Annuncio pubblicitario

$ 3599 sono molti soldi.

Potrebbe procurarti un'auto di seconda mano decente o un iMac relativamente ingannato. Puoi comprare 3599 hamburger di McChicken o 2589 McDoubles. O potrebbe darti il ​​Samsung RF28HMELBSR.

Questo frigorifero (dal nome scattante) ha tutto. Ha quattro porte, un colossale 28 piedi cubici di spazio e un LCD integrato abilitato per WiFi da 8 " display touchscreen che ti consente di fare qualsiasi cosa, dalla lettura delle notizie, al controllo remoto del tuo Android smartphone.

Se suona familiare, è perché una volta era presente nel mio elenco di i prodotti Smart Home più stupidi di sempre Frigoriferi Tweeting e cuociriso controllati dal web: 9 dei più stupendi elettrodomestici intelligentiCi sono molti dispositivi domestici intelligenti che sono degni del tuo tempo e denaro. ma ci sono anche tipi che non dovrebbero mai vedere la luce del giorno. Ecco 9 dei peggiori. Leggi di più . E ho già detto che viene fornito con una vulnerabilità di sicurezza enorme e spalancata?

instagram viewer

Frigo intelligente, errore stupido

Sì, nonostante tutta la sua raffinatezza, questo frigorifero è stato fornito con un significativo difetto di sicurezza che potrebbe potenzialmente vedere un attaccante che raccoglie furtivamente le credenziali di accesso a Gmail.

La vulnerabilità è stata segnalata per la prima volta nel registro il 24 agosto e scoperto dalla società di infosec con sede nel Regno Unito Parter test penna durante la recente partecipazione a una sfida per l'hacking di Internet of Things (IoT) Defcon 23 conferenza.

Il touchscreen incorporato su questo frigorifero consente all'utente di accedere al proprio Google Calendar. Le connessioni da e verso i server di Google sono crittografate utilizzando la crittografia SSL Che cos'è un certificato SSL e ne hai bisogno?Navigare in Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più , ma l'implementazione Samsung di SSL non verifica la validità dei certificati.

RF28HMELBSR

Ciò presenta un grave problema di sicurezza, dal momento che chiunque sulla rete sarebbe in grado di avviare un "Uomo nel mezzo" Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più attaccare e intercettare le credenziali di accesso dell'utente in transito. Un utente malintenzionato sarebbe anche in grado di ottenerli tramite lo spoofing di un punto di accesso o attraverso un attacco di disattivazione wireless.

Samsung ha detto che lo sono "Indagare su questa questione il più rapidamente possibile"e presumibilmente stanno lavorando in modo chiaro per emettere una correzione. Ma questo episodio presenta un'interessante dimostrazione di quanto la sicurezza possa andare male sull'Internet of Things.

(In) Sicurezza in un mondo di cose in rete

In passato, abbiamo parlato ampiamente dei rischi posti dall'Internet of Things, entrambi da una privacy Perché l'Internet of Things è il più grande incubo per la sicurezzaUn giorno, arrivi a casa dal lavoro per scoprire che il tuo sistema di sicurezza domestica abilitato per il cloud è stato violato. Come è potuto accadere? Con Internet of Things (IoT), potresti scoprire la strada difficile. Leggi di più e dal punto di vista della sicurezza e sociologico 7 motivi per cui Internet of Things dovrebbe spaventartiI potenziali benefici dell'Internet of Things diventano chiari, mentre i pericoli si proiettano nell'ombra silenziosa. È tempo di attirare l'attenzione su questi pericoli con sette terrificanti promesse dell'IoT. Leggi di più . Affrontarli è difficile, perché quando si tratta di proteggere l'Internet delle cose, incontriamo alcuni problemi.

In primo luogo, questi dispositivi non sono PC o telefoni, nel senso che sono uniformemente facili da aggiornare (Windows 10 installerà anche gli aggiornamenti per tuo conto Come disattivare gli aggiornamenti automatici delle app in Windows 10La disattivazione degli aggiornamenti di sistema non è consigliata. Ma se necessario, ecco come lo fai su Windows 10. Leggi di più ), e i fornitori dietro di loro sono coinvolti e rilasciano regolarmente software e aggiornamenti di sicurezza. Molti prodotti per la casa intelligente non si "aggiornano" via etere, né richiedono l'uso complicato né pacchetti software inaffidabili, memoria rimovibile o semplicemente non consente di aggiornare il firmware su tutti.

Come, ad esempio, aggiornare una caffettiera interconnessa o un termostato computerizzato? Non esiste un modo semplice e universale per farlo.

È anche importante affrontare il fatto che molti di questi dispositivi sono ora costruiti da persone normali nelle loro case. Arduino e Raspberry Pi ci hanno permesso di introdurre la connettività di rete e la logica computerizzata in luoghi che non avremmo mai pensato possibili, mentre prodotti come Windows 10 di Microsoft per IoT Windows 10: vieni ad un Arduino vicino a te? Leggi di più ha semplificato l'esposizione di questi dispositivi a Internet più ampio, aprendo contemporaneamente un mondo di opportunità e di rischio.

samsung-experimentationkit

Mentre molti sviluppatori esperti sanno come costruire questi dispositivi in ​​modo sicuro, troppi sviluppatori principianti e hobbisti non lo fanno.

Quindi passiamo al problema della longevità. Ancora una volta, questo problema è unicamente endemico nel mondo della Smart Home. Perché mentre il tuo PC e il tuo telefono eseguono software creato da aziende con una lunga storia e profonde tasche, la maggior parte dei tuoi dispositivi Smart Home no.

La stragrande maggioranza di queste aziende sono start-up nelle fasi iniziali o in fase avanzata, molte di queste sono in una fase provvisoria del loro sviluppo. Se si chiudono, cosa succede ai prodotti che hanno già spedito? Chi scriverà aggiornamenti software e patch di sicurezza?

Come abbiamo scritto in passato, le partenze hardware sono difficili Perché l'avvio hardware è difficile: dai vita a ErgoDoxEcco un'opinione controversa per te: avviare un avvio del software è facile. Hardware, d'altra parte? Le startup hardware sono difficili. Davvero difficile. Leggi di più . Già quest'anno, abbiamo visto licenziamenti significativi presso Leeo e Wink - due delle più grandi startup di Smart Home. Molti altri - come Lumos - non sono riusciti a decollare del tutto.

Ma forse la minaccia più grande e duratura per la sicurezza di Smart Home e Internet of Things è semplicemente che questi dispositivi sono costruiti per durare più a lungo di quanto i loro produttori preferirebbero. I sistemi integrati e i prodotti Smart Home possono funzionare, abbastanza felicemente, per anni e anni. Molti di questi non funzionano su un servizio di abbonamento.

Dobbiamo aspettarci che Nest e Philips offrano aggiornamenti per tutto il tempo Microsoft ha supportato Windows XP Cosa significa Windows XPocalypse per teMicrosoft ucciderà il supporto per Windows XP nell'aprile 2014. Ciò ha gravi conseguenze sia per le imprese che per i consumatori. Ecco cosa dovresti sapere se stai ancora eseguendo Windows XP. Leggi di più ?

Fuori dalla LAN, nel fuoco

Questi problemi di sicurezza sono notevolmente aggravati dal fatto che molti di questi dispositivi lo sono connesso a Internet più ampio e accessibile da remoto, introducendo così un grande orgoglio di sicurezza preoccupazioni.

Perché quando si collega qualcosa a Internet, si introduce quindi un nuovo vettore di attacco a chiunque sia così motivato. Invece di dover connettersi alla rete domestica, qualcuno potrebbe semplicemente comprometterla a distanza.

È anche più facile di quanto pensi. Esiste persino un motore di ricerca per sistemi integrati, chiamato Shodan. Con pochi tasti, puoi trovare sistemi che sono stati esposti a Internet in tutto il mondo - dalle centrali elettriche in Giappone, alle webcam in Olanda e ai telefoni VoIP a New York.

Samsung-shodan-IoT

Basta cercare "Web Cam" per scoprire migliaia di webcam accessibili da remoto. Tuttavia, non ho avuto accesso, poiché quasi sicuramente mi avrebbe portato infrangere il Computer Misuse Act 1990 The Computer Misuse Act: la legge che criminalizza l'hacking nel Regno UnitoNel Regno Unito il Computer Misuse Act 1990 si occupa di crimini di hacking. Questa controversa legislazione è stata recentemente aggiornata per dare all'organizzazione di intelligence britannica GCHQ il diritto legale di hackerare qualsiasi computer. Anche il tuo. Leggi di più .

Samsung-shodan-webcam

È spaventoso. Abbiamo iniziato a presentare le nostre case a Internet ed è banalmente facile trovarle e lanciare attacchi mirati su di esse. Dovremmo essere preoccupati.

Quindi cosa si può fare?

I difetti di sicurezza, come quello riscontrato nel frigorifero Android di Samsung, saranno sempre lì. Finché è facile per i fornitori emettere correzioni e vengono costantemente aggiornati per tutta la durata dei dispositivi, non è un problema eccessivo.

Ma è importante affrontare le altre questioni. È necessario compiere sforzi per garantire agli sviluppatori dei prodotti Smart Home e IoT come sviluppare sistemi sicuri. Ciò potrebbe essere realizzato da una maggiore sensibilizzazione con la comunità della sicurezza.

Ci sono un certo numero di precedenti per questo. Il Progetto OWASP (Open Web Application Security Project) è uno che mi viene subito in mente. Lanciato nel 2004, questo ha prodotto materiale didattico liberamente disponibile che insegna agli sviluppatori come creare siti Web sicuri e agli hacker come testare correttamente la sicurezza delle applicazioni Web.

OWASP-presentazione

Non c'è motivo per cui qualcosa di simile non possa essere creato per il mondo della casa intelligente e per gli sviluppatori di Internet of Things.

Inoltre, dobbiamo garantire che i sistemi Smart Home siano aggiornati e mantenuti, anche se i fornitori chiudono. Questo può essere fatto imponendo a tutti di rilasciare il proprio codice in a impegno del codice sorgente, in cui il codice viene rilasciato se la società presenta istanza di fallimento o non riesce a mantenere il software in modo soddisfacente.

E come consumatori, dovremmo iniziare a chiedere di più ai venditori. Dovremmo richiedere che i dispositivi che acquistiamo siano supportati con patch di sicurezza per tutta la durata del prodotto. Dovremmo aspettarci che eventuali problemi di sicurezza vengano risolti in modo rapido e decisivo. Dovremmo aspettarci che i fornitori trattino le minacce alla sicurezza con assoluta trasparenza. E non dovremmo patrocinare i venditori che non riescono a soddisfare quel misero standard.

Questi sono tutti cambiamenti relativamente piccoli, ma non c'è motivo di pensare che non si traducano in dispositivi Smart Home più sicuri. Ma tu cosa ne pensi

Se hai qualche pensiero o hai storie horror sull'insicurezza dell'IoT, voglio sentirli. Fammi sapere nei commenti qui sotto e chatteremo.

Crediti fotografici: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)

Matthew Hughes è uno sviluppatore e scrittore di software di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua macchina fotografica. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguilo su Twitter su @matthewhughes.