Дом Отзывы Подключение всего к интернету: что может пойти не так?

Подключение всего к интернету: что может пойти не так?

Оглавление:

Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Ноябрь 2024)

Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Ноябрь 2024)
Anonim

Если индустрия Интернета вещей (IoT) - это орден джедаев с световыми мечами Philips Hue и «умными» облачными силами Force, то популярная учетная запись Twitter из Shit - это Лорд Ситхов. В то время, когда индустрия технологий, похоже, стремится во всем разобраться, последствия будут прокляты, Internet of Shit называет проблему новой, бесполезной электроники и подчеркивает, что некоторые из этих продуктов могут быть не такими безобидными, как мы думаем.

Я говорил с оператором аккаунта при условии анонимности, PCMag вежливости расширяется, когда мы чувствуем, что общественное благо перевешивает все другие соображения. Я буду называть этого человека IOS. Я хотел бы сказать, что я встретил IOS в затемненной парковке, но наш разговор проходил через прямые сообщения Twitter и электронную почту. Ho-гул.

Интернет-аккаунт Shit в Твиттере ориентирован на нишу и популярность. В случае, скажем, оплаты еды с помощью умной бутылки с водой, это справедливо ставит под сомнение полезность. Это подчеркивает абсурдность необходимости ждать элементарных потребностей, таких как свет и тепло, которые недоступны после того, как «умные» продукты получат обновления прошивки.

меня каждый раз, когда выходит новый гаджет pic.twitter.com/khHKAOcLbv

- Интернет Дерьма (@internetofshit) 23 января 2017

Как вы можете себе представить, Интернет Дерьма способен потратить силы на индустрию, над которой он так издевается, потому что эта индустрия близка его сердцу. «Это произошло так естественно», - сказал IOS. «Раньше я проводил много времени на Kickstarter и видел, как там развивался Интернет вещей. Казалось, что через день какой-то обыденный объект засунул в него чип, но никто, даже в средствах массовой информации, не был таким критически по этому поводу. Просто сказал бы что-то вроде: «Ух ты, мы можем наконец получить Интернет в зонтике».

IOS видит себя чем-то вроде защитника дьявола или коллективной совести для потребительской культуры. По его мнению, учетная запись в Твиттере является крайне необходимой проверкой здравомыслия в безумной критики Кремниевой долины. «Когда мы заходим слишком далеко, важный вопрос, который люди обычно забывают:« Кому это на самом деле нужно? Печь, которая не может правильно готовить без Интернета? Почему люди не проектируют эти вещи лучше? »

Но больше, чем плохой дизайн и скрытые претензии на полезность, главная забота IOS - это конфиденциальность и, в конечном счете, личная безопасность: «Однако я считаю, что IoT рискован по своей сути. Я не верю, что эти компании не будут пропускать мои данные или нет». быть жестоко взломанным в будущем."

В сообщении Medium, написанном в начале жизни аккаунта Twitter, IOS сказал, что он обеспокоен тем, что компании начнут искать способы монетизации данных, собранных в домах людей. Из этой истории: «Если бы Nest захотел увеличить прибыль, он мог бы продавать данные о состоянии вашего дома рекламодателям. Слишком холодно? Реклама Amazon для одеял. Слишком жарко? Рекламный баннер для кондиционера. Слишком влажно? Осушители воздуха в вашем Facebook».

IOS все еще поддерживает эти проблемы. «Причина, по которой IoT так привлекательна для производителей, заключается не в том, что они добавляют интеллектуальные функции в вашу жизнь - это всего лишь побочный продукт», - написал он мне. «Более того, благодаря этому они получают беспрецедентное представление о том, как эти устройства используются, например, как часто, какие функции вы используете чаще всего, и все данные, которые идут с этим».

IOS говорит, что компании IoT должны быть намного более откровенны в своих политиках сбора данных и иметь доступ к информации, которая может быть собрана этими устройствами. «Вопрос, который нам всем необходимо решить, заключается в том, какой уровень доступа мы хотим предоставить этим компаниям в обмен на данные, которые они получают, и то, кому мы доверяем, является ключевым».

На Рождество в 2016 году IOS разрешал мигать, когда его ручка упоминалась в Твиттере. Результаты были интенсивными, антиклиматичными и краткими, иллюстрируя, пожалуй, все то, что IOS ненавидит в Интернете вещей.

Интернет небезопасности

Однако гораздо хуже, чем бесполезные IoT-устройства для кошельков потребителей, их влияние на личную безопасность. Опасения IOS относительно рынка пользовательских данных, собираемых устройствами IoT, не являются надуманными (как вы думаете, как бесплатные приложения и бесплатные новостные интернет-компании зарабатывают деньги?), И уже есть другие, очень реальные угрозы.

Участники конференции Black Hat 2016 были обработаны кадрами от исследователя безопасности Эяля Ронена. Используя свои исследования, он смог захватить управление светом Philips Hue от беспилотника, парящего у офисного здания. Атака отличалась не только своими впечатляющими результатами и использованием беспилотника, но и тем, что в здании находилось несколько известных охранных компаний.

Ронен объяснил мне, что он пытается продемонстрировать, что атака на линию IoT высшего уровня возможна. «Существует множество взломов IoT, предназначенных для бюджетных устройств, которые не имеют реальной безопасности. Мы хотели проверить безопасность продукта, который должен быть безопасным», - сказал он. Он также хотел атаковать известную компанию и остановился на Philips. Ронен сказал, что взломать его было труднее, чем он первоначально думал, но он и его команда обнаружили и использовали ошибку в программном обеспечении ZigBee Light Link, стороннем коммуникационном протоколе, который использовался несколькими компаниями IoT и считался зрелой и безопасной системой.

«Он использует передовые криптографические примитивы и имеет серьезные требования безопасности», - сказал Ронен. «Но в итоге за относительно короткое время с очень дешевым оборудованием стоимостью около 1000 долларов мы смогли его сломать», - сказал Ронен.

Видео нападения Ронена (выше) показывает, что огни здания мигают последовательно, следуя его командам, посланным дистанционно через зависающий дрон. Если это произойдет с вами, это будет раздражать - возможно, не более раздражающим, чем любой из сценариев, которые IOS выделяет в своем аккаунте в Twitter. Но специалисты в области безопасности утверждают, что для безопасности IoT есть гораздо более серьезные последствия.

«В предыдущей работе мы показали, как использовать источники света для фильтрации данных из сети с воздушным зазором и вызывать эпилептические припадки, и в этой работе мы показываем, как мы можем использовать источники света для атаки на электросеть и блокирования Wi-Fi», - сказал Ронен. меня. «Интернет вещей проникает в каждую часть нашей жизни, и его безопасность может повлиять на все, от медицинских устройств до автомобилей и домов».

Недостаток стандартов

Атака Ронена воспользовалась преимуществом близости, но главный исследователь безопасности Александр Балан из Bitdefender выделил много других ошибок безопасности, которые возникают в некоторых устройствах IoT. По его словам, жестко закодированные пароли особенно проблематичны, равно как и устройства, настроенные для доступа из открытого Интернета.

Именно эта комбинация доступности интернета и простых паролей по умолчанию привела к хаосу в октябре 2016 года, когда ботнет Mirai отключил основные сервисы, такие как Netflix и Hulu, или сделал их настолько медленными, что их невозможно было использовать. Несколько недель спустя вариант Mirai ограничил доступ в Интернет во всей стране Либерии.

«Худшее из них - устройства, которые напрямую подключены к Интернету с учетными данными по умолчанию», - сказал Балан. «Его можно найти с помощью поисковых систем IoT, таких как Shodan, или просто просканировав Интернет и получив доступ к ним с помощью admin admin, admin 1234 и т. д.», - продолжил Балан, приводя примеры чрезмерно упрощенных и легко угадываемых паролей. Поскольку эти устройства имеют минимальную защиту и могут быть атакованы из Интернета, процесс их заражения может быть автоматизирован, что приведет к тысячам или миллионам поврежденных устройств.

Вскоре после появления новостей о Mirai я посмотрел на этот сценарий и обвинил IoT-индустрию в игнорировании предупреждений о плохой аутентификации и ненужной онлайн-доступности. Но Балан не пошел бы так далеко, чтобы назвать эти недостатки очевидными. «Необходимо выполнить обратный инжиниринг прошивки для извлечения этих учетных данных, но очень часто они находят жестко закодированные учетные данные в устройствах. Причина этого заключается в том, что во многих случаях нет стандартов, когда речь идет о IoT безопасность."

Подобные уязвимости возникают, предположил Балан, потому что компании IoT работают самостоятельно, без общепринятых стандартов или опыта в области безопасности. «Построить его проще так. И вы можете сказать, что они срезают углы, но главная проблема в том, что они не ищут, как правильно его построить безопасным способом. Они просто пытаются это сделать. работать должным образом."

Даже когда компании разрабатывают исправления для атак, подобные обнаруженному Роненом, некоторые устройства IoT не могут применять автоматические обновления. Это возлагает на потребителей обязанность самостоятельно находить и применять исправления, что может быть особенно опасным для устройств, которые не предназначены для обслуживания.

Но даже с устройствами, которые могут быть легко обновлены, уязвимости все еще существуют. Несколько исследователей показали, что не все разработчики IoT подписывают свои обновления криптографической подписью. Подписанное программное обеспечение зашифровано частной половиной асимметричного криптографического ключа, принадлежащего разработчику. Устройства, получающие обновление, имеют открытую половину ключа, который используется для расшифровки обновления. Это гарантирует, что обновление является официальным и не было подделано, поскольку для подписания вредоносного обновления или изменения обновления программного обеспечения потребуется секретный ключ разработчика. «Если они не подпишут свои обновления цифровой подписью, их можно будет украсть, они могут быть подделаны; в эти обновления может быть введен код», - сказал Балан.

Помимо простого включения и выключения света, Балан сказал, что зараженные устройства IoT можно использовать как часть ботнета, как это было в случае с Mirai, или в гораздо более коварных целях. «Я могу извлечь ваши учетные данные Wi-Fi, поскольку вы, очевидно, подключили его к своей сети Wi-Fi и, как и устройство Linux, я могу использовать его для поворота и запуска атак в вашей беспроводной сети.

«Внутри вашей собственной локальной сети механизмы аутентификации слабы», - продолжил Балан. «Проблема с локальной сетью заключается в том, что, как только я нахожусь в вашей частной сети, я могу получить доступ почти ко всему, что там происходит». По сути, поврежденный IoT становится плацдармом для атак на более ценные устройства в той же сети, такие как сетевое хранилище или персональные компьютеры.

Возможно, это говорит о том, что индустрия безопасности начала присматриваться к IoT. За последние несколько лет на рынке появилось несколько продуктов, претендующих на защиту устройств IoT от атак. Я видел или читал о нескольких таких продуктах и ​​рассмотрел предложение Bitdefender. Вызывается Bitdefender Box, устройство подключается к вашей существующей сети и обеспечивает антивирусную защиту для каждого устройства в вашей сети. Он даже проверяет ваши устройства на наличие потенциальных слабых мест. В этом году Bitdefender выпустит вторую версию своего устройства Box. Norton представит свое собственное предложение (ниже), которое может похвастаться глубокой проверкой пакетов, в то время как F-Secure также анонсировала аппаратное устройство.

Будучи одним из первых на рынке, Bitdefender занимает уникальную позицию в области безопасности программного обеспечения, а затем разрабатывает потребительское оборудование, которое, вероятно, будет безупречно безопасным. Как это было? «Это было очень трудно», ответил Балан.

В Bitdefender есть программа вознаграждения за ошибки (денежное вознаграждение, предлагаемое программистам, которые обнаруживают и предоставляют решение для ошибок на веб-сайте или в приложении), которые, как подтвердил Балан, помогли в разработке Box. «Ни одна компания не должна быть настолько высокомерной, чтобы полагать, что она может найти все ошибки самостоятельно. Вот почему существуют программы, предлагающие количество ошибок, но проблема с аппаратным обеспечением заключается в том, что внутри самих чипов могут быть черные ходы».

«Мы знаем, на что обращать внимание и на что смотреть, и у нас фактически есть команда аппаратного обеспечения, которая может разобрать и изучить каждый из компонентов на этой плате. К счастью, эта плата не такая большая».

Это не все дерьмо

Легко сбрасывать со счетов всю индустрию, основанную на ее худших актерах, и то же самое можно сказать об Интернете вещей. Но Джордж Йианни, глава департамента домашних систем Philips Lighting, считает эту точку зрения особенно разочаровывающей.

«С самого начала мы относились очень серьезно. Это новая категория. Мы должны строить доверие, и это на самом деле подрывает доверие. И именно поэтому я считаю, что самый большой позор для продуктов, которые не сделали такую ​​хорошую работу, - это то, что подрывает доверие к общей категории. Любой продукт может быть сделан плохо. Это не критика всей отрасли ".

Как это часто бывает в отношении безопасности, то, как компания реагирует на атаку, часто важнее, чем последствия самой атаки. В случае атаки беспилотного летательного аппарата на устройства Philips Янни объяснил, что Ронен представил свои выводы в рамках существующей в компании программы раскрытия информации. Это процедуры, которые позволяют компаниям отреагировать на обнаружение исследователя безопасности, прежде чем оно будет опубликовано. Таким образом, потребители могут быть уверены, что они в безопасности, и исследователи получают славу.

Ронен обнаружил ошибку в стеке стороннего программного обеспечения, сказал Янни. В частности, это была часть стандарта ZigBee, которая ограничивает связь с устройствами в пределах двух метров. Работа Ронена, как вы помните, смогла взять контроль на расстоянии - 40 метров со стандартной антенной и 100 метров с усиленной антенной. Благодаря ответственной программе раскрытия информации, Янни сказал, что Philips удалось развернуть патч на свет в поле, прежде чем Ронен рассказал миру об атаке.

Видя, как многие компании сталкиваются с нарушениями общественной безопасности или результатом работы исследователя в области безопасности, ответ Янни и Филипса может показаться нереальным, но он действительно имел успех. «Все наши продукты являются программно обновляемыми, так что все можно исправить», - сказал мне Янни. «Другое дело, что мы проводим оценку рисков безопасности, аудит безопасности, тестирование на проникновение во всех наших продуктах. Но затем мы также запускаем эти ответственные процессы раскрытия информации, так что, если что-то случится, мы сможем узнать заранее и исправить это очень быстро.

«У нас есть целый процесс, в котором мы можем передавать обновления программного обеспечения от всего нашего облака до и распространять его на все источники света. Это очень важно, потому что пространство движется так быстро, и это продукты, которые будут работать 15 лет. И если мы собираемся убедиться, что они все еще актуальны с точки зрения функциональности и быть достаточно безопасными для последних атак, нам нужно это иметь ».

В своей переписке со мной Ронен подтвердил, что Philips действительно проделал замечательную работу по обеспечению системы освещения Hue. «Philips приложил удивительные усилия для обеспечения безопасности», - сказал мне Ронен. «Но, к сожалению, некоторые из базовых предположений безопасности, которые основывались на реализации защиты чипов Atmel, были неверными». Как отметил Балан в работе Bitdefender над Box, каждый аспект устройства IoT подвергается атаке.

Philips также разработала центральный концентратор - устройство, необходимое для координации сетей продуктов Philips IoT, - чтобы он был недоступен из открытого Интернета. «Все подключения к Интернету инициируются с устройства. Мы никогда не открываем порты на маршрутизаторах и не делаем так, чтобы устройство в Интернете могло напрямую общаться с ним», - пояснил Янни. Вместо этого концентратор отправляет запросы в облачную инфраструктуру Philips, которая отвечает на запрос, а не наоборот. Это также позволяет Philips добавлять дополнительные слои для защиты пользовательских устройств без необходимости проникновения в их дом и внесения каких-либо изменений. «Невозможно обмениваться данными с внешним концентратором, если вы не перенаправлены через это облако, где мы можем создать дополнительные уровни безопасности и мониторинга».

Янни объяснил, что все это было частью многослойного подхода Philips к защите системы освещения Hue. Поскольку система состоит из нескольких разных частей - от оборудования внутри лампочек до программного и аппаратного обеспечения в Hue Hub до приложения в телефонах пользователей - на всех уровнях должны быть приняты различные меры. «Всем им нужны разные меры безопасности, чтобы обеспечить их безопасность. Все они имеют разные уровни риска и уязвимости. Поэтому мы принимаем разные меры для всех этих разных частей», - сказал Янни.

Это включало в себя тестирование на проникновение, а также дизайн снизу вверх, предназначенный для предотвращения атак. «Там нет глобальных паролей, как то, что использовалось в этом бот-сети Mirai», - сказал Янни. Вредоносная программа Mirai имела десятки паролей по умолчанию, которые она использовала бы при попытке захватить устройства IoT. «У каждого есть уникальные, асимметрично подписанные ключи для проверки встроенного программного обеспечения, и все такое. Одно устройство имеет модифицированное аппаратное обеспечение, от этого нет глобального риска», - пояснил он.

Это также относится к стоимости устройств IoT. «Многие из этих продуктов, как правило, предназначены для обеспечения связи», - сказал он. «Потребность в автоматизации всего, что находится внутри вашего дома, не является проблемой, с которой сталкиваются многие потребители, и это очень сложно понять. Мы думаем, что продукты, которые хорошо работают, предлагают те, которые легче понять потребителям».

Непреодолимый Интернет вещей

Знание рисков, связанных с IoT, и даже признание его легкомысленности, конечно же, не помешало людям покупать интеллектуальное освещение, такое как Philips Hue, постоянные дома помощники, такие как Google Home или Amazon Echo, и, конечно же, умные бутылки с водой. Даже оператор Интернета Shit является огромным фанатом IoT.

«Настоящая ирония в Интернете дерьма заключается в том, что я не люблю эти устройства», - сказал IOS. «Я ранний последователь и работаю в области технологий, поэтому большую часть времени я не могу устоять перед этими вещами». IOS перечисляет в своем футуристическом домашнем удобстве подключенные светильники Philips, термостат Tado, трекер сна Sense, интеллектуальные динамики, камеру Canary и разъемы, подключенные к Wi-Fi.

«Я знаю, что этот счет случайно оказался намного больше, чем я когда-либо мог себе представить, и я никогда не хочу отговаривать людей переходить на технологии - я думаю, что экспериментирование с глупыми идеями - это то, как прекрасные идеи могут родиться, и это нечто что Симона Герц научила меня немного, "сказал IOS.

Giertz, абсурдистский робот-робот и YouTuber, является умом позади Shitty Robots. Ее творения включают в себя беспилотник, который подстригает - или, скорее, терпит неудачу, - и массивную шляпу, которая резко помещает солнцезащитные очки на ее лице. Думайте об этом как Рубе Голдберг со здоровой дозой цинизма Силиконовой долины.

Человек за IOS действительно сообщает, что он пытается обуздать свои инстинкты раннего усыновителя в эти дни. «Я думаю, что момент, когда я должен был обновить прошивку своих лампочек, чтобы включить их, был для меня чем-то осознанным…»

Балан из Bitdefender сказал, что он использует лампочки, которые используются в качестве повторителей Wi-Fi. Эти устройства распространяют как свет, так и Wi-Fi на каждый уголок его дома. Но они также загружены многими уязвимостями, которые он высмеял, включая слабые пароли по умолчанию. Однако, когда дело доходит до IoT, он остается неустрашимым.

«Это как секс», - сказал он мне. «Вы бы не сделали это без презерватива. Нам нравится секс, секс - это здорово, мы не собираемся отказываться от секса только потому, что это опасно. Но мы будем использовать защиту, когда будем это делать». Вместо того, чтобы впадать в паранойю, он считает, что потребители должны полагаться на компании по обеспечению безопасности и образованных друзей, которые могут определить компании, которые серьезно относятся к безопасности с помощью множества ошибок и безопасных, частых инструментов обновления.

А хакер-пилот пилот Ронен использует IoT? «В настоящее время нет», - сказал он. «Я боюсь, что это повлияет на мою конфиденциальность и безопасность. И выгоды не достаточно высоки для моих нужд».

Даже ваш скромный автор, который годами сопротивлялся песне о сирене говорящих детекторов дыма и меняющих цвет фонарей, начал рушиться. Недавно, чтобы украсить офис на праздники, я обнаружил, что настраиваю три отдельных интеллектуальных источника света. Результат был ужасающе, неимоверно красив.

Между тем, в моей корзине покупок Amazon появился новый светильник Philips Hue. Скоро я нажму кнопку.

Подключение всего к интернету: что может пойти не так?