Самсунг-ов паметни фрижидер Јуст Гот Пвнед. Како је са остатком вашег паметног дома?

Реклама

$ 3599 је много новца.

Могло би вам набавити пристојан рабљени аутомобил или релативно измучен иМац. Можете купити 3599 МцЦхицкен бургере, или 2589 МцДоублес. Или би вам могао набавити Самсунг РФ28ХМЕЛБСР.

Овај фрижидер има све. Има четири врата, огроман простор од 28 кубика и интегрисани 8-инчни ЛЦД екран осетљив на додир који вам омогућава да учините било шта од читања вести до даљинског управљања Андроид-ом паметни телефон.

Ако звучи познато, то је зато што је некада представљен на мојој листи најглупљи производи Смарт Хоме икада Твеетинг Фрижидери и кухарице за рижу под контролом на мрежи: 9 нај Ступидест паметних кућанских апаратаПостоји пуно паметних кућних уређаја који су вредни вашег времена и новца. али постоје и врсте које никада не би требале угледати светлост дана. Ево 9 најгорих. Опширније . И да ли сам то споменуо као бродове са огромном рањивом безбедношћу?

Паметни фрижидер, глупа грешка

Да, уз сву своју софистицираност, овај фрижидер је испоручен са значајним недостатком безбедности који потенцијално може видети да нападач нехотице скупља повериоце за пријаву на Гмаил.

Прво је пријављена рањивост у Регистру 24. августа, а открила га је фирма инфосец са седиштем у Великој Британији Пен Тест партерс током недавног учешћа у хакерском изазову Интернета ствари (ИоТ) Дефцон 23 конференција.

Уграђени додирни екран на овом фрижидеру омогућава кориснику приступ сопственом Гоогле календару. Везе до и са Гоогле-ових сервера су шифроване коришћењем ССЛ енкрипције Шта је ССЛ сертификат и да ли вам треба?Прегледавање Интернета може бити застрашујуће када су у питању лични подаци. Опширније , али Самсунг-ова примена ССЛ-а не проверава валидност сертификата.

Ово представља озбиљан сигурносни проблем, јер би било ко у мрежи могао да покрене "Човек у средини" Шта је напад човека у средини? Објашњен сигурносни жаргонАко сте чули за нападе "човека у средини", али нисте баш сигурни шта то значи, ово је чланак за вас. Опширније нападају и пресијецају вјеродајнице за пријаву корисника у транзиту. Нападач ће их такође моћи добити преваравањем приступне тачке или нападом бежичне провјере аутентичности.

Самсунг је рекао да јесу „Истражити ову материју што је брже могуће“, и претпостављају да раде равномерно да би исправили исправку. Али ова епизода представља занимљиву демонстрацију како лоше безбедности могу поћи по злу на Интернету ствари.

(Не) Сигурност у умреженом свету ствари

У прошлости смо интензивно разговарали о ризицима које представља Интернет ствари, обоје из приватности Зашто је Интернет ствари највећа ноћна мора о сигурностиЈедног дана стижете кући са посла и откријте да вам је систем заштите од куће у облаку покренут. Како се то могло догодити? Помоћу Интернета ствари (ИоТ) могли бисте сазнати тежак пут. Опширније и из безбедносне и социолошке перспективе 7 разлога због којих би вас Интернет ствари требао уплашитиПотенцијалне користи Интернета ствари расту, док се опасности бацају у тихе сенке. Време је да скренемо пажњу на ове опасности са седам застрашујућих обећања ИоТ-а. Опширније . Бавити се њима је тешко, јер када је у питању обезбеђивање Интернета ствари, наилазимо на неколико проблема.

Прво, ти уређаји нису рачунари или телефони, с обзиром да их је једноставно ажурирати (Виндовс 10 ће чак инсталирати исправке у ваше име Како искључити аутоматско ажурирање апликација у оперативном систему Виндовс 10Деактивација ажурирања система се не препоручује. Али ако треба, ево како то урадите на Виндовс 10. Опширније ), а добављачи иза њих су укључени и редовно објављују ажурирања софтвера и безбедности. Многи паметни кућни производи се не „ажурирају“ путем ваздуха, било да морате користити компликоване или непоуздани софтверски пакети, преносиви простор за складиштење или вам једноставно не дозвољавају да ажурирате фирмвер на све.

Како, на пример, ажурирате међусобно повезани лонац за кафу или компјутеризовани термостат? Не постоји једноставан, универзалан начин за то.

Такође је важно позабавити се чињеницом да многе од ових уређаја данас праве обични људи у својим домовима. Ардуино и Распберри Пи омогућили су нам да уведемо мрежно повезивање и компјутеризовану логику на места за која никада нисмо помислили да су могућа, док производи попут Мицрософтов Виндовс 10 за ИоТ Виндовс 10 - Долазите до Ардуиноа у вашој близини? Опширније олакшао је излагање ових уређаја ширем Интернету, истовремено отварајући свет могућности и ризика.

Иако многи искусни програмери знају како да направе ове уређаје на сигуран начин, превише почетника и хобистичких програмера то не чини.

Тада прелазимо на проблем дугог живота. Опет, овај проблем који је јединствено ендемичан за свет паметних домова. Будући да ваш рачунар и телефон раде софтвер који су изградиле компаније са дугом историјом и дубоким џеповима, већина уређаја Смарт Хоме није.

Огромна већина ових компанија је стартап од ране до касне фазе, а многе од њих су у почетној фази свог развоја. Ако се искључе, шта се догађа с производима које су већ испоручили? Ко ће писати ажурирања софтвера и безбедносне закрпе?

Као што смо писали у прошлости, хардверско покретање је тешко Зашто су покретања хардвера тешка: Оживљавање ЕргоДокаЕво контроверзног мишљења за вас: покретање софтверског покретања је једноставно. С друге стране, хардвер? Покретање хардвера је тешко. Стварно тешко. Опширније . Већ ове године смо видели значајна отпуштања у Леео и Винк - два највећа стартапа Смарт Хоме-а. Много више - попут Лумоса - нису се потпуно спустили са земље.

Али можда је највећа и најупорнија претња безбедности Смарт Хоме и Интернет оф Тхингс једноставно што су ови уређаји направљени да трају дуже него што би то волели њихови произвођачи. Уграђени системи и производи Смарт Хоме могу, срећом, да раде годинама и годинама. Многи од њих не раде на услузи претплате.

Да ли ћемо очекивати да ће Нест и Пхилипс понудити ажурирања колико дуго Мицрософт је подржао Виндовс КСП Шта Виндовс КСПоцалипсе значи за васМицрософт ће убити подршку за Виндовс КСП у априлу 2014. То има озбиљне последице и за предузећа и за потрошаче. Ево шта бисте требали знати ако и даље користите Виндовс КСП. Опширније ?

Ван ЛАН-а, у ватру

Ова сигурносна питања значајно су погоршана чињеницом да су многи од ових уређаја повезан са ширим Интернетом и доступан на даљину, чиме се уводи сморгасборд сигурности забринутости.

Јер кад нешто повежете са Интернетом, тада уведите нови вектор напада на онога ко је тако мотивисан. Уместо да се мора повезати с кућном мрежом, неко би то могао једноставно даљински угрозити.

То је и лакше него што мислите. Постоји чак и претраживач за уграђене системе, звани Сходан. Са само неколико притиска на тастеру можете пронаћи системе који су изложени Интернету широм света - од електрана у Јапану, до веб камера у Холандији и ВоИП телефона у Њујорку.

Једноставно претраживање „Веб камере“ открива хиљаде удаљених веб локација. Нисам приступио ни једном, јер би то готово сигурно резултирало у мени кршење Закона о злоупотреби рачунара из 1990. године Закон о злоупотреби рачунара: закон који криминализира хаковање у Великој БританијиУ Великој Британији Закон о злоупотреби рачунара из 1990. године бави се злочинима хаковања. Недавно је ажурирано ово спорно законодавство, како би британска обавештајна организација ГЦХК добила законско право да хара у било који рачунар. Чак је и твој. Опширније .

То је страшно. Ми смо почели да уводимо наше домове на Интернет, и невиђено је лако да их пронађемо и покренемо циљане нападе на њих. Требали бисмо бити забринути.

Па шта се може учинити?

Недостаци безбедности, попут оне пронађене у Самсунг-овом Андроид фрижидеру, увек ће постојати. Све док је продавцима лако да издају исправке, а они се стално ажурирају током целог животног века уређаја, то није превелики проблем.

Али важно је да решимо друга питања. Треба уложити напоре како би програмери Смарт Хоме и ИоТ производа знали како да развију сигурне системе. То би се могло постићи већим упознавањем са безбедносном заједницом.

За то постоји низ преседана. Тхе ОВАСП (Опен Сецурити Сецурити Пројецт) пројекат је онај који одмах пада на памет. Покренут 2004. године, ово је произвело слободно доступан едукативни материјал који учи програмере како да граде сигурне веб локације, а хакери како да правилно тестирају безбедност веб апликација.

Нема разлога да се нешто слично не може створити за свет паметних кућа и за програмере Интернета ствари.

Штавише, морамо осигурати да се системи Смарт Хоме ажурирају и одржавају, чак и ако се добављачи пресавију. То се може учинити тако што ће мандат свакога пуштати свој код у есцров изворног кода, где се код пушта ако компанија поднесе захтев за стечај или на неки други начин не успе да одржи софтвер на задовољавајући начин.

И као потрошачи, требали бисмо почети да захтевамо више од добављача. Требали бисмо тражити да уређаји које купимо буду подржани сигурносним закрпама током целог живота производа. Требали бисмо очекивати да ће се било која сигурносна питања ријешити брзо и одлучно. Требало би да очекујемо да продавци третирају безбедносне претње апсолутном транспарентношћу. И не би требало да патимо од добављача који не успевају да испуне тај благи стандард.

Све су то релативно мале промене, али нема разлога да мислите да не би резултирали сигурнијим уређајима Смарт Хоме. Али шта мислите?

Ако имате било какве мисли или имате неке ужасне приче о ИоТ несигурности, желим да чујем за њих. Јавите ми у коментарима испод и разговараћемо.

Фото-кредити: Ардуино експериментални комплет (Оомлоут), ИМГ_5145 (ЈВалсх)