Gabriel Brooks
0 
4215
1089
3599 dolara je mnogo novca.
Moglo bi vam dobiti pristojan rabljeni automobil ili relativno izmučen iMac. Možete kupiti 3599 McChicken hamburgera, ili 2589 McDoubles. Ili bi vam mogao nabaviti Samsung RF28HMELBSR.
Ovaj (lagano nazvan) frižider ima svega. Ima četiri vrata, ogroman prostor od 28 kubika i integrirani 8” Wi-Fi omogućen LCD zaslon osjetljiv na dodir koji vam omogućuje da učinite bilo što od čitanja vijesti do daljinskog upravljanja Android telefonom.
Ako vam zvuči poznato, to je zato što je to jednom bilo na mojoj listi najglupljih proizvoda Smart Home ikada koji tweetu frižidere i web kontrolirane štednjake za rižu: 9 naj Stupidest pametnih kućanskih aparata koji pišu hladnjake i internetske kuhače riže: 9 Stupidest pametne kuće Uređaji Postoji puno pametnih kućnih uređaja koji vrijede vašeg vremena i novca. ali postoje i vrste koje nikada ne bi trebale ugledati svjetlost dana. Evo 9 najgorih. , I jesam li spomenuo brodove s ogromnom rastućom sigurnosnom ranjivošću?
Pametni hladnjak, glupa pogreška
Da, uz svu svoju sofisticiranost, ovaj frižider isporučen je sa značajnim sigurnosnim promašajem koji potencijalno može vidjeti da napadač prikriveno prikuplja vjerodajnice za prijavu na Gmail.
Ranjivost je prvi put prijavljena u Registru 24. kolovoza, a otkrila ju je britanska infosc firma Pen Test Parters dok je sudjelovala u hakerskom izazovu Interneta stvari (IoT) na nedavnoj konferenciji Defcon 23.
Ugrađeni dodirni zaslon na ovom hladnjaku omogućuje korisniku pristup vlastitom Google kalendaru. Veze na i sa Googleovih poslužitelja šifriraju se pomoću SSL enkripcije Što je SSL certifikat, a treba li vam? Što je SSL certifikat, a treba li vam? Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. , ali Samsungova implementacija SSL-a ne provjerava valjanost certifikata.
Ovo predstavlja ozbiljan sigurnosni problem jer bi bilo tko na mreži mogao pokrenuti “Čovjek u sredini” Što je napad Čovjeka u sredini? Sigurnosni žargon objasnio što je napad Čovjek u sredini? Objašnjen sigurnosni žargon Ako ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. napadaju i presreću vjerodajnice za prijavu korisnika u tranzitu. Napadač će ih također moći dobiti podmetanjem pristupne točke ili napadom bežične provjere autentičnosti.
Samsung je rekao da jesu “istražujući ovu stvar što je brže moguće”, i pretpostavljaju da rade ravnomjerno za izdavanje popravka. Ali ova epizoda predstavlja zanimljivu demonstraciju kako sigurnost interneta može poći po zlu na Internetu stvari.
(Ne) Sigurnost u umreženom svijetu stvari
U prošlosti smo opširno razgovarali o rizicima koje predstavlja Internet stvari, oba iz privatnosti Zašto je Internet stvari najveća sigurnosna noćna mora zašto je Internet stvari najveća noćna mora o sigurnosti Jednog dana, dođete kući pokušajte otkriti da je vaš sigurnosni sustav kuće omogućen za oblak pokrenut. Kako se to moglo dogoditi? Pomoću Interneta stvari (IoT) mogli biste otkriti težak put. i iz sigurnosne i sociološke perspektive 7 razloga zašto bi vas internet stvari trebao uplašiti 7 razloga zašto bi vas Internet stvari trebao uplašiti Potencijalne prednosti Interneta stvari postaju sjajne, dok se opasnosti bacaju u tihe sjene. Vrijeme je da privučemo pozornost na ove opasnosti sa sedam zastrašujućih obećanja IoT-a. , Baviti se njima je teško, jer kada je riječ o osiguravanju Interneta stvarima, susrećemo se s nekoliko problema.
Prvo, ti uređaji nisu osobna računala ili telefoni, s obzirom da ih je jednolično ažurirati (Windows 10 će čak instalirati ažuriranja u vaše ime. Kako isključiti automatske nadogradnje aplikacija u sustavu Windows 10 Kako isključiti automatske nadogradnje aplikacija u sustavu Windows 10 Deaktivacija ažuriranja sustava ne savjetuje se, no ako je potrebno, evo kako to radite u sustavu Windows 10.), a dobavljači iza njih uključeni su i redovito puštaju ažuriranja softvera i sigurnosti. Mnogi pametni proizvodi za dom nemaju “ažuriranje” putem Interneta ili od vas zahtijevaju da koristite složene ili nepouzdane softverske pakete, prijenosni prostor za pohranu ili da vam jednostavno ne dopuštaju ažuriranje upravljačkog softvera uopće.
Kako, na primjer, ažurirate međusobno povezani lonac za kavu ili kompjuterizirani termostat? Ne postoji jednostavan, univerzalan način za to.
Također je važno pozabaviti se činjenicom da mnoge od ovih uređaja danas ljudi redovito grade u svojim domovima. Arduino i Raspberry Pi omogućili su nam uvođenje mrežne povezanosti i računalne logike na mjesta za koja nikada nismo mislili da su moguća, dok proizvodi poput Microsoftovog Windowsa 10 za IoT Windows 10 - Dolazimo do Arduinova u vašoj blizini? Windows 10 - Dolazite do Arduinoa u vašoj blizini? olakšao je izlaganje tih uređaja širem internetu, istovremeno otvarajući svijet mogućnosti i rizika.
Iako mnogi iskusni programeri znaju kako izgraditi ove uređaje na siguran način, previše novih početnika i razvojnih programera ne.
Tada se upuštamo u problem dugovječnosti. Opet, ovaj problem koji je jedinstveno endemičan za svijet pametnih domova. Budući da vaš PC i Phone pokreću softver koji su izgradile tvrtke s dugom poviješću i dubokim džepovima, većina uređaja Smart Home nije.
Ogromna većina ovih tvrtki je startupi ranih do kasnih faza, a mnogi od njih su u početnoj fazi svog razvoja. Ako se isključe, što se događa s proizvodima koje su već isporučili? Tko će pisati ažuriranja softvera i sigurnosne zakrpe?
Kao što smo pisali u prošlosti, pokretanje hardvera je teško Zašto su pokretanja hardvera teška: Oživljavanje ErgoDox-a Zašto su pokretanja hardvera teška: Oživljavanje ErgoDoxa Evo za vas kontroverznog mišljenja: lansiranje pokretanja softvera je jednostavno. S druge strane hardver? Pokretanje hardvera je teško. Stvarno teško. , Već ove godine vidjeli smo značajna otpuštanja na Leeo i Wink - dva od najvećih startupa Smart kuće. Mnogi drugi - poput Lumosa - nisu se uspjeli potpuno spustiti s tla.
No možda je najveća i najupornija prijetnja sigurnosti Smart Home i Internet of Things jednostavno što su ti uređaji napravljeni da traju duže nego što bi to željeli njihovi proizvođači. Ugrađeni sustavi i proizvodi Smart Home mogu, sretno, raditi godinama i godinama. Mnogi od njih ne rade na usluzi pretplate.
Moramo li očekivati da će Nest i Philips ponuditi ažuriranja sve dok Microsoft podržava Windows XP. Što Windows XPocalypse znači za vas Što Windows XPocalypse znači za vas Microsoft će u travnju 2014. ubiti podršku za Windows XP. To ima ozbiljne posljedice za kako poduzeća tako i potrošača. Evo što biste trebali znati ako i dalje imate Windows XP. ?
Izvan LAN-a, u vatru
Ova sigurnosna pitanja značajno su pogoršana činjenicom da su mnogi od ovih uređaja povezani na širem Internetu i lako dostupni, čime se uvodi kratka granica sigurnosnih pitanja.
Jer kad nešto povežete s Internetom, tada uvedite novi vektor napada na onoga tko je tako motiviran. Umjesto da se morate povezati s kućnom mrežom, netko bi to mogao jednostavno daljinski ugroziti.
I lakše je nego što mislite. Postoji čak i tražilica za ugrađene sustave, koja se zove Shodan. Sa samo nekoliko pritiska na tipki, možete pronaći sustave koji su bili izloženi Internetu širom svijeta - od elektrana u Japanu, do web-kamera u Holandiji i VoIP telefona u New Yorku.
Jednostavno pretraživanje “Web kamera” izlaže tisuće lako dostupnih web-kamera. Nisam pristupio ni jednom, jer bi to gotovo sigurno rezultiralo kršenjem Zakona o zloupotrebi računala iz 1990. Zakona o zloupotrebi računala: Zakona koji kriminalizira hakiranje u Velikoj Britaniji Zakon o zloupotrebi računala: Zakon koji kriminalizira hakiranje u Velikoj Britaniji UK Computer Comuse Act iz 1990. bavi se zločinima hakiranja. Nedavno je ažurirano ovo sporno zakonodavstvo kojim se britanskoj obavještajnoj organizaciji GCHQ daje zakonsko pravo provaljivanja u bilo koje računalo. Čak je i tvoj. .
To je zastrašujuće. Počeli smo uvoditi naše domove na Internetu i trivijalno ih je lako pronaći i pokrenuti ciljane napade na njih. Trebamo biti zabrinuti.
Dakle, što se može učiniti?
Nedostaci sigurnosti, poput one pronađene u Samsungovom Android hladnjaku, uvijek će postojati. Sve dok je dobavljačima lako izdati ispravke, a oni se stalno ažuriraju tijekom životnog vijeka uređaja, to nije preveliki problem..
Ali važno je da se bavimo ostalim problemima. Treba uložiti napore kako bi programeri Smart Home i IoT proizvoda znali razviti sigurne sustave. To bi se moglo postići većim upoznavanjem sa zajednicom sigurnosti.
Za to postoji niz presedana. Projekt OWASP (Open Web Application Security Project) onaj koji odmah pada na pamet. Pokrenut 2004. godine, to je proizvelo slobodno dostupan edukativni materijal koji uči programere kako da grade sigurne web stranice, a hakeri kako pravilno testirati sigurnost web aplikacija.
Nema razloga da se nešto slično ne može stvoriti za svijet pametnih domova i za programere Interneta stvari.
Nadalje, moramo osigurati ažuriranje i održavanje sustava Smart Home, čak i ako se dobavljači odvoje. To se može učiniti nalaženjem da svi ispuste kod u escrow izvornog koda, gdje se kôd pusti ako tvrtka podnese stečaj ili na neki drugi način ne uspije održati softver na zadovoljavajući način..
I kao potrošači trebali bismo početi tražiti više od dobavljača. Trebali bismo zahtijevati da uređaji koje kupimo budu podržani sigurnosnim zakrpama tijekom trajanja proizvoda. Trebali bismo očekivati da će se bilo koja sigurnosna pitanja riješiti brzo i odlučno. Trebali bismo očekivati da dobavljači tretiraju sigurnosne prijetnje s apsolutnom transparentnošću. I ne bismo se trebali zaštititi dobavljača koji ne ispunjavaju taj blagi standard.
Sve su to relativno male promjene, ali nema razloga misliti da ne bi rezultirali sigurnijim uređajima Smart Home. Ali što misliš?
Ako imate bilo kakvih misli ili imate neke grozne priče o nesigurnosti IoT-a, želim čuti za njih. Javite mi u komentarima u nastavku, i razgovarat ćemo.
Foto-krediti: Arduino eksperimentalni komplet (Oomlout), IMG_5145 (JWalsh)