Michael Cain
0 
2073
339
$ 3599 er en masse penge.
Det kan give dig en anstændig brugte bil eller en relativt narret iMac. Du kan købe 3599 McChicken-burgere eller 2589 McDoubles. Eller det kan få dig Samsung RF28HMELBSR.
Dette (snacks navngivne) køleskab har alt. Det har fire døre, en kolossal 28 kubikfod plads og en integreret 8” WiFi-aktiveret LCD-berøringsskærm, der giver dig mulighed for at gøre alt fra at læse nyhederne og fjernstyre din Android-smartphone.
Hvis det lyder velkendt, skyldes det, at det engang var vist på min liste over de dummeste Smart Home-produkter, der nogensinde har Tweetet Køleskabe og Web-kontrollerede riskomfurer: 9 af de dumeste Smart-husholdningsapparater, Tweeting-Køleskabe og Web-kontrollerede Ris-komfurer: 9 af det dumme Smart Home-apparater. Hvidevarer Der er mange smarte hjemme-enheder, der er værd at bruge din tid og penge. men der er også slags, der aldrig skal se dagens lys. Her er 9 af de værste. . Og nævnte jeg det med en massiv, gabende sikkerhedssårbarhed?
Smart køleskab, dum fejl
Ja, for alt dets raffinement blev dette køleskab forsynet med en betydelig sikkerhedsfejl, der potentielt kunne se, at en angriber overtrækkende høster Gmail-loginoplysninger..
Sårbarheden blev først rapporteret i The Register den 24. august og blev opdaget af det britiske-baserede infosecfirma Pen Test Parters, mens de deltog i en Internet of Things (IoT) hacking-udfordring på den nylige Defcon 23-konference.
Den indbyggede berøringsskærm på dette køleskab giver brugeren adgang til deres egen Google Kalender. Forbindelser til og fra Googles servere er krypteret ved hjælp af SSL-kryptering Hvad er et SSL-certifikat, og har du brug for en? Hvad er et SSL-certifikat, og har du brug for et? Det kan være skræmmende at surfe på Internettet, når det drejer sig om personlige oplysninger. , men Samsungs implementering af SSL kontrollerer ikke gyldigheden af certifikaterne.
Dette udgør et alvorligt sikkerhedsproblem, da alle på netværket ville være i stand til at starte en “Mand i midten” Hvad er et menneske i midten-angreb? Sikkerheds jargon forklaret Hvad er et menneske i midten angreb? Sikkerheds jargon forklaret Hvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. angribe og afskærm brugerens loginoplysninger under transit. En hacker kan også få dem ved at forfalske et adgangspunkt eller gennem et trådløst afmærkningsangreb.
Samsung har sagt, at de er “undersøger denne sag så hurtigt som muligt”, og arbejder formodentlig fladt for at udstede en løsning. Men denne episode præsenterer en interessant demonstration af, hvor dårligt sikkerhed kan gå galt på tingenes internet.
(In) Sikkerhed i en netværks verden af ting
I fortiden har vi talt udførligt om de risici, som tingenes internet udgør, begge fra et privatliv. Hvorfor Internettet af tingene er det største sikkerhedsnatteri, hvorfor Internettet af tingene er det største sikkerhedsnatræt. En dag kommer du hjem fra arbejde for at opdage, at dit sky-aktiverede sikkerhedssystem til hjemmet er blevet brudt. Hvordan kunne dette ske? Med Internet of Things (IoT) kunne du finde ud af den hårde måde. og fra et sikkerheds- og sociologisk perspektiv 7 Årsager til, at tingenes internet skal skræmme dig 7 grunde til, at tingenes internet skal skræmme dig De potentielle fordele ved tingenes internet vokser lyse, mens farerne kastes i de stille skygger. Det er tid til at henlede opmærksomheden på disse farer med syv skræmmende løfter fra IoT. . Det er vanskeligt at adressere dem, for når vi kommer til at sikre Internettet af tingene, støder vi på nogle få problemer.
For det første er disse enheder ikke pc'er eller telefoner i den respekt, at de er ensartede lette at opdatere (Windows 10 vil endda installere opdateringer på dine vegne. Sådan slås automatiske appopdateringer fra i Windows 10 Sådan deaktiveres automatiske appopdateringer i Windows 10 Det anbefales ikke at deaktivere systemopdateringer. Men hvis det er nødvendigt, er det sådan, hvordan du gør det i Windows 10.), og leverandørerne bag dem er involverede og frigiver regelmæssigt software og sikkerhedsopdateringer. Mange smarte hjemmeprodukter gør det ikke “opdatering” i luften, enten kræver, at du bruger komplicerede eller upålidelige softwarepakker, flytbar lagerplads eller simpelthen ikke tillader dig at opdatere firmwaren overhovedet.
Hvordan opdaterer du for eksempel en sammenkoblet kaffekande eller en computerstyret termostat? Der er ingen let, universel måde at gøre det på.
Det er også vigtigt at tackle det faktum, at mange af disse enheder nu er bygget af almindelige mennesker i deres eget hjem. Arduino og Raspberry Pi har givet os mulighed for at introducere netværksforbindelse og computeriseret logik på steder, som vi aldrig har troet muligt, mens produkter som Microsofts Windows 10 til IoT Windows 10 - Kommer du til en Arduino i nærheden af dig? Windows 10 - Kommer du til en Arduino i nærheden af dig? har gjort det lettere at udsætte disse enheder for det bredere Internet og samtidig åbne en verden af muligheder og risiko.
Mens mange erfarne udviklere ved, hvordan man bygger disse enheder på en måde, der er sikker, gør alt for mange nybegynder- og hobbyudviklere det ikke.
Derefter går vi videre til problemet med lang levetid. Igen er dette problem unikt endemisk for Smart Home-verdenen. For mens din pc og telefon kører software, der er bygget af virksomheder med lang historie og dybe lommer, har de fleste af dine Smart Home-enheder ikke.
Det overvældende flertal af disse virksomheder er begyndere til sent på et tidspunkt, hvoraf mange er i en foreløbig fase i deres udvikling. Hvad sker der med de produkter, de allerede har sendt, hvis de lukker ned? Hvem vil skrive softwareopdateringer og sikkerhedsrettelser?
Som vi tidligere har skrevet om, er hardwarestartup-up hårdt. Hvorfor hardware-opstart er svære: At bringe ErgoDox til live Hvorfor hardware-opstart er svær: At bringe ErgoDox til liv Her er en kontroversiel mening for dig: at starte en software-opstart er let. Hardware, på den anden side? Hardwarestarter er svære. Rigtig hård. . Allerede i år har vi set betydelige fyringer hos Leeo og Wink - to af de største Smart Home-startups. Mange flere - som Lumos - har ikke lykkedes at komme helt fra jorden.
Men måske er den største og mest vedvarende trussel mod Smart Home og Internet of Things-sikkerhed simpelthen, at disse enheder er bygget til at vare længere, end deres producenter foretrækker. Integrerede systemer og Smart Home-produkter kan fungere ganske lykkeligt i mange år. Mange af disse fungerer ikke på en abonnementstjeneste.
Skal vi forvente, at Nest og Philips vil tilbyde opdateringer, så længe Microsoft understøtter Windows XP Hvad Windows XPocalypse betyder for dig, hvad Windows XPocalypse betyder for dig Microsoft vil dræbe support til Windows XP i april 2014. Dette har alvorlige konsekvenser for både virksomheder og forbrugere. Dette er, hvad du skal vide, hvis du stadig kører Windows XP. ?
Ud af LAN, ind i ilden
Disse sikkerhedsspørgsmål forværres markant af det faktum, at mange af disse enheder er forbundet til det bredere Internet og eksternt tilgængeligt, hvorved der indføres et smorgasbord af sikkerhedsmæssige bekymringer.
For når du opretter forbindelse til internettet, introducerer du derefter en ny angrebsvektor til den, der er så motiveret. I stedet for at skulle oprette forbindelse til dit hjemmenetværk, kunne nogen simpelt hen kompromittere det.
Det er lettere end du også tror. Der er endda en søgemaskine til indlejrede systemer, kaldet Shodan. Med blot et par tastetryk kan du finde systemer, der er blevet udsat for Internettet overalt - fra kraftværker i Japan, til webkameraer i Holland og VoIP-telefoner i New York.
Bare søg efter “Webkamera” afslører tusinder af fjernt tilgængelige webkameraer. Jeg fik dog ikke adgang til nogen, da det næsten helt sikkert ville resultere i, at jeg overtrådte loven om misbrug af computere fra 1990 Computer Law Misuse Act: The Law That Criminalizes Hacking In The UK The Computer Misuse Act: The Law That Criminalizes Hacking In The UK In the UK UK the Computer Misuse Act 1990 behandler hacking forbrydelser. Denne kontroversielle lovgivning blev for nylig opdateret for at give den britiske efterretningsorganisation GCHQ den lovlige ret til at hacke ind på enhver computer. Selv din. .
Det er skræmmende. Vi er begyndt at introducere vores hjem til Internettet, og det er trivielt let at finde dem og lancere målrettede angreb på dem. Vi burde være bekymrede.
Så hvad kan gøres?
Sikkerhedsfejl, ligesom den, der findes i Samsungs Android-køleskab, vil altid være der. Så længe det er nemt for leverandører at udstede rettelser, og de konstant opdateres gennem enhedernes levetid, er det ikke for meget af problemet.
Men det er vigtigt, at vi adresserer de andre spørgsmål. Der skal gøres en indsats for at sikre, at udviklere af Smart Home og IoT-produkter ved, hvordan de udvikler sikre systemer. Dette kunne opnås ved større opsøgning med sikkerhedssamfundet.
Der er en række præcedens for dette. OWASP-projektet (Open Web Application Security Project) er et projekt, der straks tænker på. Lanceret i 2004 har dette produceret frit tilgængeligt uddannelsesmateriale, der lærer udviklere, hvordan man bygger sikre websteder, og hackere, hvordan man korrekt tester sikkerheden ved webapplikationer.
Der er ingen grund til, at der ikke kunne oprettes noget lignende til det smarte hjemverden og for Internet of Things-udviklere.
Desuden er vi nødt til at sikre, at Smart Home-systemer opdateres og vedligeholdes, selvom leverandørerne foldes. Dette kan gøres ved at give mandat til, at alle frigiver deres kode i en kildekode-escrow, hvor koden frigives, hvis virksomheden arkiverer konkurs eller på anden måde ikke vedligeholder softwaren på en måde, der er tilfredsstillende.
Og som forbrugere bør vi begynde at kræve mere fra leverandører. Vi bør kræve, at de enheder, vi køber, understøttes med sikkerhedsrettelser i produktets levetid. Vi kan forvente, at eventuelle sikkerhedsproblemer løses hurtigt og beslutsomt. Vi kan forvente, at leverandører behandler sikkerhedstrusler med absolut gennemsigtighed. Og vi bør ikke nedlæsse leverandører, der ikke overholder den magre standard.
Dette er alle relativt små ændringer, men der er ingen grund til at tro, at de ikke ville resultere i mere sikre Smart Home-enheder. Men hvad synes du??
Hvis du har nogen tanker, eller har nogle rædselforhold om IoT-usikkerhed, vil jeg høre om dem. Fortæl mig det i kommentarerne nedenfor, så chatter vi.
Fotokreditter: Arduino eksperimentationssæt (Oomlout), IMG_5145 (JWalsh)