Oglas
3599 dolarjev je veliko denarja.
Lahko bi vam priskrbel spodoben rabljen avtomobil ali relativno izmučen iMac. Lahko bi kupili 3599 burgerjev McChicken ali 2589 McDoubles. Lahko pa vam prinese Samsung RF28HMELBSR.
Ta (na kratko poimenovan) hladilnik ima vse. Ima štiri vrata, kolosalni 28 kubičnih metrov prostora in vgrajen 8-palčni LCD s podporo za WiFi zaslon na dotik, ki vam omogoča, da od branja novic izvedete karkoli, da na daljavo nadzorujete Android pametni telefon.
Če se sliši znano, je to zato, ker je bil nekoč predstavljen na mojem seznamu najglubših izdelkov Smart Home doslej Tweeting Hladilniki in Spletni nadzorovani kuhalniki riža: 9 najnaprednejših gospodinjskih aparatov SmartObstaja veliko pametnih domačih naprav, ki so vredne vašega časa in denarja. obstajajo pa tudi vrste, ki nikoli ne bi smele videti luči dneva. Tu je 9 najslabših. Preberi več . In sem jo omenil z ladjami z ogromno ranljivo varnostjo?
Pametni hladilnik, neumna napaka
Da, po vsej svoji prefinjenosti je ta hladilnik dobavil pomembno varnostno napako, ki bi napadalca lahko navidezno pobrala v Gmailu.
Najprej so poročali o ranljivosti v Registru 24. avgusta in odkrila ga je britanska družba infosec Par za preizkušanje peresa med zadnjim sodelovanjem v spletnem izzivu Internet of Things (IoT) Defcon 23 konferenca.
Vgrajen zaslon na dotik v tem hladilniku omogoča uporabniku dostop do lastnega Google Koledarja. Povezave do Googlovih strežnikov in do njih so šifrirane z uporabo šifriranja SSL Kaj je SSL potrdilo in ga potrebujete?Brskanje po internetu je lahko strašljivo, če gre za osebne podatke. Preberi več , vendar Samsungova implementacija SSL ne preverja veljavnosti certifikatov.
To predstavlja resno varnostno težavo, saj bi lahko vsakdo v omrežju sprožil "Človek v sredini" Kaj je napad človeka v sredini? Pojasnjen varnostni žargonČe ste slišali za napade "človek v sredini", vendar niste povsem prepričani, kaj to pomeni, je to članek za vas. Preberi več napadajo in prestrežejo uporabniške poverilnice uporabnika med prevozom. Napadalec bi jih lahko dobil tudi s ponarejanjem dostopne točke ali z napadom brezžične avtomatske overitve.
Samsung je rekel, da je "Čim hitreje preuči to zadevo", in verjetno domnevno delujejo, da bi izdali popravek. Toda ta epizoda predstavlja zanimiv dokaz, kako lahko na internetu stvari slabijo varnost.
(V) Varnost v omrežnem svetu stvari
V preteklosti smo veliko govorili o tveganjih, ki jih predstavlja internet stvari, oboje iz zasebnosti Zakaj je internet stvari največja varnostna nočna moraNekega dne pridete domov z službe in odkrijete, da je bil vaš sistem zaščite domov z omogočenim oblakom pokvarjen. Kako bi se to lahko zgodilo? Z internetom stvari (IoT) bi lahko ugotovili težko pot. Preberi več in z varnostnega in sociološkega vidika 7 razlogov, zakaj naj vas internet stvari prestrašiPotencialne koristi interneta stvari rastejo, nevarnosti pa se mešajo v tiho senco. Čas je, da opozorimo na te nevarnosti s sedmimi grozljivimi obljubami IoT. Preberi več . Naslavljati se jih je težko, saj ko gre za zavarovanje interneta stvari, naletimo na nekaj težav.
Prvič, te naprave niso osebni računalniki ali telefoni, ker jih je mogoče enostavno posodobiti (Windows 10 bo celo namestil posodobitve v vašem imenu Kako izklopiti samodejne posodobitve aplikacij v sistemu Windows 10Izključitev posodobitev sistema ni priporočljiva. Če pa je treba, tukaj je to, kako to storite v sistemu Windows 10. Preberi več ), prodajalci za njimi pa so vključeni in redno izdajajo posodobitve programske opreme in varnosti. Številni pametni domači izdelki se ne "posodabljajo" po zraku in ne zahtevajo uporabe zapletenih ali nezanesljive programske pakete, odstranljiv pomnilnik ali preprosto ne omogočajo posodobitve strojne programske opreme na vse.
Kako na primer posodabljate ločen kavni lonec ali računalniški termostat? To ni enostaven, univerzalen način.
Pomembno je tudi obravnavati dejstvo, da mnoge od teh naprav zdaj ljudje gradijo v svojih domovih. Arduino in Raspberry Pi sta nam omogočila, da vpeljemo omrežno povezljivost in računalniško logiko na mesta, za katera se nam nikoli ni zdelo mogoče, medtem ko izdelke, kot so Microsoftov Windows 10 za IoT Windows 10 - Prihajate v Arduino blizu vas? Preberi več je olajšala izpostavitev teh naprav širšemu internetu, hkrati pa odpira svet priložnosti in tveganj.
Medtem ko mnogi začinjeni razvijalci vedo, kako zgraditi te naprave na varen način, preveč novih začetnikov in razvijalcev hobijev ne.
Nato se lotimo problema dolgoživosti. Ponovno je to težava, ki je edinstvena za svet Pametnega doma. Ker vaš računalnik in telefon poganja programsko opremo, ki jo izdelujejo podjetja z dolgo zgodovino in globokimi žepi, večina naprav Smart Home še nima.
Velika večina teh podjetij se začenja v zgodnjih do poznih fazah, mnoga od teh so v predhodni fazi svojega razvoja. Če se ustavijo, kaj se zgodi z izdelki, ki so jih že poslali? Kdo bo pisal posodobitve programske opreme in varnostne popravke?
Kot smo že pisali v preteklosti, zagoni strojne opreme so težki Zakaj so zagoni strojne opreme težki: oživitev sistema ErgoDoxZa vas je sporno mnenje: zagon programske opreme je preprost. Strojna oprema, po drugi strani? Zagon strojne opreme je težko. Zelo tezko. Preberi več . Že letos smo videli pomembna odpuščanja na Leeo in Wink - dva največja zagona Smart Home. Veliko več - kot Lumos - se niso povsem spustili s tal.
Morda je največja in najbolj trajna grožnja varnosti pametnega doma in interneta stvari preprosto ta, da so te naprave izdelane tako, da trajajo dlje, kot bi želeli njihovi proizvajalci. Vgrajeni sistemi in izdelki Smart Home lahko na srečo delujejo leta in leta. Mnogi od njih ne delajo na naročniški storitvi.
Pričakujemo, da bosta Nest in Philips ponujala posodobitve za toliko časa Microsoft je podpiral Windows XP Kaj pomeni Windows XPocalypse za vasMicrosoft bo aprila 2014 ubil podporo za Windows XP. To ima resne posledice za podjetja in potrošnike. Tukaj je tisto, kar morate vedeti, če še vedno uporabljate Windows XP. Preberi več ?
Izven LAN, v ogenj
Te varnostne težave znatno poslabša dejstvo, da je veliko teh naprav povezan s širšim internetom in oddaljeno dostopen, s čimer je uveden smorgasbord varnosti pomisleki.
Ker ko nekaj povežete z internetom, potem predstavite nov vektor napada na vsakogar, ki je tako motiviran. Namesto da bi se morali povezovati z domačim omrežjem, bi lahko nekdo preprosto na daljavo ogrožal to.
Je tudi lažje, kot si mislite. Obstaja celo iskalnik za vgrajene sisteme, imenovan Shodan. Z le nekaj pritiski tipk lahko najdete sisteme, ki so bili po vsem svetu izpostavljeni - od elektrarn na Japonskem, do spletnih kamer na Nizozemskem in VoIP telefonov v New Yorku.
Preprosto iskanje »spletne kamere« izpostavi na tisoče oddaljeno dostopnih spletnih kamer. Do nobenega pa nisem dostopala, saj bi to skoraj zagotovo prišlo do mene kršitev zakona o zlorabi računalništva iz leta 1990 Zakon o zlorabi računalništva: zakon, ki kriminalizira kraje v Združenem kraljestvuV Veliki Britaniji zakon o zlorabi računalništva iz leta 1990 obravnava kazniva dejanja. Ta sporna zakonodaja je bila pred kratkim posodobljena, da bi britanska obveščevalna organizacija GCHQ dobila zakonito pravico vdreti v kateri koli računalnik. Tudi tvoja. Preberi več .
Strašljivo je. Naše domove smo začeli uvajati po internetu, in jih je nevišno enostavno najti in sprožiti ciljne napade nanje. Morali bi biti zaskrbljeni.
Kaj je torej mogoče storiti?
Vedno bodo prisotne varnostne pomanjkljivosti, kot so tiste v Samsungovem hladilniku Android. Dokler prodajalcem je enostavno izdati popravke in se ves čas posodabljajo skozi celotno življenjsko dobo naprav, to ni preveč težava.
Pomembno pa je, da rešujemo druga vprašanja. Prizadevati si je treba za to, da bodo razvijalci izdelkov Smart Home in IoT vedeli, kako razviti varne sisteme. To bi lahko dosegli z večjim doseganjem varnostne skupnosti.
Za to obstajajo številni precedensi. The Projekt OWASP (Open Security Security Project) je tisti, ki mu takoj vzbudi misel. To predstavljeno leta 2004 je ustvarilo prosto dostopno učno gradivo, ki razvijalce uči, kako izdelati varna spletna mesta, in hekerjem, kako pravilno preizkusiti varnost spletnih aplikacij.
Ni razloga, da česa podobnega ne bi bilo mogoče ustvariti za svet pametnih domov in za razvijalce interneta stvari.
Poleg tega moramo zagotoviti, da se sistemi Smart Home posodabljajo in vzdržujejo, tudi če se prodajalci zložijo. To je mogoče storiti tako, da bodo vsi izdali svojo kodo v vhodna koda, kjer se koda sprosti, če podjetje vloži stečaj ali drugače ne vzdržuje programske opreme na način, ki je zadovoljiv.
Kot potrošniki bi morali začeti več zahtevati od prodajalcev. Zahtevati bi morali, da bodo naprave, ki jih kupimo, podprte z varnostnimi popravki v celotni življenjski dobi izdelka. Pričakovati bi morali, da bodo vsa vprašanja glede varnosti rešena hitro in odločno. Pričakovati bi morali, da prodajalci grozijo varnosti z absolutno preglednostjo. In ne bi smeli zaščititi prodajalcev, ki ne izpolnjujejo tega majhnega standarda.
Vse to so relativno majhne spremembe, vendar ni razloga, da bi mislili, da ne bi prinesle varnejših naprav Smart Home. Toda kaj misliš?
Če imate kakršne koli misli ali imate kakšne grozljive zgodbe o negotovosti IoT, želim slišati o njih. Sporočite mi v spodnjih komentarjih in poklepetali bomo.
Fotografski krediti: Arduino eksperimentalni komplet (Oomlout), IMG_5145 (JWalsh)
Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in absolutno obožuje svoj Macbook Pro in svoj fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.