Frigorífico inteligente de samsung acaba de conseguir pwned. ¿Y el resto de su hogar inteligente?
$ 3599 es un montón de dinero.
Se podría conseguir que un coche de segunda mano decente, o una relativamente engañar a cabo iMac. Usted podría comprar 3599 hamburguesas McChicken, o 2589 McDoubles. O podría conseguir que el Samsung RF28HMELBSR.
Este (llamado snappily-) frigorífico tiene todo. Tiene cuatro puertas, un colosal 28 pies cúbicos de espacio, y un 8” pantalla táctil LCD integrada con Wi-Fi que le permite hacer cualquier cosa de leer las noticias, para controlar de forma remota el teléfono inteligente Android.
Si suena familiar, es porque fue una vez apareció en mi lista de la dumbest productos para el hogar inteligente nunca. Y no he mencionado que se suministra con un enorme vulnerabilidad de seguridad masiva?Frigoríficos y el piar de Internet controlados ollas arroceras: 9 de los Electrodomésticos Stupidest DomóticaFrigoríficos y el piar de Internet controlados ollas arroceras: 9 de los Electrodomésticos Stupidest DomóticaHay una gran cantidad de dispositivos inteligentes para el hogar que son dignos de su tiempo y dinero. pero también hay tipos que nunca deberían ver la luz del día. Éstos son 9 de los peores.Lee mas
Nevera inteligente, estúpido error
Sí, por toda su sofisticación, este refrigerador se envía con una falla de seguridad significativo que podría potencialmente ver un atacante cosechar subrepticiamente credenciales de inicio de sesión de Gmail.
La vulnerabilidad fue reportada por primera vez en el Registro el 24 de agosto, y descubrió por la firma británica infosec pluma de la prueba Parters durante su participación en una Internet de los objetos (IO) reto de hacking en la reciente conferencia Defcon 23.
La pantalla táctil incorporada en este refrigerador permite al usuario acceder a su cuenta de Google Calendar. Conexiones a-y-desde los servidores de Google se cifran mediante el cifrado SSL, pero la implementación de SSL de Samsung no comprueba la validez de los certificados.¿Qué es un certificado SSL, y qué necesita uno?¿Qué es un certificado SSL, y qué necesita uno?Navegar por Internet puede ser aterrador cuando la información personal está involucrado.Lee mas
Esto presenta un serio problema de seguridad, ya que cualquier persona en la red sería capaz de poner en marcha una "Hombre en el medio" ataque, e interceptar las credenciales de inicio de sesión del usuario en tránsito. Un atacante también podría obtenerlos mediante suplantación de un punto de acceso, o por medio de un ataque desautentificación inalámbrica.
Samsung ha dicho que están “Investigar este asunto lo más rápido posible”, y presumiblemente se trabaja a toda máquina para emitir una solución. Pero este episodio sí presenta una interesante demostración de lo mal que la seguridad puede ir mal en la Internet de las cosas.
(In) seguridad en un mundo de cosas en Red
En el pasado, hemos hablado extensamente acerca de los riesgos que representa la Internet de las cosas, tanto de una privacidad y desde una perspectiva de seguridad y sociológico. Dirigiéndose a ellos es difícil, porque cuando se trata de seguridad en Internet de las cosas, nos encontramos con algunos problemas.¿Por qué la Internet de las cosas es la mayor pesadilla de Seguridad¿Por qué la Internet de las cosas es la mayor pesadilla de SeguridadUn día, se llega a casa del trabajo para descubrir que su sistema de seguridad para la nube ha sido violada. ¿Cómo pudo pasar esto? Con Internet de los objetos (IO), se puede encontrar la manera difícil.Lee mas
En primer lugar, estos dispositivos no son ordenadores o móviles, en el sentido de que son fáciles de actualizar de manera uniforme (Windows 10 será incluso instalar actualizaciones en su nombre), Y los vendedores detrás de ellos están involucrados y liberan periódicamente actualizaciones de software y de seguridad. Muchos productos para el hogar inteligente no “actualizar” a través del aire, o bien que requiere que utilice paquetes complicados o poco fiables software, almacenamiento extraíble, o simplemente no lo que le permite actualizar el firmware en absoluto.
¿Cómo se puede, por ejemplo, actualizar una olla de café interconectado, o un termostato computarizado? No hay manera fácil, universal de hacer eso.
También es importante abordar el hecho de que muchos de estos dispositivos ahora se construyen por la gente normal en sus propios hogares. Arduino y Frambuesa Pi nos han permitido introducir la conectividad de red y la lógica computarizado en lugares que nunca hemos pensado que fuera posible, mientras que los productos como Windows de Microsoft 10 para la IO ha hecho que sea más fácil para exponer estos dispositivos a Internet más amplio, la apertura simultánea de un mundo de posibilidades y de riesgo.Windows 10 - Llegar a un Arduino cerca de usted?Windows 10 - Llegar a un Arduino cerca de usted?Lee mas
Mientras que muchos desarrolladores experimentados saben cómo construir estos dispositivos en una manera que sea segura, demasiados desarrolladores novatos y aficionados no lo hacen.
A continuación, nos llevamos al problema de la longevidad. Una vez más, este problema que es endémica únicamente al mundo de casa inteligente. Porque si bien el software de PC y teléfono se ejecuta que ha sido construido por empresas con una larga historia y bolsillos profundos, la mayoría de los dispositivos inteligentes para el hogar no tienen.
La inmensa mayoría de estas empresas son pronto para nuevas empresas en fase tardía, muchos de éstos están en una etapa preliminar en su desarrollo. Si se han apagado, lo que ocurre con los productos que ya han enviado? ¿Quién escribirá las actualizaciones de software y parches de seguridad?
Como hemos escrito en el pasado, nuevas empresas de hardware son difíciles. Ya este año, hemos visto despidos significativos en Leeo y Wink - dos de las más grandes arranques casa inteligente. Muchos más - como Lumos - no han podido conseguir de la tierra por completo.¿Por Startups de hardware son difíciles: someter la ErgoDox a la Vida¿Por Startups de hardware son difíciles: someter la ErgoDox a la VidaHe aquí una opinión controvertida para usted: el lanzamiento de una empresa de software es fácil. Hardware, por otro lado? nuevas empresas de hardware son difíciles. Realmente difícil.Lee mas
Pero quizás el mayor y más perdurable amenaza para el hogar inteligente e Internet de la seguridad de las cosas es simplemente que estos dispositivos están diseñados para durar más tiempo que sus fabricantes preferirían. Los sistemas embebidos y los productos Smart Home pueden trabajar, felizmente, durante años y años. Muchos de ellos no funcionan en un servicio de suscripción.
Tenemos que esperar Nido y Philips para ofrecer actualizaciones durante el tiempo que Microsoft Windows XP compatible?
Fuera de la LAN, al fuego
Estos problemas de seguridad se exacerban significativamente por el hecho de que muchos de estos dispositivos están conectados a Internet más amplia y accesible de forma remota, introduciendo de este modo una mezcla heterogénea de las preocupaciones de seguridad.
Porque cuando algo se conecta a Internet, a continuación, introduce un nuevo vector de ataque para el que está motivado por lo. En lugar de tener que conectarse a la red doméstica, alguien podría simplemente remotamente comprometerla.
Es más fácil de lo que piensa, también. Incluso hay un motor de búsqueda para sistemas embebidos, llamado Shodan. Con sólo unas pocas pulsaciones de teclas, se pueden encontrar sistemas que han sido expuestos a Internet en todo el mundo - desde plantas de energía en Japón, a webcams en Holanda, y los teléfonos de VoIP en Nueva York.
La simple búsqueda de “Web Cam” expone a miles de webcams de acceso remoto. No obstante acceder a cualquiera, ya que eso es casi seguro que resultará en mí rompiendo la Ley de Abusos Informáticos 1990.La Ley de Abusos Informáticos: La Ley que penaliza piratería en el Reino UnidoLa Ley de Abusos Informáticos: La Ley que penaliza piratería en el Reino UnidoEn el Reino Unido la Ley de Abusos Informáticos de 1990 se ocupa de los delitos de piratería. Twhis controvertida legislación se ha actualizado recientemente para dar organización de inteligencia del Reino Unido GCHQ el derecho legal para introducirse en cualquier ordenador. Incluso el suyo.Lee mas
Da miedo. Hemos empezado a introducir nuestros hogares a Internet, y es trivialmente fácil de encontrar, y para lanzar ataques dirigidos a ellos. Debemos estar preocupados.
¿Entonces, qué puede hacerse?
fallas de seguridad, como la que se encuentra en el refrigerador de Samsung Android, siempre estarán ahí. Mientras que es fácil para los vendedores para emitir correcciones, y que constantemente están siendo actualizados a lo largo de la vida útil de los dispositivos, que no es demasiado de un problema.
Pero es importante que nos dirigimos a las otras cuestiones. Los esfuerzos deben hacerse para asegurar que los desarrolladores de productos Domótica y la IO saber cómo desarrollar sistemas seguros. Esto podría lograrse mediante un mayor alcance con la comunidad de seguridad.
Hay una serie de precedentes para esto. El proyecto OWASP (Open Web Application Security Project) es una que inmediatamente viene a la mind.Launched en 2004, esto ha producido material educativo de libre disposición que enseña a los desarrolladores cómo construir sitios web seguros, y los hackers Cómo probar adecuadamente la seguridad de aplicaciones web .
No hay ninguna razón algo similar no pudo ser creado para el mundo hogar inteligente, y por Internet de los desarrolladores de las cosas.
Por otra parte, tenemos que garantizar que los sistemas de Domótica se actualizan y se mantienen, incluso si los vendedores se pliegan. Esto se puede hacer al obligar a todo el mundo libera su código en un depósito en garantía código fuente, donde el código se libera si los archivos de la empresa en quiebra, o de lo contrario no puede mantener el software de una manera que sea satisfactoria.
Y como consumidores, debemos comenzar a exigir más de los vendedores. Debemos exigir que los dispositivos que compramos son compatibles con los parches de seguridad para la vida útil del producto. Debemos esperar que los problemas de seguridad se resuelven con rapidez y decisión. Debemos esperar que los vendedores tratan a las amenazas de seguridad con absoluta transparencia. Y no hay que frecuentar los proveedores que no cumplan con esa exigua estándar.
Estos son todos los cambios relativamente pequeños, pero no hay razón para pensar que no darían lugar a dispositivos más seguros para el hogar inteligente. Pero ¿qué piensas?
Si tienes alguna idea, o tienen alguna historia de terror de la inseguridad de la IO, quiero oír hablar de ellos. Déjame saber en los comentarios de abajo, y vamos a charlar.
Créditos de las fotografías: Arduino Experimentación Kit (Oomlout), IMG_5145 (JWalsh)