Samsung's Smart Fridge Baru Pwned. Bagaimana Dengan Sisa Rumah Pintar Anda?

Iklan

$ 3599 adalah banyak uang.

Ini bisa memberi Anda mobil bekas yang layak, atau iMac yang relatif ditipu. Anda bisa membeli 3599 burger McChicken, atau 2589 McDoubles. Atau itu bisa membuat Anda mendapatkan Samsung RF28HMELBSR.

Kulkas ini (dengan nama yang dinamai) memiliki segalanya. Ada empat pintu, ruang 28 kaki kubik yang sangat besar, dan LCD 8-inci yang terintegrasi dengan WiFi tampilan layar sentuh yang memungkinkan Anda melakukan apa saja mulai dari membaca berita, hingga mengontrol Android Anda dari jarak jauh smartphone.

Jika kedengarannya familier, itu karena pernah ditampilkan di daftar produk Smart Home paling bodoh yang pernah ada Tweeting Lemari Es dan Pemasak Beras Web Controlled: 9 dari Peralatan Rumah Pintar StupidestAda banyak perangkat rumah pintar yang layak untuk waktu dan uang Anda. tetapi ada juga jenis yang tidak boleh melihat cahaya hari. Inilah 9 yang terburuk. Baca lebih lajut . Dan apakah saya menyebutkannya dikirimkan dengan kerentanan keamanan yang besar dan menganga?

Kulkas Pintar, Kesalahan Bodoh

Ya, untuk semua kecanggihannya, kulkas ini dikirim dengan cacat keamanan yang signifikan yang berpotensi melihat penyerang diam-diam memanen kredensial masuk Gmail.

Kerentanan pertama kali dilaporkan dalam Daftar pada 24 Agustus, dan ditemukan oleh perusahaan infosec yang berbasis di Inggris Parter Uji Pena saat berpartisipasi dalam tantangan peretasan Internet of Things (IoT) baru-baru ini Defcon 23 konferensi.

Layar sentuh bawaan pada kulkas ini memungkinkan pengguna untuk mengakses Kalender Google mereka sendiri. Koneksi ke-dan-dari server Google dienkripsi menggunakan enkripsi SSL Apa itu Sertifikat SSL, dan Apakah Anda Membutuhkannya?Menjelajah Internet bisa menakutkan ketika informasi pribadi terlibat. Baca lebih lajut , tetapi implementasi SSL Samsung tidak memeriksa validitas sertifikat.

Ini menghadirkan masalah keamanan yang serius, karena siapa pun di jaringan akan dapat meluncurkan "Manusia di Tengah" Apa itu Serangan Manusia-di-Tengah? Jargon Keamanan DijelaskanJika Anda pernah mendengar tentang serangan "man-in-the-middle" tetapi tidak yakin apa artinya itu, ini adalah artikel untuk Anda. Baca lebih lajut menyerang, dan mencegat kredensial login pengguna saat transit. Seorang penyerang juga dapat memperoleh mereka dengan memalsukan titik akses, atau melalui serangan deauthentikasi nirkabel.

Samsung mengatakan mereka “Menyelidiki masalah ini secepat mungkin”, dan mungkin sedang bekerja untuk mengeluarkan perbaikan. Namun episode ini menghadirkan demonstrasi yang menarik tentang betapa buruknya keamanan di Internet of Things.

(Dalam) Keamanan Dalam Dunia Jaringan

Di masa lalu, kami telah berbicara secara luas tentang risiko yang ditimbulkan oleh Internet of Things, keduanya dari privasi Mengapa Internet of Things Adalah Mimpi Buruk Keamanan TerbesarSuatu hari, Anda tiba di rumah dari kantor untuk menemukan bahwa sistem keamanan rumah berkemampuan cloud Anda telah dilanggar. Bagaimana ini bisa terjadi? Dengan Internet of Things (IoT), Anda bisa mengetahuinya dengan cara yang sulit. Baca lebih lajut dan dari perspektif keamanan dan sosiologis 7 Alasan Mengapa Internet of Things Harusnya Menakutkan AndaPotensi manfaat dari Internet of Things tumbuh cerah, sementara bahaya dilemparkan ke dalam bayangan yang tenang. Sudah waktunya untuk menarik perhatian pada bahaya ini dengan tujuh janji menakutkan dari IoT. Baca lebih lajut . Mengatasi mereka sulit, karena ketika datang untuk mengamankan Internet dari berbagai hal, kami menghadapi beberapa masalah.

Pertama, perangkat ini bukan PC atau telepon, dalam hal mereka seragam mudah diperbarui (Windows 10 bahkan akan menginstal pembaruan atas nama Anda Cara Mematikan Pembaruan Aplikasi Otomatis Di Windows 10Menonaktifkan pembaruan sistem tidak disarankan. Tetapi jika perlu, berikut ini cara melakukannya di Windows 10. Baca lebih lajut ), dan vendor di belakang mereka terlibat dan secara teratur merilis pembaruan perangkat lunak dan keamanan. Banyak produk rumah pintar tidak "memperbarui" melalui udara, baik mengharuskan Anda untuk menggunakan rumit atau paket perangkat lunak yang tidak dapat diandalkan, penyimpanan yang dapat dilepas, atau tidak memungkinkan Anda untuk memperbarui firmware di semua.

Bagaimana Anda, misalnya, memperbarui teko kopi yang saling berhubungan, atau termostat yang terkomputerisasi? Tidak ada cara yang mudah dan universal untuk melakukan itu.

Penting juga untuk mengatasi kenyataan bahwa banyak dari perangkat ini sekarang dibangun oleh orang-orang biasa di rumah mereka sendiri. Arduino dan Raspberry Pi memungkinkan kami untuk memperkenalkan konektivitas jaringan dan logika terkomputerisasi ke tempat-tempat yang kami pikir tidak mungkin, sementara produk-produk seperti Microsoft Windows 10 untuk IoT Windows 10 - Datang ke Arduino Terdekat dengan Anda? Baca lebih lajut telah membuatnya lebih mudah untuk mengekspos perangkat ini ke Internet yang lebih luas, secara bersamaan membuka dunia peluang dan risiko.

Sementara banyak pengembang berpengalaman tahu cara membuat perangkat ini dengan cara yang aman, terlalu banyak pengembang pemula dan hobiis tidak.

Kemudian kita sampai pada masalah umur panjang. Sekali lagi, masalah ini adalah endemik unik bagi dunia Smart Home. Karena saat PC dan Telepon Anda menjalankan perangkat lunak yang dibangun oleh perusahaan dengan sejarah panjang dan kantong dalam, sebagian besar perangkat Smart Home Anda belum.

Sebagian besar dari perusahaan-perusahaan ini adalah pemula hingga tahap akhir, banyak dari ini berada dalam tahap sementara dalam pengembangan mereka. Jika mereka dimatikan, apa yang terjadi pada produk yang telah mereka kirim? Siapa yang akan menulis pembaruan perangkat lunak dan tambalan keamanan?

Seperti yang telah kami tulis di masa lalu, startup perangkat keras sulit Mengapa Startup Perangkat Keras Sulit: Membawa ErgoDox ke KehidupanIni pendapat yang kontroversial untuk Anda: meluncurkan startup perangkat lunak itu mudah. Perangkat keras, di sisi lain? Startup perangkat keras sulit. Sangat sulit. Baca lebih lajut . Sudah tahun ini, kita sudah melihatnya PHK yang signifikan di Leeo dan Wink - dua dari startup Smart Home terbesar. Masih banyak lagi - seperti Lumos - Gagal turun sepenuhnya.

Tetapi mungkin ancaman terbesar dan paling abadi bagi Smart Home dan keamanan Internet of Things adalah bahwa perangkat ini dibuat untuk bertahan lebih lama dari yang diinginkan oleh pabrikan mereka. Sistem tertanam dan produk Smart Home dapat bekerja, cukup bahagia, selama bertahun-tahun. Banyak dari ini tidak berfungsi pada layanan berlangganan.

Apakah kita mengharapkan Nest dan Philips untuk menawarkan pembaruan selama ini Microsoft mendukung Windows XP Apa Artinya Windows XPocalypse Untuk AndaMicrosoft akan mematikan dukungan untuk Windows XP pada April 2014. Ini memiliki konsekuensi serius bagi bisnis dan konsumen. Inilah yang harus Anda ketahui jika Anda masih menjalankan Windows XP. Baca lebih lajut ?

Keluar Dari LAN, Ke Api

Masalah keamanan ini secara signifikan diperburuk oleh kenyataan bahwa banyak dari perangkat ini terhubung ke Internet yang lebih luas dan dapat diakses dari jarak jauh, dengan demikian memperkenalkan hamparan keamanan keprihatinan.

Karena ketika Anda menghubungkan sesuatu ke Internet, Anda kemudian memperkenalkan vektor serangan baru kepada siapa pun yang termotivasi. Alih-alih harus terhubung ke jaringan rumah Anda, seseorang bisa saja berkompromi dari jarak jauh.

Lebih mudah dari yang Anda pikirkan juga. Bahkan ada mesin pencari untuk sistem embedded, disebut Shodan. Dengan hanya beberapa penekanan tombol, Anda dapat menemukan sistem yang telah terpapar ke Internet di seluruh dunia - mulai dari pembangkit listrik di Jepang, webcam di Belanda, dan telepon VoIP di New York.

Cukup mencari "Web Cam" memperlihatkan ribuan webcam yang dapat diakses dari jarak jauh. Namun saya tidak mengakses apa pun, karena itu hampir pasti akan menghasilkan saya melanggar Undang-Undang Penyalahgunaan Komputer 1990 Undang-Undang Penyalahgunaan Komputer: Hukum yang Mengkriminalkan Peretasan Di InggrisDi Inggris, UU Penyalahgunaan Komputer 1990 menangani kejahatan peretasan. Undang-undang kontroversial ini baru-baru ini diperbarui untuk memberi organisasi intelijen Inggris GCHQ hak hukum untuk meretas ke komputer mana pun. Bahkan milikmu. Baca lebih lajut .

Menakutkan. Kami sudah mulai memperkenalkan rumah kami ke Internet, dan itu mudah untuk menemukannya, dan meluncurkan serangan yang ditargetkan pada mereka. Kita harus khawatir.

Jadi Apa Yang Bisa Dilakukan?

Kelemahan keamanan, seperti yang ditemukan di kulkas Android Samsung, akan selalu ada. Selama mudah bagi vendor untuk mengeluarkan perbaikan, dan mereka terus diperbarui sepanjang masa pakai perangkat, itu tidak terlalu menjadi masalah.

Namun penting bagi kami untuk mengatasi masalah lainnya. Upaya perlu dilakukan untuk memastikan pengembang Smart Home dan produk IoT tahu cara mengembangkan sistem yang aman. Ini bisa dicapai dengan penjangkauan yang lebih besar dengan komunitas keamanan.

Ada sejumlah preseden untuk ini. Itu Proyek OWASP (Proyek Keamanan Aplikasi Web Terbuka) adalah salah satu yang segera muncul dalam pikiran. Diluncurkan pada tahun 2004, ini telah menghasilkan materi pendidikan yang tersedia secara bebas yang mengajarkan pengembang cara membangun situs web yang aman, dan peretas cara menguji dengan benar keamanan aplikasi web.

Tidak ada alasan sesuatu yang serupa tidak dapat dibuat untuk dunia rumah pintar, dan untuk pengembang Internet of Things.

Selain itu, kami perlu memastikan bahwa sistem Smart Home diperbarui dan dipelihara, bahkan jika vendor terlipat. Ini dapat dilakukan dengan mengamanatkan semua orang melepaskan kode mereka ke dalam escrow kode sumber, di mana kode dirilis jika perusahaan mengajukan kebangkrutan, atau gagal mempertahankan perangkat lunak dengan cara yang memuaskan.

Dan sebagai konsumen, kita harus mulai menuntut lebih banyak dari vendor. Kami harus meminta agar perangkat yang kami beli didukung dengan tambalan keamanan selama masa pakai produk. Kita harus berharap bahwa setiap masalah keamanan diselesaikan dengan cepat dan tegas. Kita harus berharap bahwa vendor memperlakukan ancaman keamanan dengan transparansi mutlak. Dan kita tidak seharusnya melindungi vendor yang gagal memenuhi standar yang sedikit itu.

Ini semua adalah perubahan yang relatif kecil, tetapi tidak ada alasan untuk berpikir mereka tidak akan menghasilkan perangkat Smart Home yang lebih aman. Tapi bagaimana menurutmu?

Jika Anda memiliki pemikiran, atau memiliki cerita horor tentang rasa tidak aman IoT, saya ingin mendengarnya. Beri tahu saya di komentar di bawah, dan kami akan mengobrol.

Kredit Foto: Kit Eksperimen Arduino (Oomlout), IMG_5145 (JWalsh)