Obsah:
Video: EXO-K 엑소케이 'History' MV (Korean Ver.) (Listopad 2024)
Pokud je průmysl internetu věcí (IoT) jediným řádem Jedi, díky světelným mečům Philips Hue a „inteligentním“ silám založeným na cloudu je populární Twitter účet Internet of Shit Sith Lord. V době, kdy se zdá, že technologický průmysl touží dát čip do všeho, následky být zatracený, Internet of Shit dává jméno problému nové, zbytečné elektroniky a zdůrazňuje, že některé z těchto produktů nemusí být tak benigní, jak si myslíme.
Internet účtu Shit's Twitter se zaměřuje na výklenek a populární. V případě, že například platíte za jídlo pomocí inteligentní láhve na vodu, správně se dotýká obslužného programu. Zdůrazňuje absurditu nutnosti čekat na základní potřeby, jako je světlo a teplo, které nejsou k dispozici poté, co „chytré“ produkty obdrží aktualizace firmwaru.
mě pokaždé, když vyjde nový gadget pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23. ledna 2017
Jak si můžete představit, internet shit je schopen vynalézt průmysl, který se tak zesměšňuje, protože tento průmysl je blízko jeho srdci. „Stalo se to tak přirozeně, “ řekl IOS. „Strávil jsem spoustu času na Kickstarteru a viděl jsem tam vzestup internetu věcí. Vypadalo to, že každý druhý den nějaký světský předmět měl do něj vsunutý čip, ale nikdo - dokonce ani v médiích - nebyl tím, kriticky k tomu. Řekl bych jen věci jako: „Páni, konečně můžeme internet dostat do deštníku.“ “
IOS se považuje za něco jako ďábelův obhájce nebo kolektivní svědomí pro spotřebitelskou kulturu. V jeho očích je účet Twitter velmi potřebnou kontrolou zdravého rozumu ve faux-optimismu Silicon Valley. „Když jdeme příliš daleko, důležitá otázka, kterou lidé obvykle zapomínají, je: Kdo to vlastně potřebuje? Trouba, která bez internetu nedokáže správně vařit? Proč lidé tyto věci nenavrhují lépe?“
Ale více než jen špatný design a spousta požadavků na užitečnost, je hlavním zájmem IOS ochrana soukromí a v konečném důsledku i osobní bezpečnost: „IoT však považuji za neodmyslitelně riskantní. být v budoucnu přísně hacknut. ““
V příspěvku Média, který byl napsán počátkem života účtu Twitter, IOS uvedl, že se obává, že společnosti začnou hledat způsoby, jak zpeněžit data shromážděná z domovů lidí. Z tohoto příběhu: „Pokud by Nest chtěl zvýšit zisky, mohl by inzerentům prodat údaje o vašem domovském prostředí. Příliš chladno? Amazonské reklamy na přikrývky. Příliš horké?
IOS stále stojí za těmito obavami. „Důvod, proč je IoT pro výrobce tak přesvědčivý, není ten, že do vašeho života přidávají inteligentní funkce - to je jen vedlejší produkt, “ napsal mi. „Je to více, že tím získají nebývalý vhled do toho, jak jsou tato zařízení používána, jako například jak často, jaké funkce nejvíce využíváte, a všechna data, která s tím přicházejí.“
IOS říká, že společnosti IoT musí být o svých politikách sběru dat mnohem podrobnější a kdo má přístup k informacím, které mohou tato zařízení shromažďovat. "Otázka, kterou se všichni musíme rozhodnout, je, jakou úroveň přístupu jsme ochotni těmto společnostem poskytnout výměnou za data, která získají - a tomu, komu důvěřujeme, je klíčová."
Na Štědrý den v roce 2016 umožnil IOS, aby jeho světla blikaly, kdykoli byla jeho klika na Twitteru zmíněna. Výsledky byly intenzivní, anticlimacticic a stručné, ilustrovat možná všechno, co IOS nenávidí o internetu věcí.
Internet nejistoty
Mnohem horší než účinek zbytečných zařízení internetu věcí na peněženky spotřebitelů, je však jejich účinek na osobní bezpečnost. Obavy IOS z trhu s uživatelskými daty shromážděnými zařízeními IoT nejsou nijak přitažlivé (jak si myslíte, že bezplatné aplikace a bezplatné internetové zpravodajské společnosti vydělávají peníze?) A existují již další, velmi reálné hrozby.
Účastníci konference Black Hat 2016 byli ošetřeni záběry od výzkumného pracovníka v oblasti bezpečnosti Eyal Ronena. Na základě svého výzkumu dokázal ovládnout světla Philips Hue z dronu vznášejícího se mimo kancelářskou budovu. Útok byl pozoruhodný nejen pro jeho dramatické výsledky a pro použití dron, ale také proto, že budova byla domovem několika známých bezpečnostních společností.
Ronen mi vysvětlil, že se pokoušel prokázat, že je možný útok proti nejvyšším řadám zařízení IoT. "Existuje spousta hackerů IoT zaměřených na low-end zařízení, která nemají skutečné zabezpečení. Chtěli jsme otestovat zabezpečení produktu, který má být bezpečný, " řekl. Chtěl také zaútočit na známou společnost a usadil se na Philips. Ronen uvedl, že je těžší crackovat, než si původně myslel, ale on a jeho tým našli a využili chybu v softwaru ZigBee Light Link, komunikačním protokolu třetí strany používaném několika společnostmi IoT a považovaném za vyspělý a bezpečný systém.
"Používá pokročilé kryptografické primitivy a má silné bezpečnostní nároky, " řekl Ronen. "Nakonec, v relativně krátké době s velmi levným hardwarem v hodnotě kolem 1 000 $, jsme to dokázali rozbít, " řekl Ronen.
Video Ronenova útoku (nahoře) ukazuje, jak světla budovy postupně blikají, následujíc jeho příkazy odeslané na dálku přes vznášející se dron. Pokud by se vám to stalo, bylo by to nepříjemné - možná nic nepříjemnějšího než kterýkoli ze scénářů, které IOS upozorňuje na svém Twitteru. Odborníci na bezpečnost však tvrdí, že pro zabezpečení internetu věcí jsou mnohem větší důsledky.
"V předchozí práci jsme ukázali, jak používat světla k exfiltraci dat ze sítě se vzduchovou mezerou a způsobit epileptické záchvaty. V této práci ukazujeme, jak můžeme použít světla k útoku na elektrickou síť a zaseknout Wi-Fi, " řekl Ronen mě. "IoT se dostává do všech částí našeho života a jeho bezpečnost může ovlivnit vše od lékařských zařízení po automobily a domy."
Nedostatek standardů
Ronenův útok využil blízkosti, ale hlavní bezpečnostní výzkumník Alexandru Balan v Bitdefenderu nastínil mnoho dalších bezpečnostních chyb, které přicházejí do některých IoT zařízení. Hardcoded hesla, řekl, jsou zvláště problematické, stejně jako zařízení, která jsou nakonfigurována tak, aby byla přístupná z otevřeného internetu.
Právě tato kombinace přístupnosti k internetu a jednoduchých, výchozích hesel způsobila v říjnu 2016 zmatek, když Mirai botnet vzal hlavní služby jako Netflix a Hulu buď offline, nebo je zpomalil tak, aby byly nepoužitelné. O několik týdnů později, varianta Mirai zrychlil přístup k internetu v celém Libérii.
Krátce poté, co se zprávy o Mirai zlomily, jsem se podíval na tento scénář a obviňoval průmysl IoT z ignorování varování o špatné autentizaci a zbytečné online dostupnosti. Ale Balan by nešel tak daleko, aby nazval tyto nedostatky zřejmými. „je třeba provést zpětné inženýrství ve firmwaru, aby byla tato pověření extrahována, ale velmi často se v zařízeních nacházejí pověření s pevným kódem. Důvodem je to, že v mnoha případech neexistují žádné standardy, pokud jde o Zabezpečení internetu věcí. “
Zranitelnosti, jako jsou tyto, vyvstávají, předpokládal Balan, protože společnosti IoT fungují samostatně, bez všeobecně uznávaných standardů nebo bezpečnostních znalostí. "Je to jednodušší postavit to takhle. A můžete říci, že se to stříhá do rohů, ale hlavním problémem je, že se nezabývají tím, jak to správně postavit bezpečným způsobem. Jen se to snaží udělat řádně pracovat."
I když společnosti vyvíjejí opravy pro útoky, jaké objevil Ronen, některá zařízení IoT nejsou schopna aplikovat automatické aktualizace. To dává spotřebitelům břemeno, aby sami našli a aplikovali záplaty, což může být obzvláště skličující pro zařízení, která nejsou určena k opravě.
Ale i u zařízení, která lze snadno aktualizovat, stále existují zranitelná místa. Několik vědců ukázalo, že ne všichni vývojáři IoT podepisují své aktualizace kryptografickým podpisem. Podepsaný software je šifrován soukromou polovinou asymetrického kryptografického klíče vlastněného vývojářem. Zařízení přijímající aktualizaci mají veřejnou polovinu klíče, která se používá k dešifrování aktualizace. Tím je zajištěno, že aktualizace je oficiální a nebyla s ní manipulováno, protože podepsání škodlivé aktualizace nebo změna aktualizace softwaru by vyžadovala tajný klíč vývojáře. „Pokud své aktualizace nepodepisují digitálně, mohou být uneseni, může s nimi být manipulováno; do těchto aktualizací může být vložen kód, “ řekl Balan.
Kromě pouhého rozsvícení a zhasnutí světel Balan řekl, že infikovaná zařízení IoT lze použít jako součást botnetu, jak je vidět u Mirai, nebo pro mnohem zákeřnější účely. „Mohu extrahovat vaše přihlašovací údaje pro Wi-Fi, protože jste je zjevně připojili k vaší Wi-Fi síti a jste v krabici Linux, mohu je použít k otáčení a zahájení útoků v bezdrátové síti.
„V soukromí vaší LAN sítě jsou autentizační mechanismy laxní, “ pokračoval Balan. "Problém s LAN je, že jakmile jsem ve vaší soukromé síti, mohu mít přístup k téměř všemu, co se tam děje." Poškozený IoT se ve skutečnosti stává předmostí pro útoky na cennější zařízení ve stejné síti, jako je síťové úložiště nebo osobní počítače.
Možná to říká, že bezpečnostní průmysl se začal podrobně zabývat internetem věcí. Během několika posledních let vstoupilo na trh několik produktů, které tvrdí, že chrání zařízení IoT před útokem. Viděl jsem nebo četl o několika takových produktech a prohlížel si nabídku Bitdefenderu. Zařízení s názvem Bitdefender Box se připojí k vaší existující síti a poskytuje antivirovou ochranu pro každé zařízení v síti. Dokonce zkoumá vaše zařízení na možné slabiny. Bitdefender uvede letos druhou verzi svého zařízení Box. Norton vstoupí do své vlastní nabídky (níže) a může se pochlubit hloubkovou kontrolou paketů, zatímco společnost F-Secure také oznámila hardwarové zařízení.
Jako jeden z prvních na trhu je Bitdefender v jedinečné pozici, kdy má zázemí v oblasti softwarového zabezpečení - a poté navrhuje spotřební hardware, který by byl pravděpodobně bezvadně bezpečný. Jaká to byla zkušenost? „Bylo to velmi těžké, “ odpověděl Balan.
Bitdefender má program odměn za chyby (peněžní odměna nabízená programátorům, kteří odkrývají a poskytují řešení chyby na webu nebo v aplikaci), což Balan potvrdil, pomohlo rozvoji boxu. „Žádná společnost by neměla být natolik arogantní, aby věřila, že dokáže najít všechny chyby sama o sobě. Z tohoto důvodu existují programy odplaty za chyby, ale výzva u hardwaru spočívá v tom, že uvnitř skutečných čipů mohou být zadní vrátky.“
"Víme, co hledat a na co se dívat, a vlastně máme hardwarový tým, který se může rozebrat a podívat se na každou z komponent na desce. Naštěstí tato deska není tak velká."
Není to všechno hovno
Je snadné diskontovat celé odvětví na základě jeho nejhorších herců a to samé platí pro internet věcí. Ale George Yianni, vedoucí technologie, Domácí systémy, Philips Lighting považuje tento pohled za obzvláště frustrující.
„Od začátku jsme to brali velmi vážně. Toto je nová kategorie. Musíme si budovat důvěru, a to vlastně škodí důvěře. A proto si myslím, že největší škoda výrobků, které neudělaly tak dobrou práci, je to, že narušuje důvěru v celkovou kategorii. Každý produkt může být špatně vyroben. Nejde o kritiku celého odvětví. ““
Jak je často případ bezpečnosti, způsob, jakým společnost reaguje na útok, je často důležitější než účinky samotného útoku. V případě útoku dronů na zařízení Philips Yianni vysvětlil, že Ronen předložil svá zjištění prostřednictvím stávajícího programu odpovědného zveřejňování společnosti. Jedná se o postupy, které jsou zavedeny, aby společnostem poskytly čas, aby reagovaly na objev výzkumného pracovníka v oblasti bezpečnosti dříve, než bude zveřejněn. Tímto způsobem si mohou být spotřebitelé jisti, že jsou v bezpečí a vědci získávají slávu.
Ronen našel chybu v softwarovém balíčku třetích stran, řekla Yianni. Konkrétně to byla část standardu ZigBee, která omezuje komunikaci na zařízení do dvou metrů. Ronenova práce, jak si vzpomenete, dokázala převzít kontrolu z dálky - 40 metrů od standardní antény a 100 metrů se zesílenou anténou. Díky odpovědnému informačnímu programu Yianni řekl, že společnost Philips dokázala zavést záplatu na světla v terénu, než Ronen řekl světu o útoku.
Když Yianni a Philips viděli mnoho společností, jak se potýkají s narušením veřejné bezpečnosti nebo výsledkem práce výzkumného pracovníka v oblasti bezpečnosti, může to znít jako poskakování zpět - ale skutečně to byl úspěch. „Všechny naše produkty jsou aktualizovatelné softwarem, takže věci lze opravit, “ řekla mi Yianni. „Další věc, kterou provádíme posuzování bezpečnostních rizik, bezpečnostní audity, penetrační testování na všech našich produktech. Poté ale také spustíme tyto odpovědné procesy zveřejňování, takže pokud něco projde, můžeme to zjistit předem a opravit to velmi rychle.
"Máme celý proces, ve kterém můžeme posílat aktualizace softwaru z celého cloudu dolů a distribuovat je do všech světel. To je super důležité, protože prostor se pohybuje tak rychle a jedná se o produkty, které vydrží posledních 15 let "A pokud se chceme ujistit, že jsou stále relevantní, pokud jde o funkčnost a být dostatečně bezpečný pro nejnovější útoky, musíme to mít."
Ronen ve své korespondenci se mnou potvrdil, že společnost Philips skutečně udělala obdivuhodnou práci na zabezpečení systému osvětlení Hue. „Philips vynaložil překvapivé množství úsilí na zajištění světel, “ řekl mi Ronen. "Bohužel však některé základní bezpečnostní předpoklady, které se spoléhaly na implementaci čipové bezpečnosti Atmel, byly základní." Jak Balan zdůraznil při práci Bitdefenderu na Boxu, každý aspekt zařízení IoT je předmětem útoku.
Společnost Philips také navrhla centrální rozbočovač - zařízení potřebné pro koordinaci sítí produktů Philips IoT - tak, aby bylo nepřístupné z otevřeného internetu. "Všechna připojení k internetu jsou iniciována ze zařízení. Nikdy neotevíráme porty na routerech ani neuděláme to, aby zařízení na internetu mohlo přímo mluvit s, " vysvětlil Yianni. Místo toho Hub rozesílá požadavky na cloudovou infrastrukturu společnosti Philips, která na požadavek odpoví namísto naopak. To také umožňuje společnosti Philips přidávat další vrstvy, které chrání spotřební zařízení, aniž by museli zasahovat do svého domova a provádět jakékoli změny. "Není možné, aby se s nimi komunikovalo zvnějšku Hub, pokud nejste směrováni tímto oblakem, kde můžeme vybudovat další vrstvy zabezpečení a monitorování."
Yianni vysvětlila, že se jednalo o víceúrovňový přístup, který společnost Philips použila k zajištění osvětlovacího systému Hue. Protože se systém skládá z několika různých částí - od hardwaru uvnitř žárovek po software a hardware na Hue Hub po aplikaci v telefonech uživatelů - musela být na všech úrovních přijata různá opatření. "Všichni potřebují různá bezpečnostní opatření, aby je udrželi v bezpečí. Všichni mají různou úroveň rizika a zranitelnosti. Takže děláme různá opatření pro všechny tyto různé části, " řekl Yianni.
To zahrnovalo penetrační testování, ale také design zdola nahoru, který má zmařit útočníky. "Neexistují žádná globální hesla jako to, co bylo použito v této boti Mirai, " řekla Yianni. Malware Mirai měl desítky výchozích přístupových kódů, které by použil při pokusu o převzetí zařízení IoT. "Každý má jedinečné asymetricky podepsané klíče k ověření firmwaru, to vše. Jedno zařízení s hardwarem modifikovaným, z toho není globální riziko, " vysvětlil.
To platí také pro hodnotu zařízení IoT. „Mnoho z těchto produktů má tendenci být konektivitou kvůli konektivitě, “ řekl. „Potřeba automatizovat vše ve vašem domě není problémem, který má mnoho spotřebitelů, a to je velmi obtížné dostat se na hlavu. Myslíme si, že výrobky, které se dobře chovají, jsou produkty, které nabízejí zákazníkům srozumitelnější hodnotu.“
Neodolatelný internet věcí
Znát rizika spojená s IoT a dokonce si uvědomovat jeho frivolnost, určitě nezabránila lidem v nákupu inteligentního osvětlení, jako je Philips Hue, vždy poslouchajících domácích asistentů, jako je Google Home nebo Amazon Echo, a ano, inteligentních lahví na vodu. Dokonce i provozovatel internetu hovno je velkým fanouškem internetu věcí.
„Skutečnou ironií za internetem sraček je to, že jsem pro tato zařízení hlupák, “ řekl IOS. "Jsem brzy osvojitel a pracuji v technologii, takže často nemůžu těmto věcem odolat." IOS uvádí mezi futuristickou domácí výbavu seznam světel připojených společností Philips, termostatu Tado, sledovače spánku Sense, inteligentních reproduktorů, kamery Canary a konektorů připojených k Wi-Fi.
„Jsem si vědom toho, že účet se náhodou dostal mnohem větší, než jsem si kdy představoval, a já nikdy nechci odradit lidi od vstupu do technologie - myslím, že experimentování s hloupými nápady je to, jak skvělé nápady se mohou narodit, což je něco že mě Simone Giertz trochu naučila, “řekl IOS.
Giertz, absurdní robotik a YouTuber, je myslí za Shitty Robots. Mezi její výtvory patří dron, který dává srážky - nebo spíše selhává - a masivní klobouk, který dramaticky umístí sluneční brýle na obličej. Myslete na to jako na Rube Goldbergovou se zdravou dávkou cynismu Silicon Valley.
Osoba za IOS hlásí, že se v těchto dnech pokouší otáčet ve svých časných adopčních instinktech. "Myslím, že okamžik, kdy jsem musel aktualizovat firmware svých žárovek, abych je zapnul, byl pro mě trochu realizace…"
Bitdefenderův Balan řekl, že používá žárovky, které se zdvojnásobují jako opakovače Wi-Fi. Tato zařízení rozšiřují světlo i Wi-Fi do všech koutů svého domu. Jsou však také načtena s mnoha zranitelnostmi, které odvodil, včetně slabých výchozích hesel. Pokud však jde o internet věcí, zůstává neohrožený.
„Je to jako sex, “ řekl mi. "To bys neudělal bez kondomu. Máme rádi sex, sex je úžasné, sex se nevzdáme jen proto, že je to nebezpečné. Ale když to děláme, budeme používat ochranu." Místo toho, aby upadl do paranoie, věří, že by se spotřebitelé měli spolehnout na bezpečnostní společnosti a vzdělané přátele, kteří dokážou identifikovat společnosti, které berou bezpečnost vážně, pomocí bugových odměn a bezpečných, častých aktualizačních nástrojů.
A používá hacker dron Ronen IoT? „V současné době ne, “ řekl. "Obávám se, že to má dopad na mé soukromí a bezpečnost. A výhody nejsou dost vysoké pro mé potřeby."
Dokonce i váš skromný autor, který roky odolával sirénkové písni mluvících detektorů kouře a světel měnících barvu, se začal rozpadat. Nedávno jsem se ve snaze rozvinout kancelář na svátky setkal s třemi samostatnými inteligentními světly. Výsledek byl děsivě, přesvědčivě krásný.
Mezitím v mém Amazonském nákupním košíku sedí zbrusu nové světlo Philips Hue. Jednou brzy stisknu tlačítko.
