De slimme koelkast van Samsung is zojuist gepwnd. Hoe zit het met de rest van uw Smart Home?

Advertentie

$ 3599 is veel geld.

Het kan je een fatsoenlijke tweedehands auto opleveren, of een relatief misleidende iMac. Je zou 3599 McChicken hamburgers of 2589 McDoubles kunnen kopen. Of misschien krijg je de Samsung RF28HMELBSR.

Deze (snappily-genoemde) koelkast heeft alles. Het heeft vier deuren, een kolossale 28 kubieke voet van ruimte, en een geïntegreerde, 8 "WiFi-compatibele LCD touchscreen-display waarmee u alles kunt doen, van het lezen van nieuws tot het op afstand bedienen van uw Android smartphone.

Als het bekend klinkt, is het omdat het ooit op mijn lijst van de stond domste Smart Home-producten ooit Tweeting koelkasten en webgestuurde rijstkokers: 9 van de domste Smart Home-apparatenEr zijn veel smart home-apparaten die je tijd en geld waard zijn. maar er zijn ook soorten die nooit het daglicht mogen zien. Hier zijn 9 van de ergste. Lees verder . En had ik al gezegd dat het wordt geleverd met een enorme, gapende beveiligingskwetsbaarheid?

Slimme koelkast, domme fout

Ja, ondanks al zijn verfijning, werd deze koelkast geleverd met een aanzienlijk beveiligingsfout waardoor een aanvaller heimelijk Gmail-inloggegevens zou kunnen binnenhalen.

Het beveiligingslek werd eerst gemeld in het register op 24 augustus en ontdekt door het Britse infosecbedrijf Pen Test Parters tijdens een recente hacking-uitdaging voor Internet of Things (IoT) Defcon 23 conferentie.

Via het ingebouwde touchscreen op deze koelkast heeft de gebruiker toegang tot zijn eigen Google Agenda. Verbindingen van en naar de servers van Google zijn gecodeerd met behulp van SSL-codering Wat is een SSL-certificaat en heeft u er een nodig?Surfen op internet kan eng zijn wanneer het persoonlijke gegevens betreft. Lees verder , maar de implementatie van SSL door Samsung controleert niet de geldigheid van de certificaten.

Dit vormt een serieus beveiligingsprobleem, omdat iedereen in het netwerk een "Man in het midden" Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, is dit het artikel voor jou. Lees verder aanvallen en onderscheppen de inloggegevens van de gebruiker tijdens het transport. Een aanvaller kan deze ook verkrijgen door een toegangspunt te vervalsen of via een draadloze verificatieaanval.

Samsung heeft gezegd dat ze dat zijn “Zo snel mogelijk hiernaar onderzoeken”, en werken vermoedelijk ronduit om een ​​oplossing te geven. Maar deze aflevering presenteert een interessante demonstratie van hoe slecht beveiliging kan misgaan op het internet der dingen.

(In) Beveiliging in een genetwerkte wereld van dingen

In het verleden hebben we uitgebreid gesproken over de risico's van het Internet of Things, beide vanuit een privacy Waarom het internet der dingen de grootste beveiligingsnachtmerrie isOp een dag arriveert u thuis van uw werk om te ontdekken dat uw cloud-enabled beveiligingssysteem voor thuis is overtreden. Hoe kon dit gebeuren? Met Internet of Things (IoT) kun je de moeilijke manier ontdekken. Lees verder en vanuit een veiligheids- en sociologisch perspectief 7 redenen waarom het internet der dingen u zou moeten afschrikkenDe potentiële voordelen van het internet der dingen worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het IoT. Lees verder . Het is moeilijk om ze aan te pakken, want als het gaat om het beveiligen van het internet van dingen, komen we een paar problemen tegen.

Ten eerste zijn deze apparaten geen pc's of telefoons, omdat ze uniform eenvoudig te updaten zijn (Windows 10 installeert zelfs updates namens u Hoe automatische app-updates in Windows 10 uit te schakelenDeactiveren van systeemupdates wordt afgeraden. Maar indien nodig, hier is hoe je het doet op Windows 10. Lees verder ), en de leveranciers achter hen zijn betrokken en brengen regelmatig software- en beveiligingsupdates uit. Veel smart home-producten worden niet "draadloos" bijgewerkt, waardoor u gecompliceerd moet zijn of onbetrouwbare softwarepakketten, verwijderbare opslag of gewoon niet toestaan ​​dat u de firmware bijwerkt op allemaal.

Hoe werkt u bijvoorbeeld een onderling verbonden koffiepot of een geautomatiseerde thermostaat bij? Er is geen gemakkelijke, universele manier om dat te doen.

Het is ook belangrijk om het feit aan te pakken dat veel van deze apparaten nu door gewone mensen in hun eigen huis worden gebouwd. Arduino en Raspberry Pi hebben ons in staat gesteld netwerkconnectiviteit en geautomatiseerde logica te introduceren op plaatsen die we nooit voor mogelijk hadden gehouden, terwijl producten als Microsoft's Windows 10 voor IoT Windows 10 - Komt u naar een Arduino bij u in de buurt? Lees verder heeft het gemakkelijker gemaakt om deze apparaten aan het bredere internet bloot te stellen, en tegelijkertijd een wereld van kansen en risico's te openen.

Hoewel veel ervaren ontwikkelaars weten hoe ze deze apparaten op een veilige manier moeten bouwen, doen veel te veel beginnende en hobby-ontwikkelaars dat niet.

Dan gaan we verder met het probleem van de levensduur. Nogmaals, dit probleem is uniek in de Smart Home-wereld. Omdat op je pc en telefoon software wordt gebouwd die is gebouwd door bedrijven met een lange geschiedenis en diepe zakken, hebben de meeste van je Smart Home-apparaten dat niet.

De overgrote meerderheid van deze bedrijven zijn startups in een vroeg of laat stadium, veel van deze bevinden zich in een voorlopig stadium in hun ontwikkeling. Als ze afsluiten, wat gebeurt er met de producten die ze al hebben verzonden? Wie schrijft software-updates en beveiligingspatches?

Zoals we in het verleden hebben geschreven, hardware startups zijn moeilijk Waarom het opstarten van hardware moeilijk is: de ErgoDox tot leven brengenHier is een controversiële mening voor u: het opstarten van een software is eenvoudig. Hardware daarentegen? Hardware-startups zijn moeilijk. Echt moeilijk. Lees verder . We hebben dit jaar al gezien aanzienlijke ontslagen bij Leeo en Wink - twee van de grootste Smart Home-startups. Veel meer - zoals Lumos - zijn er niet in geslaagd volledig van de grond te komen.

Maar misschien is de grootste en meest duurzame bedreiging voor de beveiliging van Smart Home en Internet of Things gewoon dat deze apparaten zijn gebouwd om langer mee te gaan dan hun fabrikanten zouden willen. Ingebouwde systemen en Smart Home-producten kunnen jarenlang en heel gelukkig werken. Veel van deze werken niet op een abonnementsservice.

Moeten we verwachten dat Nest en Philips updates zolang aanbieden Microsoft ondersteunde Windows XP Wat de Windows XPocalypse voor u betekentMicrosoft gaat de ondersteuning voor Windows XP in april 2014 beëindigen. Dit heeft ernstige gevolgen voor zowel bedrijven als consumenten. Hier is wat u moet weten als u nog steeds Windows XP gebruikt. Lees verder ?

Uit het LAN, in het vuur

Deze beveiligingsproblemen worden aanzienlijk verergerd door het feit dat veel van deze apparaten dat zijn verbonden met het bredere internet en op afstand toegankelijk, waardoor een smorgasbord van beveiliging wordt geïntroduceerd bedenkingen.

Omdat wanneer je iets met internet verbindt, je vervolgens een nieuwe aanvalsvector introduceert aan iedereen die zo gemotiveerd is. In plaats van verbinding te maken met uw thuisnetwerk, kan iemand het eenvoudig op afstand compromitteren.

Het is ook eenvoudiger dan u denkt. Er is zelfs een zoekmachine voor ingebedde systemen, genaamd Shodan. Met slechts enkele toetsaanslagen vindt u systemen die wereldwijd zijn blootgesteld aan internet - van energiecentrales in Japan tot webcams in Nederland en VoIP-telefoons in New York.

Door eenvoudigweg te zoeken naar "Web Cam" worden duizenden op afstand toegankelijke webcams zichtbaar. Ik heb er echter geen toegang toe, want dat zou vrijwel zeker tot me leiden het overtreden van de Computer Misuse Act 1990 De Computer Misuse Act: de wet die hacking in het VK strafbaar steltIn het Verenigd Koninkrijk gaat de Computer Misuse Act 1990 over hackingmisdaden. Deze controversiële wetgeving is onlangs bijgewerkt om de Britse inlichtingenorganisatie GCHQ het wettelijke recht te geven om elke computer te hacken. Zelfs die van jou. Lees verder .

Het is eng. We zijn begonnen onze huizen op internet te introduceren, en het is triviaal eenvoudig om ze te vinden en gerichte aanvallen op hen uit te voeren. We moeten ons zorgen maken.

Dus wat kan er gedaan worden?

Beveiligingsfouten, zoals die in de Android-koelkast van Samsung, zullen er altijd zijn. Zolang het gemakkelijk is voor leveranciers om fixes uit te geven en deze voortdurend worden bijgewerkt gedurende de levensduur van de apparaten, is dat niet zo'n probleem.

Maar het is belangrijk dat we de andere problemen aanpakken. Er moeten inspanningen worden geleverd om ervoor te zorgen dat de ontwikkelaars van Smart Home- en IoT-producten weten hoe ze veilige systemen moeten ontwikkelen. Dit kan worden bereikt door een groter bereik met de beveiligingsgemeenschap.

Hier zijn een aantal precedenten voor. De OWASP-project (Open Web Application Security Project) is er een die onmiddellijk in me opkomt. Gelanceerd in 2004, heeft dit vrij beschikbaar educatief materiaal opgeleverd dat ontwikkelaars leert hoe ze veilige websites kunnen bouwen, en hackers hoe ze de beveiliging van webapplicaties goed kunnen testen.

Er is geen reden dat zoiets niet zou kunnen worden gemaakt voor de smart home-wereld en voor ontwikkelaars van Internet of Things.

Bovendien moeten we ervoor zorgen dat Smart Home-systemen worden bijgewerkt en onderhouden, zelfs als de leveranciers opvouwen. Dit kan worden gedaan door iedereen verplicht zijn code vrij te geven in a broncode escrow, waar de code wordt vrijgegeven als het bedrijf faillissement aanvraagt, of anderszins de software niet op een bevredigende manier onderhoudt.

En als consumenten moeten we meer gaan eisen van leveranciers. We moeten eisen dat de apparaten die we kopen worden ondersteund met beveiligingspatches gedurende de levensduur van het product. We mogen verwachten dat beveiligingsproblemen snel en beslissend worden opgelost. We mogen verwachten dat leveranciers beveiligingsbedreigingen met absolute transparantie behandelen. En we moeten geen leveranciers betuttelen die niet aan die magere norm voldoen.

Dit zijn allemaal relatief kleine wijzigingen, maar er is geen reden om te denken dat ze niet zouden leiden tot veiligere Smart Home-apparaten. Maar wat vind jij ervan?

Als je gedachten hebt of horrorverhalen hebt over IoT-onzekerheid, wil ik daarover horen. Laat het me weten in de reacties hieronder en we zullen chatten.

Fotocredits: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)