Oglas

3599 dolara je mnogo novca.

Moglo bi vam dobiti pristojan rabljeni automobil ili relativno izmučen iMac. Možete kupiti 3599 McChicken hamburgera, ili 2589 McDoubles. Ili bi vam mogao pribaviti Samsung RF28HMELBSR.

Ovaj (lagano nazvan) hladnjak ima svega. Ima četiri vrata, ogroman prostor od 28 kubika i integrirani 8-inčni LCD zaslon osjetljiv na dodir koji vam omogućuje da učinite bilo što od čitanja vijesti do daljinskog upravljanja Androidom smartphone.

Ako zvuči poznato, to je zato što je jednom predstavljen na mom popisu najgluplji proizvodi Smart Home ikada Tweeting Frižideri i internetski kuhači riže: 9 najčvršćih aparata pametne kućePostoji puno pametnih kućnih uređaja koji vrijede vašeg vremena i novca. ali postoje i vrste koje nikada ne bi trebale ugledati svjetlost dana. Evo 9 najgorih. Čitaj više . I jesam li spomenuo brodove s ogromnom rastućom sigurnosnom ugroženošću?

Pametni hladnjak, glupa pogreška

Da, uz svu svoju sofisticiranost, ovaj frižider isporučen je sa značajnim nedostatkom sigurnosti koji bi potencijalno mogao vidjeti da napadač prikriveno prikuplja vjerodajnice za prijavu na Gmail.

instagram viewer

Prvo je prijavljena ranjivost u Registru 24. kolovoza, a otkrila ga je britanska tvrtka infosec Olovke za testiranje olovaka tijekom nedavnog sudjelovanja u hakerskom izazovu Interneta stvari (IoT) Defcon 23 konferencija.

Ugrađeni dodirni zaslon na ovom hladnjaku omogućuje korisniku pristup vlastitom Google kalendaru. Veze do i sa Googleovih poslužitelja šifrirane su pomoću SSL enkripcije Što je SSL certifikat, a treba li vam?Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. Čitaj više , ali Samsungova implementacija SSL-a ne provjerava valjanost certifikata.

RF28HMELBSR

Ovo predstavlja ozbiljan sigurnosni problem jer bi bilo tko na mreži mogao pokrenuti "Čovjek u sredini" Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više napadaju i presreću vjerodajnice za prijavu korisnika u tranzitu. Napadač će ih također moći dobiti podmetanjem pristupne točke ili napadom bežične provjere autentičnosti.

Samsung je rekao da jesu „Istražiti ovu stvar što je brže moguće“, i pretpostavljaju da rade ravnomjerno za izdavanje popravka. Ali ova epizoda predstavlja zanimljivu demonstraciju kako loša sigurnost može postati kriva na Internetu stvari.

(Ne) Sigurnost u umreženom svijetu stvari

U prošlosti smo opširno razgovarali o rizicima koje predstavlja Internet stvari, oboje iz privatnosti Zašto je Internet stvari najveća sigurnosna noćna moraJednog dana dolazite kući s posla i otkrivate da vam je sigurnosni sustav kuće omogućen u oblaku pokvaren. Kako se to moglo dogoditi? Pomoću Interneta stvari (IoT) mogli biste otkriti težak put. Čitaj više i iz sigurnosne i sociološke perspektive 7 razloga zbog kojih bi vas Internet stvari trebao uplašitiPotencijalne koristi Interneta stvari rastu, dok se opasnosti bacaju u tihe sjene. Vrijeme je da privučemo pozornost na ove opasnosti sa sedam zastrašujućih obećanja IoT-a. Čitaj više . Baviti se njima je teško, jer kada je riječ o osiguravanju Interneta stvarima, susrećemo se s nekoliko problema.

Prvo, ti uređaji nisu računala ili telefoni, s obzirom na to da ih je jednostavno ažurirati (Windows 10 će čak instalirati ažuriranja u vaše ime Kako isključiti automatsko ažuriranje aplikacija u sustavu Windows 10Deaktivacija ažuriranja sustava se ne preporučuje. Ali ako treba, evo kako to učiniti na Windows 10. Čitaj više ), a dobavljači koji stoje iza njih uključeni su i redovito objavljuju ažuriranja softvera i sigurnosti. Mnogi pametni kućni proizvodi se ne "ažuriraju" putem zraka, ili zahtjevate da koristite složene ili nepouzdani softverski paketi, prijenosni prostor za pohranu ili vam jednostavno ne dopuštaju ažuriranje firmvera na svi.

Kako, na primjer, ažurirate međusobno povezani lonac za kavu ili kompjuterizirani termostat? Ne postoji jednostavan, univerzalan način za to.

Također je važno pozabaviti se činjenicom da mnoge od tih uređaja sada ljudi redovito grade u svojim domovima. Arduino i Raspberry Pi omogućili su nam uvođenje mrežne povezanosti i računalne logike na mjesta za koja nikada nismo mislili da su moguća, dok proizvodi poput Microsoftov Windows 10 za IoT Windows 10 - Dolazite do Arduinoa u vašoj blizini? Čitaj više olakšao je izlaganje tih uređaja širem internetu, istovremeno otvarajući svijet mogućnosti i rizika.

ovi-experimentationkit

Iako mnogi iskusni programeri znaju kako izraditi te uređaje na siguran način, previše početnika i razvojnih programera to ne čini.

Tada se upuštamo u problem dugovječnosti. Opet, ovaj problem koji je jedinstveno endemičan za svijet pametnih domova. Budući da vaše računalo i telefon pokreću softver koji su izgradile tvrtke s dugom poviješću i dubokim džepovima, većina uređaja Smart Home nije.

Ogromna većina ovih tvrtki je startupi ranih do kasnih faza, a mnoge od njih su u početnoj fazi svog razvoja. Ako se isključe, što se događa s proizvodima koje su već isporučili? Tko će pisati ažuriranja softvera i sigurnosne zakrpe?

Kao što smo pisali u prošlosti, hardversko pokretanje je teško Zašto su pokretanja hardvera hardverska: Oživljavanje ErgoDoxaEvo kontroverznog mišljenja za vas: pokretanje softvera pokretanje je jednostavno. S druge strane hardver? Pokretanje hardvera je teško. Stvarno teško. Čitaj više . Već ove godine vidjeli smo značajna otpuštanja na Leeo i Wink - dva najveća startup-a Smart Home-a. Mnogo više - poput Lumosa - nisu se potpuno spustili s tla.

No možda je najveća i najupornija prijetnja sigurnosti Smart Home i Internet of Things jednostavno što su ti uređaji napravljeni da traju duže nego što bi to željeli njihovi proizvođači. Ugrađeni sustavi i proizvodi Smart Home mogu, sretno, raditi godinama i godinama. Mnogi od njih ne rade na usluzi pretplate.

Moramo li očekivati ​​da će Nest i Philips ponuditi nadogradnje onoliko dugo Microsoft je podržao Windows XP Što za vas znači Windows XPocalypseMicrosoft će ubiti podršku za Windows XP u travnju 2014. To ima ozbiljne posljedice i za tvrtke i za potrošače. Evo što biste trebali znati ako i dalje imate Windows XP. Čitaj više ?

Izvan LAN-a, u vatru

Ova se sigurnosna pitanja značajno pogoršavaju činjenicom da su mnogi od ovih uređaja spojen na širi Internet i udaljeno dostupan, čime se uvodi smorgasbord sigurnosti brige.

Jer kad nešto povežete s Internetom, tada uvedite novi vektor napada na onoga tko je tako motiviran. Umjesto da se morate povezati s kućnom mrežom, netko bi to mogao jednostavno daljinski ugroziti.

To je i lakše nego što mislite. Postoji čak i tražilica za ugrađene sustave, zvani Shodan. Sa samo nekoliko pritiska na tipki, možete pronaći sustave koji su bili izloženi Internetu širom svijeta - od elektrana u Japanu, do web-kamera u Holandiji i VoIP telefona u New Yorku.

ovi-Shodan-IOT

Jednostavno pretraživanje "Web kamere" otkriva tisuće lako dostupnih web-kamera. Nisam pristupio ni jednom, jer bi to gotovo sigurno rezultiralo u meni kršenje Zakona o zlouporabi računala iz 1990 Zakon o zlouporabi računala: Zakon koji kriminalizira krađu u Velikoj BritanijiU Velikoj Britaniji Zakon o računalnoj zloupotrebi iz 1990. bavi se zločinima hakiranja. Nedavno je ažurirano ovo sporno zakonodavstvo kojim se britanskoj obavještajnoj organizaciji GCHQ daje zakonsko pravo provaljivanja u bilo koje računalo. Čak je i tvoj. Čitaj više .

samsung-Shodan-kamera

To je zastrašujuće. Mi smo počeli upoznavati svoje domove sa Internetom, i vrlo je lako naći ih i pokrenuti ciljane napade na njih. Trebamo biti zabrinuti.

Pa što se može učiniti?

Nedostaci sigurnosti, poput one pronađene u Samsung-ovom Android hladnjaku, uvijek će postojati. Sve dok je dobavljačima lako izdati ispravke, a oni se stalno ažuriraju tijekom životnog vijeka uređaja, to nije preveliki problem.

Ali važno je da rješavamo druga pitanja. Treba uložiti napore kako bi programeri Smart Home i IoT proizvoda znali razviti sigurne sustave. To bi se moglo postići većim upoznavanjem sa sigurnosnom zajednicom.

Za to postoji niz presedana. OWASP (Open Security Security Project) projekt je onaj koji odmah pada na pamet. Pokrenuto 2004. godine, ovo je proizvelo slobodno dostupan obrazovni materijal koji uči programere kako izraditi sigurne web stranice, a hakeri kako pravilno testirati sigurnost web aplikacija.

OWASP-prezentacija

Nema razloga da se nešto slično ne bi moglo stvoriti za svijet pametnih domova i za programere Interneta stvari.

Nadalje, moramo osigurati ažuriranje i održavanje sustava Smart Home, čak i ako se dobavljači odvoje. To se može učiniti tako da mandat svima pušta svoj kod u escrow izvornog koda, gdje se kôd pušta ako tvrtka podnese stečaj ili na neki drugi način ne uspije održati softver na zadovoljavajući način.

I kao potrošači trebali bismo početi tražiti više od dobavljača. Trebali bismo zahtijevati da uređaji koje kupimo budu podržani sigurnosnim zakrpama tijekom trajanja proizvoda. Trebali bismo očekivati ​​da će se bilo koja sigurnosna pitanja riješiti brzo i odlučno. Trebali bismo očekivati ​​da dobavljači tretiraju sigurnosne prijetnje s apsolutnom transparentnošću. I ne bismo trebali zaštititi dobavljače koji ne ispunjavaju taj blagi standard.

Sve su to relativno male promjene, ali nema razloga misliti da ne bi rezultirali sigurnijim uređajima Smart Home. Ali što mislite?

Ako imate bilo kakvih misli ili imate neke grozne priče o nesigurnosti u IoT-u, želim čuti za njih. Javite mi u komentarima u nastavku i razgovarat ćemo.

Foto-krediti: Arduino eksperimentalni komplet (Oomlout), IMG_5145 (JWalsh)

Matthew Hughes programer softvera i pisac iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.