Samsungs Smart Kylskåp blev bara pwned. Hur om resten av ditt smarta hem?
$ 3599 är mycket pengar.
Det kan få dig en anständig begagnad bil, eller en relativt lurad iMac. Du kunde köpa 3599 McChicken hamburgare, eller 2589 McDoubles. Eller det kan få dig Samsung RF28HMELBSR.
Detta (snyggt namngivna) kylskåp har allt. Det har fyra dörrar, en kolossal 28 kubikfot utrymme och en integrerad, 8” Wi-Fi-aktiverad LCD-pekskärmskärm som låter dig göra allting från att läsa nyheterna, för att fjärrstyra din Android-smarttelefon.
Om det låter bekant, berodde det på att det en gång var på min lista över de dumaste Smart Home-produkterna någonsin Tweeting Fridges och Web Controlled Rice Cookers: 9 av de dumaste Smart Vitvaror Tweeting kylskåp och Web Controlled Rice Cookers: 9 av de dumaste Smart Home Vitvaror Det finns många smarta hemanordningar som är värda din tid och pengar. men det finns också slag som aldrig får se dagens ljus. Här är 9 av de värsta. Läs mer . Och nämnde jag det med en enorm, klyvande säkerhetsproblem?
Smart kylskåp, dumt misstag
Ja, för all sin sofistikering skickades det här kylskåpet med en betydande säkerhetsfel som potentiellt kunde se en angripare skörda skörda inloggningsuppgifter från Gmail..
Sårbarheten rapporterades först i registret den 24 augusti och upptäcktes av brittiska infosecföretaget Pen Test Parters, medan de deltog i en Internet of Things (IoT) hacking utmaning vid den senaste Defcon 23 konferensen.
Den inbyggda pekskärmen på det här kylskåpet tillåter användaren att komma åt sin egen Google Kalender. Anslutningar till och från Googles servrar krypteras med SSL-kryptering Vad är ett SSL-certifikat och behöver du? Vad är ett SSL-certifikat och behöver du? Att surfa på Internet kan vara skrämmande när personuppgifter är inblandade. Läs mer, men Samsungs genomförande av SSL kontrollerar inte certifikatets giltighet.
Detta utgör ett allvarligt säkerhetsproblem, eftersom någon på nätverket skulle kunna starta en “Mannen i mitten” Vad är en Man-in-the-Middle Attack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer attack och avlyssna användarens inloggningsuppgifter i transit. En angripare skulle också kunna skaffa dem genom att spoofing en åtkomstpunkt eller genom en trådlös autentiseringsattack.
Samsung har sagt att de är “undersöka denna fråga så snabbt som möjligt”, och förmodligen arbetar platt för att utfärda en fix. Men det här avsnittet presenterar en intressant demonstration av hur dåligt säkerheten kan gå fel på saker av Internet.
(In) Säkerhet i en nätverksdator
Tidigare har vi pratat mycket om riskerna med tingenes Internet, både från en integritet Varför Internetets saken är den största säkerhetsmardrömmen Varför Internet-saken är den största säkerhetsmardrömmen En dag kommer du hem från arbeta för att upptäcka att ditt molnaktiverade hemsäkerhetssystem har brutits. Hur kunde detta hända? Med Internet of Things (IoT) kan du ta reda på den svåra vägen. Läs mer och från ett säkerhets- och sociologiskt perspektiv 7 Anledningar till att saker på Internet ska skrämma dig 7 Anledningar till att saker på Internet ska skrämma dig De potentiella fördelarna med saker i Dina blir ljusa, medan farorna kastas i de tysta skuggorna. Det är dags att uppmärksamma dessa faror med sju skrämmande löften om IoT. Läs mer . Att adressera dem är svårt, för när det gäller att säkra Internet på saker, möter vi några problem.
För det första är dessa enheter inte datorer eller telefoner, i den mån de är enhetligt lätta att uppdatera (Windows 10 kommer även att installera uppdateringar på dina vägnar. Så här stänger du av automatiska appuppdateringar i Windows 10 Så här stänger du av automatiska appuppdateringar i Windows 10 Deaktivering av systemuppdateringar rekommenderas inte. Men om det behövs, så gör du det på Windows 10. Läs mer), och leverantörerna bakom dem är involverade och släpper regelbundet mjukvaru- och säkerhetsuppdateringar. Många smarta hemprodukter gör det inte “uppdatering” över luften, antingen du behöver använda komplicerade eller otillförlitliga mjukvarupaket, flyttbart lagringsutrymme eller helt enkelt inte låta dig uppdatera firmware på alla.
Hur uppdaterar du till exempel en sammankopplad kaffekanna eller en datoriserad termostat? Det finns inget enkelt, universellt sätt att göra det.
Det är också viktigt att ta itu med det faktum att många av dessa enheter nu byggs av vanliga människor i sina egna hem. Arduino och Raspberry Pi har gjort det möjligt för oss att introducera nätverksanslutning och datoriserad logik till platser som vi aldrig trodde var möjligt, medan produkter som Microsofts Windows 10 för IoT Windows 10 - Kommer till en Arduino nära dig? Windows 10 - Kommer till en Arduino nära dig? Read More har gjort det enklare att exponera dessa enheter för det bredare Internet samtidigt som man öppnar en värld av möjlighet och risk.
Medan många erfarna utvecklare vet hur man bygger dessa enheter på ett sätt som är säkert, gör alltför många nybörjare och hobbyistutvecklare inte.
Då tar vi oss till problemet med livslängd. Återigen, detta problem som är unikt endemiskt för Smart Home-världen. Eftersom din dator och telefon kör programvara som har byggts av företag med långa historier och djupa fickor har de flesta av dina Smart Home-enheter inte.
Den överväldigande majoriteten av dessa företag är tidiga till sena startstarter, många av dessa är i ett preliminärt stadium i sin utveckling. Om de stängs av, vad händer med de produkter som de redan har skickat? Vem skriver mjukvaruuppdateringar och säkerhetsuppdateringar?
Som vi har skrivit om tidigare är hårdvaruprocesser svåra Varför hårdvaruproblem är svåra: Ta ErgoDox till liv Varför hårdvaruproblem är svåra: Ta ErgoDox till liv Här är en kontroversiell åsikt för dig: Det är enkelt att starta en mjukvaruuppstart. Hårdvara, å andra sidan? Hårdvaruprocesser är svåra. Riktigt svår. Läs mer . Redan i år har vi sett stora uppsägningar hos Leeo och Wink - två av de största Smart Home startupsna. Många fler - som Lumos - har misslyckats med att komma helt från marken.
Men kanske det största och mest varaktiga hotet mot Smart Home och Internet of Things säkerhet är helt enkelt att dessa enheter är byggda för att hålla längre än deras tillverkare skulle föredra. Inbyggda system och Smart Home-produkter kan fungera, ganska glatt, i åratal och år. Många av dessa fungerar inte på abonnemangstjänsten.
Kan vi förvänta oss att Nest och Philips erbjuder uppdateringar så länge som Microsoft har stöd för Windows XP Vad Windows XPocalypse betyder för dig Vad Windows XPocalypse betyder för dig Microsoft kommer att döda stöd för Windows XP i april 2014. Det har allvarliga konsekvenser för både företag och konsumenter. Här är vad du bör veta om du fortfarande kör Windows XP. Läs mer ?
Utan LAN, Into The Fire
Dessa säkerhetsproblem förvärras avsevärt av det faktum att många av dessa enheter är anslutna till det bredare Internet och fjärråtkomst och därigenom introducerar ett smorgasbord av säkerhetsproblem.
För när du ansluter någonting till Internet introducerar du sedan en ny attackvektor till den som är så motiverad. I stället för att behöva ansluta till ditt hemnätverk, kan någon enkelt på något sätt kompromissa den.
Det är lättare än du tror också. Det finns till och med en sökmotor för inbyggda system, som heter Shodan. Med några få knapptryckningar kan du hitta system som har utsatts för Internet över hela världen - från kraftverk i Japan, till webbkameror i Holland och VoIP-telefoner i New York.
Helt enkelt söka efter “Webbkamera” exponerar tusentals tillgängliga fjärrkamera. Jag hade inte tillgång till några, men det skulle nästan säkert leda till att jag bryter mot datormissbruk Act 1990 The Computer Misuse Act: lagen som kriminaliserar hackning i Storbritannien Datormissbrukslagen: lagen som criminalizes hackning i Storbritannien I Förenade kungariket lagen om missbruk av dator 1990 handlar om hackingbrott. Twhis kontroversiella lagstiftning uppdaterades nyligen för att ge Storbritanniens underrättelseorganisation GCHQ den lagliga rätten att hacka in i vilken dator som helst. Även din. Läs mer .
Det är läskigt. Vi har börjat presentera våra hem på Internet, och det är trivialt lätt att hitta dem och att starta riktade attacker mot dem. Vi borde vara oroliga.
Så vad kan man göra?
Säkerhetsfel, som den som finns i Samsungs Android-kylskåp, kommer alltid att finnas där. Så länge det är lätt för leverantörer att utfärda korrigeringar, och de uppdateras ständigt under hela livstiden för enheterna, det är inte för mycket av ett problem.
Men det är viktigt att vi tar upp de andra frågorna. Insatser måste vidtas för att säkerställa att utvecklarna av Smart Home och IoT-produkter vet hur man utvecklar säkra system. Detta kan åstadkommas genom större överträffar med säkerhetsgemenskapen.
Det finns ett antal prejudikat för detta. Projektet OWASP (Open Web Application Security Project) är ett som springer omedelbart i åtanke. Inleddes 2004 har detta skapat fritt tillgängligt utbildningsmaterial som lär utvecklare hur man bygger säkra webbplatser och hackare hur man korrekt testar säkerheten hos webbapplikationer.
Det finns ingen anledning att något liknande inte kunde skapas för den smarta hemvärlden och för utvecklare av Internet av saker.
Dessutom måste vi se till att Smart Home-system uppdateras och underhålls, även om leverantörerna lägger sig. Detta kan göras genom att uppmana alla att släppa sin kod i en källkodsavsättning, där koden släpps om företaget filar för konkurs eller på annat sätt misslyckas med att behålla programvaran på ett sätt som är tillfredsställande.
Och som konsumenter bör vi börja kräva mer från leverantörer. Vi bör kräva att de enheter vi köper stöds med säkerhetsfläckar under produktens livstid. Vi borde förvänta oss att säkerhetsfrågor löses snabbt och avgörande. Vi borde förvänta sig att säljare behandlar säkerhetshot med absolut öppenhet. Och vi bör inte fördöma säljare som inte uppfyller den dåliga standarden.
Det här är alla relativt små förändringar, men det finns ingen anledning att tro att de inte skulle leda till säkrare Smart Home-enheter. Men vad tycker du?
Om du har några tankar, eller har några skräckhistorier om IoT-osäkerhet, vill jag höra om dem. Låt mig veta i kommentarerna nedan, och vi chattar.
Fotokrediter: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)
Utforska mer om: Online-säkerhet, smarttelefon.