Innholdsfortegnelse:
- Internett av usikkerhet
- Mangel på standarder
- Det er ikke alt dritt
- Det uimotståelige tingenes internett
Video: IELTS Speaking Оценка 9 Пример (Oktober 2024)
Hvis Internet of Things (IoT) -industrien er Jedi-ordenen, med Philips Hue-lysskilt og "smarte" skybaserte Force-krefter, er den populære Twitter-kontoen Internet of Shit en Sith Lord. I en tid der teknologibransjen virker ivrig etter å legge en brikke i alt, konsekvenser bli fordømt, setter Internet of Shit navn på problemet med ny, ubrukelig elektronikk og fremhever at noen av disse produktene kanskje ikke er så godartede som vi tror.
Internett av Shit sin Twitter-konto fokuserer på nisje og den populære. I tilfelle av å si for å betale for et måltid med en smart vannflaske, stiller det spørsmålstegn ved verktøyet. Det fremhever absurditeten i å måtte vente på grunnleggende nødvendigheter, som lys og varme, som er utilgjengelige etter at "smarte" produkter mottar firmwareoppdateringer.
meg hver gang en ny gadget kommer ut pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23. januar 2017
Som du kanskje kan forestille deg, er internett fra Shit i stand til å tømme industrien den håner så effektivt fordi den næringen er nær hjertet. "Det skjedde så naturlig, " sa IOS. "Jeg pleide å tilbringe mye tid på Kickstarter og så fremveksten av tingenes internett der. Det virket som om annenhver dag en hverdagslig gjenstand hadde en brikke som ble dyttet inn i den, men ingen - selv i media - var det kritisk til det. ville bare sagt ting som 'Wow, vi kan endelig få internett i en paraply.'"
IOS ser på seg selv som noe av en djevels talsmann eller kollektiv samvittighet for forbrukerkultur. I hans øyne er Twitter-kontoen en mye tiltrengt sanitetskontroll av Silicon Valley faux-optimisme kjørt amok. "Når vi går for langt, er det viktige spørsmålet teknologien folk har glemt: Hvem trenger egentlig dette? En ovn som ikke kan lage mat ordentlig uten internett? Hvorfor designer ikke folk disse tingene bedre?"
Men mer enn dårlig design og beskjedne påstander om nytte, er IOSs primære bekymring privatliv og til slutt personlig sikkerhet: "Jeg ser riktignok IoT som iboende risikabelt. Jeg stoler ikke på at disse selskapene ikke vil lekke dataene mine eller ikke å bli hardt hacket i fremtiden."
I et Medium-innlegg skrevet tidlig i Twitter-kontoens liv, sa IOS at han var bekymret for at selskaper ville begynne å lete etter måter å tjene penger på data samlet inn fra folks hjem. Fra den historien: "Hvis Nest ønsket å øke fortjenesten, kunne det selge hjemmets miljødata til annonsører. For kaldt? Amazon-annonser for tepper. For varmt? En bannerannonse for et klimaanlegg. For fuktig? Avfuktere opp i Facebook-en din."
IOS står fortsatt ved disse bekymringene. "Årsaken til at IoT er så overbevisende for produsentene, er ikke at de tilfører smarte funksjoner i livet ditt - det er bare et biprodukt, " skrev han meg. "Det er mer at ved å gjøre det får de enestående innsikt i hvordan disse enhetene blir brukt, for eksempel hvor ofte, hvilke funksjoner du bruker mest, og alle dataene som følger med det."
IOS sier at IoT-selskaper trenger å være mye mer forhåndsbestemt om datainnsamlingsretningslinjene, og hvem som kan få tilgang til informasjon som kan samles inn av disse enhetene. "Spørsmålet vi alle trenger å bestemme oss for er hvilket tilgangsnivå vi er villige til å gi disse selskapene i bytte mot dataene de får - og hvem vi stoler på med det er nøkkelen."
1. juledag i 2016, gjorde IOS mulig for lysene hans å blinke hver gang håndtaket hans ble nevnt på Twitter. Resultatene var intense, antiklimaktiske og korte, og illustrerer kanskje alt IOS avsky om tingenes internett.
Internett av usikkerhet
Langt verre enn effekten ubrukelige IoT-enheter har på forbrukernes lommebøker, er imidlertid effekten de har på personlig sikkerhet. IOS sin frykt for en markedsplass for brukerdata samlet inn av IoT-enheter er ikke langt hentet (hvordan tror du at gratisapper og gratis internettnyhetsselskaper tjener penger?), Og det er allerede andre, veldig virkelige trusler.
Deltakere på Black Hat 2016-konferansen ble behandlet på opptak fra sikkerhetsforsker Eyal Ronen. Ved å bruke forskningen klarte han å ta kontroll over Philips Hue-lysene fra en drone som svevde utenfor et kontorbygg. Angrepet var bemerkelsesverdig ikke bare for dets dramatiske resultater og for å bruke en drone, men også fordi bygningen var hjemsted for flere kjente sikkerhetsselskaper.
Ronen forklarte meg at han forsøkte å demonstrere at et angrep mot en topplinje med IoT-enheter var mulig. "Det er mange IoT-hacks rettet mot avanserte enheter som ikke har noen reell sikkerhet. Vi ønsket å teste sikkerheten til et produkt som er ment å være trygt, " sa han. Han var også opptatt av å angripe et kjent selskap og slo seg ned på Philips. Ronen sa at det var vanskeligere å sprekke enn han først trodde, men han og teamet hans fant og utnyttet en feil i ZigBee Light Link-programvaren, en tredjeparts kommunikasjonsprotokoll som ble brukt av flere IoT-selskaper og betraktet som et modent og sikkert system.
"Den bruker avanserte kryptografiske primitiver, og den har sterke sikkerhetskrav, " sa Ronen. "Men på slutten, på relativt kort tid med svært rimelig maskinvare til en verdi av rundt 1000 dollar, klarte vi å bryte den, " sa Ronen.
Video av Ronens angrep (over) viser lysene fra bygningen som blinker i rekkefølge, etter at kommandoene hans ble fjernstyrt via en svevende drone. Hvis dette skulle skje med deg, ville det være irriterende - kanskje ikke mer irriterende enn noen av scenariene IOS fremhever på Twitter-kontoen hans. Men sikkerhetsfagfolk mener at det er langt større konsekvenser for IoT-sikkerhet.
"I et tidligere arbeid viste vi hvordan vi kan bruke lys til å filtrere ut data fra luftspalt nettverk og forårsake epileptiske anfall, og i dette arbeidet viser vi hvordan vi kan bruke lys til å angripe det elektriske nettet og fastkjørt Wi-Fi, " fortalte Ronen meg. "IoT kommer inn i alle deler av livene våre, og sikkerheten ved det kan påvirke alt fra medisinsk utstyr til biler og hjem."
Mangel på standarder
Ronens angrep utnyttet nærheten, men sjefsikkerhetsforsker Alexandru Balan ved Bitdefender skisserte mange andre sikkerhetsfeil som kommer bakte i noen IoT-enheter. Hardkodede passord, sa han, er spesielt problematiske, og det samme er enheter som er konfigurert for å være tilgjengelige fra det åpne internett.
Det var denne kombinasjonen av internettilgang og enkle standardpassord som har forårsaket ødeleggelser i oktober 2016 da Mirai botnet tok store tjenester som Netflix og Hulu enten offline eller gjorde dem så treg at de var ubrukelige. Noen uker senere har en variant av Mirai strupet internettilgang i hele nasjonen Liberia.
Ikke lenge etter at nyheter om Mirai brøt, så jeg på dette scenariet og beskyldte IoT-bransjen for å ha ignorert advarslene om dårlig autentisering og unødvendig tilgjengelighet på nettet. Men Balan ville ikke gå så langt som å kalle disse feilene åpenbare. "trenger å gjøre omvendt prosjektering på firmwaren for å hente ut disse legitimasjonene, men det er veldig ofte slik at de finner hardkodede legitimasjon på enhetene. Årsaken til dette er at det i mange tilfeller ikke er noen standarder når det gjelder IoT-sikkerhet."
Sårbarheter som disse oppstår, antydet Balan, fordi IoT-selskaper opererer på egen hånd, uten universelt aksepterte standarder eller sikkerhetskompetanse. "Det er lettere å bygge det slik. Og du kan si at de kutter hjørner, men hovedspørsmålet er at de ikke ser på hvordan de skal bygge det på en sikker måte. De prøver bare å gjøre det fungerer ordentlig."
Selv når selskaper utvikler rettelser for angrep som den Ronen oppdaget, klarer ikke noen IoT-enheter å bruke automatiske oppdateringer. Dette legger forbrukerne til å søke og bruke lapper selv, noe som kan være spesielt skremmende på enheter som ikke er beregnet på service.
Men selv med enheter som enkelt kan oppdateres, eksisterer fortsatt sårbarheter. Flere forskere har vist at ikke alle IoT-utviklere signerer sine oppdateringer med en kryptografisk signatur. Signert programvare er kryptert med den private halvparten av en asymmetrisk kryptografisk nøkkel som eies av utvikleren. Enhetene som mottar oppdateringen har den offentlige halvparten av nøkkelen, som brukes til å dekryptere oppdateringen. Dette sikrer at oppdateringen er offisiell og ikke har blitt tuklet med, siden signering av en ondsinnet oppdatering eller endring av programvareoppdateringen ville kreve utviklerens hemmelige nøkkel. "Hvis de ikke signerer oppdateringene sine digitalt, kan de kapres, de kan tukles med; kode kan sprøytes inn i disse oppdateringene, " sa Balan.
Utover å bare knyte lys på og av, sa Balan at infiserte IoT-enheter kan brukes som en del av botnet, sett med Mirai, eller til langt mer lumske formål. "Jeg kan hente ut Wi-Fi-legitimasjonene dine, fordi du tydeligvis har koblet den til Wi-Fi-nettverket og er som en Linux-boks. Jeg kan bruke den til å svinge og begynne å starte angrep i det trådløse nettverket.
"Innen personvernet til ditt eget LAN-nettverk er autentiseringsmekanismer slappe, " fortsatte Balan. "Problemet med LAN er at når jeg først er i det private nettverket, kan jeg få tilgang til nesten alt som skjer der." Korrupt IoT blir faktisk et strandhode for angrep på mer verdifulle enheter i samme nettverk, for eksempel Network Attached Storage eller personlige datamaskiner.
Det forteller kanskje at sikkerhetsbransjen har begynt å se nøye på IoT. I løpet av de siste årene har flere produkter kommet inn i markedet som hevder å beskytte IoT-enheter mot angrep. Jeg har sett eller lest om flere slike produkter og vurdert Bitdefenders tilbud. Enheten som kalles Bitdefender Box, kobles til ditt eksisterende nettverk og gir antivirusbeskyttelse for alle enheter i nettverket. Det undersøker til og med enhetene dine for potensielle svakheter. Bitdefender lanserer den andre versjonen av sin Box-enhet i år. Norton vil inngi sitt eget tilbud (nedenfor) og kan skryte av dyp pakkeinspeksjon, mens F-Secure også har kunngjort en maskinvareenhet.
Som en av de første som markedsfører, er Bitdefender i den unike posisjonen å ha bakgrunn i programvaresikkerhet - og deretter designe forbrukermaskinvare som antagelig vil være upåklagelig sikker. Hvordan var den opplevelsen? "Det var veldig vanskelig, " svarte Balan.
Bitdefender har et program med bug-bounty (en økonomisk belønning som tilbys programmerere som avdekker og gir en løsning på en feil på et nettsted eller i en applikasjon), noe Balan bekreftet har hjulpet utviklingen av boksen. "Ingen selskaper skal være arrogante nok til å tro at de kan finne alle feilene på egen hånd. Dette er grunnen til programvare for bountypremier, men utfordringen med maskinvare er at det kan være bakdører i selve brikkene."
"Vi vet hva vi skal se etter og hva vi skal se på, og vi har faktisk et maskinvareteam som kan ta fra hverandre og se på hver enkelt av komponentene på det brettet. Heldigvis er det brettet ikke så stort."
Det er ikke alt dritt
Det er lett å rabattere en hel bransje basert på de verste aktørene, og det samme gjelder Internet of Things. Men George Yianni, teknologisjef, hjemmesystemer, Philips Lighting synes dette synet er spesielt frustrerende.
"Vi tok veldig alvorlig fra begynnelsen. Dette er en ny kategori. Vi må bygge tillit, og disse skader faktisk tilliten. Og det er også grunnen til at jeg tror den største skammen med produktene som ikke har gjort en så god jobb, er at det eroderer tilliten til den samlede kategorien. Ethvert produkt kan lages dårlig. Det er ikke en kritikk av den samlede bransjen."
Som det ofte er tilfelle for sikkerhet, hvordan et selskap reagerer på et angrep ofte er viktigere enn effekten av selve angrepet. Når det gjelder droneangrepet på Philips-enheter, forklarte Yianni at Ronen leverte sine funn gjennom selskapets eksisterende ansvarlige avsløringsprogram. Dette er prosedyrer som er satt i verk for å gi selskaper tid til å svare på en sikkerhetsforskerens funn før det blir offentliggjort. På den måten kan forbrukere være sikre på at de er trygge og forskerne får æren.
Ronen hadde funnet en feil i en tredjeparts programvarestabel, sier Yianni. Spesielt var det den delen av ZigBee-standarden som begrenser kommunikasjonen til enheter innen to meter. Ronens arbeid, som du vil huske, var i stand til å ta kontroll på avstand - 40 meter unna med en standardantenne og 100 meter med en boostet antenne. Takket være det ansvarlige avsløringsprogrammet sa Yianni at Philips klarte å rulle ut en lapp til lysene i feltet før Ronen fortalte verden om angrepet.
Etter å ha sett mange bedrifter kvele med et brudd på sikkerheten eller resultatet av en sikkerhetsforskerens arbeid, kan Yianni og Philips 'respons høres ut som fakta bakoverklatring - men det var virkelig en suksess. "Alle produktene våre kan oppdateres programvare, slik at ting kan fikses, " fortalte Yianni meg. "Den andre tingen vi gjør sikkerhetsrisikovurdering, sikkerhetsrevisjoner, penetrasjonstesting på alle produktene våre. Men så kjører vi også disse ansvarlige avsløringsprosessene, slik at hvis noe kommer gjennom, kan vi finne ut på forhånd og fikse det det veldig raskt.
"Vi har en hel prosess der vi kan skyve programvareoppdateringer fra hele skyen til og distribuere den til alle lysene. Det er veldig viktig, fordi plassen beveger seg så raskt og dette er produkter som kommer til å vare i 15 år Og hvis vi skal sørge for at de fremdeles er relevante med tanke på funksjonalitet og for å være tilstrekkelig sikre for de siste angrepene, må vi ha det."
I korrespondansen med meg bekreftet Ronen at Philips faktisk hadde gjort en beundringsverdig jobb med å sikre Hue-lyssystemet. "Philips la en overraskende innsats i å sikre lysene, " fortalte Ronen. "Men dessverre var noen av de grunnleggende sikkerhetsforutsetningene som var avhengige av den underliggende Atmels implementering av brikkesikkerhet, feil." Som Balan påpekte med Bitdefenders arbeid med boksen, er alle aspekter av IoT-enheten utsatt for angrep.
Philips designet også den sentrale huben - enheten som kreves for å koordinere nettverk av Philips IoT-produkter - for å være utilgjengelig fra det åpne internett. "Alle tilkoblinger til internett blir startet fra enheten. Vi åpner aldri porter på rutere eller gjør det slik at en enhet på internett kan snakke direkte med nettet, " forklarte Yianni. I stedet sender huben forespørsler til Philips skyinfrastruktur, som svarer på forespørselen i stedet for omvendt. Dette gjør at Philips også kan legge til ekstra lag for å beskytte forbrukerens enheter uten å måtte strekke seg inn i hjemmet og gjøre endringer. "Det er ikke mulig å kommunisere med fra utenfor huben med mindre du blir dirigert gjennom denne skyen hvor vi kan bygge flere lag med sikkerhet og overvåking."
Yianni forklarte at alt dette var en del av en flerlags tilnærming Philips tok for å sikre Hue-belysningssystemet. Siden systemet er sammensatt av flere forskjellige brikker - fra maskinvaren inni pærene til programvaren og maskinvaren på Hue Hub til appen i brukernes telefoner - måtte det iverksettes forskjellige tiltak på alle nivåer. "Alle av dem trenger forskjellige sikkerhetstiltak for å holde dem trygge. De har alle forskjellige nivåer av risiko og sårbarhet. Så vi gjør forskjellige tiltak for alle disse forskjellige delene, " sa Yianni.
Dette inkluderte penetrasjonstesting, men også en bottom-up-design beregnet på å hindre angripere. "Det er ingen globale passord som det som ble brukt i dette Mirai botnet, " sa Yianni. Mirai-malware hadde dusinvis av standardkoder som den ville bruke i et forsøk på å overta IoT-enheter. "Hver har unike, asymmetrisk signerte nøkler for å bekrefte firmware, alt dette. En enhet som har maskinvaren blitt endret, er det ingen global risiko for, " forklarte han.
Dette gjelder også verdien av IoT-enheter. "Mange av disse produktene har en tendens til å være tilkoblingsmuligheter av hensyn til tilkobling, " sa han. "Behovet for å automatisere alt i hjemmet ditt er ikke et problem mange forbrukere har, og det er veldig vanskelig å få hodet rundt. Vi tror at produkter som gjør det bra, er de som gir en lettere forståelig verdi for forbrukerne."
Det uimotståelige tingenes internett
Å kjenne til risikoen ved IoT og til og med erkjenne at den er useriøs, har absolutt ikke stoppet folk fra å kjøpe smart belysning som Philips Hue, alltid lyttende hjemmeassistenter som Google Home eller Amazon Echo, og ja, smarte vannflasker. Til og med operatøren av Internet of Shit er en stor IoT-fan.
"Den virkelige ironien bak internett til Shit er at jeg er en sucker for disse enhetene, " sa IOS. "Jeg er en tidlig adopter og jobber innen teknologi, så mye av tiden klarer jeg ikke å motstå disse tingene." IOS viser Philips-tilkoblede lys, Tado-termostaten, Sense sleep tracker, smarte høyttalere, det kanariske kameraet og Wi-Fi-tilkoblede plugger blant hans futuristiske hjemmefasiliteter.
"Jeg er klar over at kontoen ved et uhell ble langt større enn jeg noen gang hadde forestilt meg, og jeg ønsker aldri å avskrekke folk fra å gå inn i teknologi - jeg tror at å eksperimentere med stumme ideer er hvor gode ideer kan bli født, noe som er noe at Simone Giertz lærte meg litt, "sa IOS.
Giertz, en absurdistisk robotist og YouTuber, er tankene bak Shitty Robots. Kreasjonene hennes inkluderer en drone som gir hårklipp - eller snarere mislykkes - og en massiv hatt som plasserer solbriller dramatisk i ansiktet hennes. Tenk på det som Rube Goldberg med en sunn dose Silicon Valley-kynisme.
Personen bak IOS rapporterer at han prøver å tøyle sine tidlige adopterinstinkter i disse dager. "Jeg tror det øyeblikket jeg måtte oppdatere firmware for lyspærene mine for å slå dem på, var litt av en erkjennelse for meg…"
Bitdefenders Balan sa at han bruker lyspærer som fungerer som Wi-Fi-repeatere. Disse enhetene utvider både lys og Wi-Fi til hvert hjørne av hjemmet hans. Men de er også lastet med mange av sårbarhetene som han spottet, inkludert svake standardpassord. Men når det gjelder IoT, forblir han uopptatt.
"Det er som sex, " sa han til meg. "Du ville ikke gjort det uten kondom. Vi liker sex, sex er kjempebra, vi vil ikke gi opp sex bare fordi det er farlig. Men vi kommer til å bruke beskyttelse når vi gjør det." I stedet for å bortfalle til paranoia, mener han at forbrukere bør stole på sikkerhetsselskaper og utdannede venner som kan identifisere selskapene som tar sikkerhet på alvor med feilbeløp og sikre, hyppige oppdateringsverktøy.
Og bruker drone-pilot-hackeren Ronen IoT? "Foreløpig nei, " sa han. "Jeg er redd for effekten av dette har på privatlivet og sikkerheten min. Og fordelene er ikke høye nok for mine behov."
Til og med din ydmyke forfatter, som har motstått sirenesangen om snakkende røykvarslere og fargeskiftende lys i årevis, har begynt å smuldre. Nylig, i et forsøk på å gran opp kontoret til høytiden, fant jeg meg selv å sette opp tre separate smarte lys. Resultatet var grufullt, overbevisende vakkert.
I mellomtiden sitter et splitter nytt Philips Hue-lys i min handlekurv på Amazon. En dag snart trykker jeg på knappen.
