcí 7 důvodů, proč by vás měl vyděsit internet věcí Potenciální přínosy internetu věcí se rozzáří, zatímco nebezpečí se vrhají do tichých stínů. Je na čase upozornit na tato nebezpečí sedmi děsivými sliby IoT. . Jejich řešení je obtížné, protože pokud jde o zabezpečení internetu věcí, setkáváme se s několika problémy.
Nejprve se nejedná o počítače ani telefony, protože je lze snadno aktualizovat rovnoměrně (systém Windows 10 dokonce nainstaluje aktualizace za vás. Jak vypnout automatické aktualizace aplikací v systému Windows 10 Jak vypnout automatické aktualizace aplikací v systému Windows 10 Deaktivace aktualizací systému se nedoporučuje. V případě potřeby však postupujte takto: v systému Windows 10.) a prodejci za nimi jsou zapojeni a pravidelně vydávají aktualizace softwaru a zabezpečení. Mnoho chytrých domácích produktů ne “Aktualizace” bezdrátově, buď vyžadujete použití komplikovaných nebo nespolehlivých softwarových balíčků, vyměnitelného úložiště nebo jednoduše neumožňujete aktualizaci firmwaru vůbec.
Jak například aktualizujete propojenou nádobu na kávu nebo počítačový termostat? Neexistuje snadný, univerzální způsob, jak toho dosáhnout.
Je také důležité zabývat se skutečností, že mnoho z těchto zařízení je nyní postaveno běžnými lidmi ve svých domovech. Arduino a Raspberry Pi nám umožnili představit síťové připojení a počítačovou logiku na místech, která jsme nikdy nenapadlo možné, zatímco produkty, jako je Microsoft Windows 10 pro IoT Windows 10 - přicházíte k Arduino Near You? Windows 10 - Přicházíte k Arduino ve vašem okolí? usnadnilo vystavení těchto zařízení širšímu internetu a současně otevřelo svět příležitostí a rizik.
I když mnoho zkušených vývojářů ví, jak tyto zařízení sestavit takovým způsobem, který je bezpečný, příliš mnoho vývojářů pro začínající a nadšence.
Pak se dostáváme k problému dlouhověkosti. Opět platí, že tento problém je jedinečně endemický pro svět inteligentních domů. Protože zatímco váš počítač a telefon spouští software vytvořený společnostmi s dlouhou historií a hlubokými kapsami, většina vašich zařízení Smart Home.
Převážná většina z těchto společností se rozběhne na začátku až do pozdního stádia, mnohé z nich jsou v pokusném stadiu jejich rozvoje. Pokud se vypnou, co se stane s produkty, které již byly dodány? Kdo bude psát aktualizace softwaru a bezpečnostní záplaty?
Jak jsme již psali v minulosti, hardwarové spouštění je těžké. Proč hardwarové spouštění je těžké: oživení ErgoDoxu Proč hardwarové spouštění je těžké: oživení ErgoDoxu Zde je pro vás kontroverzní názor: zahájení spouštění softwaru je snadné. Hardware, na druhé straně? Hardwarové spouštění je těžké. Opravdu těžké. . Již v tomto roce jsme zaznamenali výrazné propouštění u Leeo a Wink - dvou z největších startupů Smart Home. Mnoho dalších - jako Lumos - se nedokázalo úplně dostat ze země.
Největší a nejtrvalejší hrozbou pro zabezpečení inteligentních domů a internetu věcí je ale možná to, že tato zařízení jsou vyrobena tak, aby vydržela déle, než by jejich výrobci dali přednost. Vestavěné systémy a produkty Smart Home mohou pracovat docela šťastně roky a roky. Mnoho z nich nefunguje na předplacené službě.
Očekáváme, že Nest a Philips nabídnou aktualizace, dokud společnost Microsoft podporuje systém Windows XP. Co pro vás znamená systém Windows XPocalypse Co znamená systém Windows XPocalypse pro vás Společnost Microsoft zabije podporu pro systém Windows XP v dubnu 2014. To má vážné důsledky pro podniky i spotřebitelé. Pokud používáte systém Windows XP, měli byste vědět. ?
Z LAN, do ohně
Tyto bezpečnostní problémy výrazně zhoršuje skutečnost, že mnoho z těchto zařízení je připojeno k širšímu internetu a je vzdáleně přístupné, čímž se zavádí smorgasbord bezpečnostních problémů.
Protože když něco připojíte k internetu, představíte každému, kdo je tak motivovaný, nový útočný vektor. Místo toho, aby se musel připojovat k domácí síti, by to někdo mohl vzdáleně ohrozit.
Je to jednodušší, než si myslíte. K dispozici je dokonce i vyhledávač pro vestavěné systémy, nazývaný Shodan. Pomocí několika klávesových zkratek můžete najít systémy, které byly celosvětově vystaveny internetu - od elektráren v Japonsku, přes webové kamery v Holandsku a VoIP telefony v New Yorku..
Jednoduše hledejte “Webová kamera” vystavuje tisíce vzdáleně přístupných webových kamer. Neměl jsem však přístup, protože by to téměř jistě vedlo k porušení zákona o zneužití počítače z roku 1990. Zákon o zneužití počítače: zákon, který kriminalizuje hackování ve Velké Británii Zákon o zneužití počítače z roku 1990 se zabývá hackerskými zločiny. Tato kontroverzní legislativa byla nedávno aktualizována, aby poskytla britské zpravodajské organizaci GCHQ zákonné právo proniknout do jakéhokoli počítače. Dokonce i vaše. .
To je děsivé. Začali jsme představovat naše domovy na internetu a je triviální snadné je najít a zahájit cílené útoky na ně. Měli bychom se obávat.
Co tedy lze udělat?
Bezpečnostní chyby, stejně jako ta, která byla nalezena v ledničce Android pro Samsung, budou vždy k dispozici. Pokud je pro dodavatele snadné vydávat opravy a neustále se aktualizují po celou dobu životnosti zařízení, není to problém.
Je však důležité řešit další problémy. Je třeba usilovat o to, aby vývojáři produktů Smart Home a IoT věděli, jak vyvinout zabezpečené systémy. Toho by bylo možné dosáhnout větším kontaktem s bezpečnostní komunitou.
Existuje mnoho precedentů. Projekt OWASP (Open Web Application Security Project) je projekt, který vyvstává okamžitě na paměti. Uveden v roce 2004, vznikl volně dostupný vzdělávací materiál, který učí vývojáře, jak vytvářet bezpečné webové stránky, a hackeři, jak správně testovat bezpečnost webových aplikací..
Neexistuje žádný důvod, proč by něco podobného nemohlo být vytvořeno pro chytrý domácí svět a pro vývojáře internetu věcí.
Kromě toho musíme zajistit, aby systémy Smart Home byly aktualizovány a udržovány, i když dodavatelé složí. Toho lze dosáhnout tím, že každý vydá svůj kód do úschovy zdrojového kódu, kde se uvolní, pokud společnost požádá o úpadek, nebo jinak neudrží software uspokojivým způsobem.
A jako spotřebitelé bychom měli začít požadovat více od dodavatelů. Měli bychom požadovat, aby zařízení, která nakupujeme, byla po dobu životnosti produktu podporována opravami zabezpečení. Měli bychom očekávat, že jakékoli bezpečnostní problémy budou vyřešeny rychle a rozhodně. Měli bychom očekávat, že prodejci zacházejí s bezpečnostními hrozbami s naprostou průhledností. A neměli bychom sponzorovat prodejce, kteří nesplní tento skromný standard.
To vše jsou relativně malé změny, ale není důvod se domnívat, že by nevedly k bezpečnějším zařízením Smart Home. Ale co si myslíš??
Pokud máte nějaké myšlenky nebo máte nějaké hororové příběhy o nejistotě internetu věcí, chci o nich slyšet. Dejte mi vědět v komentářích níže a my si povídáme.
Foto Kredity: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)