Samsungs intelligenter Kühlschrank hat gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home?
3599 Dollar sind viel Geld.
Es könnte Ihnen ein anständiges Gebrauchtwagen geben oder einen relativ ausgetrickenen iMac. Sie können 3599 McChicken-Burger oder 2589 McDoubles kaufen. Oder es könnte Ihnen das Samsung RF28HMELBSR bringen.
Dieser Kühlschrank hat alles. Es hat vier Türen, einen kolossalen Raum von 28 Kubikfuß und eine integrierte 8” WiFi-fähiges LCD-Touchscreen-Display, mit dem Sie alles tun können, von der Nachrichtenanzeige bis zur Fernsteuerung Ihres Android-Smartphones.
Wenn es Ihnen bekannt vorkommt, liegt es daran, dass es einmal auf meiner Liste der dümmsten Smart Home-Produkte aller Zeiten stand: Tweeting-Kühlschränke und webgesteuerte Reiskocher: 9 der stupidest Smart Home Appliances Tweeter-Kühlschränke und webgesteuerte Reiskocher: 9 der stupidest Smart Home Geräte Es gibt viele Smart-Home-Geräte, die Ihrer Zeit und Ihrem Geld wert sind. Es gibt aber auch Arten, die niemals das Tageslicht sehen sollten. Hier sind 9 der schlechtesten. Weiterlesen . Und habe ich schon erwähnt, dass es eine massive, klaffende Sicherheitslücke gibt?
Intelligenter Kühlschrank, dummer Fehler
Ja, bei aller Raffinesse wurde dieser Kühlschrank mit erheblichen Sicherheitslücken ausgeliefert, die möglicherweise dazu führen, dass ein Angreifer die Zugangsdaten für Google Mail unbemerkt sammelt.
Die Sicherheitslücke wurde erstmals am 24. August in The Register gemeldet und von der in Großbritannien ansässigen Infokommunikationsfirma Pen Test Parters entdeckt, als sie an der letzten Defcon 23-Konferenz an einer Hacking-Herausforderung des Internet of Things (IoT) teilnahm.
Über den integrierten Touchscreen dieses Kühlschranks kann der Benutzer auf seinen eigenen Google Kalender zugreifen. Verbindungen zu und von Google-Servern werden mit SSL-Verschlüsselung verschlüsselt. Was ist ein SSL-Zertifikat und benötigen Sie eines? Was ist ein SSL-Zertifikat und benötigen Sie eines? Das Surfen im Internet kann unheimlich sein, wenn persönliche Informationen betroffen sind. Lesen Sie mehr, aber Samsungs Implementierung von SSL prüft nicht die Gültigkeit der Zertifikate.
Dies stellt ein ernstes Sicherheitsproblem dar, da jeder im Netzwerk eine “Der Mann in der Mitte” Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie Weitere Angriffe und fangen Sie die Anmeldeinformationen des Benutzers während der Übertragung ab. Ein Angreifer kann sie auch durch Spoofing eines Zugangspunkts oder durch einen drahtlosen Deauthentifizierungsangriff erhalten.
Samsung hat gesagt, dass sie sind “Untersuchung dieser Angelegenheit so schnell wie möglich”, und arbeiten vermutlich mit Hochdruck daran, eine Lösung zu finden. Diese Episode zeigt jedoch eine interessante Demonstration, wie schlecht die Sicherheit im Internet der Dinge schief gehen kann.
(In) Sicherheit in einer vernetzten Welt der Dinge
In der Vergangenheit haben wir ausführlich über die Risiken des Internets der Dinge gesprochen, sowohl aus Gründen des Datenschutzes. Warum das Internet der Dinge der größte Sicherheits-Alptraum ist. Warum das Internet der Dinge der größte Sicherheits-Alptraum ist. Eines Tages kommen Sie von zu Hause an Stellen Sie fest, dass Ihr Cloud-fähiges Haussicherheitssystem verletzt wurde. Wie konnte das passieren? Mit Internet of Things (IoT) können Sie den harten Weg herausfinden. Lesen Sie mehr und aus sicherheits- und soziologischer Sicht 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte 7 Gründe, warum das Internet der Dinge Sie erschrecken sollten Die potenziellen Vorteile des Internets der Dinge werden hell, während die Gefahren in den ruhigen Schatten geworfen werden. Es ist an der Zeit, mit sieben furchterregenden Versprechen des IoT auf diese Gefahren aufmerksam zu machen. Weiterlesen . Sie anzugehen ist schwierig, denn bei der Sicherung des Internets der Dinge stoßen wir auf einige Probleme.
Erstens handelt es sich bei diesen Geräten nicht um PCs oder Telefone, da sie einheitlich einfach zu aktualisieren sind (Windows 10 installiert sogar Updates für Sie. So deaktivieren Sie automatische App-Updates in Windows 10 So deaktivieren Sie automatische App-Updates in Windows 10 Das Deaktivieren von Systemupdates wird nicht empfohlen. Wenn Sie dies jedoch tun, tun Sie dies unter Windows 10. Weitere Informationen), und die Hersteller, die dahinter stehen, sind daran beteiligt und veröffentlichen regelmäßig Software- und Sicherheitsupdates. Viele Smart-Home-Produkte nicht “aktualisieren” drahtlos, entweder müssen Sie komplizierte oder unzuverlässige Softwarepakete, austauschbare Speicher verwenden oder die Firmware gar nicht aktualisieren.
Wie aktualisieren Sie zum Beispiel eine miteinander verbundene Kaffeekanne oder einen computergesteuerten Thermostat? Es gibt keinen einfachen, universellen Weg, dies zu tun.
Es ist auch wichtig, sich der Tatsache zu widmen, dass viele dieser Geräte jetzt von normalen Leuten in ihren eigenen vier Wänden gebaut werden. Arduino und Raspberry Pi haben es uns ermöglicht, Netzwerkkonnektivität und computergestützte Logik an Orten einzuführen, die wir nie für möglich gehalten hätten, während Produkte wie Microsofts Windows 10 für IoT Windows 10 - In einen Arduino in Ihrer Nähe kommen? Windows 10 - Sie kommen zu einem Arduino in Ihrer Nähe? Mit Read More wurde es einfacher, diese Geräte für das breitere Internet zugänglich zu machen und gleichzeitig eine Welt der Chancen und Risiken zu eröffnen.
Während viele erfahrene Entwickler wissen, wie diese Geräte auf eine sichere Art und Weise gebaut werden können, ist dies bei zu vielen Entwicklern und Hobbyisten nicht der Fall.
Dann kommen wir zum Problem der Langlebigkeit. Wieder ist dieses Problem einzigartig in der Smart Home-Welt. Während Ihr PC und Ihr Telefon Software verwenden, die von Unternehmen mit langer Historie und tiefen Taschen entwickelt wurde, ist dies bei den meisten Ihrer Smart Home-Geräte nicht der Fall.
Die überwiegende Mehrheit dieser Unternehmen befindet sich in einer frühen bis späten Startphase. Viele dieser Unternehmen befinden sich in einer vorsichtigen Phase ihrer Entwicklung. Was passiert mit den bereits gelieferten Produkten, wenn sie heruntergefahren werden? Wer schreibt Software-Updates und Sicherheitspatches??
Wie wir in der Vergangenheit beschrieben haben, sind Hardware-Startups hart Warum Hardware-Startups hart sind: ErgoDox zum Leben erwecken Warum Hardware-Startups hart sind: ErgoDox zum Leben erwecken Hier ist eine umstrittene Meinung für Sie: Das Starten eines Software-Starts ist einfach. Hardware auf der anderen Seite? Hardware-Starts sind hart. Sehr hart. Weiterlesen . Bei Leeo und Wink, zwei der größten Smart Home-Startups, gab es bereits in diesem Jahr erhebliche Entlassungen. Viele andere - wie Lumos - haben es nicht geschafft, völlig auf den Boden zu gehen.
Aber die größte und dauerhafteste Bedrohung für die Sicherheit von Smart Home und Internet of Things besteht einfach darin, dass diese Geräte länger gebaut sind, als es ihre Hersteller wünschen. Eingebettete Systeme und Smart Home-Produkte können über Jahre und Jahre problemlos funktionieren. Viele davon funktionieren nicht mit einem Abonnementdienst.
Können wir damit rechnen, dass Nest und Philips Updates anbieten, solange Microsoft Windows XP unterstützt? Was bedeutet die Windows XPocalypse für Sie? Was bedeutet die Windows XPocalypse für Sie? Microsoft wird im April 2014 die Unterstützung für Windows XP beenden. Dies hat schwerwiegende Folgen für sowohl Unternehmen als auch Verbraucher. Folgendes sollten Sie wissen, wenn Sie noch Windows XP ausführen. Weiterlesen ?
Aus dem LAN in das Feuer
Diese Sicherheitsprobleme werden durch die Tatsache, dass viele dieser Geräte mit dem Internet verbunden und über das Internet erreichbar sind, erheblich verschärft. Dies führt zu einer Vielzahl von Sicherheitsbedenken.
Wenn Sie etwas mit dem Internet verbinden, führen Sie dann einen neuen Angriffsvektor für denjenigen ein, der so motiviert ist. Anstatt sich mit Ihrem Heimnetzwerk verbinden zu müssen, könnte jemand einfach aus der Ferne das Betriebssystem gefährden.
Es ist auch einfacher als Sie denken. Es gibt sogar eine Suchmaschine für eingebettete Systeme namens Shodan. Mit nur wenigen Tastendrucken finden Sie Systeme, die weltweit dem Internet ausgesetzt sind - von Kraftwerken in Japan über Webcams in Holland bis zu VoIP-Telefonen in New York.
Einfach suchen “Webcam” macht Tausende von per Fernzugriff zugänglichen Webcams verfügbar. Ich habe jedoch keinen Zugriff darauf erhalten, da dies fast sicher dazu führen würde, dass ich das Computer Missbrauchsgesetz 1990 brach. Das Computer Missbrauchsgesetz: Das Gesetz, das Hacking im Vereinigten Königreich kriminalisiert Das Computermissbrauchsgesetz: Das Gesetz, das Hacking im Vereinigten Königreich im Vereinigten Königreich kriminalisiert In Großbritannien befasst sich das Computer Misuse Act 1990 mit Hacking-Verbrechen. Diese umstrittene Gesetzgebung wurde kürzlich aktualisiert, um der britischen Geheimorganisation GCHQ das Recht zu geben, sich in einen Computer zu hacken. Sogar deins. Weiterlesen .
Es ist gruselig. Wir haben begonnen, unsere Häuser im Internet vorzustellen, und es ist trivial leicht, sie zu finden und gezielte Angriffe auf sie durchzuführen. Wir sollten besorgt sein.
Was kann also getan werden??
Sicherheitslücken, wie sie beispielsweise in Samsungs Android-Kühlschrank gefunden werden, sind immer vorhanden. Solange es für Hersteller einfach ist, Fixes zu veröffentlichen, und sie während der gesamten Lebensdauer der Geräte ständig aktualisiert werden, ist dies kein allzu großes Problem.
Aber es ist wichtig, dass wir uns den anderen Themen widmen. Es müssen Anstrengungen unternommen werden, um sicherzustellen, dass die Entwickler von Smart Home- und IoT-Produkten sichere Systeme entwickeln können. Dies könnte durch eine größere Reichweite mit der Sicherheitsgemeinschaft erreicht werden.
Dafür gibt es eine Reihe von Präzedenzfällen. Das OWASP-Projekt (Open Web Application Security Project) ist ein Projekt, das sofort in den Sinn gekommen ist. Seit seiner Gründung im Jahr 2004 wurde frei verfügbares Schulungsmaterial erstellt, das Entwicklern das Erstellen sicherer Websites und Hacker beibringt, wie sie die Sicherheit von Webanwendungen ordnungsgemäß testen.
Es gibt keinen Grund, warum so etwas nicht für die Smart-Home-Welt und für Entwickler von Internet of Things erstellt werden konnte.
Darüber hinaus müssen wir sicherstellen, dass Smart Home-Systeme auch dann aktualisiert und gewartet werden, wenn die Anbieter ausfallen. Dies kann dadurch geschehen, dass jeder dazu verpflichtet wird, seinen Code in einen Quellcode-Treuhandkonto freizugeben, bei dem der Code freigegeben wird, wenn das Unternehmen Konkurs anmeldet oder die Software auf andere Weise nicht zufriedenstellend gewartet wird.
Und als Verbraucher sollten wir anfangen, mehr von den Anbietern zu verlangen. Wir sollten verlangen, dass die von uns erworbenen Geräte während der gesamten Lebensdauer des Produkts mit Sicherheitspatches unterstützt werden. Wir sollten erwarten, dass alle Sicherheitsfragen schnell und entschieden gelöst werden. Wir sollten erwarten, dass Anbieter Sicherheitsbedrohungen mit absoluter Transparenz behandeln. Und wir sollten keine Anbieter bevormunden, die diesen mageren Standard nicht erfüllen.
Dies sind alles relativ kleine Änderungen, aber es gibt keinen Grund zu der Annahme, dass sie nicht zu sichereren Smart Home-Geräten führen würden. Aber was denkst du??
Wenn Sie irgendwelche Gedanken haben oder Horrorgeschichten über IoT-Unsicherheit haben, möchte ich etwas darüber erfahren. Lass es mich in den Kommentaren wissen, und wir werden uns unterhalten.
Bildnachweise: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)
Erfahren Sie mehr über: Online-Sicherheit, Smart Appliance.