Prečo by sa iKettle Hack mal báť (aj keď nevlastníte)

Reklama

Pokiaľ ide o technológiu Smart Home, neexistuje nedostatok výrobkov, ktorých raison d'êre je sporné, mierne povedané. V skutočnosti som napísal celý článok Tweeting chladničky a variče ryže riadené webom: 9 najhlúpejších inteligentných domácich spotrebičovExistuje veľa inteligentných domácich zariadení, ktoré si zaslúžia váš čas a peniaze. ale existujú aj druhy, ktoré by nikdy nemali vidieť denné svetlo. Tu je 9 z najhorších. Čítaj viac o nich v apríli tohto roku. Jedným zo zariadení, ktoré som spomenul, bolo iKettle, autor: Smarter Labs.

IKettle je rýchlovarná kanvica. Áno, čítate to správne. Úlohou ohrievania vody do bodu varu je zjavne niečo, čo sa dá dosiahnuť iba integráciou WiFi.

Jo, a spomenul som, že to prišlo s obrovskou, zející bezpečnostnou chybou, ktorá mala potenciál vyhodiť otvorené WiFi siete?

Ako útok fungoval

Áno, ukázalo sa, že iKettle nie je príliš horúci (Prepáč), pokiaľ ide o bezpečnosť. Pomocou niekoľkých krokov ho môžete presvedčiť, aby vykašlal heslo používateľa WiFi. Ako si teda zaseknete kanvicu?

Po prvé, útočník by musel identifikovať bezdrôtovú sieť s pripojeným iKettle. Potom by vytvorili vlastnú bezdrôtovú sieť pomocou rovnakého SSID.

Keď sa iKettle prepne na túto sieť, útočník sa k nej môže pripojiť cez port 23 pomocou Telnet Čo je Telnet a aké sú jeho použitia? [MakeUseOf vysvetľuje]Telnet je jedným z tých technických termínov, ktoré môžete občas počuť, ale nie v reklamách ani vo funkčných zoznamoch bielizne žiadneho produktu, ktorý si môžete kúpiť. Je to preto, že je to protokol alebo jazyk ... Čítaj viac . Toto je voľne dostupný nástroj podobný SSH a umožňuje používateľom vzdialenú správu počítačov.

IKettle potom požiada útočníka o šesťmiestny prístupový kód. Môže to byť vynútené násilím, ale ak bola kanvica nastavená na zariadení so systémom Android, má predvolené heslo 000000. Po overení útočník upozorní kanvicu, aby uviedla svoje nastavenia. V tom okamihu vyprázdni celé heslo WiFi uložené v pamäti vo formáte obyčajného textu, čo útočníkovi umožní získať prístup do celej siete.

Problém riadenia

Hovorca spoločnosti Smarter Labs netrpezlivo zdôrazňoval, že oprava tohto problému nie je ďaleko.

„V spoločnosti Smarter berieme bezpečnosť veľmi vážne a spolupracujeme s našimi technikmi, aby sme zaistili, že naše nové produkty nebudú mať problémy s bezpečnosťou. V novembri aktualizujeme uskutočnený produkt, aby sme tento problém odstránili. “

Zdôraznili tiež, že na nadchádzajúce iKettle nebude mať vplyv:

„Náš nový produkt a aplikácia majú aktualizované bezpečnostné funkcie, ktoré nie sú relevantné pre [zraniteľnosť].“

Používatelia s postihnutou kanvicou ju môžu aktualizovať pomocou aplikácie iKettle, ktorá je k dispozícii pre iPhone a Android. Medzitým môže byť rozumné pripojiť druhý smerovač k domácej sieti pomocou iného SSID a pripojiť k nej rýchlovarnú kanvicu. Môžete nájsť úplne zodpovedajúci router od Amazonu za pouhých 10 dolárov.

Táto epizóda nám pripomína, aké inteligentné domáce produkty používame v podstate počítačea ako čelia rovnakým bezpečnostným problémom, aké majú tradičné počítače. Je bizarné predstaviť si niekoho, kto používa Telnet na pripojenie ku kanvici, ale zrejme je to vec.

Keďže oblasť Smart Home nevyhnutne dozrie, výrobcovia budú pod zvýšeným tlakom, aby zvážili bezpečnosť svojich zariadení. A keď sa niečo pokazí (ako sa nevyhnutne robí), môžu očakávať, že ich nohy budú držané nad uhlím.

Výrobcovia budú musieť navrhnúť svoje výrobky tak, aby sa dali ľahko resetovať a aktualizovať. Budú musieť zaujať aktívny prístup k bezpečnosti svojich zariadení a pracovať s výskumnými pracovníkmi v oblasti bezpečnosti. Budú sa musieť učiť ako riadiť zverejňovanie Úplné alebo zodpovedné zverejnenie: Ako sa zverejňujú bezpečnostné chybyChyby zabezpečenia v populárnych softvérových balíkoch sa objavujú stále, ale ako sa o nich podávajú správy vývojárom a ako sa hackeri učia o zraniteľnostiach, ktoré môžu zneužiť? Čítaj viac a ich vzťahy s komunitou bezpečnosti Oracle si želá, aby ste ich prestali posielať - tu je dôvod, prečo je to šialenéOracle je v horúcej vode kvôli zavádzajúcemu blogovému príspevku vedúceho bezpečnosti Mary Davidsonovej. Táto ukážka toho, ako sa filozofia bezpečnosti spoločnosti Oracle odchyľuje od hlavného prúdu, nebola v komunite bezpečnosti prijatá dobre ... Čítaj viac , čo niektorí považujú za nesmierne náročné.

Výrobcovia budú musieť zvážiť, ako zabezpečiť bezpečnosť svojich zariadení v prípade, že dôjde k ich úpadku. A čo je dôležitejšie, budú musieť so svojimi zákazníkmi dosiahnuť konsenzus o tom, ako dlho sa od nich bude vyžadovať, aby si udržali konkrétny produkt.

Neplánované zastarávanie

Môj priateľ má mikrovlnnú rúru doslova staroveké. Znie to ako nadsázka, ale nie je. Zdedil to od svojich rodičov, ktorí ho v osemdesiatych rokoch minulého storočia kúpili od teraz zaniknutého hypermarketu. Dovoľte mi to uviesť do kontextu: jeho mikrovlnná rúra je starší ako ja.

Ale tu je tá vec; je to dokonale adekvátna mikrovlnná rúra. Takmer po tridsiatich rokoch môže stále z mrazeného lasagne hotového jedla urobiť parný kúpeľ roztaveného syra a stále môže ľahko rozmrazené mäso rozmraziť. Doslovne nie je dôvod na jeho výmenu.

To je o tradičnom bielom tovare. Nepodliehajú tomu istému cyklus plánovaného zastarávania Spotreba: Príbeh spotrebnej elektroniky [funkcia]Výstavy po celom svete každý rok predstavujú nové špičkové zariadenia; drahé hračky, ktoré prichádzajú s mnohými prísľubmi. Majú za cieľ uľahčiť náš život, viac zábavy, super prepojenia a samozrejme sú v stave ... Čítaj viac že väčšina tech je. Neexistuje nič ako „cyklus obnovy chladničky“. Vo svete bieleho tovaru neexistuje nič ako „dvojročná aktualizácia“.

Ďalšia vec: Mikrovlnka môjho priateľa bola vyrobená v krajine, ktorá už neexistuje (Nemecká demokratická republika, známa tiež ako Východné Nemecko), spoločnosťou, ktorá podobne prestala existovať. To mu však neprináša žiadne prekážky pri výrobe syrového mikrovlnného nachosa po tridsiatich rokoch.

Pre inteligentné domáce technológie je to iná záležitosť. Je veľmi pravdepodobné, že vaša počítačová kanvica alebo slnečník s podporou Wi-Fi si budú vyžadovať pravidelné aktualizácie výkonu a zabezpečenia.

Problém je v tom, že programátori sú drahý, a je v zásade nereálne očakávať, že softvérové ​​spoločnosti budú svoje produkty udržiavať donekonečna. Nakoniec to musia nechať ísť, rovnako ako Microsoft so systémom Windows XP Čo pre vás znamená systém Windows XPocalypseSpoločnosť Microsoft zabije podporu pre systém Windows XP v apríli 2014. To má vážne následky pre podniky aj spotrebiteľov. Tu je to, čo by ste mali vedieť, ak stále používate systém Windows XP. Čítaj viac začiatkom roku 2014.

Potom je tu malá záležitosť technologických spoločností, ktoré majú tendenciu nakoniec sa implodovať ako The Death Star, zanechávajúc po sebe kopu reklamných nálepiek pre laptop a teraz nepodporovaný kód. Ako príklad uvádzame tri (z mnohých) príkladov: Silicon Graphics, Palm a Commodore.

Ak si kúpite produkt, ktorý zo svojej podstaty potrebuje veľa riadenia, len aby ho udržal v bezpečí a aby fungoval hladko, prijímate hazard, ktorý spoločnosť bude držať, aby ho podporil. To nie je vždy bezpečná stávka.

Ochrana internetu vecí

Internet vecí je v súčasnosti rodiacim sa nápadom, ktorý je stále napoly formovaný. Je to stále veľmi experiment, s desiatkami otázok, ktoré stále neboli zodpovedané.

Mali by byť výrobcovia zodpovední za bezpečnosť výrobkov, ktoré predávajú? Ak áno, do akej miery?

Malo by sa od spoločnosti rozumne očakávať, že bude podporovať produkt IoT alebo Smart Home? Ak áno, ako dlho?

Čo sa stane, ak výrobca zlyhá? Mnoho startupov sa zaviazalo uvoľniť svoj kód v rámci verejnej domény, ak zlyhajú. Mali by byť výrobcovia inteligentných domov nútení robiť to isté?

Môžu zákazníci urobiť niečo pre to, aby zaistili bezpečnosť hardvéru? Ak áno, čo?

Tieto otázky budú zodpovedané včas. Ale kým nebudú, mám podozrenie, že väčšina spotrebiteľov bude zdržanlivá pri prijímaní sveta internetu vecí.

Ale čo myslíš? Zanechajte mi komentár nižšie a my sa zhovárate.