Frigiderul inteligent al Samsung tocmai a fost pregătit. Ce zici de restul casei tale inteligente?

Publicitate

3599 USD reprezintă o mulțime de bani.

Ar putea să vă ofere o mașină decentă second-hand sau un iMac relativ păcălit. Puteți cumpăra 3599 burgeri McChicken sau 2589 McDoubles. Sau ar putea să vă ofere Samsung RF28HMELBSR.

Acest frigider (numit în mod ciudat) are totul. Are patru uși, un colosal de 28 de metri cubi de spațiu și un LCD integrat de 8 ”WiFi activat ecran cu ecran tactil care vă permite să faceți orice, de la citirea știrilor, pentru a controla de la distanță Androidul smartphone.

Dacă sună familiar, este din cauză că a fost cândva prezentată pe lista mea Produse inteligente pentru casă inteligentă Tweeting Frigioane și aragazuri controlate pe web: 9 dintre cele mai stupide electrocasniceExistă o mulțime de dispozitive inteligente pentru casă demne de timpul și banii tăi. dar există și feluri care nu ar trebui să vadă niciodată lumina zilei. Iată 9 dintre cele mai rele. Citeste mai mult . Și am menționat că este vorba de nave cu o vulnerabilitate masivă și lipsită de securitate?

Frigider inteligent, greșeală stupidă

Da, pentru toată sofisticarea sa, acest frigider livrat cu un defect semnificativ de securitate care ar putea vedea un atacator să recolteze în mod sigur certificatele de autentificare Gmail.

Vulnerabilitatea a fost raportată pentru prima dată în Registru pe 24 august și descoperită de firma infosec din Marea Britanie Parteneri de testare pentru stilou în timp ce participa la o provocare de hacking pe Internet of Things (IoT) la recent Defcon 23 conferinţă.

Ecranul tactil încorporat de pe acest frigider permite utilizatorului să acceseze propriul Google Calendar. Conexiunile la și de pe serverele Google sunt criptate folosind criptarea SSL Ce este un certificat SSL și aveți nevoie de unul?Navigarea pe Internet poate fi înfricoșătoare atunci când sunt implicate informații personale. Citeste mai mult , dar implementarea SSL de către Samsung nu verifică valabilitatea certificatelor.

Aceasta prezintă o problemă serioasă de securitate, deoarece oricine din rețea ar putea lansa o "Bărbatul din mijloc" Ce este un atac împotriva omului în mijloc? Jargon de securitate explicatDacă ați auzit despre atacuri „om-la-mijloc”, dar nu sunteți sigur ce înseamnă asta, acesta este articolul pentru dvs. Citeste mai mult să atace și să interceptezi datele de autentificare ale utilizatorului în tranzit. Un atacator ar putea, de asemenea, să-i obțină prin spargerea unui punct de acces sau printr-un atac de deautentificare wireless.

Samsung a spus că sunt „Investigarea acestei probleme cât mai repede”și, probabil, lucrează complet pentru a rezolva o problemă. Dar acest episod prezintă o demonstrație interesantă despre cât de greșită securitatea poate merge greșit pe Internet of Things.

(În) Securitate într-o lume în rețea a lucrurilor

În trecut, am discutat pe larg despre riscurile pe care le prezintă Internetul lucrurilor, ambele dintr-o intimitate De ce Internetul lucrurilor este cel mai mare coșmar de securitateÎntr-o zi, ajungi acasă de la serviciu pentru a descoperi că sistemul tău de securitate acasă activat în cloud a fost încălcat. Cum se poate întâmpla? Cu Internet of Things (IoT), puteți afla calea grea. Citeste mai mult și dintr-o perspectivă de securitate și sociologie 7 motive pentru care internetul lucrurilor ar trebui să te sperieBeneficiile potențiale ale Internet of Things cresc strălucitoare, în timp ce pericolele sunt aruncate în umbrele liniștite. Este timpul să atragem atenția asupra acestor pericole cu șapte promisiuni terifiante ale IoT. Citeste mai mult . Adresarea lor este dificilă, pentru că atunci când vine vorba de securizarea internetului lucrurilor, întâmpinăm câteva probleme.

În primul rând, aceste dispozitive nu sunt PC-uri sau telefoane, prin respectarea uniformă a acestora (Windows 10 va instala chiar și actualizări în numele dvs. Cum dezactivați actualizările automate ale aplicațiilor în Windows 10Dezactivarea actualizărilor sistemului nu este recomandată. Dar, dacă este nevoie, iată cum o faceți pe Windows 10. Citeste mai mult ), iar vânzătorii din spatele lor sunt implicați și eliberează periodic actualizări de software și securitate. Multe produse inteligente pentru casă nu „actualizează” în aer, fie necesită utilizarea unei aplicații complicate sau pachete software nesigure, stocare amovibilă sau pur și simplu nu vă permit să actualizați firmware-ul la toate.

Cum actualizați, de exemplu, o oală de cafea interconectată sau un termostat computerizat? Nu există nici un mod ușor, universal, de a face asta.

De asemenea, este important să abordăm faptul că multe dintre aceste dispozitive sunt acum construite de oameni obișnuiți în casele lor. Arduino și Raspberry Pi ne-au permis să introducem conectivitatea rețelei și logica computerizată în locuri pe care nu le-am crezut niciodată posibile, în timp ce produse precum Microsoft Windows 10 pentru IoT Windows 10 - Venind la un Arduino lângă tine? Citeste mai mult a facilitat expunerea acestor dispozitive la Internetul mai larg, deschizând simultan o lume de oportunități și riscuri.

Deși mulți dezvoltatori experimentați știu să construiască aceste dispozitive într-un mod sigur, prea mulți dezvoltatori novici și hobbyisti nu o fac.

Apoi trecem la problema longevității. Din nou, această problemă este unică endemie pentru lumea Smart Home. Deoarece, în timp ce computerul și telefonul dvs. rulează software creat de companii cu istorii lungi și buzunare profunde, majoritatea dispozitivelor dvs. Smart Home nu au.

Majoritatea covârșitoare a acestor companii sunt start-up-uri în stadii precoce, multe dintre acestea sunt într-o etapă tentativă în dezvoltarea lor. Dacă închid, ce se întâmplă cu produsele pe care le-au livrat deja? Cine va scrie actualizări software și corecții de securitate?

Așa cum am scris în trecut, pornirile hardware sunt grele De ce pornirile hardware sunt grele: aducerea ErgoDox la viațăIată o opinie controversată pentru dvs.: lansarea unui program de pornire este ușoară. Hardware, pe de altă parte? Startup-urile hardware sunt grele. Cu adevărat greu. Citeste mai mult . Deja anul acesta, am văzut disponibilizări semnificative la Leeo și Wink - două dintre cele mai mari startup-uri Smart Home. Multe altele - ca Lumos - nu am reușit să cobor în întregime.

Dar poate cea mai mare și cea mai îndelungată amenințare la securitatea Smart Home și Internet of Things este pur și simplu că aceste dispozitive sunt construite pentru a dura mai mult decât ar prefera producătorii lor. Sistemele încorporate și produsele Smart Home pot funcționa, destul de fericit, ani și ani. Multe dintre acestea nu funcționează la un serviciu de abonament.

Dorim să ne așteptăm ca Nest și Philips să ofere actualizări atât timp cât Microsoft a acceptat Windows XP Ce înseamnă Windows XPocalypse pentru tineMicrosoft va ucide suportul pentru Windows XP în aprilie 2014. Acest lucru are consecințe grave atât pentru companii, cât și pentru consumatori. Iată ce ar trebui să știți dacă încă rulați Windows XP. Citeste mai mult ?

În afara LAN-ului, în foc

Aceste probleme de securitate sunt agravate în mod semnificativ de faptul că multe dintre aceste dispozitive sunt conectat la internet mai larg și accesibil de la distanță, introducând astfel un smorgasbord de securitate preocupări.

Deoarece atunci când conectați ceva la Internet, atunci introduceți un nou vector de atac pentru oricine este atât de motivat. În loc să trebuiască să vă conectați la rețeaua de domiciliu, cineva ar putea pur și simplu să o compromită de la distanță.

Este și mai ușor decât crezi. Există chiar și un motor de căutare pentru sisteme încorporate, numit Shodan. Cu doar câteva taste, puteți găsi sisteme care au fost expuse la Internet în întreaga lume - de la centralele electrice din Japonia, la camerele web din Olanda și la telefoanele VoIP din New York.

Pur și simplu căutarea „Web Cam” expune mii de camere web accesibile de la distanță. Nu am accesat niciunul, deoarece aproape sigur ar rezulta în mine încălcarea Legii privind utilizarea necorespunzătoare din 1990 Legea privind utilizarea necorespunzătoare a computerului: Legea care criminalizează hackingul în Marea BritanieÎn Marea Britanie, Computer Misuse Act 1990 tratează infracțiuni de hacking. Această legislație controversată a fost actualizată recent pentru a oferi organizației de informații britanice GCHQ dreptul legal de a hack în orice computer. Chiar și al tău. Citeste mai mult .

E înfricoșător. Am început să introducem casele noastre pe Internet și este banal ușor să le găsim și să lansăm atacuri țintite asupra lor. Ar trebui să fim preocupați.

Deci, ce se poate face?

Defectele de securitate, precum cel găsit în frigiderul Samsung Samsung, vor fi întotdeauna acolo. Atâta timp cât este ușor pentru furnizori să emită corecții și sunt actualizate constant pe toată durata de viață a dispozitivelor, aceasta nu constituie o problemă prea mare.

Dar este important să abordăm celelalte probleme. Trebuie depuse eforturi pentru ca dezvoltatorii Smart Home și produsele IoT să știe să dezvolte sisteme sigure. Acest lucru ar putea fi realizat printr-o mai mare informare cu comunitatea de securitate.

Există o serie de precedente pentru acest lucru. Proiect OWASP (Open Web Application Security Project) este unul care izvorăște imediat în minte. Lansat în 2004, acesta a produs materiale educaționale disponibile gratuit, care îi învață pe dezvoltatori să construiască site-uri web sigure și hackerii cum să testeze corect securitatea aplicațiilor web.

Nu există niciun motiv pentru care ceva similar nu ar putea fi creat pentru lumea de casă inteligentă și pentru dezvoltatorii de Internet of Things.

Mai mult, trebuie să ne asigurăm că sistemele Smart Home sunt actualizate și întreținute, chiar dacă furnizorii se pliază. Acest lucru se poate face prin mandarea tuturor lansării codului într-un escrow de cod sursă, unde codul este lansat în cazul în care compania depune pentru faliment sau nu reușește să mențină software-ul într-un mod satisfăcător.

Și ca consumatori, ar trebui să începem să solicităm mai mult de la furnizori. Ar trebui să solicităm ca dispozitivele pe care le achiziționăm să fie acceptate cu corecții de securitate pe toată durata de viață a produsului. Ar trebui să ne așteptăm ca toate problemele de securitate să fie rezolvate rapid și decisiv. Ar trebui să ne așteptăm ca vânzătorii să trateze amenințările de securitate cu transparență absolută. Și nu ar trebui să patronăm vânzătorii care nu îndeplinesc acest standard scăzut.

Toate acestea sunt modificări relativ mici, dar nu există niciun motiv să ne gândim că nu ar avea ca rezultat dispozitive inteligente mai sigure. Dar ce crezi?

Dacă aveți gânduri sau aveți povești de groază despre nesiguranța IoT, vreau să aud despre ele. Anunță-mă în comentariile de mai jos și vom face chat.

Credite foto: Kit de experimentare Arduino (Oomlout), IMG_5145 (JWalsh)