Er ditt smarte hjem utsatt for sikkerhetsproblemer?
Tingenes Internett har et stort løfte om. Hver enhet vi samhandler med, er i nettverksskapende kapasitet, og gir billig smart hjemme-teknologi til alle. Dette er bare en av mulighetene. Vel, dessverre, så spennende som en fullstendig nettverksverden lyder, er Tingets Internett konsekvent og uhyggelig usikkert.
En gruppe av Princeton University-sikkerhetsforskere hevder at Internett av ting er så woefully usikker på at selv kryptert nettverkstrafikk er lett gjenkjennelig Hvordan virker kryptering, og er det virkelig trygt? Hvordan virker kryptering, og er det virkelig trygt? Les mer .
Er det substans for deres krav, eller er det et annet “standard” IoT hit-piece? La oss ta en titt.
Bakt In
Problemet er at enkelte enheter har individuelle sikkerhetsprofiler. Og noen sikkerhetsinnstillinger kommer bak i enheten. Dette betyr at sluttbrukere ikke kan endre sikkerhetsinnstillingene.
Innstillinger som er de samme for tusen av matchende produkter.
Du kan se det store sikkerhetsproblemet Dette er hvorfor Internett av ting er det største sikkerhetsmardrittet Hvorfor Internett av ting er det største sikkerhetsmardrittet En dag kommer du hjem fra jobb for å oppdage at ditt skytsikrede hjemmesikkerhetssystem har blitt brutt . Hvordan kan dette skje? Med Internett av Ting (IoT), kan du finne ut den harde måten. Les mer .
Kombinert med en generell misforståelse (eller er det ren uvitenhet?) Om hvor lett det er å tilpasse en IoT-enhet for ufarlige aktiviteter, og det finnes et reelt globalt problem.
For eksempel, en sikkerhetsforsker, da han snakket med Brian Krebs, ga ut at de hadde vært vitne til dårlig sikrede internettrutere som ble brukt som SOCKS-proxyer, annonsert åpent. De spekulerte på at det ville være enkelt å bruke internettbaserte webkameraer og andre IoT-enheter for det samme og myriade andre formål.
Og de hadde rett.
I slutten av 2016 så en massiv DDoS angrep. “Massiv,” du sier? Ja: 650 Gbps (det er omtrent 81 GB / s). Sikkerhetsforskerne fra Imperva som oppdaget angrepet, bemerket gjennom nyttelastanalyse at størstedelen av kraften kom fra kompromitterte IoT-enheter. kalt “Leet” etter en tegnstreng i nyttelastet Dette er hvordan programvareinstallatører jobber med Windows, MacOS og Linux Dette er hvordan programvareinstallatører jobber med Windows, MacOS og Linux Moderne operativsystemer gir deg enkle metoder for å sette opp nye applikasjoner. Men hva skjer faktisk når du kjører installatøren eller utsteder den kommandoen? Les mer, det er den første IoT botnet til rivaliserende Mirai (den enorme botnet som målrettet anerkjent sikkerhetsforsker og journalist, Brian Krebs).
IoT Sniffing
Princeton forskningspapiret, med tittelen Et smart hjem er ingen slott [PDF], utforsker ideen om at “Passive nettverksobservatører, som internettleverandører, kan potensielt analysere IoT-nettverkstrafikk for å utlede sensitive opplysninger om brukere.” Forskere Noah Apthorpe, Dillon Reisman, og Nick Feamster ser på “en Sense Sleep Monitor 6 Smart Gadgets som hjelper deg med å sove bedre 6 Smart Gadgets for å hjelpe deg med å sove bedre Ikke å få en god natts søvn er aldri en god måte å begynne på dagen. Heldigvis er det nok av hjemmegods som kan hjelpe deg med å få en god natts søvn. Les mer, et Nest Cam Indoor-sikkerhetskamera, en WeMo-bryter og et Amazon-ekko.”
Deres konklusjon? Trafikkfingeravtrykk fra hver av enhetene er gjenkjennelige, selv når de er kryptert.
- Nest Cam - Observer kan utlede når en bruker aktivt overvåker en feed, eller når et kamera oppdager bevegelse i sitt synsfelt.
- Føle - Observer kan utlede brukerens sovemønstre.
- WeMo - Observer kan oppdage når et fysisk apparat i et smart hjem slås på eller av.
- Ekko - Observer kan oppdage når en bruker samhandler med en intelligent personlig assistent.
Få tilgang til pakker
Princeton-papiret antar at en angriper snuser (avlyser) pakker (data) direkte fra en Internett-leverandør. Deres analyse kommer direkte fra pakkemetadata: IP-pakkehoder, TCP-pakkehoder, og send / motta priser. Uavhengig av avlytingspunktet, kan du forsøke å tolke data hvis du kan få tilgang til pakker i overgang.
Forskerne brukte en tre-trinns strategi for å identifisere IoT-enheter som er koblet til deres provisoriske nettverk:
- Separat trafikk i pakkestrømmer.
- Etikettstrømmer etter type enhet.
- Undersøk trafikkratene.
Denne strategien viste at selv om en enhet kommuniserer med flere tjenester en potensiell angriper “trenger vanligvis bare å identifisere en enkelt strøm som koder for enhetens tilstand.” For eksempel viser nedenstående tabell DNS-spørringer knyttet til hver strøm, kortlagt til en bestemt enhet.
Forskningsresultatene er avhengige av flere forutsetninger, noen enhetsspesifikke. Data for Sense-søvnmonitoren antar at brukerne “bare slutte å bruke enhetene sine umiddelbart før du sover, at alle i hjemmet sover samtidig, og ikke deler enhetene sine, og at brukerne ikke forlater sine andre enheter som kjører for å utføre nettverksintensive oppgaver eller oppdateringer mens de sover.”
Kryptering og konklusjoner
BII anslår at i 2020 vil det være 24 milliarder IoT-enheter på nettet. OWASP-listen over Top IoT Vulnerabilites (Open Web Application Security Project) er som følger:
- Usikkert webgrensesnitt.
- Utilstrekkelig autentisering / autorisasjon.
- Usikre nettverkstjenester.
- Mangel på transportkryptering.
- Personvern bekymringer.
- Usikkert skygrensesnitt.
- Usikkert mobilt grensesnitt.
- Utilstrekkelig sikkerhetskonfigurasjon.
- Usikker programvare / fastvare.
- Dårlig fysisk sikkerhet.
OWASP utstedte denne listen i 2014 - og den har ikke sett en oppdatering siden fordi sårbarhetene forblir de samme. Og som Princeton-forskerne rapporterer, er det overraskende hvor lett en passiv nettverksobservatør kan utlede kryptert smart hjemlig trafikk. Tro ikke disse 5 myter om kryptering! Ikke tro disse 5 myter om kryptering! Kryptering høres komplisert, men er langt enklere enn de fleste tror. Likevel kan du føle deg litt for mørk for å gjøre bruk av kryptering, så la oss bytte noen krypteringsmyter! Les mer .
Utfordringen er å implementere integrerte IoT VPN-løsninger, eller til og med overbevise IoT-enhetsprodusenter om at mer sikkerhet er verdt (i motsetning til en nødvendighet).
Et viktig steg vil skille mellom enhetstyper. Noen IoT-enheter er iboende mer personvernsfølsomme, for eksempel en integrert medisinsk enhet versus et Amazon Echo. Analysen som brukes, sender / mottar kun kryptert trafikk for å identifisere brukeradferd - ingen dyp pakkeinspeksjon er nødvendig. Og mens flere integrerte sikkerhetsfunksjoner kan ha negativ innvirkning på IoT-enhetens ytelse, ligger ansvaret for produsentene å gi noen Sikring av sikkerhet til sluttbrukere.
IoT-enheter blir stadig mer gjennomgripende. Svar på spørsmål om personvern er ikke umiddelbart kommende, og forskning som dette illustrerer perfekt disse bekymringene.
Har du tatt imot smart hjemme og IoT-enheter inn i livet ditt? Har du bekymringer om personvernet ditt etter å ha sett denne undersøkelsen? Hvilken sikkerhet mener du at produsentene skal installeres i hver enhet? Gi oss beskjed om dine tanker nedenfor!
Utforsk mer om: Internett-ting, Internett-sikkerhet.