3599 долларов — это много денег.
Это может дать вам приличную подержанную машину или сравнительно обманутый iMac. Вы можете купить 3599 гамбургеров МакКикен или 2589 макдубл. Или он может получить вам Samsung RF28HMELBSR.
В этом (именованном) холодильнике есть все. У него четыре двери, колоссальные 28 кубических футов пространства и встроенный 8-дюймовый сенсорный ЖК-дисплей с поддержкой WiFi, который позволяет вам делать что угодно — от чтения новостей до удаленного управления смартфоном Android.
Если это звучит знакомо, то это потому, что он когда-то фигурировал в моем списке самых глупых продуктов для умного дома, когда-либо И я упоминал, что он поставляется с огромной зияющей уязвимостью безопасности?
Умный Холодильник, Глупая Ошибка
Да, несмотря на всю свою изощренность, этот холодильник поставлялся со значительным недостатком безопасности, который мог потенциально заставить злоумышленника тайно получить учетные данные для входа в Gmail.
Об этой уязвимости впервые сообщили в The Register 24 августа, и она была обнаружена британской информационной компанией Pen Test Parters во время участия в хакерском конкурсе Internet of Things (IoT) на недавней конференции Defcon 23 .
Встроенный сенсорный экран в этом холодильнике позволяет пользователю получить доступ к своему собственному Календарю Google. Соединения с серверами Google и с них шифруются с использованием шифрования SSL. , но реализация SSL компанией Samsung не проверяет действительность сертификатов.
Это создает серьезную проблему безопасности, поскольку любой человек в сети сможет запустить «Человек посередине». атаки и перехватывать учетные данные пользователя при передаче. Злоумышленник также сможет получить их, подделав точку доступа или используя атаку деавторизации.
Samsung сказал, что они «расследуют этот вопрос как можно быстрее» и, по-видимому, прилагают все усилия, чтобы выпустить исправление. Но этот эпизод действительно представляет интересную демонстрацию того, как плохо может работать безопасность в Интернете вещей.
(В) Безопасность в сетевом мире вещей
В прошлом мы много говорили о рисках, связанных с Интернетом вещей, с точки зрения конфиденциальности. и с точки зрения безопасности и социологии Решить их трудно, потому что, когда речь идет об обеспечении безопасности Интернета вещей, мы сталкиваемся с несколькими проблемами.
Во-первых, эти устройства не являются ПК или телефонами, поскольку их легко легко обновлять ( Windows 10 даже будет устанавливать обновления от вашего имени. ), и поставщики, участвующие в них, участвуют и регулярно выпускают обновления программного обеспечения и безопасности. Многие продукты для умного дома не «обновляются» по воздуху, либо требуют использования сложных или ненадежных пакетов программного обеспечения, съемного хранилища, либо просто не позволяют обновлять прошивку вообще.
Как, например, обновить обновленный кофейник или компьютерный термостат? Нет простого универсального способа сделать это.
Также важно учитывать тот факт, что многие из этих устройств в настоящее время создаются обычными людьми в их собственных домах. Arduino и Raspberry Pi позволили нам внедрить сетевое подключение и компьютеризированную логику в такие места, о которых мы никогда не думали, в то время как такие продукты, как Microsoft Windows 10 для IoT упростила доступ к этим устройствам в более широком Интернете, одновременно открывая мир возможностей и рисков.
В то время как многие опытные разработчики знают, как создавать эти устройства безопасным способом, слишком много начинающих разработчиков и любителей не знают.
Тогда мы приступим к проблеме долголетия. Опять же, эта проблема уникальна для мира Умного дома. Потому что, в то время как на вашем ПК и телефоне работает программное обеспечение, созданное компаниями с большой историей и глубокими карманами, большинство устройств Smart Home этого не сделали.
Подавляющее большинство этих компаний являются стартапами на ранних и поздних стадиях, многие из них находятся на пробной стадии своего развития. Если они отключатся, что произойдет с продуктами, которые они уже отправили? Кто будет писать обновления программного обеспечения и исправления безопасности?
Как мы уже писали в прошлом аппаратных стартапов трудно Уже в этом году мы наблюдали значительные увольнения в Leeo и Wink — двух крупнейших компаниях Smart Home. Многие другие, такие как Lumos , не смогли полностью оторваться от земли.
Но, пожалуй, самая большая и самая непреходящая угроза безопасности «Умного дома» и «Интернета вещей» заключается в том, что эти устройства созданы так, чтобы работать дольше, чем хотели бы их производители. Встраиваемые системы и продукты Smart Home могут работать, к счастью, долгие годы. Многие из них не работают в службе подписки.
Стоит ли ожидать, что Nest и Philips будут предлагать обновления, пока Microsoft поддерживает Windows XP ?
Из локальной сети, в огонь
Эти проблемы безопасности значительно усугубляются тем фактом, что многие из этих устройств подключены к более широкому Интернету и имеют удаленный доступ, тем самым создавая шведский стол проблем безопасности.
Потому что, когда вы подключаете что-то к Интернету, вы вводите новый вектор атаки для тех, кто так мотивирован. Вместо того, чтобы подключаться к домашней сети, кто-то может просто удаленно скомпрометировать ее.
Это проще, чем вы думаете. Есть даже поисковая система для встроенных систем, которая называется Shodan . С помощью всего нескольких нажатий клавиш вы можете найти системы, которые были открыты для Интернета по всему миру — от электростанций в Японии до веб-камер в Голландии и VoIP-телефонов в Нью-Йорке.
Простой поиск «Веб-камера» открывает тысячи удаленно доступных веб-камер. Однако я не получил к ним никакого доступа, поскольку это почти наверняка привело бы к нарушению Закона о неправомерном использовании компьютеров 1990 года
Это страшно. Мы начали вводить наши дома в Интернет, и их довольно просто найти и начать целенаправленные атаки на них. Мы должны быть обеспокоены.
Так что же можно сделать?
Недостатки в безопасности, подобные обнаруженным в холодильнике Samsung для Android, всегда будут присутствовать. Пока поставщикам легко выпускать исправления и они постоянно обновляются в течение всего срока службы устройств, это не слишком большая проблема.
Но важно, что мы решаем другие вопросы. Необходимо приложить усилия, чтобы разработчики продуктов Smart Home и IoT знали, как разрабатывать безопасные системы. Это может быть достигнуто путем расширения контактов с сообществом безопасности.
Есть несколько прецедентов для этого. Проект OWASP (Open Web Application Security Project) — это тот проект, который сразу приходит на ум. Начатый в 2004 году, он подготовил свободно доступный учебный материал, который учит разработчиков, как создавать безопасные веб-сайты, и хакерам, как правильно тестировать безопасность веб-приложений. ,
Нет причины, по которой нечто подобное нельзя было бы создать для умного домашнего мира и для разработчиков Интернета вещей.
Более того, нам необходимо обеспечить обновление и обслуживание систем «Умный дом», даже если поставщики свернуты. Это можно сделать, обязав всех выпустить свой код в условное депонирование исходного кода , где код выпускается, если компания заявляет о банкротстве или иным образом не может поддерживать программное обеспечение удовлетворительным образом.
И как потребители, мы должны начать требовать больше от поставщиков. Мы должны требовать, чтобы приобретаемые нами устройства поддерживались исправлениями безопасности в течение всего срока службы продукта. Следует ожидать, что любые проблемы безопасности будут решены быстро и решительно. Мы должны ожидать, что поставщики будут относиться к угрозам безопасности абсолютно прозрачно. И мы не должны покровительствовать поставщикам, которые не соответствуют этому скудному стандарту.
Все это относительно небольшие изменения, но нет никаких оснований думать, что они не приведут к более безопасным устройствам Smart Home. Но что вы думаете?
Если у вас есть какие-либо мысли или ужасные истории о ненадежности IoT, я хочу услышать о них. Дайте мне знать в комментариях ниже, и мы будем общаться.
Авторы фотографий: набор для экспериментов Arduino (Oomlout) , IMG_5145 (JWalsh)