Kazalo:
Video: Kako razbiti in popraviti stene v kopalnici? (Oktober 2024)
Če je industrija interneta stvari (IoT) red Jedijev, s svetlobnimi sani Philips Hue in "pametnimi" močmi sile v oblaku, je priljubljeni Twitter račun Internet of Shit Sith Lord. V času, ko se zdi, da tehnološka industrija želi vgraditi čip v vse, posledice pa so preklete, Internet of Shit postavlja problem novi, neuporabni elektroniki in poudarja, da nekateri od teh izdelkov morda niso tako benigni, kot si mislimo.
Internet Shitovega Twitter računa se osredotoča na nišo in priljubljenost. V primeru, da recimo plačujete za obrok s pametno steklenico vode, upravičeno dvomite v korist. Poudarja nesmiselnost, da je treba čakati na temeljne potrebe, na primer svetlobo in toploto, ki niso na voljo, potem ko "pametni" izdelki prejmejo posodobitve strojne programske opreme.
vsakič, ko se pojavi nov pripomoček pic.twitter.com/khHKAOcLbv
- Internet sranja (@internetofshit) 23. januarja 2017
Kot si lahko predstavljate, je Internet sranja zmožen tako učinkovito nadgraditi industrijo, ki se ji tako posmehuje, ker ji je ta industrija blizu srca. "Zgodilo se je tako naravno, " je dejal IOS. "Veliko časa sem preživel na Kickstarterju in videl naraščanje interneta stvari tam. Zdelo se je, da je vsak drugi dan kakšen vsakdanji predmet vnesel čip, vendar nihče - tudi v medijih - ni bil to kritičen do tega. Rekel bi samo stvari, kot so: "Vau, končno lahko dobimo internet v dežniku."
IOS sebe vidi kot nekaj hudičevega zagovornika ali kolektivne vesti potrošniške kulture. V njegovih očeh je na Twitter računu prepotreben previdni pregled preverjanja lažniv optimizem Silicijeve doline. "Ko gremo predaleč, je pomembno vprašanje, ki ga ljudje običajno pozabljajo: Kdo to dejansko potrebuje? Pečico, ki brez interneta ne more pravilno kuhati? Zakaj ljudje teh stvari ne oblikujejo bolje?"
Ampak več kot slaba zasnova in premišljene trditve o koristnosti je glavna skrb IOS-a zasebnost in navsezadnje osebna varnost: "Kljub temu se mi zdi IoT tvegan. Kljub temu ne zaupam tem podjetjem, da ne bi puščali mojih podatkov ali ne da bi bil v prihodnosti hudo zasukan."
V objavi Medium, ki je bila napisana zgodaj v življenju Twitterjevega računa, je IOS dejal, da ga skrbi, da bodo podjetja začela iskati načine, kako zaslužiti podatke, zbrane iz domov ljudi. Iz te zgodbe: "Če bi Nest želel povečati dobiček, bi lahko oglaševalcem prodal podatke o okolju vašega doma. Prehladno? Amazonski oglasi za odeje. Preveč vroče? Oglasna pasica za klimatsko napravo. Preveč vlažno? Razvlaževalci zraka na vašem Facebooku."
IOS še vedno stoji ob teh težavah. "Razlog, da je IoT tako prepričljiv za proizvajalce, ni v tem, da dodajajo pametne funkcije v vaše življenje - to je samo stranski proizvod, " mi je napisal. "Bolj je, da s tem dobijo brez primere vpogled v to, kako se te naprave uporabljajo, na primer, kako pogosto, katere funkcije največ uporabljate in vse podatke, ki so priloženi temu."
IOS pravi, da morajo podjetja IoT biti bolj vnaprej seznanjena s svojimi politikami zbiranja podatkov in dostop do informacij, ki jih te naprave lahko zbirajo. "Vprašanje, ki se ga moramo vsi odločiti, je, kakšen nivo dostopa smo pripravljeni dati tem podjetjem v zameno za podatke, ki jih dobijo - in komu zaupamo, da je ključno."
Na božični dan leta 2016 je IOS omogočil, da so njegove lučke utripale vsakič, ko je njegov ročaj omenjen na Twitterju. Rezultati so bili intenzivni, antiklimatični in kratki, ki prikazujejo morda vse, kar IOS mrzi o internetu stvari.
Internet negotovosti
Bolj slabši od učinka neuporabnih naprav IoT na denarnice potrošnikov je učinek, ki ga imajo na osebno varnost. Strahovi IOS-a pred tržnico podatkov o uporabnikih, ki jih zbirajo naprave IoT, niso navidezni (kako mislite, da brezplačne aplikacije in brezplačne internetne novice zaslužijo?) In obstajajo že druge, zelo resnične grožnje.
Udeleženci na konferenci Black Hat 2016 so obravnavali posnetke raziskovalca varnosti Eyal Ronen. S pomočjo svojih raziskav je uspel prevzeti nadzor nad lučmi Philips Hue iz brezpilotnega letala, ki lebdi zunaj poslovne stavbe. Napad je bil znan ne le po svojih dramatičnih rezultatih in zaradi uporabe brezpilotnega letala, ampak tudi po tem, da je bila zgradba dom več znanih varnostnih podjetij.
Ronen mi je razložil, da poskuša dokazati, da je možen napad na vrhunsko linijo naprav IoT. "Obstaja veliko hekerjev IoT, namenjenih napravam nižjega cenovnega razreda, ki nimajo prave varnosti. Želeli smo preizkusiti varnost izdelka, ki naj bi bil varen, " je dejal. Želel je tudi napasti znano podjetje in se naselil na Philipsu. Ronen je dejal, da ga je težje pokvariti, kot je sprva mislil, vendar sta skupaj s svojo ekipo našla in izkoristila hrošče v programski opremi ZigBee Light Link, komunikacijskem protokolu tretjih oseb, ki ga uporablja več podjetij IoT, in ga obravnava kot zrel in varen sistem.
"Uporablja napredne kriptografske primitive in ima močne varnostne trditve, " je dejal Ronen. "Toda na koncu smo ga v razmeroma kratkem času z zelo poceni strojno opremo, vredno okoli 1000 dolarjev, uspeli razbiti, " je dejal Ronen.
Posnetek Ronenovega napada (zgoraj) prikazuje zaporedje utripajoče luči stavbe, ki sledijo njegovim ukazom na daljavo preko lebdečega drona. Če bi se vam to zgodilo, bi bilo to nadležno - morda ne bolj moteče kot kateri od scenarijev, ki jih IOS poudarja na njegovem Twitter računu. Toda varnostni strokovnjaki trdijo, da so za varnost IoT veliko večje posledice.
"V prejšnjem delu smo pokazali, kako s pomočjo luči izsiljujete podatke iz omrežja z zrakom in povzročajo epileptične napade. V tem delu pa prikazujemo, kako lahko s pomočjo luči napademo električno omrežje in zagozdimo Wi-Fi, " je povedal Ronen jaz. "IoT vstopa v vsak del našega življenja in njegova varnost lahko vpliva na vse, od medicinskih pripomočkov do avtomobilov in domov."
Pomanjkanje standardov
Ronenov napad je izkoristil bližino, vendar je glavni raziskovalec varnosti Alexandru Balan v Bitdefenderju orisal številne druge varnostne napake, ki so prišle v nekatere naprave IoT. Kot je dejal, so trdo kodirana gesla še posebej problematična, prav tako tudi naprave, ki so konfigurirane tako, da so dostopne z odprtega interneta.
Prav ta kombinacija dostopnosti do interneta in preprostih privzetih geslov je oktobra 2016 povzročila pustoš, ko je Mirai botnet prevzel večje storitve, kot sta Netflix in Hulu, bodisi brez povezave, bodisi tako počasi, da so bile neuporabne. Nekaj tednov pozneje je različica Mirai omejila dostop do interneta v celotni državi Liberije.
Kmalu po tem, ko so se pojavile novice o Miraiu, sem pogledal ta scenarij in krivdo IoT industrije zanemaril opozorila o slabi avtentikaciji in nepotrebni dostopnosti do spleta. Toda Balan ne bi šel tako daleč, da bi te pomanjkljivosti označil za očitne. "za izvleček teh poverilnic je treba narediti obratno inženirstvo, vendar zelo pogosto pride do tega, da v napravah najdejo trdo kodirane poverilnice. Razlog za to je, da v mnogih primerih ni nobenih standardov, ko gre za IoT varnost."
Ranitve, kot so te, se pojavijo, hipotetizira Balan, saj IoT podjetja delujejo sama, brez splošno sprejetih standardov ali strokovnega znanja o varnosti. "Lažje ga je zgraditi tako. In lahko rečeš, da režejo vogale, a glavno vprašanje je, da ne iščejo, kako bi ga pravilno zgradili na varen način. Samo poskušajo to narediti delajte pravilno."
Tudi ko podjetja razvijejo popravke za napade, kakršen je odkril Ronen, nekatere naprave IoT ne morejo uporabiti samodejnih posodobitev. Potrošniki si prizadevajo, da sami najdejo in uporabijo obliže, kar je še posebej zastrašujoče na napravah, ki jih ni treba servisirati.
Toda tudi pri napravah, ki jih je mogoče enostavno posodobiti, ranljivosti še vedno obstajajo. Več raziskovalcev je pokazalo, da vsi razvijalci IoT svoje posodobitve ne podpišejo s kriptografskim podpisom. Podpisana programska oprema je šifrirana z zasebno polovico asimetričnega kriptografskega ključa, ki je v lasti razvijalca. Naprave, ki prejmejo posodobitev, imajo javno polovico ključa, ki se uporablja za dešifriranje posodobitve. To zagotavlja, da je posodobitev uradna in da ni bila posežena, saj bi za podpis zlonamerne posodobitve ali spreminjanje posodobitve programske opreme potrebovali skrivni ključ razvijalca. "Če posodobitve ne bodo digitalno podpisali, jih lahko ugrabijo, posežejo v njih; v te posodobitve se lahko vstavi koda, " je dejal Balan.
Poleg tega, da je preprosto utripal lučke in jih izklapljal, je Balan dejal, da je okužene IoT naprave mogoče uporabiti kot del botneta, kot je vidno pri Miraiu, ali za precej bolj zahrbtne namene. "Izvlečem lahko vaše poverilnice za Wi-Fi, ker ste ga očitno priklopili na svoje omrežje Wi-Fi in je takšen, kot je polje Linux, lahko ga uporabim za vrtenje in začetek napadov v vašem brezžičnem omrežju.
"V zasebnosti vašega omrežja LAN so mehanizmi za preverjanje pristnosti rahli, " je nadaljeval Balan. "Težava z LAN je, da ko bom enkrat v vašem zasebnem omrežju, lahko imam dostop do skoraj vsega, kar se tam dogaja." Dejansko je poškodovan IoT postal plažišče za napade na bolj dragocene naprave v istem omrežju, na primer Network Attached Storage ali osebne računalnike.
Morda govori o tem, da je varnostna industrija začela tesno gledati na IoT. V zadnjih nekaj letih je na trg vstopilo več izdelkov, ki trdijo, da ščitijo IoT naprave pred napadom. Videla sem ali brala o več takih izdelkih in pregledala ponudbo Bitdefenderja. Naprava se imenuje Bitdefender Box in se priklopi na vaše obstoječe omrežje ter nudi protivirusno zaščito za vse naprave v vašem omrežju. Celo naprave preizkuša morebitne slabosti. Letos bo Bitdefender predstavil drugo različico svoje naprave Box. Norton bo vstopil v svojo ponudbo (spodaj) in se lahko pohvalil z globokim pregledom paketov, F-Secure pa je napovedal tudi strojno napravo.
Kot prvi, ki je na trg prodal, je Bitdefender v edinstvenem položaju, da ima znanje o varnosti programske opreme in nato oblikuje potrošniško strojno opremo, ki bi bila verjetno brezhibno varna. Kako je bilo s to izkušnjo? "Bilo je zelo težko, " je odgovoril Balan.
Bitdefender ima program za odpravljanje napak (denarna nagrada, ki jo ponujajo programerji, ki odkrijejo napako na spletnem mestu ali v aplikaciji in ji ponudijo rešitev), za kar je Balan potrdil, da je pomagal pri razvoju polja. "Nobeno podjetje ne bi smelo biti dovolj arogantno, da bi verjelo, da lahko sam najde vse napake. Zato obstajajo programi napak za hrošče, vendar je izziv s strojno opremo ta, da so morda znotraj dejanskih čipov."
"Vemo, kaj iskati in na kaj moramo pogledati. Pravzaprav imamo ekipo strojne opreme, ki se lahko loči in preuči vsako komponento na tej plošči. Na srečo ta plošča ni tako velika."
Ni vse sranje
Celotno panogo, ki temelji na njenih najhujših akterjih, je enostavno popustiti, enako pa velja tudi za Internet stvari. Toda George Yianni, vodja tehnologije, sistemov za dom, Philips Lighting meni, da je to stališče še posebej frustrirajoče.
"Od začetka smo jemali zelo resno. To je nova kategorija. Zgraditi moramo zaupanje in to dejansko škodi zaupanju. In tudi zato mislim, da je največja sramota izdelkov, ki niso naredili tako dobrega dela, da je to spodkopava zaupanje v celotno kategorijo. Vsak izdelek je mogoče narediti slabo. To ni kritika celotne industrije."
Kot pogosto velja za varnost, je to, kako se podjetje odzove na napad, pogosto pomembnejše od učinkov napada. Yianni je v primeru napada brezpilotnih napadov na naprave Philips pojasnil, da je Ronen svoje ugotovitve predložil prek obstoječega družbenega programa razkritja odgovornosti. To so postopki, ki podjetjem omogočajo, da se odzovejo na odkritje raziskovalca varnosti, preden je javno objavljeno. Tako lahko potrošniki zagotovimo, da so varni, in raziskovalci dobijo slavo.
Ronen je našel hrošče v drugem sveženju programske opreme, je dejal Yianni. Natančneje, to je bil del standarda ZigBee, ki omejuje komunikacijo z napravami v dveh metrih. Ronenovo delo je, kot se boste spomnili, lahko prevzelo nadzor z razdalje - 40 metrov oddaljeno s standardno anteno in 100 metrov s povečano anteno. Zahvaljujoč odgovornemu programu razkritja je Yianni dejal, da je Philipsu uspelo razgrniti obliž lučkam na terenu, preden je Ronen svetu povedal o napadu.
Odziv Yiannija in Philipsa, ko so se številna podjetja spopadla s kršitvijo javne varnosti ali rezultat raziskav na področju varnosti, se lahko sliši kot naknadno krpanje - vendar je resnično uspela. "Vsi naši izdelki so programsko obnovljivi, tako da je mogoče stvari popraviti, " mi je rekel Yianni. "Druga stvar: ocenjujemo varnostno tveganje, varnostne preglede, testiranje penetracije na vseh naših izdelkih. Potem pa izvedemo tudi te procese odgovornega razkritja, tako da če se nekaj zgodi, bomo to lahko izvedeli vnaprej in odpravili zelo hitro.
"Imamo celoten postopek, v katerem lahko posodobitve programske opreme iz celotnega oblaka potisnemo navzdol in jih razdelimo vsem lučkam. To je zelo pomembno, saj se prostor giblje tako hitro in to so izdelki, ki bodo trajali 15 let In če se bomo prepričali, da so še vedno ustrezne v smislu funkcionalnosti in da bodo dovolj varne za najnovejše napade, moramo to imeti."
V korespondenci z mano je Ronen potrdil, da je Philips resnično opravil občudovanja vredno delo in tako zagotovil svetlobni sistem Hue. "Philips je za zavarovanje luči vložil presenetljivo veliko truda, " mi je dejal Ronen. "Toda na žalost so bile nekatere osnovne varnostne predpostavke, ki so se opirale na osnovno Atmelovo varnostno izvajanje čipov, napačne." Kot je opozoril Balan z Bitdefenderjevim delom na Boxu, je vsak vidik IoT naprave podvržen napadu.
Philips je tudi zasnoval centralno vozlišče - napravo, potrebno za usklajevanje omrežij izdelkov Philips IoT -, ki ni dostopna iz odprtega interneta. "Vse povezave z internetom se začnejo z napravo. Nikoli ne odpremo vrat na usmerjevalnikih ali omogočimo, da se naprava v internetu lahko neposredno pogovarja z njimi, " je pojasnil Yianni. Hub namesto tega pošilja zahteve v oblačno infrastrukturo Philips, ki se na zahtevo odzove namesto obratno. To omogoča tudi Philipsu, da doda dodatne sloje za zaščito naprav potrošnikov, ne da bi jim bilo treba poseči v njihov dom in narediti kakršne koli spremembe. "Komunikacija z osebami zunaj vozlišča ni mogoča, razen če ste speljani skozi ta oblak, kjer lahko sestavimo dodatne plasti varnosti in nadzora."
Yianni je pojasnil, da je bil to del večplastnega pristopa, ki ga je Philips uporabil pri zavarovanju svetlobnega sistema Hue. Ker je sistem sestavljen iz več različnih kosov - od strojne opreme znotraj žarnic do programske in strojne opreme na Hue Hubu do aplikacije v telefonih uporabnikov - je bilo treba sprejeti različne ukrepe na vseh ravneh. "Vsi pa potrebujejo različne varnostne ukrepe, da bodo varni. Vsi imajo različne stopnje tveganja in ranljivosti. Zato izvajamo različne ukrepe za vse te različne dele, " je dejal Yianni.
To je vključevalo testiranje penetracije, pa tudi zasnovo od spodaj navzgor, namenjeno preprečevanju napadalcev. "Ni globalnih gesel, kot so bila uporabljena v tem Mirajevem botnetu, " je dejal Yianni. Zlonamerna programska oprema Mirai je imela na desetine privzetih kod za dostop, ki bi jih uporabila pri poskusu prevzema naprav IoT. "Vsak ima edinstvene, asimetrično podpisane ključe za preverjanje strojne programske opreme, vse to. Ena naprava, ki ima spremenjeno strojno opremo, zaradi tega ni globalnega tveganja, " je pojasnil.
To velja tudi za vrednost IoT naprav. "Veliko teh izdelkov je povezanost zaradi povezanosti, " je dejal. "Potreba po avtomatizaciji vsega v vašem domu ni težava, ki jo imajo številni potrošniki, in to je zelo težko doseči. Mislimo, da so proizvodi, ki dobro uspevajo, tisti, ki potrošnikom nudijo lažjo razumevanje."
Neustavljivi internet stvari
Poznavanje tveganj za IoT in celo priznavanje njegove lahkomiselnosti zagotovo ne ustavi ljudi pri nakupu pametne razsvetljave, kot je Philips Hue, domačih pomočnikov, kot sta Google Home ali Amazon Echo, in pametnih steklenic z vodo. Celo operater interneta sranja je velik ljubitelj IoT.
"Prava ironija v internetu sranja je, da sem zanič za te naprave, " je dejal IOS. "Jaz sem zgodnji posvojitelj in se ukvarjam s tehnologijo, zato se veliko časa ne morem upreti tem stvarem." Med njegovimi futurističnimi domačimi pripomočki IOS navaja povezane svetilke Philips, termostat Tado, sledilnik spanja Sense, pametne zvočnike, kamero Canary in vtiče, povezane z Wi-Fi.
"Zavedam se, da je račun naključno veliko večji, kot sem si kdajkoli predstavljal, in nikoli ne želim ljudi odvrniti od tega, da bi se podali v tehnologijo. Mislim, da je eksperimentiranje z neumnimi idejami, kako se lahko rodijo velike ideje, kar je nekaj da me je Simone Giertz malo naučil, "je dejal IOS.
Giertz, absurdistični robotik in YouTuber, je um za Shitty Robots. Njene kreacije vključujejo drona, ki daje odbitke - ali bolje rečeno - in ogromen klobuk, ki sončna očala dramatično postavi na njen obraz. Mislite na to kot Rube Goldberg z zdravim odmerkom cinizma iz Silicijeve doline.
Oseba, ki stoji za IOS, poroča, da se v današnjih časih trudi zavladati svojim nagonom. "Mislim, da je bil trenutek, ko sem moral posodobiti vdelano programsko opremo svojih žarnic, da sem jih vklopil, zame nekaj spoznanja…"
Bitdefenderjev Balan je dejal, da uporablja žarnice, ki se podvojijo kot Wi-Fi repetitorji. Te naprave širijo tako svetlobo kot Wi-Fi v vsak kotiček njegovega doma. Vendar pa so naložene tudi številne ranljivosti, s katerimi je reševal, vključno s šibkimi privzetimi gesli. Kar pa se tiče IoT-ja, ostaja nedotaknjen.
"To je kot seks, " mi je rekel. "Tega ne bi naredili brez kondoma. Všeč nam je seks, seks je super, ne bomo se odrekli seksu samo zato, ker je nevaren. Toda pri tem bomo uporabljali zaščito." Namesto da bi padel v paranojo, je prepričan, da bi se morali potrošniki zanašati na varnostna podjetja in na izobražene prijatelje, ki lahko podjetja, ki varnost resno jemljejo, prepoznajo z velikimi napakami in varnimi, pogostimi orodji za posodabljanje.
In ali brezpilotni heker Ronen uporablja IoT? "Trenutno ne, " je rekel. "Bojim se, da učinek vpliva na mojo zasebnost in varnost. In koristi niso dovolj visoke za moje potrebe."
Tudi vaš ponižni avtor, ki se že leta upira sireni pesmi govorečih detektorjev dima in luči, ki spreminjajo barve, se je začel drobiti. Pred kratkim sem se v iskanju pisarne za počitnice znašel po treh ločenih pametnih lučkah. Rezultat je bil grozljiv, prepričljivo lep.
Medtem v moji nakupovalni košarici Amazon sedi čisto nova lučka Philips Hue. Nekaj kmalu bom pritisnil na gumb.
