Indholdsfortegnelse:
- Internet af usikkerhed
- Mangel på standarder
- Det er ikke alt sammen lort
- Det uimodståelige tingenes internet
Video: The Third Industrial Revolution: A Radical New Sharing Economy (Oktober 2024)
Hvis Internet of Things (IoT) -industrien er Jedi-ordenen, med Philips Hue-lysborde og "smarte" skybaserede Force-kræfter, er den populære Twitter-konto Internet of Shit en Sith Lord. På et tidspunkt, hvor teknologibranchen synes ivrig efter at sætte en chip i alt, konsekvenser blive forbannet, sætter Internet of Shit navn på problemet med ny, ubrugelig elektronik og fremhæver, at nogle af disse produkter måske ikke er så godartede som vi tror.
Internettet af Shit's Twitter-konto fokuserer på niche og den populære. I tilfælde af, for eksempel at betale for et måltid ved hjælp af en smart vandflaske, sætter det spørgsmålstegn ved hjælp af værktøjet. Det fremhæver absurditeten ved at skulle vente på grundlæggende nødvendigheder, som lys og varme, der ikke er tilgængelige, efter at "smarte" produkter modtager firmwareopdateringer.
mig hver gang en ny gadget kommer ud pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23. januar 2017
Som du måske kan forestille dig, er Internettet af Shit i stand til at udvise den branche, det håner så effektivt, fordi denne branche er tæt på hjertet. ”Det skete så naturligt, ” sagde IOS. "Jeg plejede at bruge en masse tid på Kickstarter og så fremkomsten af Internet of Things der. Det så ud som om hver anden dag, at et hverdagsligt objekt havde en chip skubbet ind i den, men ingen - selv i medierne - var det kritisk til det. ville bare sige ting som 'Wow, vi kan endelig få internettet i en paraply.'"
IOS ser sig selv som noget af en djevel's talsmand eller kollektiv samvittighed for forbrugerkultur. I hans øjne er Twitter-kontoen en meget tiltrængt sundhedsundersøgelse af Silicon Valley faux-optimisme kørt amok. "Når vi går for langt, er det vigtige spørgsmålsteknologi, folk ofte glemmer,: Hvem har egentlig brug for dette? En ovn, der ikke kan lave mad ordentligt uden internettet? Hvorfor designer folk ikke disse ting bedre?"
Men mere end dårligt design og usædvanlige påstande om brugbarhed, er IOS's primære bekymring for privatlivets fred og i sidste ende personlig sikkerhed: "Jeg ser dog IoT som iboende risikabelt. Jeg stoler ikke på disse virksomheder om ikke at lække mine data eller ikke at blive hårdt hacket i fremtiden."
I en Medium-post skrevet tidligt i Twitter-kontos liv sagde IOS, at han var bekymret for, at virksomheder ville begynde at lede efter måder at tjene penge på data indsamlet fra folks hjem. Fra den historie: "Hvis Nest ville øge overskuddet, kunne det sælge dit hjem miljødata til annoncører. For koldt? Amazon-annoncer for tæpper. For varmt? En bannerannonce for et klimaanlæg. For fugtigt? Affugtere op i din Facebook."
IOS står stadig ved disse bekymringer. "Årsagen til, at IoT er så overbevisende for producenterne, er ikke, at de tilføjer smarte funktioner til dit liv - det er bare et biprodukt, " skrev han mig. "Det er mere, at de ved at gøre det får en hidtil uset indsigt i, hvordan disse enheder bruges, som hvor ofte, hvilke funktioner, du bruger mest, og alle de data, der følger med det."
IOS siger, at IoT-virksomheder er nødt til at være meget mere opmærksomme på deres dataindsamlingspolitikker, og hvem der kan få adgang til oplysninger, der kan indsamles af disse enheder. "Det spørgsmål, vi alle har brug for at beslutte, er, hvilket niveau af adgang, vi er villige til at give disse virksomheder i bytte for de data, de får - og hvem vi har tillid til, det er nøglen."
På juledag i 2016 aktiverede IOS hans lys blinkende, hver gang hans håndtag blev nævnt på Twitter. Resultaterne var intense, antiklimaktiske og korte, og illustrerer måske alt, hvad IOS er afsky for tingenes internet.
Internet af usikkerhed
Meget værre end den virkning, som ubrugelige IoT-enheder har på forbrugernes tegnebøger, er imidlertid den effekt, de har på den personlige sikkerhed. IOS's frygt for en markedsplads for brugerdata, der er indsamlet af IoT-enheder, er ikke langt fremkommet (hvordan tror du, gratis apps og gratis internetnyhedsselskaber tjener penge?), Og der er allerede andre, meget virkelige trusler.
Deltagere på Black Hat 2016-konferencen blev behandlet med optagelser fra sikkerhedsforsker Eyal Ronen. Ved hjælp af sin forskning kunne han gribe kontrollen over Philips Hue-lys fra en drone, der svævede uden for en kontorbygning. Angrebet var bemærkelsesværdigt ikke kun for dets dramatiske resultater og for at bruge en drone, men også fordi bygningen var hjemsted for flere velkendte sikkerhedsfirmaer.
Ronen forklarede for mig, at han forsøgte at demonstrere, at et angreb mod en øverste række af IoT-enheder var muligt. "Der er mange IoT-hacks, der er rettet mod low-end-enheder, der ikke har nogen reel sikkerhed. Vi ønskede at teste sikkerheden på et produkt, der formodes at være sikkert, " sagde han. Han var også ivrig efter at angribe et kendt firma og bosatte sig på Philips. Ronen sagde, at det var sværere at knække, end han oprindeligt troede, men han og hans team fandt og udnyttede en fejl i ZigBee Light Link-softwaren, en tredjeparts kommunikationsprotokol, der blev brugt af flere IoT-virksomheder og betragtet som et modent og sikkert system.
"Det bruger avancerede kryptografiske primitiver, og det har stærke sikkerhedskrav, " sagde Ronen. "Men i slutningen, i relativt kort tid med meget billig hardware til en værdi af omkring $ 1.000, var vi i stand til at bryde det, " sagde Ronen.
Video af Ronens angreb (ovenfor) viser bygningens lys blinkende i rækkefølge efter hans kommandoer fjernbetjent via en svævende drone. Hvis dette skulle ske med dig, ville det være irriterende - måske ikke mere irriterende end nogen af de scenarier, IOS fremhæver på hans Twitter-konto. Men sikkerhedsfagfolk hævder, at der er langt større konsekvenser for IoT-sikkerhed.
"I et tidligere arbejde viste vi, hvordan man bruger lys til at udfiltrere data fra luftspændt netværk og forårsage epileptiske anfald, og i dette arbejde viser vi, hvordan vi kan bruge lys til at angribe det elektriske net og papirstop Wi-Fi, " fortalte Ronen mig. "IoT kommer ind i alle dele af vores liv, og sikkerheden ved det kan påvirke alt fra medicinsk udstyr til biler og hjem."
Mangel på standarder
Ronens angreb udnyttede nærheden, men Chief Security Researcher Alexandru Balan på Bitdefender skitserede mange andre sikkerhedsfejl, der kommer bagt i nogle IoT-enheder. Hardkodede adgangskoder, sagde han, er især problematiske, ligesom enheder, der er konfigureret til at være tilgængelige fra det åbne internet.
Det var denne kombination af internetadgang og enkle standardadgangskoder, der har forårsaget ødelæggelse i oktober 2016, da Mirai botnet tog store tjenester som Netflix og Hulu enten offline eller gjorde dem så langsomme at være ubrugelige. Et par uger senere fik en variant af Mirai en internetadgang i hele Liberias nation.
Ikke længe efter at nyheden om Mirai brød, kiggede jeg på dette scenarie og beskyldte IoT-branchen for at ignorere advarslerne om dårlig godkendelse og unødvendig online tilgængelighed. Men Balan ville ikke gå så langt som at kalde disse mangler åbenlyse. "har brug for reverse engineering på firmwaren for at udtrække disse legitimationsoplysninger, men det er meget ofte tilfældet, at de finder hårdkodede legitimationsoplysninger på enhederne. Årsagen hertil er, at der i mange tilfælde ikke er nogen standarder, når det kommer til IoT-sikkerhed."
Sårbarheder som disse opstår, antagede Balan, fordi IoT-virksomheder opererer på egen hånd uden universelt accepterede standarder eller sikkerhedskompetence. "Det er lettere at bygge det på denne måde. Og du kan sige, at de skærer hjørner, men hovedspørgsmålet er, at de ikke undersøger, hvordan de ordentligt kan opbygge det på en sikker måde. De prøver bare at gøre det arbejde ordentligt."
Selv når virksomheder udvikler rettelser til angreb som den, Ronen opdagede, er nogle IoT-enheder ikke i stand til at anvende automatiske opdateringer. Dette sætter forbrugerne i spil for selv at finde og anvende programrettelser, hvilket kan være særligt skræmmende på enheder, der ikke er beregnet til service.
Men selv med enheder, der let kan opdateres, findes der stadig sårbarheder. Flere forskere har vist, at ikke alle IoT-udviklere underskriver deres opdateringer med en kryptografisk signatur. Signeret software er krypteret med den private halvdel af en asymmetrisk kryptografisk nøgle, der ejes af udvikleren. Enhederne, der modtager opdateringen, har den offentlige halvdel af nøglen, der bruges til at dekryptere opdateringen. Dette sikrer, at opdateringen er officiel og ikke er blevet manipuleret, da underskrivelse af en ondsindet opdatering eller ændring af softwareopdateringen kræver udviklerens hemmelige nøgle. "Hvis de ikke signerer deres opdateringer digitalt, kan de kapres, de kan manipuleres; kode kan indsprøjtes i disse opdateringer, " sagde Balan.
Ud over simpelthen flimrende lys til og fra, sagde Balan, at inficerede IoT-enheder kan bruges som en del af botnet, set med Mirai, eller til langt mere lumske formål. "Jeg kan udtrække dine Wi-Fi-legitimationsoplysninger, fordi du tydeligvis har koblet det til dit Wi-Fi-netværk og er, som det er en Linux-boks, jeg kan bruge det til at dreje og begynde at starte angreb i dit trådløse netværk.
"Inden for dit eget LAN-netværks privatliv er godkendelsesmekanismer slappe, " fortsatte Balan. "Problemet med LAN er, at når jeg først er i dit private netværk, kan jeg have adgang til næsten alt, hvad der sker derinde." Faktisk bliver den beskadigede IoT et strandhoved for angreb på mere værdifulde enheder på det samme netværk, såsom Network Attached Storage eller personlige computere.
Det fortæller måske, at sikkerhedsbranchen er begyndt at se nøje på IoT. I løbet af de sidste par år er flere produkter kommet ind på markedet og hævder at beskytte IoT-enheder mod angreb. Jeg har set eller læst om flere af disse produkter og gennemgået Bitdefenders tilbud. Enheden kaldes Bitdefender-boksen, fastgør enheden til dit eksisterende netværk og giver antivirusbeskyttelse til enhver enhed på dit netværk. Det undersøger endda dine enheder for potentielle svagheder. Bitdefender lancerer den anden version af sin Box-enhed i år. Norton vil gå ind i sit eget tilbud (nedenfor) og kan prale af dyb pakkeinspektion, mens F-Secure også har annonceret en hardwareenhed.
Som en af de første på markedet er Bitdefender i den unikke position at have en baggrund inden for softwaresikkerhed - og derefter designe forbrugerhardware, der formodentlig ville være upåklagelig sikker. Hvordan var den oplevelse? ”Det var meget svært, ” svarede Balan.
Bitdefender har et bug-bounty-program (en monetær belønning, der tilbydes programmerere, der afslører og giver en løsning på en fejl på et websted eller i en applikation), som Balan bekræftede har hjulpet udviklingen af boksen. "Intet selskab skal være arrogant nok til at tro, at det kan finde alle bugs på egen hånd. Dette er grunden til, at bounty-programmer findes, men udfordringen med hardware er, at der kan være bagdøre inden for de faktiske chips."
"Vi ved, hvad vi skal kigge efter, og hvad vi skal se på, og vi har faktisk et hardwareteam, der kan adskille og undersøge hver enkelt af komponenterne på det bord. Heldigvis er det bord ikke så stort."
Det er ikke alt sammen lort
Det er nemt at nedprioritere en hel branche baseret på dens værste aktører, og det samme er tilfældet for Internettet af tingene. Men George Yianni, teknologechefen, hjemmesystemer, Philips Lighting finder denne opfattelse særlig frustrerende.
"Vi tog meget alvorligt fra begyndelsen. Dette er en ny kategori. Vi er nødt til at opbygge tillid, og disse skader faktisk tilliden. Og det er også grunden til, at jeg synes, at den største skam ved de produkter, der ikke har gjort et så godt job, er, at det udhuler tilliden til den overordnede kategori. Ethvert produkt kan fremstilles dårligt. Det er ikke en kritik af den samlede branche."
Som det ofte er tilfældet med sikkerhed, er en virksomheds reaktion på et angreb ofte vigtigere end virkningen af selve angrebet. I tilfælde af droneangrebet på Philips-enheder forklarede Yianni, at Ronen indsendte sine konklusioner gennem selskabets eksisterende ansvarlige afsløringsprogram. Dette er procedurer, der er indført for at give virksomheder tid til at reagere på en sikkerhedsforskerens opdagelse, før den offentliggøres. På den måde kan forbrugere være sikre på, at de er sikre, og forskerne får æren.
Ronen havde fundet en fejl i en tredjeparts softwarestak, sagde Yianni. Specifikt var det den del af ZigBee-standarden, der begrænser kommunikation til enheder inden for to meter. Ronens arbejde, som du vil huske, var i stand til at tage kontrol fra en afstand - 40 meter væk med en standardantenne og 100 meter med en boostet antenne. Takket være det ansvarlige afsløringsprogram sagde Yianni at Philips var i stand til at rulle en plaster til lysene i marken, før Ronen fortalte verden om angrebet.
Efter at have set mange virksomheder kæmpe for et brud på den offentlige sikkerhed eller resultatet af en sikkerhedsforsker's arbejde, kan Yianni og Philips 'svar muligvis lyde som bagud-bagside-klapning - men det var virkelig en succes. "Alle vores produkter kan software-opdateres, så tingene kan rettes, " fortalte Yianni mig. "Den anden ting, vi foretager vurdering af sikkerhedsrisici, sikkerhedsrevisioner, penetrationstest på alle vores produkter. Men så kører vi også disse ansvarlige afsløringsprocesser, så hvis noget kommer igennem, kan vi finde ud af det på forhånd og rette op det meget hurtigt.
"Vi har en hel proces, hvor vi kan skubbe softwareopdateringer fra hele skyen ned til og distribuere det til alle lysene. Det er super vigtigt, fordi pladsen bevæger sig så hurtigt, og dette er produkter, der vil vare 15 år. Og hvis vi skal sikre os, at de stadig er relevante med hensyn til funktionalitet og for at være tilstrækkeligt sikre til de seneste angreb, skal vi have det."
I sin korrespondance med mig bekræftede Ronen, at Philips virkelig havde gjort et beundringsværdigt job med at sikre Hue-belysningssystemet. ”Philips gjorde en overraskende indsats for at sikre lysene, ” fortalte Ronen. "Men desværre var nogle af de grundlæggende sikkerhedsantagelser, der var afhængige af den underliggende Atmels chipsikkerhedsimplementering, forkerte." Som Balan påpegede med Bitdefenders arbejde med boksen, er alle aspekter af IoT-enheden udsat for angreb.
Philips designet også den centrale hub - den enhed, der kræves for at koordinere netværk af Philips IoT-produkter - for at være utilgængelig fra det åbne internet. "Alle forbindelser til internettet startes fra enheden. Vi åbner aldrig porte på routere eller gør det så en enhed på internettet direkte kan tale med, " forklarede Yianni. I stedet sender huben forespørgsler til Philips's cloud-infrastruktur, som svarer på anmodningen i stedet for omvendt. Dette gør det også muligt for Philips at tilføje ekstra lag for at beskytte forbrugernes enheder uden at skulle nå ind i deres hjem og foretage ændringer. "Det er ikke muligt for kommunikationen med uden for Hub'en, medmindre du dirigeres gennem denne sky, hvor vi kan opbygge yderligere lag af sikkerhed og overvågning."
Yianni forklarede, at alt dette var en del af en flerlags fremgangsmåde, Philips tog for at sikre Hue-belysningssystemet. Da systemet er sammensat af flere forskellige stykker - fra hardware inde i pærerne til softwaren og hardware på Hue Hub til appen i brugernes telefoner - måtte der træffes forskellige forholdsregler på alle niveauer. "Alle af dem har brug for forskellige sikkerhedsforanstaltninger for at holde dem sikre. De har alle forskellige niveauer af risiko og sårbarhed. Så vi udfører forskellige forholdsregler for alle disse forskellige dele, " sagde Yianni.
Dette omfattede penetrationstest, men også et bottom-up-design beregnet til at forhindre angribere. "Der er ingen globale adgangskoder som hvad der blev brugt i dette Mirai botnet, " sagde Yianni. Mirai-malware havde snesevis af standard-adgangskoder, som den ville bruge i et forsøg på at overtage IoT-enheder. "Hver har unikke, asymmetrisk signerede nøgler til at verificere firmware, alt dette. En enhed, der har sin hardware ændret, er der ingen global risiko for, " forklarede han.
Dette gælder også værdien af IoT-enheder. "Mange af disse produkter har en tendens til at være tilslutningsmulighed af hensyn til forbindelse, " sagde han. "Behovet for at automatisere alt i dit hjem er ikke et problem, som mange forbrugere har, og det er meget svært at få dit hoved rundt. Vi mener, at produkter, der klarer sig godt, er dem, der tilbyder en lettere at forstå værdi over for forbrugerne."
Det uimodståelige tingenes internet
At kende risikoen ved IoT og endda anerkende dets useriøshed har bestemt ikke forhindret folk i at købe smart belysning som Philips Hue, altid lyttehjælpsassistenter som Google Home eller Amazon Echo, og ja, smarte vandflasker. Selv operatøren af Internet of Shit er en stor IoT-fan.
"Den ægte ironi bag Internettet af Shit er, at jeg er en sucker til disse enheder, " sagde IOS. "Jeg er en tidlig adopterer og arbejder inden for teknologi, så meget af tiden kan jeg ikke modstå disse ting." IOS viser Philips tilsluttede lys, Tado-termostaten, Sense sleep tracker, smarte højttalere, det kanariske kamera og Wi-Fi-tilsluttede stik blandt hans futuristiske hjemmefaciliteter.
”Jeg er opmærksom på, at kontoen ved et uheld blev langt større, end jeg nogensinde havde forestillet mig, og jeg vil aldrig afskrække folk fra at gå ind i teknologi - jeg tror, at det at eksperimentere med dumme ideer er, hvordan gode ideer kan fødes, hvilket er noget at Simone Giertz lærte mig lidt, ”sagde IOS.
Giertz, en absurdistisk robotist og YouTuber, er sindet bag Shitty Robots. Hendes kreationer inkluderer en drone, der giver klipning - eller snarere undlader at gøre det - og en massiv hat, der placerer solbriller dramatisk i hendes ansigt. Tænk på det som Rube Goldberg med en sund dosis af Silicon Valley-kynisme.
Personen bag IOS rapporterer, at han prøver at tøve sine tidlige adopterinstinkter i disse dage. "Jeg tror, at det øjeblik, hvor jeg var nødt til at opdatere mine lyspære firmware for at tænde dem, var lidt af en forståelse for mig…"
Bitdefenders Balan sagde, at han bruger pærer, der fungerer som Wi-Fi-repeatere. Disse enheder udvider både lys og Wi-Fi til hvert hjørne af hans hjem. Men de er også indlæst med mange af de sårbarheder, han hareded, inklusive svage standard adgangskoder. Når det gælder IoT, forbliver han dog uforbeholden.
”Det er som sex, ” fortalte han mig. "Du ville ikke gøre det uden kondom. Vi kan godt lide sex, sex er fantastisk, vi giver ikke op sex bare fordi det er farligt. Men vi bruger beskyttelse, når vi gør det." I stedet for at bortfalde i paranoia, mener han, at forbrugere bør stole på sikkerhedsfirmaer og uddannede venner, der kan identificere de virksomheder, der tager sikkerhed alvorligt med fejl i bounties og sikre, hyppige opdateringsværktøjer.
Og bruger den drone-pilot-hacker Ronen IoT? ”I øjeblikket nej, ” sagde han. "Jeg er bange for, at virkningen har på mit privatliv og sikkerhed. Og fordelene er ikke høje nok til mine behov."
Selv din ydmyge forfatter, der har modstået sirene sangen med talende røgdetektorer og farveændrende lys i årevis, er begyndt at smuldre. For nylig, i et forsøg på at gran på kontoret til helligdagene, fandt jeg mig selv oprette tre separate smarte lys. Resultatet var forfærdeligt, overbevisende smukt.
I mellemtiden sidder et helt nyt Philips Hue-lys i min Amazon indkøbskurv. En dag snart trykker jeg på knappen.
