De Smart Koelkast van Samsung is net Pwned geworden. Hoe zit het met de rest van uw Smart Home?
$ 3599 is veel geld.
Het kan een fatsoenlijke tweedehandswagen opleveren, of een relatief vergeefse iMac. Je zou 3599 McChicken burgers kunnen kopen, of 2589 McDoubles. Of het kan u de Samsung RF28HMELBSR bezorgen.
Deze (snappily-named) koelkast heeft alles. Het heeft vier deuren, een kolossale 28 kubieke voet ruimte en een geïntegreerde, 8” LCD-aanraakscherm met WiFi-voorziening waarmee u alles kunt doen: nieuws lezen, uw Android-smartphone op afstand bedienen.
Als het bekend klinkt, komt dat omdat het ooit op mijn lijst stond van de domste Smart Home-producten ooit tweeten koelkasten en webgestuurde rijstkokers: 9 van de stomste Smart Home Appliances Tweeting koelkasten en webgestuurde rijstkokers: 9 van de stomste Smart Home Toestellen Er zijn veel slimme apparaten voor thuis die uw tijd en geld verdienen. maar er zijn ook soorten die nooit het daglicht zouden moeten zien. Dit zijn 9 van de slechtste. Lees verder . En heb ik al gezegd dat het wordt geleverd met een enorme, gapende beveiligingskwetsbaarheid?
Slimme koelkast, domme fout
Ja, voor al zijn verfijning is deze koelkast geleverd met een aanzienlijke beveiligingsfout waardoor een aanvaller heimelijk Gmail-inloggegevens kan oogsten.
De kwetsbaarheid werd voor het eerst gemeld in The Register op 24 augustus en ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters tijdens deelname aan een Internet of Things (IoT) hacking-uitdaging tijdens de recente Defcon 23-conferentie.
Het ingebouwde aanraakscherm van deze koelkast geeft de gebruiker toegang tot zijn eigen Google Agenda. Verbindingen met-en-van de servers van Google worden gecodeerd met behulp van SSL-codering Wat is een SSL-certificaat en heeft u er een nodig? Wat is een SSL-certificaat en heeft u er een nodig? Surfen op het internet kan eng zijn als het om persoonlijke gegevens gaat. Read More, maar Samsung's implementatie van SSL controleert niet de geldigheid van de certificaten.
Dit vormt een ernstig beveiligingsprobleem, omdat iedereen in het netwerk een “Man in het midden” Wat is een Man-in-the-Middle-aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees Meer aanval en onderschep de inloggegevens van de gebruiker tijdens het transport. Een aanvaller zou deze ook kunnen verkrijgen door een toegangspunt te vervalsen of door een draadloze deauthenticatieaanval.
Samsung heeft gezegd dat ze dat zijn “zo snel mogelijk onderzoek doen naar deze kwestie”, en werken vermoedelijk plat om een oplossing te geven. Maar deze aflevering is een interessante demonstratie van hoe slecht de beveiliging op het internet der dingen mis kan gaan.
(In) beveiliging in een genetwerkte wereld van dingen
In het verleden hebben we uitvoerig gepraat over de risico's van het internet der dingen, zowel vanuit een privacy Waarom het internet der dingen de grootste veiligheid is Nachtmerrie Waarom het internet der dingen de grootste veiligheidsnachtmerrie is Op een dag kom je thuis van werk om te ontdekken dat uw cloud-enabled huisbeveiligingssysteem is geschonden. Hoe kon dit gebeuren? Met Internet of Things (IoT) kon je er op de harde manier achter komen. Lees meer en vanuit een veiligheids- en sociologisch perspectief 7 Redenen waarom het internet der dingen u zou moeten afschrikken 7 Redenen waarom het internet der dingen u bang zou moeten maken De potentiële voordelen van het internet der dingen worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om de aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het ivd. Lees verder . Het aanpakken ervan is moeilijk, want als het gaat om het beveiligen van het internet der dingen, komen we een paar problemen tegen.
Ten eerste zijn deze apparaten geen pc's of telefoons, in de mate dat ze uniform eenvoudig kunnen worden bijgewerkt (Windows 10 zal zelfs updates namens u installeren Hoe u automatische app-updates uitschakelt in Windows 10 Hoe u automatische app-updates uitschakelt in Windows 10 Het deactiveren van systeemupdates wordt niet geadviseerd, maar in voorkomend geval, hier is hoe u het doet op Windows 10. Lees meer), en de verkopers achter hen zijn betrokken en geven regelmatig software- en beveiligingsupdates vrij. Veel slimme thuisproducten doen dat niet “bijwerken” in de ether, waarbij u gecompliceerde of onbetrouwbare softwarepakketten, verwijderbare opslag of eenvoudigweg niet kunt gebruiken om de firmware te updaten.
Hoe update je bijvoorbeeld een gekoppelde koffiepot of een gecomputeriseerde thermostaat? Er is geen gemakkelijke, universele manier om dat te doen.
Het is ook belangrijk om het feit aan te pakken dat veel van deze apparaten nu door gewone mensen in hun eigen huis worden gebouwd. Arduino en Raspberry Pi hebben ons in staat gesteld netwerkconnectiviteit en geautomatiseerde logica te introduceren in plaatsen die we nog nooit voor mogelijk hadden gehouden, terwijl producten zoals Microsoft Windows 10 voor IoT Windows 10 - Naar een Arduino bij u in de buurt komen? Windows 10 - Komt u bij een Arduino bij u in de buurt? Met Read More is het gemakkelijker om deze apparaten aan het ruimere internet bloot te stellen en tegelijkertijd een wereld van kansen en risico's te creëren.
Terwijl veel doorgewinterde ontwikkelaars weten hoe ze deze apparaten moeten bouwen op een veilige manier, doen veel te veel beginnende en hobbyistische ontwikkelaars dat niet.
Dan gaan we verder met het probleem van de levensduur. Nogmaals, dit probleem dat uniek endemisch is voor de Smart Home-wereld. Omdat terwijl uw pc en telefoon software uitvoeren die is gebouwd door bedrijven met een lange geschiedenis en diepe zakken, de meeste van uw Smart Home-apparaten niet.
De overgrote meerderheid van deze bedrijven zijn vroege tot late startups, veel van deze bedrijven bevinden zich in een voorzichtige fase in hun ontwikkeling. Als ze worden afgesloten, wat gebeurt er dan met de producten die ze al hebben verzonden? Wie schrijft software-updates en beveiligingspatches?
Zoals we in het verleden al hebben geschreven, zijn hardware-startups moeilijk. Hardware-startups zijn hard: de ErgoDox tot leven brengen Waarom hardware-opstartprogramma's hard zijn: de ErgoDox tot leven brengen Hier is een controversiële mening voor u: het starten van een software-startup is eenvoudig. Hardware, aan de andere kant? Hardware-startups zijn moeilijk. Echt moeilijk. Lees verder . Al dit jaar zagen we aanzienlijke ontslagen bij Leeo en Wink - twee van de grootste startups van Smart Home. Veel meer - zoals Lumos - zijn er niet in geslaagd helemaal van de grond te komen.
Maar misschien is de grootste en meest duurzame bedreiging voor Smart Home en Internet of Things-beveiliging simpelweg dat deze apparaten zijn gebouwd om langer mee te gaan dan hun fabrikanten zouden willen. Geïntegreerde systemen en Smart Home-producten kunnen jarenlang, gelukkig, werken. Veel van deze werken niet op een abonnementsservice.
Moeten we verwachten dat Nest en Philips updates aanbieden zolang Microsoft Windows XP ondersteunt? Wat Windows XPocalypse voor u betekent Wat Windows XPocalypse voor u betekent Microsoft gaat ondersteuning voor Windows XP in april 2014 omzeilen. Dit heeft ernstige gevolgen voor zowel bedrijven als consumenten. Dit is wat u moet weten als u nog steeds Windows XP gebruikt. Lees verder ?
Uit het LAN, Into The Fire
Deze beveiligingsproblemen worden aanzienlijk verergerd door het feit dat veel van deze apparaten verbonden zijn met het ruimere internet en op afstand toegankelijk zijn, wat een smorgasbord aan veiligheidsproblemen met zich meebrengt.
Want wanneer u iets met internet verbindt, introduceert u vervolgens een nieuwe aanvalsvector voor iedereen die zo gemotiveerd is. In plaats van verbinding te moeten maken met uw thuisnetwerk, kan iemand dit eenvoudig op afstand oplossen.
Het is makkelijker dan je denkt. Er is zelfs een zoekmachine voor embedded systemen, genaamd Shodan. Met slechts een paar toetsaanslagen kunt u systemen vinden die wereldwijd zijn blootgesteld aan internet - van energiecentrales in Japan tot webcams in Nederland en VoIP-telefoons in New York.
Gewoon zoeken naar “Webcam” onthult duizenden op afstand toegankelijke webcams. Ik heb hier echter geen toegang toe gekregen, want dat zou vrijwel zeker resulteren in het overtreden van de Computer Misuse Act 1990. De Computer Misuse Act: de wet die hacking in het VK criminaliseert De Computer Misuse Act: de wet die hacking in het VK criminaliseert In de Verenigde Staten UK de Computer Misuse Act 1990 gaat over het hacken van misdaden. Twhis controversiële wetgeving is onlangs bijgewerkt om de Britse inlichtingenorganisatie GCHQ het wettelijke recht te geven om op elke computer te hacken. Zelfs de jouwe. Lees verder .
Het is eng. We zijn begonnen onze huizen op het internet te introduceren, en het is heel eenvoudig om ze te vinden en gerichte aanvallen op hen te lanceren. We zouden bezorgd moeten zijn.
Dus wat kan worden gedaan?
Beveiligingsfouten, zoals die in de Android-koelkast van Samsung, zullen er altijd zijn. Zolang het voor leveranciers gemakkelijk is om fixes uit te voeren en ze voortdurend worden bijgewerkt gedurende de levensduur van de apparaten, is dat niet echt een probleem.
Maar het is belangrijk dat we de andere problemen aanpakken. Er moeten inspanningen worden geleverd om ervoor te zorgen dat de ontwikkelaars van Smart Home- en IoT-producten weten hoe ze veilige systemen kunnen ontwikkelen. Dit kan worden bereikt door een groter bereik met de beveiligingsgemeenschap.
Daar zijn een aantal precedenten voor. Het OWASP-project (Open Web Application Security Project) komt meteen ter sprake. Dit is gelanceerd in 2004 en heeft vrij beschikbaar educatief materiaal opgeleverd dat ontwikkelaars leert hoe ze beveiligde websites kunnen bouwen en hoe hackers de beveiliging van webtoepassingen goed kunnen testen..
Er is geen reden waarom iets dergelijks niet zou kunnen worden gemaakt voor de slimme thuiswereld en voor Internet of Things-ontwikkelaars.
Bovendien moeten we ervoor zorgen dat Smart Home-systemen worden bijgewerkt en onderhouden, zelfs als de leveranciers vouwen. Dit kan worden gedaan door iedereen te verplichten hun code vrij te geven in een broncode-escrow, waarbij de code wordt vrijgegeven als het bedrijf faillissement aanvraagt of anderszins nalaat de software op een bevredigende manier te onderhouden.
En als consumenten zouden we meer van leveranciers moeten eisen. We moeten eisen dat de apparaten die we kopen worden ondersteund met beveiligingspatches voor de levensduur van het product. We mogen verwachten dat beveiligingsproblemen snel en resoluut worden opgelost. We mogen verwachten dat leveranciers beveiligingsdreigingen met absolute transparantie behandelen. En we moeten leveranciers niet betuttelen die niet aan die magere standaard voldoen.
Dit zijn allemaal relatief kleine veranderingen, maar er is geen reden om te denken dat ze niet zouden resulteren in veiliger Smart Home-apparaten. Maar wat denk je ervan??
Als je gedachten hebt, of heb je een horrorverhalen over IoT-onveiligheid, dan wil ik erover horen. Laat het me weten in de reacties hieronder en we zullen chatten.
Foto's: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)
Ontdek meer over: Online beveiliging, Smart Appliance.