реклама

$ 3599 са много пари.

Може да ви донесе приличен автомобил втора употреба или сравнително измамен iMac. Бихте могли да закупите 3599 гамбургери McChicken или 2589 McDoubles. Или може да ви вземе Samsung RF28HMELBSR.

Този (леко назван) хладилник има всичко. Има четири врати, колосални 28 кубически фута пространство и вграден 8-инчов Wi-Fi дисплей сензорен дисплей, който ви позволява да правите каквото и да е, от четенето на новините, за дистанционно управление на вашия Android смартфон.

Ако звучи познато, това е, защото веднъж беше включен в моя списък на най-тъпите продукти на Smart Home Tweeting хладилници и уеб контролирани печки за ориз: 9 от най-Stupidest уреди за домашно умноИма много умни домашни устройства, които са достойни за вашето време и пари. но има и видове, които никога не трябва да виждат светлината на деня. Ето 9 от най-лошите. Прочетете още . А споменах ли го за кораби с огромна уязвима уязвимост?

Умен хладилник, глупава грешка

Да, поради цялата си изтънченост, този хладилник се доставя със значителен недостатък в сигурността, който потенциално би могъл да види злоупотребяващ тайно да събира идентификационни данни за вход в Gmail.

instagram viewer

За първи път беше съобщено за уязвимостта в регистъра на 24 август и е открит от базираната във Великобритания инфосек фирма Тестови партери на химикалки докато участвате в хакерско предизвикателство в Интернет на нещата (IoT) наскоро Defcon 23 конференция.

Вграденият сензорен екран на този хладилник позволява на потребителя да има достъп до собствения си Google Календар. Връзките до и от сървърите на Google са шифровани използвайки SSL криптиране Какво е SSL сертификат и имате ли нужда от такъв?Сърфирането в Интернет може да бъде страшно, когато става въпрос за лична информация. Прочетете още , но внедряването на SSL от Samsung не проверява валидността на сертификатите.

RF28HMELBSR

Това представлява сериозен проблем със сигурността, тъй като всеки в мрежата ще може да стартира „Човек в средата“ Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още атакуват и прихващат идентификационните данни за вход на потребителя при транзит. Нападателят би могъл да ги получи и чрез подправяне на точка за достъп или чрез атака за безжична аутоудария.

Samsung казаха, че са „Проучване на този въпрос възможно най-бързо“и се предполага, че работят плоско, за да издадат поправка. Но този епизод представя интересна демонстрация на това колко лошо сигурността може да се обърка в Интернет на нещата.

(In) Сигурност в мрежов свят на нещата

В миналото много говорихме за рисковете, породени от Интернет на нещата, и двете от поверителност Защо Интернет на нещата е най-големият кошмар за сигурностЕдин ден пристигате у дома от работа, за да откриете, че системата ви за защита на дома с активирана за облаци е нарушена. Как може да се случи това? С Интернет на нещата (IoT) бихте могли да разберете трудния начин. Прочетете още и от гледна точка на сигурността и социологията 7 причини защо Интернет на нещата трябва да ви плашиПотенциалните ползи от Интернет на нещата стават ярки, докато опасностите се хвърлят в тихите сенки. Време е да привлечем вниманието към тези опасности със седем ужасяващи обещания на IoT. Прочетете още . Да се ​​обърнем към тях е трудно, защото що се отнася до осигуряването на Интернет на нещата, срещаме няколко проблема.

Първо, тези устройства не са персонални компютри или телефони, тъй като те са еднакво лесни за актуализиране (Windows 10 дори ще инсталира актуализации от ваше име Как да изключите автоматичните актуализации на приложения в Windows 10Деактивирането на актуализации на системата не се препоръчва. Но ако е необходимо, ето как го правите в Windows 10. Прочетете още ), а доставчиците зад тях се включват и редовно пускат актуализации на софтуера и сигурността. Много интелигентни домашни продукти не се „актуализират“ по въздуха, нито изискват да използвате сложни или ненадеждни софтуерни пакети, подвижно съхранение или просто не ви позволяват да актуализирате фърмуера на всичко.

Как например актуализирате свързан съд за кафе или компютъризиран термостат? Няма лесен, универсален начин за това.

Също така е важно да се обърне внимание на факта, че много от тези устройства вече се изграждат от обикновени хора в техните домове. Arduino и Raspberry Pi ни позволиха да въведем мрежова свързаност и компютърна логика на места, които никога не сме мислили за възможни, докато продукти като Windows 10 на Microsoft за IoT Windows 10 - Отивате до Ардуино близо до вас? Прочетете още улесни излагането на тези устройства на по-широкия Интернет, като едновременно с това отвори света на възможностите и на риска.

Samsung-experimentationkit

Въпреки че много опитни разработчици знаят как да изграждат тези устройства по защитен начин, твърде много начинаещи и любители разработчици не го правят.

Тогава стигаме до проблема с дълголетието. Отново този проблем, който е уникално ендемичен за света на Smart Home. Защото, докато вашият компютър и телефон работи със софтуер, който е създаден от компании с дълга история и дълбоки джобове, повечето от вашите устройства Smart Home не са.

По-голямата част от тези компании са стартиращи компании от ранен до късен етап, много от тях са в предварителен етап от своето развитие. Ако те затворят, какво се случва с продуктите, които вече са изпратени? Кой ще пише актуализации на софтуера и кръпки за сигурност?

Както сме писали в миналото, хардуерните стартирания са трудни Защо хардуерните стартирания са трудни: Оживяване на ErgoDoxЕто едно противоречиво мнение за вас: стартирането на стартиране на софтуер е лесно. Хардуер, от друга страна? Стартъпите на хардуера са трудни. Наистина трудно. Прочетете още . Още тази година видяхме значителни съкращения в Leeo and Wink - два от най-големите стартъпи на Smart Home. Много повече - като Lumos - не са успели да слезят изцяло от земята.

Но може би най-голямата и трайна заплаха за сигурността на Smart Home и Internet of Things е просто, че тези устройства са създадени да издържат по-дълго, отколкото биха предпочели производителите им. Вградените системи и продуктите на Smart Home могат да работят, за щастие, години и години. Много от тях не работят на абонаментна услуга.

Да очакваме ли Nest и Philips да предлагат актуализации за толкова дълго време Microsoft поддържа Windows XP Какво означава Windows XPocalypse за васMicrosoft ще убие поддръжката за Windows XP през април 2014 г. Това има сериозни последици както за бизнеса, така и за потребителите. Ето какво трябва да знаете, ако все още използвате Windows XP. Прочетете още ?

Извън мрежата, в огъня

Тези проблеми със сигурността се изострят значително от факта, че много от тези устройства са свързани с по-широкия Интернет и достъпни от разстояние, като по този начин се въвежда смислова граница за сигурност опасения.

Защото когато свържете нещо към Интернет, тогава въвеждате нов вектор за атака на всеки, който е толкова мотивиран. Вместо да се налага да се свързвате с вашата домашна мрежа, някой може просто да го компрометира дистанционно.

По-лесно е, отколкото си мислите, също Има дори търсачка за вградени системи, наречен Shodan. Само с няколко натискания на клавиши можете да намерите системи, които са били изложени на интернет в световен мащаб - от електроцентрали в Япония, до уеб камери в Холандия и VoIP телефони в Ню Йорк.

Samsung-Shodan-ИН

Просто търсенето на „уеб камера” излага хиляди отдалечени достъпни уеб камери. Нямах достъп обаче до никого, тъй като това почти сигурно би довело до мен нарушаване на Закона за злоупотребата с компютър от 1990 г. Законът за злоупотребата с компютър: Законът, който криминализира хакерството във ВеликобританияВъв Великобритания Законът за компютърната злоупотреба от 1990 г. се занимава с хакерски престъпления. Това противоречиво законодателство беше наскоро актуализирано, за да даде на британската разузнавателна организация GCHQ законното право да прониква във всеки компютър. Дори твоя. Прочетете още .

Samsung-Shodan-камера

Плашещо е. Започнахме да представяме домовете си в интернет и е тривиално лесно да ги намерим и да започнем целенасочени атаки срещу тях. Трябва да сме загрижени.

И така, какво може да се направи?

Пропуски в сигурността, като този, намиращ се в хладилника за Android на Samsung, винаги ще има. Докато продавачите лесно могат да издават корекции и те постоянно се актуализират през целия живот на устройствата, това не е твърде голям проблем.

Но е важно да адресираме останалите проблеми. Трябва да се положат усилия, за да се гарантира, че разработчиците на Smart Home и IoT продуктите знаят как да разработят сигурни системи. Това би могло да се постигне чрез по-голяма работа с обществеността за сигурност.

Има редица прецеденти за това. Най- Проект OWASP (Open Web Security Security Project) е тази, която извира веднага на ум. Създаден през 2004 г., това създаде свободно достъпни учебни материали, които учат разработчиците как да създават сигурни уебсайтове, а хакерите как правилно да тестват сигурността на уеб приложенията.

owasp-презентация

Няма причина нещо подобно да не може да бъде създадено за интелигентния домашен свят и за разработчиците на Интернет на нещата.

Нещо повече, ние трябва да гарантираме, че системите за Smart Home се актуализират и поддържат, дори ако доставчиците се сгънат. Това може да стане, като задължително всички пуснат кода си в escrow на изходния код, където кодът се освобождава, ако компанията подаде сигнал за фалит или по друг начин не успее да поддържа софтуера по начин, който е задоволителен.

И като потребители трябва да започнем да искаме повече от доставчиците. Трябва да изискаме устройствата, които купуваме да бъдат поддържани с лепенки за сигурност за целия живот на продукта. Трябва да очакваме, че всички проблеми със сигурността ще бъдат решени бързо и решително. Трябва да очакваме доставчиците да третират заплахите за сигурността с абсолютна прозрачност. И не трябва да покровителстваме продавачи, които не успяват да изпълнят този оскъден стандарт.

Всичко това са сравнително малки промени, но няма причина да мислим, че няма да доведат до по-сигурни устройства на Smart Home. Но какво мислите?

Ако имате някакви мисли или имате някакви ужасни истории за несигурност в IoT, искам да чуя за тях. Уведомете ме в коментарите по-долу и ще си поговорим.

Кредити за снимки: Комплект за експериментиране на Arduino (Oomlout), IMG_5145 (JWalsh)

Матю Хюз е разработчик на софтуер и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и камерата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и го последвайте в Туитър в @matthewhughes.