Реклама
3599 долларов это много денег.
Это может дать вам приличную подержанную машину или сравнительно обманутый iMac. Вы можете купить 3599 булочек с начинкой МакКикен или 2589 булочек. Или он может получить вам Samsung RF28HMELBSR.
В этом (именованном) холодильнике есть все. У него четыре двери, колоссальные 28 кубических футов пространства и встроенный 8-дюймовый ЖК-дисплей с поддержкой WiFi сенсорный дисплей, который позволяет вам делать что угодно, от чтения новостей до удаленного управления вашим Android смартфон.
Если это звучит знакомо, это потому, что когда-то он был включен в мой список самые тупые продукты для умного дома Tweeting Холодильники и веб-рисоварки: 9 из самых глупых умных бытовых приборовЕсть много умных домашних устройств, которые стоят вашего времени и денег. но есть также виды, которые никогда не увидят свет. Вот 9 из худших. Подробнее . И я упоминал, что он поставляется с огромной, зияющей уязвимостью безопасности?
Умный Холодильник, Глупая Ошибка
Да, несмотря на всю свою изощренность, этот холодильник поставлялся со значительным недостатком безопасности, который мог потенциально заставить злоумышленника тайно получить учетные данные для входа в Gmail.
Об уязвимости впервые сообщили в реестре 24 августа, обнаружена британской фирмой Infosec Партнерские тесты во время участия в хакерском конкурсе Internet of Things (IoT) на недавнем Defcon 23 конференция.
Встроенный сенсорный экран в этом холодильнике позволяет пользователю получить доступ к своему собственному Календарю Google. Соединения с серверами Google и с них зашифрованы используя шифрование SSL Что такое SSL-сертификат и нужен ли он вам?Просматривать Интернет может быть страшно, когда речь идет о личной информации. Подробнее Но реализация Samsung SSL не проверяет действительность сертификатов.
Это создает серьезную проблему безопасности, так как любой в сети сможет запустить "Человек посередине" Что такое атака «человек посередине»? Безопасность Жаргон объяснилЕсли вы слышали об атаках типа «человек посередине», но не совсем уверены, что это значит, эта статья для вас. Подробнее атаковать и перехватывать учетные данные пользователя при передаче. Злоумышленник также сможет получить их, подделав точку доступа или с помощью атаки на деаутентификацию по беспроводной сети.
Samsung сказал, что они «Расследовать это дело как можно быстрее»и, по-видимому, работают изо всех сил, чтобы выпустить исправление. Но этот эпизод действительно представляет интересную демонстрацию того, как плохо может работать безопасность в Интернете вещей.
(В) Безопасность в сетевом мире вещей
В прошлом мы много говорили о рисках, которые представляет Интернет вещей, как из уединения Почему Интернет вещей - самый большой кошмар безопасностиОднажды вы приходите домой с работы и обнаруживает, что ваша облачная система домашней безопасности была взломана. Как это могло случиться? С Интернетом вещей (IoT) вы могли бы найти трудный путь. Подробнее и с точки зрения безопасности и социологии 7 причин, по которым интернет вещей должен вас пугатьПотенциальные преимущества Интернета вещей становятся все ярче, а опасности отбрасываются в тихую тень. Пришло время обратить внимание на эти опасности с помощью семи ужасающих обещаний IoT. Подробнее . Решить их сложно, потому что, когда речь идет об обеспечении безопасности Интернета вещей, мы сталкиваемся с несколькими проблемами.
Во-первых, эти устройства не являются ПК или телефонами, поскольку их легко обновлять (Windows 10 будет даже устанавливать обновления от вашего имени Как отключить автоматическое обновление приложений в Windows 10Деактивировать обновления системы не рекомендуется. Но если нужно, вот как вы это делаете на Windows 10. Подробнее ), и поставщики, стоящие за ними, участвуют и регулярно выпускают обновления программного обеспечения и безопасности. Многие умные домашние продукты не «обновляются» по воздуху, что требует от вас использования сложных или ненадежные пакеты программного обеспечения, съемное хранилище или просто не позволяющие обновить прошивку по адресу все.
Как, например, обновить обновленный кофейник или компьютерный термостат? Нет простого, универсального способа сделать это.
Также важно учитывать тот факт, что многие из этих устройств в настоящее время создаются обычными людьми в их собственных домах. Arduino и Raspberry Pi позволили нам внедрить сетевые подключения и компьютерную логику в местах, которые мы никогда не считали возможным, в то время как такие продукты, как Microsoft Windows 10 для IoT Windows 10 - к Arduino приближается? Подробнее упростила доступ к этим устройствам для более широкого Интернета, одновременно открывая мир возможностей и рисков.
В то время как многие опытные разработчики знают, как создавать эти устройства безопасным способом, слишком много начинающих разработчиков и любителей не знают.
Тогда мы приступим к проблеме долголетия. Опять же, эта проблема уникальна для мира Умного дома. Потому что в то время как на вашем ПК и телефоне работает программное обеспечение, созданное компаниями с большой историей и глубокими карманами, большинство устройств Smart Home этого не сделали.
Подавляющее большинство из этих компаний являются стартапами на ранних и поздних стадиях, многие из них находятся на пробной стадии своего развития. Если они отключатся, что произойдет с продуктами, которые они уже отправили? Кто будет писать обновления программного обеспечения и исправления безопасности?
Как мы уже писали в прошлом, аппаратные стартапы сложны Почему аппаратные стартапы трудны: воплощение ErgoDox в жизньВот неоднозначное мнение для вас: запуска запуска программного обеспечения легко. Аппаратное обеспечение, с другой стороны? Аппаратные стартапы сложны. Действительно трудно. Подробнее . Уже в этом году мы видели значительные увольнения на Leeo и Wink - два крупнейших стартапа умного дома. Многое другое - как Lumos - не смогли полностью оторваться от земли.
Но, пожалуй, самая большая и самая постоянная угроза безопасности «Умного дома» и «Интернета вещей» заключается в том, что эти устройства созданы так, чтобы работать дольше, чем их производители предпочли бы. Встраиваемые системы и продукты Smart Home могут работать, к счастью, долгие годы. Многие из них не работают по подписке.
Стоит ли ожидать, что Nest и Philips будут предлагать обновления до тех пор, пока Microsoft поддерживает Windows XP Что значит Windows XPocalypse для васMicrosoft собирается прекратить поддержку Windows XP в апреле 2014 года. Это имеет серьезные последствия как для бизнеса, так и для потребителей. Вот что вы должны знать, если вы все еще используете Windows XP. Подробнее ?
Из локальной сети, в огонь
Эти проблемы безопасности значительно усугубляются тем, что многие из этих устройств подключен к более широкому Интернету и удаленно доступен, тем самым вводя шведский стол безопасности проблемы.
Потому что, когда вы подключаете что-то к Интернету, вы вводите новый вектор атаки для тех, кто так мотивирован. Вместо того, чтобы подключаться к домашней сети, кто-то может просто удаленно скомпрометировать ее.
Это проще, чем вы думаете. Есть даже поисковая система для встроенных систем, называется шодан. С помощью всего нескольких нажатий клавиш вы можете найти системы, которые были открыты для Интернета по всему миру - от электростанций в Японии до веб-камер в Голландии и VoIP-телефонов в Нью-Йорке.
Простой поиск «Веб-камера» открывает тысячи удаленно доступных веб-камер. Я не получил доступ к как бы то ни было, так как это почти наверняка приведет ко мне нарушая закон о неправомерном использовании компьютеров 1990 года Закон о неправомерном использовании компьютеров: закон, криминализирующий хакерство в ВеликобританииВ Великобритании Закон о неправомерном использовании компьютеров 1990 года касается преступлений, связанных со взломом. Это противоречивое законодательство было недавно обновлено, чтобы дать британской разведывательной организации GCHQ законное право взломать любой компьютер. Даже твой. Подробнее .
Это страшно. Мы начали вводить наши дома в Интернет, и их довольно просто найти и начать целенаправленные атаки на них. Мы должны быть обеспокоены.
Так что же можно сделать?
Недостатки в безопасности, подобные обнаруженным в холодильнике Samsung для Android, всегда будут присутствовать. Пока поставщикам легко выпускать исправления и они постоянно обновляются в течение всего срока службы устройств, это не слишком большая проблема.
Но важно, чтобы мы рассмотрели другие вопросы. Необходимо приложить усилия, чтобы разработчики продуктов Smart Home и IoT знали, как разрабатывать безопасные системы. Это может быть достигнуто путем расширения контактов с сообществом безопасности.
Для этого есть ряд прецедентов. Проект OWASP (Открытый проект безопасности веб-приложений) это тот, который сразу приходит на ум. Запущенный в 2004 году, он подготовил свободно доступный учебный материал, который учит разработчиков, как создавать безопасные веб-сайты, и хакерам, как правильно тестировать безопасность веб-приложений.
Нет никаких причин, чтобы что-то подобное не могло быть создано для мира умного дома и для разработчиков Интернета вещей.
Кроме того, мы должны обеспечить обновление и обслуживание систем «Умный дом», даже если поставщики свернуты. Это можно сделать, обязав всех выпустить свой код в Эскроу исходного кодагде код выпускается, если компания заявляет о банкротстве или иным образом не может поддерживать программное обеспечение удовлетворительным образом.
И как потребители, мы должны начать требовать больше от поставщиков. Мы должны требовать, чтобы приобретаемые нами устройства поддерживались исправлениями безопасности в течение всего срока службы продукта. Мы должны ожидать, что любые проблемы безопасности будут решены быстро и решительно. Мы должны ожидать, что поставщики будут относиться к угрозам безопасности абсолютно прозрачно. И мы не должны покровительствовать поставщикам, которые не соответствуют этому скудному стандарту.
Все это относительно небольшие изменения, но нет оснований думать, что они не приведут к более безопасным устройствам Smart Home. Но что вы думаете?
Если у вас есть какие-либо мысли или есть какие-либо ужасные истории о ненадежности IoT, я хочу услышать о них. Дайте мне знать в комментариях ниже, и мы будем общаться.
Фото Кредиты: Экспериментальный комплект Arduino (Oomlout), IMG_5145 (Дж. Уолш)
Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно найти без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и следуйте за ним в твиттере на @matthewhughes.