Samsungs Smart Kjøleskap Just Got Pwned. Hva med resten av ditt smarte hjem?

Annonse

3599 dollar er mye penger.

Det kan gi deg en anstendig bruktbil, eller en relativt lurt iMac. Du kan kjøpe 3599 McChicken-burgere, eller 2589 McDoubles. Eller det kan skaffe deg Samsung RF28HMELBSR.

Dette (snappet navngitte) kjøleskapet har alt. Det har fire dører, en stor 28 kubikkmeter plass og en integrert, 8 ”WiFi-aktivert LCD berøringsskjerm som lar deg gjøre alt fra å lese nyhetene, for å fjernstyre din Android smarttelefon.

Hvis det høres kjent ut, skyldes det at det en gang ble vist på listen over dummeste Smart Home-produkter noensinne Tweeting av kjøleskap og nettkontrollerte riskokere: 9 av de dumeste smarte hvitevarerDet er mange smarte hjem enheter som er verdig din tid og penger. men det er også typer som aldri skal se dagens lys. Her er 9 av de verste. Les mer . Og nevnte jeg at det leveres med en massiv, gapende sikkerhetssårbarhet?

Smart kjøleskap, dum feil

Ja, for all sin raffinement, ble dette kjøleskapet levert med en betydelig sikkerhetsfeil som potensielt kan se en angriper surreptitious høste innloggingsinformasjon på Gmail.

Sårbarheten ble først rapportert i registeret 24. august og ble oppdaget av UK-baserte infosec-firma Pen Test Parters mens du deltok i en Internet of Things (IoT) hacking-utfordring den siste tiden Defcon 23 konferanse.

Den innebygde berøringsskjermen på dette kjøleskapet gir brukeren tilgang til sin egen Google Kalender. Tilkoblinger til og fra Googles servere er kryptert ved hjelp av SSL-kryptering Hva er et SSL-sertifikat, og trenger du et?Å surfe på Internett kan være skummelt når personlig informasjon er involvert. Les mer , men Samsungs implementering av SSL sjekker ikke gyldigheten av sertifikatene.

Dette gir et alvorlig sikkerhetsproblem, siden alle i nettverket vil kunne starte en "Mannen i midten" Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer angripe, og avskjerm brukerens påloggingsinformasjon under transport. En angriper ville også være i stand til å skaffe dem ved å forfalske et tilgangspunkt, eller gjennom et trådløst avmaktsangrep.

Samsung har sagt at de er det "Å undersøke denne saken så raskt som mulig", og jobber antagelig flatt for å utstede en løsning. Men denne episoden presenterer en interessant demonstrasjon av hvor dårlig sikkerhet kan gå galt på tingenes internett.

(In) Security In A Networked World of Things

I det siste har vi snakket mye om risikoen forbundet med tingenes internett, begge deler fra et privatliv Hvorfor tingenes internett er det største sikkerhetsmarerittEn dag kommer du hjem fra jobb for å oppdage at det skyaktiverte hjemmesikkerhetssystemet ditt har blitt brutt. Hvordan kunne dette skje? Med Internet of Things (IoT) kan du finne ut på den harde måten. Les mer og fra et sikkerhets- og sosiologisk perspektiv 7 grunner til at tingenes internett skal skremme degDe potensielle fordelene med tingenes internett blir lyse, mens farene blir kastet i de stille skyggene. Det er på tide å trekke oppmerksomhet til disse farene med syv fryktelige løfter fra IoT. Les mer . Det er vanskelig å adressere dem, for når det gjelder å sikre tingenes internett, møter vi noen få problemer.

For det første er disse enhetene ikke PC-er eller telefoner, i den respekt at de er jevnt enkle å oppdatere (Windows 10 vil til og med installere oppdateringer på dine vegne Slik slår du av automatiske appoppdateringer i Windows 10Det anbefales ikke å deaktivere systemoppdateringer. Men hvis det er nødvendig, slik gjør du det på Windows 10. Les mer ), og leverandørene bak dem er involvert og gir regelmessig programvare- og sikkerhetsoppdateringer. Mange smarthusprodukter “oppdateres” ikke i luften, verken krever at du bruker kompliserte eller upålitelige programvarepakker, flyttbar lagring, eller ganske enkelt ikke lar deg oppdatere firmware på alle.

Hvordan oppdaterer du for eksempel en sammenkoblet kaffekanne, eller en datastyrt termostat? Det er ingen enkel, universell måte å gjøre det på.

Det er også viktig å ta opp det faktum at mange av disse enhetene nå er bygd av vanlige folk i sine egne hjem. Arduino og Raspberry Pi har tillatt oss å introdusere nettverkstilkobling og datastyrt logikk på steder vi aldri har trodd som mulig, mens produkter som Microsofts Windows 10 for IoT Windows 10 - Kommer du til en Arduino i nærheten? Les mer har gjort det lettere å eksponere disse enhetene for det bredere Internett, samtidig som det åpner opp en verden av muligheter og risiko.

Selv om mange erfarne utviklere vet hvordan de skal bygge disse enhetene på en måte som er sikker, gjør ikke altfor mange nybegynnere og hobbyutviklere det.

Så kommer vi videre til problemet med lang levetid. Igjen, dette problemet som er unikt endemisk for Smart Home-verdenen. For mens PCen din og telefonen kjører programvare som er bygget av selskaper med lang historie og dype lommer, har de fleste av Smart Home-enhetene ikke det.

Det overveldende flertallet av disse selskapene er oppstart fra tidlig til sent stadium, mange av disse er i en tentativ fase i utviklingen. Hvis de stenger, hva skjer med produktene de allerede har sendt? Hvem vil skrive programvareoppdateringer og sikkerhetsoppdateringer?

Som vi har skrevet om tidligere, oppstart av maskinvare er vanskelig Hvorfor oppstart av maskinvare er vanskelig: Gi ErgoDox livHer er en kontroversiell mening for deg: å starte en programvareoppstart er enkelt. Hardware, på den annen side? Oppstart av maskinvare er vanskelig. Veldig vanskelig. Les mer . Allerede i år har vi sett betydelige permitteringer hos Leeo og Wink - to av de største Smart Home-startups. Mange flere - som Lumos - har ikke klart å komme helt fra bakken.

Men kanskje den største og mest varige trusselen mot Smart Home og Internet of Things-sikkerhet er ganske enkelt at disse enhetene er bygget for å vare lenger enn produsentene foretrekker. Innebygde systemer og Smart Home-produkter kan fungere ganske lykkelig i flere år. Mange av disse fungerer ikke på en abonnementstjeneste.

Skal vi forvente at Nest og Philips vil tilby oppdateringer så lenge som? Microsoft støttet Windows XP Hva Windows XPocalypse betyr for degMicrosoft kommer til å drepe støtten for Windows XP i april 2014. Dette har alvorlige konsekvenser for både bedrifter og forbrukere. Dette er hva du bør vite om du fremdeles kjører Windows XP. Les mer ?

Ut av LAN, Into The Fire

Disse sikkerhetsproblemene forverres betydelig av det faktum at mange av disse enhetene er det koblet til det bredere Internett og eksternt tilgjengelig, og dermed introdusert et smorgasbord av sikkerhet bekymringer.

For når du kobler noe til Internett, introduserer du en ny angrepsvektor til den som er så motivert. I stedet for å måtte koble til hjemmenettverket ditt, kan noen ganske enkelt komme på akkord med det.

Det er enklere enn du tror også. Det er til og med en søkemotor for innebygde systemer, kalt Shodan. Med bare noen få tastetrykk, kan du finne systemer som har blitt utsatt for Internett over hele verden - fra kraftverk i Japan, til webkameraer i Holland og VoIP-telefoner i New York.

Bare å søke etter "Web Cam" utsetter tusenvis av eksternt tilgjengelige webkameraer. Jeg fikk imidlertid ikke tilgang til noe, da det nesten helt sikkert ville resultert i meg bryte loven om misbruk av datamaskiner 1990 Loven om misbruk av datamaskiner: loven som kriminaliserer hacking i StorbritanniaI Storbritannia omhandler Computer Misuse Act 1990 hacking forbrytelser. Denne kontroversielle lovgivningen ble nylig oppdatert for å gi Storbritannias etterretningsorganisasjon GCHQ den lovlige retten til å hacke seg inn på hvilken som helst datamaskin. Selv din. Les mer .

Det er skummelt. Vi har begynt å introdusere hjemmene våre på Internett, og det er trivielt enkelt å finne dem og å sette i gang målrettede angrep på dem. Vi burde være bekymret.

Så hva kan gjøres?

Sikkerhetsfeil, som den som finnes i Samsungs Android-kjøleskap, vil alltid være der. Så lenge det er enkelt for leverandører å utstede rettelser, og de kontinuerlig blir oppdatert gjennom enhetens levetid, er det ikke så mye problem.

Men det er viktig at vi tar opp de andre problemene. Det må tilstrebes å sikre at utviklerne av Smart Home og IoT-produkter vet hvordan de skal utvikle sikre systemer. Dette kan oppnås ved større oppsøking med sikkerhetssamfunnet.

Det er en rekke presedens for dette. De OWASP (Open Web Application Security Project) prosjekt er en som dukker opp umiddelbart. Dette ble lansert i 2004 og har produsert fritt tilgjengelig utdanningsmateriell som lærer utviklere hvordan man bygger sikre nettsteder, og hackere hvordan de skal teste sikkerheten til webapplikasjoner.

Det er ingen grunn til at noe lignende ikke kunne skapes for smarthusverdenen og for Internet of Things-utviklere.

Videre må vi sørge for at Smart Home-systemer blir oppdatert og vedlikeholdt, selv om leverandørene bretter. Dette kan gjøres ved å gi mandat til at alle slipper koden sin i en kildekode escrow, der koden frigis hvis selskapet klager på konkurs, eller på annen måte ikke klarer å vedlikeholde programvaren på en måte som er tilfredsstillende.

Og som forbrukere, bør vi begynne å kreve mer fra leverandører. Vi må kreve at enhetene vi kjøper støttes med sikkerhetsoppdateringer i hele produktets levetid. Vi kan forvente at eventuelle sikkerhetsproblemer løses raskt og avgjørende. Vi kan forvente at leverandører behandler sikkerhetstrusler med absolutt åpenhet. Og vi skal ikke beskytte leverandører som ikke oppfyller den magre standarden.

Dette er relativt små endringer, men det er ingen grunn til å tro at de ikke ville resultere i sikrere Smart Home-enheter. Men hva tror du?

Hvis du har noen tanker, eller har noen skrekkhistorier om IoT-usikkerhet, vil jeg høre om dem. Gi meg beskjed i kommentarfeltet nedenfor, så tar vi en prat.

Fotokreditter: Arduino eksperimentasjonssett (Oomlout), IMG_5145 (JWalsh)