Samsungs Smart Køleskab er lige blevet fyret. Hvad med resten af ​​dit smarte hjem?

Reklame

$ 3599 er en masse penge.

Det kan give dig en anstændig brugte bil eller en relativt narret iMac. Du kan købe 3599 McChicken-burgere eller 2589 McDoubles. Eller det kan få dig Samsung RF28HMELBSR.

Dette (snacks navngivne) køleskab har alt. Det har fire døre, en kolossal 28 kubikfod plads og en integreret 8 ”WiFi-aktiveret LCD berøringsskærmskærm, der giver dig mulighed for at gøre alt fra at læse nyhederne, til fjernbetjening af din Android smartphone.

Hvis det lyder velkendt, skyldes det, at det engang var vist på min liste over listen dummeste Smart Home-produkter nogensinde Tweeting af køleskabe og webkontrollerede riskomfurer: 9 af de dumeste smarte hvidevarerDer er mange smarte hjemme-enheder, der er værd at bruge din tid og penge. men der er også slags, der aldrig skal se dagens lys. Her er 9 af de værste. Læs mere . Og nævnte jeg, at det leveres med en massiv, gabende sikkerhedssårbarhed?

Smart køleskab, dum fejl

Ja, for alt dets raffinement blev dette køleskab forsynet med en betydelig sikkerhedsfejl, der potentielt kunne se, at en angriber overtrækkende høster Gmail-loginoplysninger.

Sårbarheden blev først rapporteret i registeret den 24. august og opdaget af UK-baserede infosec-firma Pen Test Parters mens du deltager i en Internet of Things (IoT) hacking udfordring for nylig Defcon 23 konference.

Den indbyggede berøringsskærm på dette køleskab giver brugeren adgang til deres egen Google Kalender. Forbindelser til og fra Googles servere er krypteret ved hjælp af SSL-kryptering Hvad er et SSL-certifikat, og har du brug for et?Det kan være skræmmende at surfe på internettet, når der er tale om personlige oplysninger. Læs mere , men Samsungs implementering af SSL kontrollerer ikke gyldigheden af ​​certifikaterne.

Dette udgør et alvorligt sikkerhedsproblem, da alle på netværket ville være i stand til at starte en “Mand i midten” Hvad er et menneske i midten-angreb? Sikkerheds jargon forklaretHvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. Læs mere angribe og opfang brugerens loginoplysninger under transit. En angriberen vil også være i stand til at få dem ved at forfalske et adgangspunkt eller gennem et trådløst afmærkningsangreb.

Samsung har sagt, de er ”Undersøger denne sag så hurtigt som muligt”, og arbejder formodentlig fladt for at udstede en løsning. Men denne episode præsenterer en interessant demonstration af hvor dårligt sikkerhed kan gå galt på tingenes internet.

(In) Sikkerhed i en netværks verden af ​​ting

I fortiden har vi udtalt meget om de risici, der er forbundet med tingenes internet, begge dele fra et privatliv Hvorfor tingenes internet er det største sikkerhed mareridtEn dag kommer du hjem fra arbejde for at opdage, at dit sky-aktiverede sikkerhedssystem til hjemmet er blevet brudt. Hvordan kunne dette ske? Med Internet of Things (IoT) kunne du finde ud af den hårde måde. Læs mere og fra et sikkerhedsmæssigt og sociologisk perspektiv 7 grunde til, at tingenes internet skal skræmme digDe potentielle fordele ved Internet of Things bliver lyse, mens farerne kastes i de stille skygger. Det er tid til at henlede opmærksomheden på disse farer med syv skræmmende løfter fra IoT. Læs mere . Det er vanskeligt at adressere dem, for når vi kommer til at sikre Internettet af tingene, støder vi på nogle få problemer.

For det første er disse enheder ikke pc'er eller telefoner i den respekt, at de er ensartede lette at opdatere (Windows 10 installerer endda opdateringer på dine vegne Sådan deaktiveres automatiske appopdateringer i Windows 10Det anbefales ikke at deaktivere systemopdateringer. Men hvis det er nødvendigt, så gør du det på Windows 10. Læs mere ), og sælgerne bag dem er involveret og frigiver regelmæssigt software- og sikkerhedsopdateringer. Mange smarte hjemmeprodukter "opdateres" ikke i luften, hverken kræver, at du bruger kompliceret eller upålidelige softwarepakker, flytbar lagerplads eller simpelthen ikke tillader dig at opdatere firmwaren på alle.

Hvordan opdaterer du for eksempel en sammenkoblet kaffekande eller en computerstyret termostat? Der er ingen let, universel måde at gøre det på.

Det er også vigtigt at tackle det faktum, at mange af disse enheder nu er bygget af almindelige mennesker i deres eget hjem. Arduino og Raspberry Pi har givet os mulighed for at introducere netværksforbindelse og computeriseret logik på steder, som vi aldrig har troet muligt, mens produkter som Microsofts Windows 10 til IoT Windows 10 - Kommer du til en Arduino i nærheden af ​​dig? Læs mere har gjort det lettere at udsætte disse enheder for det bredere Internet og samtidig åbne en verden af ​​muligheder og risiko.

Mens mange erfarne udviklere ved, hvordan man bygger disse enheder på en måde, der er sikker, gør alt for mange nybegynder- og hobbyudviklere det ikke.

Derefter går vi videre til problemet med lang levetid. Igen er dette problem, der er unikt endemisk for Smart Home-verdenen. For mens din pc og telefon kører software, der er bygget af virksomheder med lang historie og dybe lommer, har de fleste af dine Smart Home-enheder ikke det.

Det overvældende flertal af disse virksomheder er begyndere til sent på et tidspunkt, hvoraf mange er i en foreløbig fase i deres udvikling. Hvad sker der med de produkter, de allerede er sendt, hvis de lukker ned? Hvem skriver softwareopdateringer og sikkerhedsrettelser?

Som vi har skrevet om i fortiden, hardwarestarter er svære Hvorfor hardware-opstart er svære: At bringe ErgoDox til liveHer er en kontroversiel mening for dig: det er let at starte en software-opstart. Hardware, på den anden side? Start af hardware er hårdt. Rigtig hård. Læs mere . Allerede i år har vi set betydelige afskedigelser hos Leeo og Wink - to af de største Smart Home-startups. Mange flere - som Lumos - har undladt at komme helt fra jorden.

Men måske er den største og mest vedvarende trussel mod Smart Home og Internet of Things-sikkerhed simpelthen, at disse enheder er bygget til at vare længere, end deres producenter foretrækker. Integrerede systemer og Smart Home-produkter kan fungere ganske lykkeligt i mange år. Mange af disse fungerer ikke på en abonnementstjeneste.

Skal vi forvente, at Nest og Philips vil tilbyde opdateringer så længe Microsoft understøttede Windows XP Hvad Windows XPocalypse betyder for digMicrosoft dræber support til Windows XP i april 2014. Dette har alvorlige konsekvenser for både virksomheder og forbrugere. Dette er, hvad du skal vide, hvis du stadig kører Windows XP. Læs mere ?

Ud af LAN, ind i ilden

Disse sikkerhedsproblemer forværres markant af det faktum, at mange af disse enheder er tilsluttet det bredere Internet og eksternt tilgængeligt, hvorved der introduceres et smorgasbord af sikkerhed bekymringer.

For når du opretter forbindelse til internettet, introducerer du derefter en ny angrebsvektor til den, der er så motiveret. I stedet for at skulle oprette forbindelse til dit hjemmenetværk, kunne nogen simpelt hen kompromittere det.

Det er lettere end du også tror. Der er endda en søgemaskine til indlejrede systemer, kaldte Shodan. Med blot et par tastetryk kan du finde systemer, der er blevet udsat for Internettet overalt - fra kraftværker i Japan, til webkameraer i Holland og VoIP-telefoner i New York.

Ved blot at søge efter “Web Cam” udsættes tusinder for eksternt tilgængelige webcams. Jeg fik dog ikke adgang til nogen, da det næsten helt sikkert ville resultere i mig overtrædelse af loven om misbrug af computere 1990 Lov om computermisbrug: loven, der kriminaliserer hacking i StorbritannienI Storbritannien behandler Computer Misuse Act 1990 hacking forbrydelser. Denne kontroversielle lovgivning blev for nylig opdateret for at give den britiske efterretningsorganisation GCHQ den lovlige ret til at hacke ind på enhver computer. Selv din. Læs mere .

Det er skræmmende. Vi er begyndt at introducere vores hjem til Internettet, og det er trivielt let at finde dem og lancere målrettede angreb på dem. Vi burde være bekymrede.

Så hvad kan der gøres?

Sikkerhedsfejl, som den der findes i Samsungs Android-køleskab, vil altid være der. Så længe det er nemt for leverandører at udstede rettelser, og de konstant opdateres gennem enhedernes levetid, er det ikke for meget et problem.

Men det er vigtigt, at vi adresserer de andre problemer. Der skal gøres en indsats for at sikre, at udviklere af Smart Home og IoT-produkter ved, hvordan de udvikler sikre systemer. Dette kunne opnås ved større opsøgning med sikkerhedssamfundet.

Der er en række præcedens for dette. Det OWASP (Open Web Application Security Project) projekt er en, der straks springer op i tankerne. Dette blev lanceret i 2004 og har produceret frit tilgængeligt uddannelsesmateriale, der lærer udviklere, hvordan man bygger sikre websteder, og hackere, hvordan man korrekt tester sikkerheden ved webapplikationer.

Der er ingen grund til, at der ikke kan oprettes noget lignende til det smarte hjemverden og for Internet of Things-udviklere.

Desuden er vi nødt til at sikre, at Smart Home-systemer opdateres og vedligeholdes, selvom leverandørerne foldes. Dette kan gøres ved at give mandat til, at alle frigiver deres kode i en kildekode escrow, hvor koden frigives, hvis virksomheden arkiverer konkurs eller på anden måde ikke vedligeholder softwaren på en måde, der er tilfredsstillende.

Og som forbrugere bør vi begynde at kræve mere fra leverandører. Vi bør kræve, at de enheder, vi køber, understøttes med sikkerhedsrettelser i hele produktets levetid. Vi kan forvente, at eventuelle sikkerhedsproblemer løses hurtigt og beslutsomt. Vi kan forvente, at leverandører behandler sikkerhedstrusler med absolut gennemsigtighed. Og vi bør ikke nedlæsse leverandører, der ikke overholder den magre standard.

Dette er alle relativt små ændringer, men der er ingen grund til at tro, at de ikke ville resultere i mere sikre Smart Home-enheder. Men hvad synes du?

Hvis du har nogen tanker, eller har nogen horrorhistorier om IoT-usikkerhed, vil jeg høre om dem. Fortæl mig det i kommentarerne herunder, så vi chatter.

Fotokreditter: Arduino eksperimentationssæt (Oomlout), IMG_5145 (JWalsh)