Cuprins:
- Internetul insecurității
- O lipsă de standarde
- Nu este tot rahatul
- Internetul irezistibil al lucrurilor
Video: Oculus Quest Basics Tutorial (Noiembrie 2024)
Dacă industria Internet of Things (IoT) este comanda Jedi, cu ajutorul luminilor de iluminat Philips Hue și a puterilor „inteligente” din forța bazată pe cloud, atunci popularul cont de Twitter Internet of Shit este un Sith Lord. Într-un moment în care industria tehnologică pare dornică să pună un cip în toate, consecințele să fie blestemate, Internet of Shit pune un nume problemei electronice noi, inutile și subliniază că unele dintre aceste produse nu pot fi la fel de benigne pe cât credem.
Contul de internet al Internetului Shit se concentrează pe nișă și popular. În cazul, să spunem, să plătești pentru o masă folosind o sticlă inteligentă de apă, pune la îndoială utilitatea. El evidențiază absurditatea de a fi nevoit să aștepți la necesități fundamentale, cum ar fi lumina și căldura, care nu sunt disponibile după ce produsele „inteligente” primesc actualizări de firmware.
de fiecare dată când apare un gadget nou pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 ianuarie 2017
După cum v-ați putea imagina, Internetul Shit este capabil să eviscereze industria pe care o bate atât de eficient, deoarece acea industrie este aproape de inima sa. „S-a întâmplat atât de firesc”, a spus IOS. "Am petrecut mult timp pe Kickstarter și am văzut ascensiunea pe Internet of Things acolo. Se părea că în fiecare zi, un obiect banal avea un cip în el, dar nimeni - nici măcar în mass-media - nu era critic în acest sens. S-ar spune doar lucruri de genul: „Uau, în sfârșit putem intra pe internet într-o umbrelă”.
IOS se consideră un avocat al diavolului sau conștiința colectivă pentru cultura consumatorilor. În ochii lui, contul de Twitter este un control de sănătate mult-necesar pe amok-ul de faim-optimism al Silicon Valley. "Când mergem prea departe, tehnologia de întrebare importantă pe care oamenii tind să o uite este: Cine are nevoie de asta? Un cuptor care nu poate găti corect fără internet? De ce oamenii nu proiectează aceste lucruri mai bine?"
Dar mai mult decât un design slab și pretenții specifice de utilitate, preocuparea principală a IOS este una de confidențialitate și, în final, de securitate personală: "Eu văd IoT ca fiind inerent riscant. Totuși, nu am încredere că aceste companii nu ar scăpa datele mele sau nu să fie grav piratat în viitor ".
Într-o postare medie scrisă devreme în viața contului de Twitter, IOS a declarat că este îngrijorat că companiile vor începe să caute modalități de a genera bani cu datele culese din casele oamenilor. Din acea poveste: "Dacă Nest dorea să crească profiturile, ar putea vinde datele mediului de acasă pentru agenții de publicitate. Prea rece? Anunțuri Amazon pentru pături. Prea fierbinte? O reclamă banner pentru un aparat de aer condiționat. Prea umed?
IOS rămâne în continuare la aceste preocupări. „Motivul pentru care IoT este atât de convingător pentru producători nu este că adaugă funcții inteligente în viața ta - asta este doar un produs secundar”, mi-a scris. „Mai mult, făcând acest lucru, obțin o perspectivă fără precedent asupra modului în care sunt utilizate aceste dispozitive, cum ar fi cât de des, ce funcții utilizați cel mai mult și toate datele care vin cu asta."
IOS spune că companiile IoT trebuie să fie mult mai avansate cu privire la politicile lor de colectare a datelor și care pot accesa informații care pot fi colectate de aceste dispozitive. „Întrebarea pe care trebuie să o decidem cu toții este nivelul de acces pe care suntem dispuși să le oferim acestor companii în schimbul datelor pe care le obțin - și în cine avem încredere cu asta este esențială”.
În ziua de Crăciun din 2016, IOS a permis luminile lui să clipească ori de câte ori mânerul său a fost menționat pe Twitter. Rezultatele au fost intense, anticlimatice și scurte, ilustrând poate tot ceea ce IOS are despre Internet of Things.
Internetul insecurității
Cu toate acestea, efectul pe care îl au asupra dispozitivelor IoT inutile asupra portofelelor consumatorilor este totuși mai rău decât efectul pe care îl au asupra securității personale. Temerile IOS de o piață pentru datele utilizatorilor colectate de dispozitivele IoT nu sunt îndepărtate (cum credeți că aplicațiile gratuite și companiile gratuite de știri pe internet fac bani?) Și există deja alte amenințări foarte reale.
Participanții la conferința Black Hat 2016 au fost tratate cu filme ale cercetătorului de securitate Eyal Ronen. Folosind cercetările sale, el a fost capabil să preia controlul luminilor Philips Hue de la un dron care se plimba în afara clădirii de birouri. Atacul s-a remarcat nu numai pentru rezultatele sale dramatice și pentru utilizarea unui drone, ci și pentru că clădirea a fost acasă pentru mai multe companii de securitate cunoscute.
Ronen mi-a explicat că încerca să demonstreze că era posibil un atac împotriva unei linii de top de dispozitive IoT. "Există o mulțime de hack-uri IoT destinate dispozitivelor low-end, care nu au siguranță reală. Am vrut să testăm securitatea unui produs care se presupune că este sigur", a spus el. De asemenea, a fost dornic să atace o companie binecunoscută și s-a stabilit la Philips. Ronen a spus că a fost mai greu de crăpat decât a crezut inițial, dar el și echipa sa au găsit și exploatat un bug în software-ul ZigBee Light Link, un protocol de comunicare terț utilizat de mai multe companii IoT și considerat ca un sistem matur și sigur.
„Utilizează primitive criptografice avansate și are pretenții puternice de securitate”, a spus Ronen. „Dar la sfârșit, într-un timp relativ scurt, cu un hardware cu costuri foarte mici, în valoare de aproximativ 1.000 de dolari, am reușit să îl rupem”, a spus Ronen.
Videoclipul atacului lui Ronen (de mai sus) arată luminile clădirii intermitent în secvență, urmând comenzile sale trimise de la distanță printr-un drone plutitor. Dacă vi s-ar întâmpla acest lucru, ar fi enervant - poate nu mai enervant decât oricare dintre scenariile evidențiate de IOS pe contul său de Twitter. Dar profesioniștii în domeniul securității susțin că există consecințe mult mai mari asupra securității IoT.
"Într-o lucrare anterioară, am arătat cum să folosim luminile pentru a exfiltra datele din rețeaua cu aeruri și pentru a provoca confiscări epileptice, iar în această lucrare vom arăta cum putem folosi lumini pentru a ataca rețeaua electrică și a blocajului Wi-Fi", a spus Ronen pe mine. „IoT intră în fiecare parte a vieții noastre, iar securitatea acestuia poate afecta totul, de la dispozitive medicale până la mașini și case”.
O lipsă de standarde
Atacul lui Ronen a profitat de proximitate, dar cercetătorul șef de securitate Alexandru Balan de la Bitdefender a subliniat multe alte probleme de securitate care vin la cuptor în unele dispozitive IoT. Parolele hardcodate, a spus el, sunt deosebit de problematice, la fel și dispozitivele care sunt configurate pentru a fi accesibile de pe internetul deschis.
Această combinație de accesibilitate la internet și parole simple, implicite, a provocat rău în octombrie 2016, când botnetul Mirai a preluat servicii majore precum Netflix și Hulu fie offline sau le-a făcut atât de încet încât să nu poată fi inutilizabile. Câteva săptămâni mai târziu, o variantă a Mirai a accelerat accesul la internet în întreaga națiune din Liberia.
„Cel mai rău dintre ele sunt dispozitivele care sunt expuse direct pe internet cu acreditări implicite”, a spus Balan. „pot fi găsite cu motoarele de căutare IoT, cum ar fi Shodan sau pur și simplu accesând internetul și accesând-le cu admin admin, admin 1234 ș.a.”, a continuat Balan, enumerând exemple de parole prea simpliste și ușor de intuit. Deoarece aceste dispozitive au o securitate minimă și pot fi atacate de pe internet, procesul de infectare a acestora poate fi automatizat, ceea ce duce la mii sau milioane de dispozitive corupte.Nu la mult timp după ce s-au stârnit știrile despre Mirai, am analizat acest scenariu și am dat vina pe industria IoT că ignor avertismentele privind autentificarea slabă și accesibilitatea inutilă online. Dar Balan nu ar ajunge atât de departe încât să numească aceste defecte evidente. "trebuie să fac inginerie inversă pe firmware pentru a extrage acele credențiale, dar este foarte des că se găsesc acreditive cu coduri tari în dispozitive. Motivul este că, în multe cazuri, nu există standarde când vine vorba de Securitate IoT."
Există vulnerabilități ca acestea, ipoteza Balan, deoarece companiile IoT operează pe cont propriu, fără standarde sau expertize de securitate universal acceptate. "Este mai ușor să-l construiți așa. Și puteți spune că tăiau colțurile, dar problema principală este că nu caută cum să o construiască corect într-o manieră sigură. Încearcă doar să o facă funcționează cum trebuie."
Chiar și atunci când companiile dezvoltă corecții pentru atacuri precum cea descoperită de Ronen, unele dispozitive IoT nu pot aplica actualizări automate. Acest lucru îi pune pe consumatori să găsească și să aplice singuri patch-uri, care pot fi deosebit de descurajante pentru dispozitivele care nu sunt destinate a fi deservite.
Dar chiar și cu dispozitive care pot fi ușor actualizate, există încă vulnerabilități. Mai mulți cercetători au arătat că nu toți dezvoltatorii IoT își semnează actualizările cu o semnătură criptografică. Software-ul semnat este criptat cu jumătatea privată a unei chei criptografice asimetrice deținute de dezvoltator. Dispozitivele care primesc actualizarea au jumătatea publică a cheii, care este folosită pentru a decripta actualizarea. Acest lucru asigură că actualizarea este oficială și nu a fost modificată, deoarece semnarea unei actualizări dăunătoare sau modificarea actualizării software ar necesita cheia secretă a dezvoltatorului. "Dacă nu semnalizează digital actualizările, pot fi deturnate, pot fi manipulate; codul poate fi injectat în aceste actualizări", a spus Balan.
Dincolo de simpla aprindere și dezactivare a luminilor, Balan a spus că dispozitivele IoT infectate pot fi utilizate ca o parte a botnetului, așa cum s-a văzut cu Mirai, sau în scopuri mult mai insidioase. „Îți pot extrage datele de autentificare Wi-Fi, deoarece, evident, l-ai conectat la rețeaua Wi-Fi și fiind la fel ca o cutie Linux, pot să o folosesc pentru a pivota și a începe să lansezi atacuri în rețeaua ta wireless.
"În cadrul confidențialității propriei rețele LAN, mecanismele de autentificare sunt laxe", a continuat Balan. "Problema cu LAN este că, odată ce mă aflu în rețeaua dvs. privată, pot avea acces la aproape tot ceea ce se întâmplă acolo." De fapt, IoT corupt devine un cap de plajă pentru atacurile asupra dispozitivelor mai valoroase din aceeași rețea, cum ar fi stocarea rețelei atașate sau computerele personale.
Poate că spune că industria de securitate a început să privească îndeaproape IoT. În ultimii ani, mai multe produse au intrat pe piață care pretind că protejează dispozitivele IoT împotriva atacurilor. Am văzut sau am citit mai multe astfel de produse și am revizuit oferta Bitdefender. Apelat Bitdefender Box, dispozitivul se atașează la rețeaua existentă și oferă protecție antivirus pentru fiecare dispozitiv din rețeaua dvs. Chiar poate sondarea dispozitivelor dvs. pentru eventuale slăbiciuni. Bitdefender va lansa a doua versiune a dispozitivului său Box anul acesta. Norton va intra în propria sa ofertă (mai jos), se mândrește cu inspecția în pachete adânci, în timp ce F-Secure a anunțat și un dispozitiv hardware.
Fiind unul dintre primii pe piață, Bitdefender se află în poziția unică de a avea un fundal în securitatea software-ului și apoi a proiecta hardware-ul consumatorului care, probabil, ar fi impecabil sigur. Cum a fost experiența asta? - A fost foarte greu, a răspuns Balan.
Bitdefender are un program de recompense pentru bug (o recompensă monetară oferită programatorilor care descoperă și furnizează o soluție la un bug de pe un site web sau într-o aplicație), ceea ce Balan a confirmat a ajutat la dezvoltarea Boxului. "Nicio companie nu ar trebui să fie suficient de arogantă pentru a crede că poate găsi toate bug-urile pe cont propriu. Acesta este motivul pentru care există programe de recompense pentru bug-uri, dar provocarea cu hardware-ul este că pot exista spații în aer liber în jetoane reale."
"Știm la ce să căutăm și la ce să privim și, de fapt, avem o echipă hardware care poate să se desprindă și să privească fiecare dintre componentele de pe placa respectivă. Din fericire, placa nu este atât de mare."
Nu este tot rahatul
Este ușor să reduceți o întreagă industrie pe baza celor mai răi actori, și același lucru este valabil și pentru Internet of Things. Însă George Yianni, șeful Tehnologiei, Sistemelor de Acasă, Philips Lighting consideră acest punct de vedere frustrant.
"Ne-am luat foarte în serios de la început. Aceasta este o categorie nouă. Trebuie să construim încredere, iar acestea afectează de fapt încrederea. Și de aceea cred că cea mai mare rușine a produselor care nu au făcut o treabă atât de bună este faptul că erodează încrederea în categoria generală. Orice produs poate fi făcut prost. Nu este o critică a industriei generale."
Așa cum se întâmplă adesea pentru securitate, modul în care o companie răspunde la un atac este adesea mai importantă decât efectele atacului în sine. În cazul atacului cu dronă asupra dispozitivelor Philips, Yianni a explicat că Ronen și-a prezentat constatările prin programul de divulgare responsabilă a companiei. Acestea sunt proceduri care sunt puse în aplicare pentru a permite companiilor să răspundă la descoperirile unui cercetător de securitate înainte de a fi făcute publice. În acest fel, consumatorii pot fi asigurați că sunt în siguranță și că cercetătorii obțin gloria.
Yenni a spus că Ronen a găsit o eroare într-o stivă de software terță parte. Concret, a fost partea din standardul ZigBee care limitează comunicarea cu dispozitivele la doi metri. Lucrarea lui Ronen, după cum vă veți aminti, a fost capabilă să preia controlul de la distanță - la 40 de metri distanță cu o antenă standard și 100 de metri cu o antenă impulsionată. Datorită programului de dezvăluire responsabil, Yianni a spus că Philips este capabil să extindă un plasture la luminile din câmp înainte ca Ronen să spună lumii despre atac.
După ce am văzut multe companii care se confruntă cu o încălcare a securității publice sau rezultatul activității unui cercetător de securitate, răspunsul lui Yianni și Philips poate suna ca o situație de fapt, dar a fost un succes. „Toate produsele noastre sunt actualizabile software, astfel încât lucrurile să poată fi rezolvate”, mi-a spus Yianni. "Celălalt lucru îl facem evaluarea riscurilor de securitate, audituri de securitate, teste de penetrare la toate produsele noastre. Dar apoi derulăm și aceste procese de divulgare responsabilă, astfel încât, dacă se întâmplă ceva, putem afla în avans și să remediem foarte repede.
"Avem un întreg proces în care putem împinge actualizări software de pe întregul nostru cloud în jos și să îl distribuim la toate luminile. Acest lucru este foarte important, deoarece spațiul se mișcă atât de rapid, iar acestea sunt produse care vor dura 15 ani Și dacă ne vom asigura că acestea sunt încă relevante din punct de vedere al funcționalității și pentru a fi suficient de sigure pentru ultimele atacuri, trebuie să avem asta."
În corespondența cu mine, Ronen a confirmat că Philips a făcut într-adevăr o muncă admirabilă în asigurarea sistemului de iluminare Hue. "Philips depune un efort surprinzător în asigurarea luminilor", mi-a spus Ronen. "Dar, din păcate, unele dintre ipotezele de securitate de bază care s-au bazat pe implementarea de securitate a cipurilor Atmel subiacente au fost greșite." După cum a subliniat Balan în lucrarea Bitdefender asupra Boxului, fiecare aspect al dispozitivului IoT este supus unui atac.
Philips a proiectat, de asemenea, centrul central - dispozitivul necesar pentru coordonarea rețelelor de produse Philips IoT - să fie inaccesibile de pe internetul deschis. "Toate conexiunile la internet sunt inițiate de pe dispozitiv. Nu deschidem niciodată porturi pe routere sau facem astfel încât un dispozitiv de pe internet să poată discuta direct cu", a explicat Yianni. În schimb, Hub trimite cereri către infrastructura cloud a lui Philips, care răspunde la cerere în loc de invers. Acest lucru permite, de asemenea, Philips să adauge straturi suplimentare pentru a proteja dispozitivele consumatorilor, fără a fi nevoie să ajungă în casa lor și să facă modificări. "Nu este posibil să fie comunicat cu exteriorul hub-ului decât dacă sunteți dirijat prin acest cloud unde putem construi straturi suplimentare de securitate și monitorizare."
Yianni a explicat că aceasta a făcut parte dintr-o abordare multistratată de Philips pentru asigurarea sistemului de iluminare Hue. Întrucât sistemul este compus din mai multe piese diferite - de la hardware-ul din becuri la software-ul și hardware-ul de pe Hue Hub până la aplicația din telefoanele utilizatorilor - trebuiau luate măsuri diferite la toate nivelurile. "Toți au nevoie de măsuri de securitate diferite pentru a le păstra în siguranță. Toate au niveluri diferite de risc și vulnerabilitate. Deci, facem măsuri diferite pentru toate aceste părți diferite", a spus Yianni.
Aceasta a inclus testarea penetrării, dar și un design de jos în sus menit să împiedice atacatorii. "Nu există parole globale precum cele utilizate în această botnet Mirai", a spus Yianni. Malware-ul Mirai avea zeci de coduri de acces implicite pe care le va folosi în încercarea de a prelua dispozitivele IoT. "Fiecare are chei unice, semnate asimetric pentru verificarea firmware-ului, toate aceste lucruri. Un dispozitiv cu hardware-ul său modificat, nu există niciun risc global din această cauză", a explicat el.
Acest lucru este valabil și pentru valoarea dispozitivelor IoT. "Multe dintre aceste produse tind să fie conectivitate de dragul conectivității", a spus el. „Nevoia de a automatiza totul în interiorul casei dvs. nu este o problemă pe care o au mulți consumatori, și asta este foarte greu să vă atragați capul. Ne gândim că produsele care merg bine sunt cele care oferă o valoare mai ușor de înțeles față de consumatori”.
Internetul irezistibil al lucrurilor
Cunoașterea riscurilor legate de IoT și chiar recunoașterea frivolității sale, cu siguranță nu i-a împiedicat pe oameni să cumpere iluminat inteligent, cum ar fi Philips Hue, asistenți de casă care ascultă mereu, cum ar fi Google Home sau Amazon Echo, și da, sticle inteligente de apă. Chiar și operatorul Internet of Shit este un fan IoT imens.
„Adevărata ironie din spatele Internetului Shit este că sunt un fraier pentru aceste dispozitive”, a spus IOS. "Sunt un adoptator timpuriu și lucrez în tehnologie, așa că o mulțime de timp nu pot rezista acestor lucruri." IOS listează luminile conectate Philips, termostatul Tado, trackerul de dormit Sense, boxele inteligente, camera Canary și mufele conectate Wi-Fi printre facilitățile sale futuriste pentru casă.
"Sunt conștient că contul a devenit din greșeală mult mai mare decât mi-am imaginat vreodată și nu vreau niciodată să descurajăm oamenii să intre în tehnologie - cred că experimentarea cu idei mut este cât de grozave se pot naște idei, ceea ce este ceva că Simone Giertz m-a învățat puțin ”, a spus IOS.
Giertz, un robot robot absurdist și YouTuber, este mintea din spatele roboților Shitty. Creațiile ei includ un drone care dă tunsori sau, mai degrabă, nu reușește - și o pălărie masivă care îi pune ochelari de soare dramatic pe fața ei. Gândiți-vă la Rube Goldberg cu o doză sănătoasă de cinism Silicon Valley.
Persoana din spatele IOS raportează că încearcă să revină în instinctele sale de adoptare timpurie în aceste zile. "Cred că momentul în care a trebuit să actualizez firmware-ul becurilor mele pentru a le aprinde a fost un lucru real pentru mine…"
Baldef Bitdefender a spus că folosește becuri care se dublează ca repetitoare Wi-Fi. Aceste dispozitive extind atât lumina cât și Wi-Fi la fiecare colț al casei sale. Dar sunt, de asemenea, încărcate cu multe dintre vulnerabilitățile de care a beneficiat, inclusiv parolele implicite slabe. Cu toate acestea, atunci când vine vorba de IoT, el rămâne nedesăvârșit.
„Este ca sexul”, mi-a spus el. "Nu ai face-o fără prezervativ. Ne place sexul, sexul este nemaipomenit, nu vom renunța la sex doar pentru că este periculos. Dar vom folosi protecția atunci când o facem." În loc să renunțe la paranoia, el consideră că consumatorii ar trebui să se bazeze pe companii de securitate și prieteni educați, care să poată identifica companiile care iau în serios securitatea cu recompense de bug și instrumente sigure de actualizare frecvente.
Și Ronen, hackerul care pilotează drone, folosește IoT? "În prezent, nu", a spus el. "Mă tem că efectul are asupra vieții private și securității mele. Iar beneficiile nu sunt suficient de mari pentru nevoile mele."
Chiar și umilul tău autor, care a rezistat cântecului de sirena al detectoarelor de fum vorbind și al luminilor care schimbă culoarea de ani de zile, a început să se prăbușească. Recent, într-un efort de a răsfăța biroul pentru sărbători, m-am trezit să pun la dispoziție trei lumini inteligente separate. Rezultatul a fost îngrozitor de frumos și convingător de frumos.
Între timp, în coșul meu de cumpărături Amazon stă o lumină Philips Hue cu totul nouă. Într-o zi, în curând, voi apăsa butonul.