Samsungs Smart Kjøleskap ble bare pwned. Hvordan om resten av ditt smarte hjem?
$ 3599 er mye penger.
Det kan få deg en anstendig bruktbil, eller en relativt lurt ut iMac. Du kan kjøpe 3599 McChicken burgere, eller 2589 McDoubles. Eller det kan få deg Samsung RF28HMELBSR.
Dette (snappily-named) kjøleskapet har alt. Den har fire dører, en kolossal 28 kubikkmeter plass, og en integrert, 8” Wi-Fi-aktivert LCD berøringsskjerm som lar deg gjøre alt fra å lese nyhetene, for å styre Android-smarttelefonen din eksternt.
Hvis det høres kjent, er det fordi det en gang ble omtalt på listen over de dumeste Smart Home-produktene noensinne Tweeting Fridges og Web Controlled Rice Cookers: 9 av de dumeste Smart Home Appliances Tweeting Kjøleskap og Web Controlled Rice Cookers: 9 av de dumeste Smart Home Apparater Det er mange smarte hjem enheter som er verdig din tid og penger. men det er også slags som aldri bør se dagens lys. Her er 9 av de verste. Les mer . Og nevnte jeg det med en massiv, gapende sikkerhetsproblem?
Smart kjøleskap, dum feil
Ja, for all sin raffinement, leveres dette kjøleskapet med en betydelig sikkerhetsfeil som potensielt kan se at en angriper surreptitious høster innloggingsinformasjon for Gmail..
Sårbarheten ble først rapportert i The Register den 24. august, og ble oppdaget av britisk-baserte infosec-firmaet Pen Test Parters, mens de deltok i en Internett av ting (IoT) hacking utfordring på den siste Defcon 23 konferansen.
Den innebygde berøringsskjermen på dette kjøleskapet lar brukeren få tilgang til sin egen Google Kalender. Tilkoblinger til og fra Googles tjenere er kryptert ved hjelp av SSL-kryptering Hva er et SSL-sertifikat, og trenger du en? Hva er et SSL-sertifikat, og trenger du en? Bla gjennom Internett kan være skummelt når personlig informasjon er involvert. Les mer, men Samsungs implementering av SSL kontrollerer ikke gyldigheten av sertifikatene.
Dette gir et alvorlig sikkerhetsproblem, siden alle på nettverket kunne starte en “Mannen i midten” Hva er en mann-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer angrep, og avgrens brukerens innloggingsinformasjon i transitt. En angriper vil også kunne skaffe dem ved å spoofing et tilgangspunkt, eller gjennom et trådløst deautentiseringsangrep.
Samsung har sagt at de er “undersøke denne saken så raskt som mulig”, og antas å være flatt ut for å utgjøre en løsning. Men denne episoden presenterer en interessant demonstrasjon av hvor dårlig sikkerhet kan gå galt på tingets internett.
(I) sikkerhet i en nettverksverden
Tidligere har vi snakket mye om risikoen ved tingets internett, både fra et privatliv Hvorfor Internett av ting er det største sikkerhetsmardrittet Hvorfor Internett av ting er det største sikkerhetsmardrittet En dag kommer du hjem fra arbeid for å oppdage at ditt skytsikrede hjemmesikkerhetssystem har blitt overtrådt. Hvordan kan dette skje? Med Internett av Ting (IoT), kan du finne ut den harde måten. Les mer og fra et sikkerhets- og sosiologisk perspektiv. 7 Grunner til at ting på Internett burde skremme deg. 7 Grunner til at ting på Internett skal skremme deg De potensielle fordelene ved tingets ting blir sterke, mens farene blir kastet inn i de stille skyggene. Det er på tide å trekke oppmerksomheten til disse farene med syv skremmende løfter om IoT. Les mer . Å adressere dem er vanskelig, for når det gjelder å sikre Internett på ting, møter vi noen problemer.
For det første er disse enhetene ikke PCer eller telefoner, i den grad at de er jevnt lette å oppdatere (Windows 10 vil selv installere oppdateringer på vegne av deg. Slik slår du av automatiske appoppdateringer i Windows 10 Slik slår du av automatiske appoppdateringer i Windows 10 Deaktivering av systemoppdateringer anbefales ikke. Men hvis det er nødvendig, gjør du det på Windows 10. Les mer), og leverandørene bak dem er involvert, og utgir regelmessig programvare og sikkerhetsoppdateringer. Mange smarte hjemmeprodukter gjør det ikke “Oppdater” i luften, enten du krever at du bruker kompliserte eller upålitelige programvarepakker, flyttbar lagring, eller bare ikke tillater deg å oppdatere firmwaren i det hele tatt.
Hvordan oppdaterer du for eksempel en sammenkoblet kaffekanne, eller en datastyrt termostat? Det er ingen enkel, universell måte å gjøre det på.
Det er også viktig å ta opp det faktum at mange av disse enhetene nå bygges av vanlige folk i eget hjem. Arduino og Raspberry Pi har gitt oss mulighet til å introdusere nettverkstilkobling og datastyrt logikk til steder vi aldri har trodd mulig, mens produkter som Microsofts Windows 10 for IoT Windows 10 - kommer til en Arduino i nærheten av deg? Windows 10 - Kommer til en Arduino i nærheten av deg? Les mer har gjort det lettere å eksponere disse enhetene til det bredere Internettet samtidig som de åpner opp en verden av mulighet og risiko.
Mens mange erfarne utviklere vet hvordan man bygger disse enhetene på en måte som er sikker, gjør altfor mange nybegynnere og hobbyistutviklere ikke.
Så tar vi oss til problemet med lang levetid. Igjen, dette problemet er unikt endemisk til Smart Home-verdenen. Fordi mens PC og telefon kjører programvare som er bygget av selskaper med lange historier og dype lommer, har de fleste av dine Smart Home-enheter ikke.
Det overveldende flertallet av disse selskapene er tidlig til sent på scenen, mange av disse er på et foreløpig stadium i utviklingen. Hvis de slår av, hva skjer med produktene de allerede har sendt? Hvem vil skrive programvareoppdateringer og sikkerhetsoppdateringer?
Som vi har skrevet om i det siste, er maskinvareoppstart vanskelig. Hvorfor oppstart av maskinvare er vanskelig: Ta ErgoDox til livet Hvorfor maskinvareoppstart er vanskelig: Ta ErgoDox til livet Her er en kontroversiell mening for deg: Det er enkelt å starte en programvareoppstart. Maskinvare, derimot? Maskinvare oppstart er vanskelig. Veldig vanskelig. Les mer . Allerede i år har vi sett betydelige oppsigelser hos Leeo og Wink - to av de største Smart Home-oppstartene. Mange flere - som Lumos - har ikke klart å komme seg av bakken helt.
Men kanskje den største og mest varige trusselen mot Smart Home og Internet of Things-sikkerhet er ganske enkelt at disse enhetene er bygget for å vare lenger enn deres produsenter foretrekker. Embedded Systems og Smart Home-produkter kan fungere, ganske lykkelige, i årevis og år. Mange av disse fungerer ikke på abonnementstjeneste.
Skal vi forvente at Nest og Philips tilbyr oppdateringer så lenge Microsoft støttet Windows XP Hva Windows XPocalypse betyr for deg Hva Windows XPocalypse betyr for deg Microsoft skal drepe støtte for Windows XP i april 2014. Dette har alvorlige konsekvenser for både bedrifter og forbrukere. Her er det du bør vite om du fortsatt kjører Windows XP. Les mer ?
Ut av LAN, inn i brannen
Disse sikkerhetsproblemene blir betydelig forverret av det faktum at mange av disse enhetene er koblet til det bredere Internett og eksternt tilgjengelig, og derved innføre et smorgasbord av sikkerhetsproblemer.
Fordi når du kobler noe til Internett, innfører du en ny angrepsvektor til den som er så motivert. I stedet for å måtte koble til hjemmenettverket, kan noen bare på forhånd forstyrre det.
Det er lettere enn du tror også. Det er enda en søkemotor for innebygde systemer, kalt Shodan. Med bare noen få tastetrykk kan du finne systemer som har blitt utsatt for Internett over hele verden - fra kraftverk i Japan, til webkameraer i Holland, og VoIP-telefoner i New York.
Bare søker etter “Webkamera” utsetter tusenvis av eksternt tilgjengelige webkameraer. Jeg fikk ikke tilgang til noe, men det ville nesten helt sikkert føre til at jeg bryte datamaskinen misbruk Act 1990 The Computer Misuse Act: Loven som kriminaliserer hacking i Storbritannia Computer Misuse Act: Loven som kriminaliserer hacking i Storbritannia I UK Computer Misuse Act 1990 omhandler hacking forbrytelser. Twhis kontroversielle lovgivning ble nylig oppdatert for å gi Storbritannias underretningsorganisasjon GCHQ den juridiske rettigheten til å hacke inn i hvilken som helst datamaskin. Selv din. Les mer .
Det er skummelt. Vi har begynt å introdusere våre hjem til Internett, og det er trivielt enkelt å finne dem, og å starte målrettede angrep på dem. Vi burde være bekymret.
Så hva kan gjøres?
Sikkerhetsfeil, som den som finnes i Samsungs Android-kjøleskap, vil alltid være der. Så lenge det er enkelt for leverandører å utstede reparasjoner, og de blir stadig oppdatert gjennom hele levetiden til enhetene, er det ikke for mye av et problem.
Men det er viktig at vi tar opp de andre problemene. Det må legges til rette for at utviklerne av Smart Home og IoT-produkter vet hvordan de skal utvikle sikre systemer. Dette kan oppnås ved større oppsummering med sikkerhetssamfunnet.
Det er en rekke fortilfeller for dette. Projektet OWASP (Open Web Application Security Project) er en som sprer seg umiddelbart i tankene. Lansert i 2004 har dette laget fritt tilgjengelig undervisningsmateriale som lærer utviklere hvordan man bygger sikre nettsteder og hackere hvordan man skal teste sikkerheten til webapplikasjoner.
Det er ingen grunn til at noe lignende ikke kunne opprettes for den smarte hjemmevirksomheten, og for utviklere av Internett av ting.
Videre må vi sørge for at Smart Home-systemene oppdateres og vedlikeholdes, selv om leverandørene bretter. Dette kan gjøres ved å kreve at alle frigjør koden i en kildekodeavspilling, der koden slippes ut hvis firmaet arkiverer konkurs eller på annen måte ikke opprettholder programvaren på en måte som er tilfredsstillende.
Og som forbrukere, bør vi begynne å kreve mer fra leverandører. Vi bør kreve at enhetene vi kjøper støttes med sikkerhetsoppdateringer for produktets levetid. Vi bør forvente at eventuelle sikkerhetsproblemer løses raskt og avgjørende. Vi bør forvente at leverandørene behandler sikkerhetstrusler med absolutt åpenhet. Og vi bør ikke patronisere leverandører som ikke klarer å møte den dårlige standarden.
Dette er alle relativt små endringer, men det er ingen grunn til å tro at de ikke ville resultere i sikrere Smart Home-enheter. Men hva tror du?
Hvis du har noen tanker, eller har noen skrekkhistorier om IoT-usikkerhet, vil jeg høre om dem. Gi meg beskjed i kommentarene nedenfor, og vi vil chatte.
Foto Credits: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)
Utforsk mer om: Online Security, Smart Appliance.