Содержание
3599 долларов — это много денег.
Это может дать вам приличную подержанную машину или сравнительно обманутый iMac. Вы можете купить 3599 гамбургеров МакКикен или 2589 макдубл. Или он может получить вам Samsung RF28HMELBSR.
В этом (именованном) холодильнике есть все. У него четыре двери, колоссальные 28 кубических футов пространства и встроенный 8-дюймовый сенсорный ЖК-дисплей с поддержкой WiFi, который позволяет вам делать что угодно — от чтения новостей до удаленного управления смартфоном Android.
Если это звучит знакомо, это потому, что когда-то он был включен в мой список самых тупых продуктов Умный дом когда-либо
, И я упоминал, что он поставляется с огромной, зияющей уязвимостью безопасности?
Умный Холодильник, Глупая Ошибка
Да, несмотря на всю свою изощренность, этот холодильник поставлялся со значительным недостатком безопасности, который потенциально мог привести к тому, что злоумышленник тайно соберет учетные данные для входа в Gmail.
Впервые об этой уязвимости сообщили в The Register 24 августа, и она была обнаружена британской информационной компанией Pen Test Parters во время участия в хакерском конкурсе Internet of Things (IoT) на недавней конференции Defcon 23.
Встроенный в этот холодильник сенсорный экран позволяет пользователю получить доступ к своему собственному Календарю Google. Соединения с серверами Google и с них шифруются с использованием SSL-шифрования.
Но реализация Samsung SSL не проверяет действительность сертификатов.
Это создает серьезную проблему безопасности, так как любой в сети сможет запустить «Человек посередине»
атаковать и перехватывать учетные данные пользователя при передаче. Злоумышленник также сможет получить их, подделав точку доступа или с помощью атаки на деаутентификацию по беспроводной сети.
Компания Samsung заявила, что «расследует этот вопрос как можно быстрее» и, по-видимому, работает над решением проблемы. Но этот эпизод действительно представляет интересную демонстрацию того, как плохо может работать безопасность в Интернете вещей.
(В) Безопасность в сетевом мире вещей
В прошлом мы много говорили о рисках, связанных с Интернетом вещей, как с точки зрения конфиденциальности.
и с точки зрения безопасности и социологии
, Решить их трудно, потому что, когда речь идет об обеспечении безопасности Интернета вещей, мы сталкиваемся с несколькими проблемами.
Во-первых, эти устройства не являются ПК или телефонами, поскольку их легко легко обновлять (Windows 10 даже устанавливает обновления от вашего имени.
), и поставщики, стоящие за ними, участвуют и регулярно выпускают обновления программного обеспечения и безопасности. Многие продукты для умного дома не «обновляются» по воздуху, либо требуют использования сложных или ненадежных пакетов программного обеспечения, съемного хранилища, либо просто не позволяют обновлять прошивку вообще.
Как, например, вы обновляете взаимосвязанный кофейник или компьютерный термостат? Нет простого, универсального способа сделать это.
Также важно учитывать тот факт, что многие из этих устройств в настоящее время создаются обычными людьми в их собственных домах. Arduino и Raspberry Pi позволили нам внедрить сетевое подключение и компьютеризированную логику в такие места, о которых мы никогда не думали, в то время как такие продукты, как Microsoft Windows 10 для IoT
упростила доступ к этим устройствам для более широкого Интернета, одновременно открывая мир возможностей и рисков.
В то время как многие опытные разработчики знают, как создать эти устройства безопасным способом, слишком много начинающих разработчиков и любителей не знают.
Тогда мы приступим к проблеме долголетия. Опять же, эта проблема уникальна для мира Умного Дома. Потому что, в то время как на вашем ПК и телефоне работает программное обеспечение, созданное компаниями с большой историей и глубокими карманами, большинство устройств Smart Home этого не сделали.
Подавляющее большинство из этих компаний являются стартапами на ранних и поздних стадиях, многие из них находятся на пробной стадии своего развития. Если они закроются, что произойдет с продуктами, которые они уже отправили? Кто будет писать обновления программного обеспечения и исправления безопасности?
Как мы уже писали в прошлом, аппаратные стартапы трудны
, Уже в этом году мы наблюдали значительные увольнения в Leeo и Wink — двух крупнейших компаниях Smart Home. Многие другие, такие как Lumos, не смогли полностью оторваться от земли.
Но, пожалуй, самая большая и самая непреходящая угроза безопасности «Умного дома» и «Интернета вещей» заключается в том, что эти устройства созданы так, чтобы работать дольше, чем их производители предпочли бы. Встраиваемые системы и продукты Smart Home могут работать, к счастью, долгие годы. Многие из них не работают в службе подписки.
Стоит ли ожидать, что Nest и Philips будут предлагать обновления, пока Microsoft поддерживает Windows XP?
?
Из локальной сети, в огонь
Эти проблемы безопасности значительно усугубляются тем фактом, что многие из этих устройств подключены к более широкому Интернету и имеют удаленный доступ, тем самым создавая шведский стол проблем безопасности.
Потому что, когда вы подключаете что-то к Интернету, вы вводите новый вектор атаки для тех, кто так мотивирован. Вместо того, чтобы подключаться к домашней сети, кто-то может просто скомпрометировать ее.
Это проще, чем вы думаете. Существует даже поисковая система для встроенных систем, которая называется Shodan. Всего несколькими нажатиями клавиш вы можете найти системы, которые были открыты для Интернета по всему миру — от электростанций в Японии до веб-камер в Голландии и VoIP-телефонов в Нью-Йорке.
Простой поиск «Веб-камера» открывает тысячи удаленно доступных веб-камер. Однако я не получил к ним доступ, поскольку это почти наверняка привело бы к нарушению Закона 1990 года о неправомерном использовании компьютеров.
,
Это страшно. Мы начали вводить наши дома в Интернет, и их довольно просто найти и начать целенаправленные атаки на них. Мы должны быть обеспокоены.
Так что можно сделать?
Недостатки в безопасности, такие как обнаруженные в холодильнике Samsung для Android, всегда будут. Пока поставщикам легко выпускать исправления и они постоянно обновляются в течение всего срока службы устройств, это не слишком большая проблема.
Но важно, что мы решаем другие вопросы. Необходимо приложить усилия, чтобы разработчики продуктов Smart Home и IoT знали, как разрабатывать безопасные системы. Это может быть достигнуто путем расширения контактов с сообществом безопасности.
Есть несколько прецедентов для этого. Проект OWASP (Open Web Application Security Project) — это проект, который сразу приходит на ум. Созданный в 2004 году, он подготовил свободно доступный учебный материал, который учит разработчиков, как создавать безопасные веб-сайты, и хакерам, как правильно тестировать безопасность веб-приложений ,
Нет причины, по которой подобное нельзя было бы создать для мира умного дома и для разработчиков Интернета вещей.
Более того, мы должны обеспечить обновление и обслуживание систем «Умный дом», даже если поставщики свернуты. Это можно сделать, обязав всех выпустить свой код в условное депонирование исходного кода, где код выпускается, если компания заявляет о банкротстве или иным образом не может поддерживать программное обеспечение удовлетворительным образом.
И как потребители, мы должны начать требовать больше от поставщиков. Мы должны требовать, чтобы приобретаемые нами устройства поддерживались исправлениями безопасности в течение всего срока службы продукта. Следует ожидать, что любые проблемы безопасности будут решены быстро и решительно. Мы должны ожидать, что поставщики будут относиться к угрозам безопасности абсолютно прозрачно. И мы не должны покровительствовать поставщикам, которые не соответствуют этому скудному стандарту.
Все это относительно небольшие изменения, но нет оснований полагать, что они не приведут к более безопасным устройствам Smart Home. Но что вы думаете?
Если у вас есть какие-либо мысли или есть ужасные истории о ненадежности IoT, я хочу услышать о них. Дайте мне знать в комментариях ниже, и мы будем общаться.
Авторы фотографий: набор для экспериментов Arduino (Oomlout), IMG_5145 (JWalsh)
