У дома Отзиви Свързване на всичко с интернет: какво може да се обърка?

Свързване на всичко с интернет: какво може да се обърка?

Съдържание:

Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноември 2024)

Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноември 2024)
Anonim

Ако индустрията на Интернет на нещата (IoT) е поръчката на джедаите, с лампи на Philips Hue и "интелигентни" облачни сили на сила, тогава популярният акаунт в Twitter Internet of Shit е лорд на сит. Във време, когато технологичната индустрия изглежда нетърпелива да въведе чип във всичко, последствията да бъдат проклети, Internet of Shit поставя име на проблема с нова, безполезна електроника и подчертава, че някои от тези продукти може да не са толкова доброкачествени, колкото си мислим.

Разговарях с оператора на акаунта при условие за анонимност, любезността на PCMag се разширява, когато чувстваме, че общественото благо надвишава всички други съображения. Ще се позова на този човек като IOS. Бих искал да кажа, че срещнах IOS в затъмнен гараж, но разговорът ни се проведе чрез директно съобщение и имейл от Twitter. Хо-бучене.

Акаунтът на Twitter на Shit в Twitter се фокусира върху нишата и популярното. В случай на, да речем, заплащане на храна с помощта на интелигентна бутилка за вода, правилно поставя под въпрос полезността. Той подчертава абсурда да се налага да чакаме основни нужди, като например светлина и топлина, които не са достъпни, след като „умните“ продукти получават актуализации на фърмуера.

всеки път, когато излезе нова джаджа pic.twitter.com/khHKAOcLbv

- Интернет на лайна (@internetofshit) 23 януари 2017 г.

Както можете да си представите, Интернет на лайна е в състояние да изясни индустрията, с която се подиграва толкова ефективно, защото тази индустрия е близо до сърцето му. "Това се случи толкова естествено", каза IOS. "Прекарах много време на Kickstarter и видях възхода на Интернет на нещата там. Изглежда, че всеки друг ден всеки обикновен обект е вкарал чип в него, но никой - дори в медиите - не е това критични за това. Просто ще кажа неща като: "Леле, най-накрая можем да вземем интернет под чадър."

IOS вижда себе си като нещо като защитник на дявола или колективна съвест за потребителската култура. Според него акаунтът в Twitter е много необходима проверка за здрав разум на фалшивия оптимизъм на Силиконовата долина. "Когато отидем твърде далеч, важният въпрос, който хората обикновено забравят е: Кой всъщност се нуждае от това? Фурна, която не може да готви правилно без интернет? Защо хората не проектират тези неща по-добре?"

Но повече от лош дизайн и скъпоценни претенции за полезност, основната грижа на IOS е една от неприкосновеността на личния живот и в крайна сметка - личната сигурност: „Все пак аз считам, че IoT е по-рискован. Не вярвам на тези компании да не изтеглят данните си или не да бъде силно хакнат в бъдеще."

В съобщение на Medium, написано в началото на живота на акаунта в Twitter, IOS заяви, че се притеснява, че компаниите ще започнат да търсят начини за осигуряване на приходи от данни, събрани от домовете на хората. От тази история: "Ако Nest искаше да увеличи печалбите, може да продаде данните на околната среда на дома ви на рекламодатели. Твърде студено? Реклами в Amazon за одеяла. Твърде горещо? Рекламна банер за климатик. Твърде влажно? Изсушителите във вашия Facebook."

IOS все още стои зад тези проблеми. „Причината IoT да е толкова завладяваща за производителите е, че те добавят интелигентни функции към живота ви - това е просто страничен продукт“, написа той. „Нещо повече, като правят това, те получават безпрецедентен поглед върху това как се използват тези устройства, като например колко често, какви функции използвате най-много и всички данни, които идват с това.“

IOS казва, че IoT компаниите трябва да бъдат много по-напред в своите политики за събиране на данни и кой да има достъп до информация, която може да бъде събрана от тези устройства. „Въпросът, който всички ние трябва да решим, е какво ниво на достъп сме готови да дадем на тези компании в замяна на получените данни - и на кого се доверяваме с това е от ключово значение“.

На Коледния ден през 2016 г. IOS даде възможност светлините му да мигат, когато дръжката му беше спомената в Twitter. Резултатите бяха интензивни, антиклиматични и кратки, илюстриращи може би всичко, което IOS ненавижда в Интернет на нещата.

Интернет на несигурността

Далеч по-лош от ефекта безполезни IoT устройства върху портфейлите на потребителите обаче е ефектът, който имат върху личната сигурност. Страховете на IOS от пазар на потребителски данни, събирани от устройства на IoT, не са нагледни (как мислите, че безплатните приложения и безплатните интернет новини компании печелят пари?), А вече има и други, много реални заплахи.

Участниците на конференцията Black Hat 2016 бяха лекувани с кадри от изследователя по сигурността Ейал Ронен. Използвайки своето изследване, той успя да овладее светлините на Philips Hue от дрон, който виси извън офис сграда. Атаката бе забележителна не само заради драматичните си резултати и използването на дрон, но и защото сградата беше дом на няколко известни охранителни компании.

Ронен ми обясни, че се опитва да демонстрира, че е възможна атака срещу най-високо ниво на IoT устройства. "Има много хакове от IoT, насочени към устройства от нисък клас, които нямат реална сигурност. Искахме да тестваме сигурността на продукт, който трябва да е безопасен", каза той. Той също имал желание да атакува известна компания и се заселил на Philips. Ронен каза, че е по-трудно да се пропука, отколкото първоначално смяташе, но той и неговият екип откриха и използваха грешка в софтуера ZigBee Light Link, протокол за комуникация на трети страни, използван от няколко IoT компании и считан за зряла и сигурна система.

"Той използва напреднали криптографски примитиви и има силни претенции за сигурност", каза Ронен. „Но накрая, за сравнително кратко време с много евтин хардуер на стойност около 1000 долара, успяхме да го счупим“, каза Ронен.

Видео на атаката на Ронен (по-горе) показва светлините на сградата мигащи последователно, следвайки командите му, изпратени отдалечено чрез летящ дрон. Ако това се случи с вас, би било досадно - може би не по-досадно от всеки от сценариите, които IOS подчертава в акаунта му в Twitter. Но специалистите по сигурността твърдят, че има много по-големи последици за сигурността на IoT.

"В предишна работа показахме как да използваме светлини, за да ексфилтрираме данни от мрежата с въздух и да предизвикаме епилептични припадъци. В тази работа показваме как можем да използваме светлини за атака на електрическата мрежа и засядане на Wi-Fi", каза Ронен мен. "IoT навлиза във всяка част от нашия живот и сигурността на него може да повлияе на всичко - от медицински изделия до автомобили и домове."

Липса на стандарти

Атаката на Ронен се възползва от близостта, но главният изследовател по сигурността Александру Балан в Bitdefender очерта много други грешки в сигурността, които се появяват в някои IoT устройства. Според него твърдо кодираните пароли са особено проблематични, както и устройствата, които са конфигурирани да бъдат достъпни от отворения интернет.

Именно тази комбинация от достъпност до интернет и прости пароли по подразбиране предизвика хаос през октомври 2016 г., когато ботнетът на Mirai взе основни услуги като Netflix и Hulu или офлайн, или ги направи толкова бавни, че да бъдат неизползваеми. Няколко седмици по-късно вариант на Мирай заглуши достъпа до интернет в цялата нация Либерия.

"Най-лошото от тях са устройства, които са директно изложени на интернет с идентификационни данни по подразбиране", каза Балан. „може да се намери с търсачки на IoT като Shodan или просто да обхождате интернет и да ги осъществявате с администратор админ, администратор 1234 и т.н.“, продължи Балан, изброявайки примери за прекалено опростени и лесно разбираеми пароли. Тъй като тези устройства имат минимална сигурност и могат да бъдат атакувани от интернет, процесът на заразяването им може да бъде автоматизиран, което води до хиляди или милиони повредени устройства.

Не след дълго новината за Мираи се прекъсна, аз погледнах този сценарий и обвиних IoT индустрията, че игнорира предупрежденията за лоша автентификация и ненужна достъпност онлайн. Но Балан нямаше да стигне толкова далеч, че да нарече тези недостатъци очевидни. "трябва да направят обратен инженеринг на фърмуера, за да извлекат тези идентификационни данни, но много често се случва те да намерят твърдо кодирани идентификационни данни в устройствата. Причината за това е, че в много случаи няма стандарти, когато става въпрос за IoT сигурност “.

Уязвимости като тези възникват, хипотезира Балан, защото IoT компаниите работят самостоятелно, без общоприети стандарти или експертиза в областта на сигурността. "По-лесно е да го изградиш по този начин. И можеш да кажеш, че те режат ъгли, но основният проблем е, че не търсят как правилно да го построят по сигурен начин. Те просто се опитват да го направят работи правилно."

Дори когато компаниите разработват поправки за атаки като тази, открита от Ронен, някои IoT устройства не могат да прилагат автоматични актуализации. Това налага на потребителите сами да намерят и прилагат пластири, което може да бъде особено обезсърчително на устройства, които не са предназначени за обслужване.

Но дори и при устройства, които могат лесно да се актуализират, уязвимостите все още съществуват. Няколко изследователи показаха, че не всички разработчици на IoT подписват своите актуализации с криптографски подпис. Подписаният софтуер е криптиран с частната половина на асиметричен криптографски ключ, собственост на разработчика. Устройствата, получаващи актуализацията, имат публичната половина на ключа, който се използва за декриптиране на актуализацията. Това гарантира, че актуализацията е официална и не е подправена, тъй като подписването на злонамерена актуализация или промяна на актуализацията на софтуера ще изисква секретния ключ на програмиста. "Ако не подпишат цифрово своите актуализации, те могат да бъдат отвлечени, могат да бъдат подправени; кодът може да бъде инжектиран в тези актуализации", каза Балан.

Отвъд простото включване и изключване на светлините, Балан каза, че заразените IoT устройства могат да се използват като част от ботнет, както се вижда с Mirai, или за далеч по-коварни цели. „Мога да извлека вашите Wi-Fi идентификационни данни, тъй като очевидно сте го закачили към вашата Wi-Fi мрежа и това, че е както е Linux кутия, мога да го използвам, за да въртя и да стартирам атаки във вашата безжична мрежа.

„В поверителността на вашата собствена LAN мрежа механизмите за удостоверяване са слаби“, продължи Балан. "Проблемът с LAN е, че след като съм във вашата частна мрежа, мога да имам достъп до почти всичко, което се случва там." В действителност, корумпираният IoT се превръща в плаж за атаки на по-ценни устройства в същата мрежа, като мрежово прикачено хранилище или персонални компютри.

Може би това говори, че индустрията за сигурност е започнала да разглежда внимателно IoT. През последните няколко години няколко продукта излязоха на пазара с претенции за защита на IoT устройства от атака. Видях или прочетох за няколко такива продукта и прегледах офертата на Bitdefender. Наречено Bitdefender Box, устройството се свързва към съществуващата ви мрежа и осигурява антивирусна защита за всяко устройство във вашата мрежа. Той дори изследва вашите устройства за потенциални слабости. Bitdefender ще пусне втората версия на своето устройство Box тази година. Norton ще влезе в собствената си оферта (по-долу), като се похвали с дълбока проверка на пакетите, докато F-Secure също обяви хардуерно устройство.

Като един от първите, които пускат на пазара, Bitdefender е в уникалната позиция да има опит в сигурността на софтуера - и след това да проектира потребителски хардуер, който, вероятно, би бил безупречно сигурен. Как беше това преживяване? "Беше много трудно", отговори Балан.

Bitdefender има програма за багъри (парична награда, предлагана на програмисти, които разкриват и предоставят решение на грешка в уебсайт или в приложение), което Балан потвърди, че е помогнало за развитието на кутията. "Никоя компания не трябва да бъде достатъчно арогантна, за да повярва, че може да намери всички грешки самостоятелно. Ето защо съществуват програми за натрупване на бъгове, но предизвикателството с хардуера е, че може да има заден план в рамките на действителните чипове."

"Ние знаем какво да търсим и какво да гледаме и всъщност имаме хардуерен екип, който може да се раздели и да разгледа всеки един от компонентите на тази платка. За щастие, тази платка не е толкова голяма."

Не е всичко лайно

Лесно е да се откаже цяла индустрия въз основа на най-лошите си участници, а същото е и за Интернет на нещата. Но Джордж Яни, ръководителят на отдела за технологии, домашни системи, Philips Lighting, смята това мнение за особено смущаващо.

"Ние взехме много сериозно от самото начало. Това е нова категория. Трябва да изградим доверие, а те всъщност вредят на доверието. И това е причината да мисля, че най-големият срам от продуктите, които не са свършили толкова добра работа, е, че ерозира доверието в общата категория. Всеки продукт може да бъде направен лошо. Това не е критика на цялостната индустрия."

Както често се случва за сигурността, как една компания реагира на атака, често е по-важна от ефектите от самата атака. В случай на атака с дронове върху устройства на Philips, Yianni обясни, че Ronen е представил своите заключения чрез съществуващата програма на компанията за отговорно разкриване. Това са процедури, които се въвеждат, за да се даде време на компаниите да отговорят на откритието на изследовател по сигурността, преди да бъде оповестено публично. По този начин потребителите могат да бъдат сигурни, че са в безопасност и изследователите получават славата.

Ронен е намерил грешка в стека на софтуер на трети страни, каза Yianni. По-конкретно, това беше частта от стандарта ZigBee, която ограничава комуникацията до устройства в рамките на два метра. Както си спомняте, работата на Ронен успя да поеме контрола от разстояние - на 40 метра със стандартна антена и на 100 метра с усилена антена. Благодарение на програмата за отговорно разкриване, Yianni каза, че Philips е успял да разгърне кръпка към светлините в полето, преди Ронен да разкаже на света за атаката.

След като видях много компании да се преборят с нарушаване на обществената сигурност или резултат от работата на изследователя по сигурността, отговорът на Yianni и Philips може да звучи като след фактическото потъпкване - но наистина имаше успех. "Всички наши продукти са актуализирани за софтуер, така че нещата да могат да се оправят", каза ми Yianni. „Другото нещо, което правим оценка на риска за сигурността, одити за сигурност, тестове за проникване на всички наши продукти. Но след това провеждаме и тези отговорни процеси за разкриване, така че ако нещо се случи, ще можем да разберем предварително и да поправим много бързо.

"Имаме цял процес, при който можем да избутаме актуализации на софтуера от целия ни облак надолу и да го разпространяваме към всички светлини. Това е супер важно, защото пространството се движи толкова бързо и това са продукти, които ще продължат 15 години И ако ще се уверим, че те все още са от значение по отношение на функционалността и за да бъдем достатъчно сигурни за най-новите атаки, трябва да имаме това."

В кореспонденцията си с мен Ронен потвърди, че Philips наистина е свършил възхитителна работа, обезпечавайки осветителната система на Hue. „Philips положи неочаквани усилия за осигуряването на светлините“, каза ми Ронен. „Но за съжаление, някои от основните предположения за сигурност, които разчитаха на основното внедряване на сигурността на чипа на Atmel, бяха грешни“. Както Балан посочи с работата на Bitdefender върху Box, всеки аспект на IoT устройството е обект на атака.

Philips също така проектира централния концентратор - устройството, необходимо за координиране на мрежи от продукти на Philips IoT - да е недостъпно от отворения интернет. "Всички връзки към интернет се инициират от устройството. Никога не отваряме портове на рутери или го правим така, че дадено устройство в интернет да може директно да говори с", обясни Yianni. Вместо това Hub изпраща заявки към облачната инфраструктура на Philips, която отговаря на заявката вместо обратното. Това също позволява на Philips да добавя допълнителни слоеве, за да защити потребителските устройства, без да се налага да посегне в дома им и да направи някакви промени. „Не е възможно да се комуникира с извън центъра, освен ако не сте препратени през този облак, където можем да изградим допълнителни слоеве за сигурност и наблюдение.“

Yianni обясни, че всичко това е част от многопластов подход, който Philips използва за осигуряване на осветителната система Hue. Тъй като системата е съставена от няколко различни части - от хардуера вътре в крушките до софтуера и хардуера на Hue Hub до приложението в телефоните на потребителите - трябваше да се предприемат различни мерки на всички нива. "Всички те се нуждаят от различни мерки за сигурност, за да ги запазят. Всички те имат различни нива на риск и уязвимост. Така че ние правим различни мерки за всички тези различни части", каза Yianni.

Това включваше тестване за проникване, но и дизайн отдолу нагоре, предназначен да осуети нападателите. "Няма глобални пароли като това, което се използва в този ботнет на Mirai", каза Yianni. Зловредният софтуер Mirai имаше десетки пароли по подразбиране, които би използвал при опит да превземе IoT устройства. "Всеки има уникални, асиметрично подписани ключове за проверка на фърмуера. Всичко това. Едно устройство с хардуерно изменение няма глобален риск от това", обясни той.

Това важи и за стойността на IoT устройства. "Много от тези продукти са склонни към свързаност в името на свързаността", каза той. „Необходимостта от автоматизиране на всичко вътре в дома ви не е проблем, който много потребители имат, и това е много трудно да си вървите главата. Смятаме, че продуктите, които се справят добре, са тези, които предлагат по-лесна за разбиране стойност за потребителите.“

Неустоимият Интернет на нещата

Познаването на рисковете за IoT и дори признаването на неговата лекомислие, със сигурност не е спряло хората да купуват интелигентно осветление като Philips Hue, винаги да слушат домашни помощници като Google Home или Amazon Echo и да, умни бутилки с вода. Дори операторът на Интернет на лайна е огромен фен на IoT.

„Истинската ирония зад интернет на Shit е, че съм гадник за тези устройства“, каза IOS. "Аз съм ранен асистент и работя в технологиите, така че много време не мога да устоя на тези неща." IOS изброява свързаните с Philips светлини, термостата Tado, следенето за сън Sense, умните високоговорители, камерата Canary и щепселите, свързани с Wi-Fi, сред неговите футуристични домашни удобства.

„Наясно съм, че акаунтът е станал случайно далеч по-голям, отколкото някога съм си представял, и никога не искам да обезкуража хората да навлизат в технологии - мисля, че експериментирането с тъпи идеи е как могат да се родят страхотни идеи, което е нещо че Симоне Гиерц ме научи на малко “, каза IOS.

Giertz, абсурдист роботолог и YouTuber, е умът зад Shitty Robots. Нейните творения включват дрон, който дава прически - или по-скоро не успява - и масивна шапка, която драматично поставя слънчеви очила на лицето й. Мислете за това като Рубе Голдбърг със здравословна доза цинизъм в Силиконовата долина.

Човекът, който стои зад IOS, съобщава, че се опитва да овладее своите инстинкти за ранно възприемане в наши дни. "Мисля, че моментът, в който трябваше да актуализирам фърмуера на моите крушки, за да ги включа, беше малко реализация за мен…"

Баланът на Bitdefender каза, че използва крушки, които се удвояват като Wi-Fi ретранслатори. Тези устройства се простират както на светлина, така и на Wi-Fi до всяко кътче от дома му. Но те също са заредени с много от уязвимостите, които той избягва, включително слаби пароли по подразбиране. Когато става въпрос за IoT обаче, той остава непокътнат.

"Това е като секс", каза ми той. "Не бихте се справили без презерватив. Харесваме секса, сексът е страхотен, няма да се отказваме от секс само защото е опасно. Но ще използваме защита, когато го правим." Вместо да изпадне в параноя, той смята, че потребителите трябва да разчитат на охранителни компании и образовани приятели, които могат да идентифицират компаниите, които приемат сериозно сигурността, с бъгове и сигурни, чести инструменти за актуализиране.

И използван ли е безпилотният пилотен хакер Ронен? "В момента не", каза той. "Страхувам се от ефекта, който има върху личния живот и сигурността ми. И ползите не са достатъчно високи за моите нужди."

Дори вашият скромен автор, който от години се съпротивлява на песента на сирената от говорещи детектори за дим и променящи се цветове, започна да се руши. Наскоро, в стремежа си да създам офиса за празниците, открих, че поставям три отделни умни светлини. Резултатът беше ужасяващо, завладяващо красив.

Междувременно чисто нова светлина на Philips Hue седи в моята кошница за пазаруване на Amazon. Някой ден скоро ще натисна бутона.

Свързване на всичко с интернет: какво може да се обърка?