Inteligentná chladnička spoločnosti Samsung sa práve dostala. A čo zvyšok vášho inteligentného domu?

Reklama

3599 dolárov je veľa peňazí.

Môže vám to priniesť slušné ojazdené auto alebo relatívne oklamaný iMac. Môžete si kúpiť 3599 McChicken hamburgerov alebo 2589 McDoubles. Alebo by vám to mohlo priniesť Samsung RF28HMELBSR.

Táto (chladno pomenovaná) chladnička má všetko. Má štyri dvere, obrovský priestor 28 metrov kubických a integrovaný 8 ”LCD displej s podporou WiFi dotykový displej, ktorý vám umožní čítať všetko od čítania správ, až po diaľkové ovládanie systému Android smartphone.

Ak to znie povedome, je to preto, že to bolo kedysi uvedené na mojom zozname najhloupejšie výrobky Smart Home vôbec Tweeting chladničky a variče ryže riadené webom: 9 najhlúpejších inteligentných domácich spotrebičovExistuje veľa inteligentných domácich zariadení, ktoré si zaslúžia váš čas a peniaze. ale existujú aj druhy, ktoré by nikdy nemali vidieť denné svetlo. Tu je 9 z najhorších. Čítaj viac . Zmienil som sa o tom, že sa dodáva s obrovskou zraniteľnosťou zabezpečenia, ktorá má medzery?

Inteligentná chladnička, hlúpy omyl

Áno, z dôvodu všetkej sofistikovanosti je táto chladnička dodávaná so značnou bezpečnostnou chybou, ktorá by potenciálne mohla vidieť, že útočník tajne zhromažďuje prihlasovacie údaje služby Gmail.

Chyba zabezpečenia bola prvýkrát nahlásená v registri 24. augusta a bola objavená infosec firmou so sídlom vo Veľkej Británii Pen Test Partners pri účasti na hackerskej výzve internetu vecí (IoT) v poslednom čase Defcon 23 konferencie.

Vstavaná dotyková obrazovka v tejto chladničke umožňuje používateľovi prístup k vlastnému Kalendáru Google. Pripojenia k serverom spoločnosti Google sú šifrované pomocou šifrovania SSL Čo je to certifikát SSL a potrebujete ho?Ak sa jedná o osobné údaje, prehliadanie internetu môže byť desivé. Čítaj viac , ale implementácia SSL spoločnosťou Samsung nekontroluje platnosť certifikátov.

To predstavuje vážny bezpečnostný problém, pretože ktokoľvek v sieti by mohol spustiť počítač „Človek v strede“ Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac zaútočiť a zachytiť prihlasovacie údaje používateľa počas prepravy. Útočník by ich tiež mohol získať spoofingom prístupového bodu alebo prostredníctvom bezdrôtového útoku na deautentizáciu.

Samsung povedal, že sú „Vyšetrovanie tejto záležitosti čo najrýchlejšie“, a pravdepodobne pracujú na vydaní opravy. Táto epizóda však predstavuje zaujímavú ukážku toho, ako sa môže na internete vecí pokaziť bezpečnosť.

(In) Bezpečnosť v sieťovom svete vecí

V minulosti sme intenzívne hovorili o rizikách, ktoré predstavuje internet vecí zo súkromia Prečo je internet vecí najväčšou nočnou morou v bezpečíJedného dňa prídete z práce domov, aby ste zistili, že váš domáci bezpečnostný systém podporovaný cloudom bol porušený. Ako sa to mohlo stať? S internetom vecí (IoT) by ste to mohli nájsť tvrdo. Čítaj viac a z bezpečnostného a sociologického hľadiska 7 dôvodov, prečo by vás internet vecí mal vydesiťPotenciálne výhody internetu vecí sa rozjasňujú, zatiaľ čo nebezpečenstvo sa vrhá do tichých tieňov. Je na čase upozorniť na tieto nebezpečenstvá siedmimi desivými prísľubmi internetu vecí. Čítaj viac . Ich riešenie je ťažké, pretože pri zabezpečovaní internetu vecí sa stretávame s niekoľkými problémami.

Po prvé, tieto zariadenia nie sú počítačmi ani telefónmi, pretože ich je možné jednoducho aktualizovať (Windows 10 nainštaluje aktualizácie aj vo vašom mene Ako vypnúť automatické aktualizácie aplikácií v systéme Windows 10Deaktivácia aktualizácií systému sa neodporúča. Ak to však bude potrebné, postupujte takto: v systéme Windows 10. Čítaj viac ) a dodávatelia, ktorí sú za nimi, sú zapojení a pravidelne vydávajú aktualizácie softvéru a zabezpečenia. Mnoho inteligentných domácich produktov sa „neaktualizuje“ bezdrôtovo, a to buď vyžadovaním zložitých alebo nespoľahlivé softvérové ​​balíky, vymeniteľné úložisko alebo jednoducho neumožňujúce aktualizovať firmvér na adrese all.

Ako napríklad aktualizujete prepojenú nádobu na kávu alebo počítačový termostat? Neexistuje jednoduchý, univerzálny spôsob, ako to urobiť.

Je tiež dôležité zaoberať sa skutočnosťou, že mnohé z týchto zariadení sú v súčasnosti vyrábané bežnými ľuďmi vo svojich domovoch. Arduino a Raspberry Pi nám umožnili zaviesť sieťové pripojenie a počítačovú logiku na miesta, ktoré sme nikdy nenapadlo možné, zatiaľ čo produkty ako Microsoft Windows 10 pre IoT Windows 10 - prichádza k vám blízko Arduino? Čítaj viac uľahčila vystavenie týchto zariadení širšiemu internetu a súčasne otvorila svet príležitostí a rizík.

Zatiaľ čo mnoho skúsených vývojárov vie, ako tieto zariadenia zostaviť bezpečným spôsobom, príliš veľa začínajúcich a nadšencov vývojárov to tak nie je.

Potom sa dostávame k problému dlhovekosti. Opäť platí, že tento problém je jedinečne endemický pre svet inteligentných domov. Pretože zatiaľ čo váš počítač a telefón používajú softvér, ktorý vytvorili spoločnosti s dlhou históriou a hlbokými vreckami, väčšina vašich zariadení Smart Home ich nemá.

Prevažná väčšina týchto spoločností je začínajúcich firiem v ranom a neskorom štádiu, mnohé z nich sú v predbežnom štádiu rozvoja. Ak sa vypnú, čo sa stane s výrobkami, ktoré už odoslali? Kto bude písať aktualizácie softvéru a bezpečnostné záplaty?

Ako sme písali v minulosti, hardvérové ​​startupy sú ťažké Prečo hardvérové ​​spustenie je ťažké: oživenie ErgoDoxuTu je kontroverzný názor: spustenie spustenia softvéru je jednoduché. Hardvér, na druhej strane? Hardvérové ​​spustenia sú ťažké. Naozaj ťažké. Čítaj viac . Už tento rok sme to videli významné prepúšťanie v Leeo a Wink - dva z najväčších startupov Smart Home. Oveľa viac - ako Lumos - nedokázali úplne vystúpiť zo zeme.

Avšak najväčšou a najtrvalejšou hrozbou pre bezpečnosť inteligentných domov a internetu vecí je jednoducho to, že tieto zariadenia sú skonštruované tak, aby vydržali dlhšie, než by si ich výrobcovia želali. Vstavané systémy a produkty Smart Home môžu fungovať celkom šťastne roky a roky. Mnohé z nich nefungujú na predplatenej službe.

Očakávame, že spoločnosti Nest a Philips ponúknu aktualizácie tak dlho, ako budú Spoločnosť Microsoft podporovala systém Windows XP Čo pre vás znamená systém Windows XPocalypseSpoločnosť Microsoft zabije podporu pre systém Windows XP v apríli 2014. To má vážne následky pre podniky aj spotrebiteľov. Tu je to, čo by ste mali vedieť, ak stále používate systém Windows XP. Čítaj viac ?

Z LAN, do ohňa

Tieto problémy so zabezpečením výrazne zhoršuje skutočnosť, že mnohé z týchto zariadení sú pripojenie na širší internet a prístup na diaľku, čím sa zavádza bezpečnosť obavy.

Pretože keď niečo pripojíte na internet, každému, kto je takto motivovaný, predstavíte nový vektor útoku. Namiesto toho, aby sa musel pripájať k vašej domácej sieti, niekto to mohol jednoducho na diaľku ohroziť.

Je to jednoduchšie, ako si myslíte. K dispozícii je dokonca aj vyhľadávací nástroj pre vstavané systémy, nazýva sa Shodan. S niekoľkými stlačeniami klávesov nájdete systémy, ktoré boli vystavené internetu po celom svete - od elektrární v Japonsku, cez webové kamery v Holandsku a telefóny VoIP v New Yorku.

Jednoduchým vyhľadaním výrazu „webová kamera“ sa zobrazia tisíce diaľkovo prístupných webových kamier. Zatiaľ som k nemu nepristúpil, pretože by to takmer určite viedlo ku mne porušenie zákona o zneužívaní počítačov z roku 1990 Zákon o zneužívaní počítača: zákon, ktorý kriminalizuje hacking v Spojenom kráľovstveV Spojenom kráľovstve sa zákon o počítačovom zneužívaní z roku 1990 zaoberá hackerskými zločinmi. Táto kontroverzná legislatíva bola nedávno aktualizovaná, aby poskytla britskej spravodajskej organizácii GCHQ zákonné právo preniknúť na akýkoľvek počítač. Dokonca aj vy. Čítaj viac .

Je to strašidelné. Začali sme predstavovať naše domácnosti na internete a je veľmi ľahké ich nájsť a začať proti nim cielené útoky. Mali by sme sa obávať.

Čo teda možno urobiť?

Vždy tu budú bezpečnostné chyby, aké sa vyskytujú v chladničke Android pre Android od spoločnosti Samsung. Pokiaľ je pre dodávateľov jednoduché vydávať opravy a neustále sa aktualizujú počas celej životnosti zariadení, nie je to príliš veľký problém.

Je však dôležité zaoberať sa ďalšími problémami. Je potrebné vyvinúť úsilie na to, aby vývojári produktov Smart Home a IoT vedeli, ako vyvíjať bezpečné systémy. To by sa dalo dosiahnuť väčším dosahom na komunitu bezpečnosti.

Existuje veľa precedensov. Projekt OWASP (Open Web Application Security Project) je ten, ktorý vyviera okamžite na myseľ. Tento program, ktorý bol uvedený do prevádzky v roku 2004, vytvoril voľne dostupné vzdelávacie materiály, ktoré vývojárom učia, ako vytvárať bezpečné webové stránky, a hackerom, ako správne testovať bezpečnosť webových aplikácií.

Nie je dôvod, aby sa niečo podobné nemohlo vytvoriť pre inteligentný domáci svet a pre vývojárov internetu vecí.

Okrem toho musíme zabezpečiť, aby systémy Smart Home boli aktualizované a udržiavané, a to aj v prípade, že dodávatelia skladajú tovar. To sa dá dosiahnuť tým, že každý vydá svoj kód do úschovňa zdrojového kódu, ak sa kód uvoľní, ak spoločnosť podá návrh na vyhlásenie konkurzu alebo inak nedokáže udržiavať softvér spôsobom, ktorý je uspokojivý.

A ako spotrebitelia by sme mali začať od dodávateľov požadovať viac. Mali by sme požadovať, aby zariadenia, ktoré kupujeme, boli počas životnosti produktu podporované bezpečnostnými záplatami. Mali by sme očakávať, že akékoľvek bezpečnostné problémy sa vyriešia rýchlo a rozhodne. Mali by sme očakávať, že predajcovia zaobchádzajú s bezpečnostnými hrozbami úplne transparentne. Nemali by sme sponzorovať predajcov, ktorí nespĺňajú tento skromný štandard.

Všetky tieto zmeny sú relatívne malé, ale nie je dôvod si myslieť, že by nemali za následok bezpečnejšie zariadenia Smart Home. Ale čo myslíš?

Ak máte nejaké myšlienky alebo máte nejaké hororové príbehy o neistote internetu vecí, chcem o nich počuť. Dajte mi vedieť v komentároch nižšie a budeme sa zhovárať.

Foto Kredity: Experimentálna súprava pre Arduino (Oomlout), IMG_5145 (JWalsh)