Obsah:
Video: Nebezpečenstvo Internetu - Animovaný Dokument CZ/SK (Septembra 2024)
Ak je odvetvie internetu vecí (IoT) v poriadku Jedi, s pomocou svetelných zdrojov Philips Hue a „inteligentných“ síl sily založených na cloude je populárny Twitter účet Internet of Shit Sith Lord. V čase, keď sa zdá, že technologický priemysel túži dať čip do všetkého, následky by sa mali prekliknúť, Internet Shit kladie názov problému novej, zbytočnej elektroniky a zdôrazňuje, že niektoré z týchto výrobkov nemusia byť také neškodné, ako si myslíme.
Internetový účet služby Shit's Twitter sa zameriava na výklenok a populárny. V prípade, že napríklad platíte za jedlo pomocou inteligentnej fľaše na vodu, oprávnene spochybňuje tento nástroj. Zdôrazňuje absurditu nutnosti čakať na základné potreby, ako je svetlo a teplo, ktoré nie sú k dispozícii, keď „inteligentné“ produkty dostanú aktualizácie firmvéru.
ma zakaždým, keď vyjde nový modul gadget pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23. januára 2017
Ako si možno viete predstaviť, internet Shit je schopný vynaliezať priemysel, ktorý sa vysmieva tak účinne, pretože tento priemysel je blízko jeho srdca. „Stalo sa to tak prirodzene, “ povedal IOS. „Strávil som veľa času na Kickstarterovi a videl som tam vzrast internetu vecí. Vyzeralo to, že každý druhý svetový predmet mal doňho strčený čip, ale nikto - dokonca ani v médiách - nebol tým, že kriticky o tom. len by povedali veci ako: „Páni, konečne môžeme internet dáždnik dostať.“ “
IOS sa považuje za niečo za diablovho obhajcu alebo kolektívne svedomie pre spotrebiteľskú kultúru. V jeho očiach je účet Twitter veľmi potrebnou kontrolou zdravého rozumu v prípade faux-optimizmu v Silicon Valley. „Keď ideme príliš ďaleko, dôležitou otázkou, na ktorú ľudia zvyknú zabudnúť, je: Kto to vlastne potrebuje? Rúra, ktorá nedokáže správne variť bez internetu? Prečo ľudia nenavrhujú tieto veci lepšie?“
Ale viac ako zlý návrh a veľké nároky na užitočnosť, je hlavným záujmom IOS ochrana súkromia a v konečnom dôsledku aj osobná bezpečnosť: „IoT však považujem za inherentne riskantné. byť v budúcnosti prísne hacknutý. ““
V denníku Medium uverejnenom začiatkom života účtu Twitter IOS uviedol, že sa obáva, že spoločnosti začnú hľadať spôsoby, ako speňažiť údaje získané z domovov ľudí. Z tohto príbehu: „Ak by spoločnosť Nest chcela zvýšiť zisky, mohla by inzerentom predať údaje o vašom domácom prostredí. Príliš chladno? Amazonky na prikrývky. Príliš horúce?
IOS stále stojí za týmito obavami. „Dôvodom, prečo je internet vecí tak presvedčivý pre výrobcov, nie je to, že do vášho života pridávajú inteligentné funkcie - to je len vedľajší produkt, “ napísal mi. „Je to viac, že tým získajú bezprecedentný prehľad o tom, ako sa tieto zariadenia používajú, ako napríklad o tom, ako často, ktoré funkcie najviac využívate, a o všetkých údajoch, ktoré s tým súvisia.“
IOS hovorí, že spoločnosti IoT musia byť oveľa podrobnejšie o svojich politikách zhromažďovania údajov a majú prístup k informáciám, ktoré môžu tieto zariadenia zhromažďovať. „Otázka, ktorú musíme všetci rozhodnúť, je, akú úroveň prístupu sme ochotní poskytnúť týmto spoločnostiam výmenou za údaje, ktoré získajú - a tomu, komu dôverujeme, je kľúčové.“
Na Štedrý deň v roku 2016 umožnil IOS, aby jeho svetlá blikali vždy, keď bola jeho rukoväť uvedená na Twitteri. Výsledky boli intenzívne, anticlimacticic a stručné, ilustrujú snáď všetko, čo IOS nenávidí o internete vecí.
Internet neistoty
Avšak oveľa horšie, než aký majú zbytočné zariadenia internetu vecí na peňaženky spotrebiteľov, je ich vplyv na osobnú bezpečnosť. Obavy IOS z trhu s užívateľskými údajmi zozbieranými zariadeniami IoT nie sú nijako priťahované (ako si myslíte, že bezplatné aplikácie a bezplatné internetové spravodajské spoločnosti zarábajú peniaze?) A existujú už ďalšie, veľmi reálne hrozby.
Účastníci konferencie Black Hat 2016 boli ošetrení záznamom bezpečnostného výskumného pracovníka Eyal Ronena. Pomocou svojho výskumu sa mu podarilo ovládať svetlá Philips Hue z drone vznášajúceho sa mimo kancelársku budovu. Útok bol pozoruhodný nielen pre jeho dramatické výsledky a pre použitie dron, ale tiež preto, že budova bola domovom niekoľkých známych bezpečnostných spoločností.
Ronen mi vysvetlil, že sa pokúšal preukázať, že je možné zaútočiť na najvyšší rad zariadení IoT. „Existuje veľa hackerov IoT zameraných na zariadenia nižšej triedy, ktoré nemajú skutočnú bezpečnosť. Chceli sme otestovať bezpečnosť produktu, ktorý má byť bezpečný, “ povedal. Chcel tiež zaútočiť na známú spoločnosť a usadil sa na spoločnosti Philips. Ronen povedal, že je oveľa ťažšie prasknúť, ako si pôvodne myslel, ale on a jeho tím našli a využili chybu v softvéri ZigBee Light Link, komunikačnom protokole tretej strany, ktorý používa niekoľko spoločností internetu vecí a považuje sa za zrelý a bezpečný systém.
„Využíva pokročilé kryptografické primitívy a má silné bezpečnostné nároky, “ povedal Ronen. „Nakoniec, v relatívne krátkom čase a s veľmi lacným hardvérom v hodnote okolo 1 000 dolárov, sa nám to podarilo zlomiť, “ povedal Ronen.
Video Ronenovho útoku (vyššie) ukazuje, ako postupne blikajú svetlá budovy, ktoré sledujú jeho príkazy zaslané na diaľku cez vznášajúci sa robot. Keby sa vám to stalo, bolo by to nepríjemné - možno nie viac nepríjemné ako ktorýkoľvek zo scenárov, ktoré IOS upozorňuje na svojom Twitterovom účte. Odborníci v oblasti bezpečnosti však tvrdia, že pre bezpečnosť internetu vecí sú oveľa väčšie následky.
„V predchádzajúcej práci sme ukázali, ako používať svetlá na odfiltrovanie údajov zo siete so vzduchovou medzerou a spôsobiť epileptické záchvaty. V tejto práci ukazujeme, ako môžeme použiť svetlá na útok na elektrickú sieť a zaseknúť Wi-Fi, “ povedal Ronen. ja. „Internet vecí sa dostáva do všetkých častí nášho života a jeho bezpečnosť môže ovplyvniť všetko od zdravotníckych pomôcok po autá a domácnosti.“
Nedostatok noriem
Ronenov útok využil blízkosť, ale hlavný výskumný pracovník v oblasti bezpečnosti Alexandru Balan v spoločnosti Bitdefender načrtol mnoho ďalších bezpečnostných porúch, ktoré prichádzajú do niektorých zariadení internetu vecí. Hardcoded heslá, povedal, sú obzvlášť problematické, rovnako ako zariadenia, ktoré sú nakonfigurované tak, aby boli prístupné z otvoreného internetu.
Práve táto kombinácia prístupu na internet a jednoduchých predvolených hesiel spôsobila v októbri 2016 zmätok, keď sieť Mirai prevzala hlavné služby, ako Netflix a Hulu, buď offline, alebo ich spomalila tak, aby boli nepoužiteľné. O niekoľko týždňov neskôr, varianta Mirai, urýchlila prístup k internetu v celom Libérii.
Krátko po tom, čo sa objavili správy o Mirai, som sa pozrel na tento scenár a obviňoval priemysel internetu vecí z ignorovania upozornení na slabú autentifikáciu a zbytočnú online dostupnosť. Ale Balan by nešiel tak ďaleko, aby nazval tieto nedostatky zjavnými. „je potrebné vykonať spätné inžinierstvo vo firmvéri, aby sa tieto poverenia získali, ale veľmi často sa v zariadeniach nachádzajú poverenia s pevným kódom. Dôvodom je to, že v mnohých prípadoch neexistujú normy, pokiaľ ide o Bezpečnosť internetu vecí. “
Zraniteľné miesta, ako sú tieto, vznikajú, predpokladal Balan, pretože spoločnosti internetu vecí fungujú samostatne, bez všeobecne akceptovaných štandardov alebo bezpečnostných znalostí. „Je jednoduchšie stavať to takto. A môžete povedať, že rezajú rohy, ale hlavným problémom je to, že sa nepozerajú na to, ako ho správne zostaviť bezpečným spôsobom. fungovať správne. “
Aj keď spoločnosti vyvíjajú opravy na útoky, aké objavil Ronen, niektoré zariadenia IoT nedokážu aplikovať automatické aktualizácie. To kladie na spotrebiteľov záťaž, aby si sami našli a aplikovali záplaty, čo môže byť obzvlášť náročné na zariadenia, ktoré nie sú určené na údržbu.
Avšak aj so zariadeniami, ktoré sa dajú ľahko aktualizovať, stále existujú zraniteľné miesta. Niekoľko vedcov preukázalo, že nie všetci vývojári internetu vecí podpisujú svoje aktualizácie kryptografickým podpisom. Podpísaný softvér je šifrovaný súkromnou polovicou asymetrického kryptografického kľúča, ktorý vlastní vývojár. Zariadenia prijímajúce aktualizáciu majú verejnú polovicu kľúča, ktorý sa používa na dešifrovanie aktualizácie. To zaisťuje, že aktualizácia je oficiálna a nebolo s ňou manipulované, pretože podpísanie škodlivej aktualizácie alebo zmena aktualizácie softvéru by vyžadovala tajný kľúč vývojára. „Ak digitálne nepodpíšu svoje aktualizácie, môžu byť unesení, môže sa s nimi manipulovať; do týchto aktualizácií je možné vložiť kód, “ povedal Balan.
Balan okrem toho, že jednoducho zapína a vypína svetlá, uviedol, že infikované zariadenia internetu vecí môžu byť použité ako súčasť botnetu, ako je to vidieť u Mirai, alebo na oveľa zákernejšie účely. „Môžem extrahovať vaše poverenia Wi-Fi, pretože ste ich samozrejme pripojili k sieti Wi-Fi a keďže ste v krabici Linux, môžem ich použiť na otočenie a začatie útokov v bezdrôtovej sieti.
„V rámci ochrany súkromia vašej siete LAN sú mechanizmy overovania laxné, “ pokračoval Balan. „Problém s LAN je v tom, že akonáhle som vo vašej súkromnej sieti, môžem mať prístup k takmer všetkému, čo sa tam deje.“ Poškodený internet vecí sa tak v skutočnosti stáva predmostím pri útokoch na cennejšie zariadenia v tej istej sieti, ako je sieťové úložisko alebo osobné počítače.
Možno to hovorí, že bezpečnostný priemysel sa začal podrobne zaoberať internetom vecí. V posledných rokoch vstúpilo na trh niekoľko produktov, ktoré tvrdia, že chránia zariadenia IoT pred útokom. Videl som alebo čítal o niekoľkých takýchto produktoch a preskúmal ponuku Bitdefenderu. Zariadenie s názvom Bitdefender Box sa pripája k vašej existujúcej sieti a poskytuje antivírusovú ochranu pre každé zariadenie v sieti. Dokonca testuje vaše zariadenia na možné slabiny. Bitdefender predstaví tento rok druhú verziu svojho zariadenia Box. Norton vstúpi do svojej vlastnej ponuky (nižšie), ktorá sa pýši hĺbkovou kontrolou paketov, zatiaľ čo spoločnosť F-Secure oznámila aj hardvérové zariadenie.
Ako jeden z prvých na trhu je Bitdefender v jedinečnej pozícii, ktorá má zázemie v softvérovej bezpečnosti - a potom navrhuje spotrebiteľský hardvér, ktorý by bol pravdepodobne bezchybne bezpečný. Aká to bola skúsenosť? „Bolo to veľmi ťažké, “ odpovedal Balan.
Bitdefender má program na odmenu za chyby (peňažná odmena ponúkaná programátorom, ktorí odhaľujú a poskytujú riešenie chyby na webovej stránke alebo v aplikácii), ktorú Balan potvrdil a pomohol pri vývoji schránky. „Žiadna spoločnosť by nemala byť dostatočne arogantná, aby uverila, že dokáže nájsť všetky chyby sama. Preto existujú programy na odmenu za chyby, ale výzva pre hardvér spočíva v tom, že v skutočných čipoch môžu byť zadné vrátka.“
„Vieme, čo treba hľadať a na čo sa zamerať a skutočne máme hardvérový tím, ktorý dokáže rozobrať a pozrieť sa na každú z komponentov na tejto doske. Našťastie táto doska nie je tak veľká.“
Nie je to všetko hovno
Je ľahké zlacniť celé odvetvie na základe jeho najhorších účastníkov a to isté platí pre internet vecí. Ale George Yianni, vedúci technológie, domáce systémy, Philips Lighting považuje tento pohľad za obzvlášť frustrujúci.
„Od začiatku sme brali veľmi vážne. Toto je nová kategória. Musíme si vybudovať dôveru, ktorá skutočne poškodzuje dôveru. Preto si myslím, že najväčšou hanbou produktov, ktoré takúto dobrú prácu neurobili, je, že narúša dôveru v celkovú kategóriu. Každý produkt môže byť vyrobený zle. Nie je to kritika celého odvetvia. ““
Ako je často prípad bezpečnosti, spôsob, akým spoločnosť reaguje na útok, je často dôležitejší ako účinky samotného útoku. V prípade útoku robotov na zariadenia Philips Yianni vysvetlil, že Ronen predložil svoje zistenia prostredníctvom existujúceho programu zodpovedného zverejňovania spoločnosti. Jedná sa o postupy, ktoré sa zavádzajú, aby spoločnostiam poskytli čas na reakciu na objav bezpečnostného výskumníka pred jeho zverejnením. Spotrebitelia tak môžu mať istotu, že sú v bezpečí a vedci získajú slávu.
Ronen našiel chybu v softvérovej komore tretej strany, povedala Yianni. Konkrétne to bola časť štandardu ZigBee, ktorá obmedzuje komunikáciu na zariadenia do dvoch metrov. Ronenova práca, ako si spomínate, dokázala prevziať kontrolu z diaľky - 40 metrov so štandardnou anténou a 100 metrov so zosilnenou anténou. Vďaka zodpovednému informačnému programu Yianni povedal, že spoločnosť Philips dokázala rozvinúť záplatu na svetlách v teréne skôr, ako Ronen povedal svetu o útoku.
Po tom, ako sa mnoho spoločností potýkalo s narušením verejnej bezpečnosti alebo s výsledkom práce výskumného pracovníka v oblasti bezpečnosti, môžu reakcie Yianni a Philips znieť ako spätné poklepávanie po skutočnosti - ale skutočne to bol úspech. „Všetky naše výrobky sú aktualizovateľné softvérom, aby bolo možné veci opraviť, “ povedal mi Yianni. „Ďalšia vec, ktorú robíme, je hodnotenie bezpečnostného rizika, bezpečnostné audity, penetračné testovanie na všetkých našich produktoch. Potom však spustíme aj tieto zodpovedné procesy zverejňovania, takže ak sa niečo stane, dokážeme to vopred zistiť a opraviť veľmi rýchlo.
„Máme celý proces, v ktorom dokážeme tlačiť aktualizácie softvéru z celého cloudu nadol a distribuovať ich do všetkých svetiel. To je super dôležité, pretože priestor sa pohybuje tak rýchlo a toto sú produkty, ktoré vydržia posledných 15 rokov „A ak sa chceme ubezpečiť, že sú stále relevantné z hľadiska funkčnosti a aby boli dostatočne bezpečné pre najnovšie útoky, musíme to mať.“ “
Ronen vo svojej korešpondencii so mnou potvrdil, že spoločnosť Philips skutočne urobila obdivuhodnú prácu na zabezpečení systému osvetlenia Hue. „Philips vynaložil prekvapujúce úsilie na zabezpečenie svetiel, “ povedal mi Ronen. „Bohužiaľ, niektoré základné bezpečnostné predpoklady, ktoré sa spoliehali na implementáciu čipovej bezpečnosti spoločnosti Atmel, boli nesprávne.“ Ako zdôraznil Balan pri práci Bitdefenderu na skrinke, každý aspekt zariadenia IoT je predmetom útoku.
Spoločnosť Philips tiež navrhla, aby centrálny rozbočovač - zariadenie potrebné na koordináciu sietí produktov spoločnosti Philips IoT - bolo neprístupné z otvoreného internetu. „Všetky pripojenia na internet sa iniciujú zo zariadenia. Nikdy neotvárajeme porty na smerovačoch ani ich nevyrábame tak, aby s nimi mohlo zariadenie na internete priamo komunikovať, “ vysvetlil Yianni. Namiesto toho Hub rozosiela požiadavky do cloudovej infraštruktúry spoločnosti Philips, ktorá namiesto požiadavky odpovedá na inú požiadavku. To tiež umožňuje spoločnosti Philips pridávať ďalšie vrstvy na ochranu spotrebiteľských zariadení bez toho, aby sa museli dostať do svojho domu a robiť akékoľvek zmeny. „Nie je možné, aby sa s nimi komunikovalo zvonku Hubu, ibaže by ste prešli týmto oblakom, kde môžeme vybudovať ďalšie úrovne bezpečnosti a monitorovania.“
Yianni vysvetlil, že toto všetko je súčasťou viacvrstvového prístupu, ktorý spoločnosť Philips pristúpila k zabezpečeniu osvetľovacieho systému Hue. Pretože sa systém skladá z niekoľkých rôznych častí - od hardvéru vo vnútri žiaroviek po softvér a hardvér v Hue Hub po aplikáciu v telefónoch používateľov - bolo potrebné prijať rôzne opatrenia na všetkých úrovniach. „Všetky z nich potrebujú rôzne bezpečnostné opatrenia, aby boli bezpečné. Všetky majú rôzne úrovne rizika a zraniteľnosti. Takže robíme rôzne opatrenia pre všetky tieto rôzne časti, “ povedal Yianni.
To zahŕňalo penetračné testovanie, ale aj dizajn zdola nahor, ktorý má narušiť útočníkov. „Neexistujú žiadne globálne heslá ako to, čo sa používalo v tomto boti Mirai, “ povedal Yianni. Malvér Mirai mal desiatky predvolených prístupových kódov, ktoré by použil pri pokuse o prevzatie zariadení IoT. „Každý má jedinečné asymetricky podpísané kľúče na overenie firmvéru, všetko toto. Jedno zariadenie, ktoré má upravený hardvér, z toho nehrozí žiadne globálne riziko, “ vysvetlil.
Vzťahuje sa to aj na hodnotu zariadení internetu vecí. „Mnohé z týchto produktov majú tendenciu byť konektivitou kvôli konektivite, “ uviedol. „Potreba automatizácie všetkého vo vašom dome nie je problémom, ktorý má veľa spotrebiteľov, a preto je veľmi ťažké obísť hlavu. Myslíme si, že výrobky, ktoré sa dobre daria, sú výrobky, ktoré ponúkajú zákazníkom zrozumiteľnejšiu hodnotu.“
Neodolateľný internet vecí
Poznanie rizík týkajúcich sa internetu vecí, a dokonca ani uznanie jeho ľahkomyseľnosti, určite nezabránilo ľuďom v kúpe inteligentného osvetlenia, ako je Philips Hue, vždy počúvajúcich domácich asistentov, ako je napríklad Google Home alebo Amazon Echo, a áno, inteligentných fliaš na vodu. Dokonca aj prevádzkovateľ internetu hovno je veľkým fanúšikom internetu vecí.
„Skutočnou iróniou za internetom hovno je to, že som pre tieto zariadenia hlúpy, “ povedal IOS. "Som skorý osvojiteľ a pracujem v oblasti technológií, takže často nemôžem týmto veciam odolať." IOS uvádza futuristickú domácu výbavu svetiel pripojených spoločnosťou Philips, termostatu Tado, sledovača spánku Sense, inteligentných reproduktorov, kamery Canary a konektorov pripojených k sieti Wi-Fi.
„Uvedomujem si, že účet sa dostal náhodne omnoho väčší, ako som si kedy dokázal predstaviť, a nikdy nechcem odradiť ľudí od vstupu do technológie. Myslím si, že experimentovanie s nemými nápadmi je to, ako sa môžu rodiť skvelé nápady, čo je niečo že ma Simone Giertz trochu naučila, “povedal IOS.
Giertz, absurdný robotik a YouTuber, je myseľou za Shitty Robots. Medzi jej výtvory patrí robot, ktorý dáva zrážky - alebo skôr zlyhá - a masívny klobúk, ktorý na ňu dramaticky umiestni slnečné okuliare. Myslite na to ako na Rube Goldbergovú so zdravou dávkou cynizmu v Silicon Valley.
Osoba, ktorá stojí za IOS, hlási, že sa v týchto dňoch pokúša upevniť inštinkty svojich skorých adoptov. "Myslím, že okamih, keď som musel aktualizovať firmvér svojich žiaroviek, aby som ich zapol, bol pre mňa trochu realizáciou…"
Bitlanfenderov Balan povedal, že používa žiarovky, ktoré sa zdvojnásobujú ako opakovače Wi-Fi. Tieto zariadenia rozširujú svetlo aj Wi-Fi do všetkých kútov domu. Sú však tiež zaťažení mnohými zraniteľnými miestami, ktoré odvodil, vrátane slabých predvolených hesiel. Pokiaľ však ide o internet vecí, zostáva neotrasený.
„Je to ako sex, “ povedal mi. „Bez kondómu by ste to neurobili. Páči sa nám sex, sex je úžasné, sex sa nebudeme vzdávať len preto, že je to nebezpečné. Ale keď to robíme, použijeme ochranu.“ Namiesto toho, aby upadol do paranoja, verí, že by sa spotrebitelia mali spoliehať na bezpečnostné spoločnosti a vzdelaných priateľov, ktorí dokážu identifikovať spoločnosti, ktoré berú bezpečnosť vážne, s odmenami a bezpečnými, často aktualizovanými nástrojmi.
A používa hacker hackerov Ronen IoT? „V súčasnosti nie, “ povedal. „Obávam sa, že to má vplyv na moje súkromie a bezpečnosť. A výhody nie sú dosť vysoké pre moje potreby.“
Dokonca aj váš pokorný autor, ktorý roky odolával sirénovej piesni hovoriacich detektorov dymu a svetiel meniacich farbu, sa začal rúcať. Nedávno som sa v snahe vypracovať kanceláriu na sviatky ocitol v inštalácii troch samostatných inteligentných svetiel. Výsledok bol strašne úžasne krásny.
Medzitým v mojom nákupnom košíku Amazon sedí úplne nové svetlo Philips Hue. Jedného dňa čoskoro stlačím tlačidlo.
