Casa Ressenyes Connectant tot a Internet: què pot anar malament?

Connectant tot a Internet: què pot anar malament?

Taula de continguts:

Vídeo: Sam Smith - I'm Not The Only One (Official Video) (De novembre 2024)

Vídeo: Sam Smith - I'm Not The Only One (Official Video) (De novembre 2024)
Anonim

Si la indústria d'Internet de les coses (IoT) és l'ordre Jedi, amb llums de llum Philips Hue i potències de la força basades en núvols "intel·ligents", el popular compte de Twitter Internet of Shit és un Sith Lord. En un moment en què la indústria tecnològica sembla desitjosa de posar-ne un xip en tot, les conseqüències són maleïdes, Internet of Shit posa nom al problema de l’electrònica nova i inútil i destaca que alguns d’aquests productes poden no ser tan benignes com pensem.

Vaig parlar amb l’operador del compte amb l’anonimat, una cortesia PCMag s’estén quan sentim que el bé públic supera totes les altres consideracions. Em referiré a aquesta persona com a iOS. M’encantaria dir que he conegut iOS amb un aparcament fosc, però la nostra conversa ha tingut lloc a través de missatges i missatges de correu electrònic de Twitter. Ho-hum.

El compte de Twitter d'Internet de Shit se centra en el nínxol i el popular. En el cas de, per exemple, pagar un dinar amb una ampolla d'aigua intel·ligent, qüestiona correctament l'utilitat. Destaca l'absurd d'haver d'esperar necessitats bàsiques, com la llum i la calor, que no estan disponibles després que els productes "intel·ligents" rebin actualitzacions de firmware.

jo cada vegada que surt un nou gadget pic.twitter.com/khHKAOcLbv

- Internet de merda (@internetofshit) 23 de gener de 2017

Com us podríeu imaginar, Internet de la merda és capaç d’evisibilitzar la indústria que es burla de manera tan eficaç perquè aquesta indústria és propera al seu cor. "Va passar de manera natural", va dir iOS. "Vaig passar molt de temps a Kickstarter i vaig veure que naixia Internet de les coses allà. Semblava que cada dia algun objecte mundà hi tenia un xip que hi havia un xip, però ningú –encara als mitjans de comunicació– estava sent això. crític al respecte. Diria coses com "Wow, per fi podem aconseguir internet en un paraigua".

IOS es veu com un defensor dels diables o una consciència col·lectiva de la cultura del consumidor. Als seus ulls, el compte de Twitter és un control sanitari molt necessari per a l'amok de faim optimisme de Silicon Valley. "Quan anem massa lluny, la qüestió important de la tecnologia que solen oblidar és: Qui necessita realment això? Un forn que no pot cuinar adequadament sense Internet? Per què la gent no està dissenyant millor aquestes coses?"

Però, més que un disseny deficient i unes reclamacions d'utilitat específiques, la preocupació principal de iOS és la de la privacitat i, en definitiva, la seguretat personal: "Jo considero que IoT és inherentment arriscat. No confio en aquestes empreses que no filtrin les meves dades o no. per ser seriosament piratejat en el futur ".

En un missatge mitjà escrit al principi de la vida del compte de Twitter, IOS va dir que estava preocupat perquè les empreses comencessin a buscar formes de guanyar dades de les dades de la llar de les persones. D’aquesta història: "Si Nest volgués augmentar els beneficis, podria vendre les dades de l’entorn de casa vostra als anunciants. Massa fred? Anuncis d’Amazon per a mantes. Massa calenta? Un anunci de bandera per a un aire condicionat. Massa humit? Deshumidificadors a Facebook."

IOS segueix sent aquesta inquietud. "La raó per la qual IoT és tan convincent per als fabricants no és que estiguin afegint funcions intel·ligents a la vostra vida; això és només un subproducte", em va escriure. "És més que fent-ho aconsegueixen una visió sense precedents de com s'estan utilitzant aquests dispositius, com ara la freqüència, quines funcions utilitzeu més i totes les dades que s'ofereixen".

IOS diu que les empreses IoT han d'estar molt més avantatjoses sobre les seves polítiques de recollida de dades i que poden accedir a la informació recopilada per aquests dispositius. "La pregunta que tots necessitem és decidir quin és el nivell d'accés que estem disposats a donar a aquestes empreses a canvi de les dades que reben, i en qui confiem."

El dia de Nadal del 2016, IOS va permetre que les seves llums parpellejaven sempre que es mencionés el seu mànec a Twitter. Els resultats van ser intensos, anticlimàtics i breus, que il·lustraven potser tot allò que iOS publica sobre Internet de les coses.

Internet d’inseguretat

Però, molt pitjor que l'efecte que tenen els dispositius IoT inútils a les carteres dels consumidors, l'efecte que tenen sobre la seguretat personal. Les pors d’IOS per un mercat per a les dades d’usuaris recollides pels dispositius IoT no són gaire exigents (com creieu que guanyen diners les aplicacions gratuïtes i les notícies d’internet gratuïtes?), I ja hi ha altres amenaces molt reals.

Els assistents a la conferència de Black Hat 2016 van ser tractats amb imatges de l'investigador en seguretat Eyal Ronen. Mitjançant la seva investigació, va poder apoderar-se del control de les llums de Philips Hue d’un drone que es col·locava fora d’un edifici d’oficines. L’atac va ser notable no només pels seus dramàtics resultats i per l’ús d’un drone, sinó també perquè l’edifici va albergar diverses companyies de seguretat conegudes.

Ronen em va explicar que estava intentant demostrar que era possible un atac contra una línia de primer nivell de dispositius IoT. "Hi ha molts hack-IoT dirigits a dispositius de gamma baixa que no tenen seguretat real. Volíem provar la seguretat d'un producte que se suposa que és segur", va dir. També tenia ganes d'atacar una coneguda companyia i es va instal·lar a Philips. Ronen va dir que era més difícil de trencar del que pensava inicialment, però ell i el seu equip van trobar i explotar un error al programari ZigBee Light Link, un protocol de comunicació de tercers utilitzat per diverses empreses IoT i considerat com un sistema madur i segur.

"Utilitza avançats criptogràfics avançats i té grans reclamacions de seguretat", va dir Ronen. "Però al final, en un temps relativament curt, amb un maquinari de baix cost per valor de 1.000 dòlars, vam poder trencar-lo", va dir Ronen.

El vídeo de l’atac de Ronen (a dalt) mostra les llums de l’edifici que parpellegen en seqüència, seguint els seus comandaments enviats de forma remota a través d’un drone que flota. Si això us passés, seria molest, potser no més molest que cap dels escenaris destacats d’IOS al seu compte de Twitter. Però els professionals de la seguretat mantenen que hi ha conseqüències molt més grans per a la seguretat IoT.

"En un treball anterior, vam mostrar com utilitzar llums per exfiltrar dades de la xarxa amb buits a l'aire i provocar convulsions epilèptiques, i en aquest treball es mostra com podem utilitzar llums per atacar la xarxa elèctrica i per a embús Wi-Fi", va dir Ronen. jo. "IoT s'està endinsant en totes les nostres vides i la seva seguretat pot afectar tot, des de dispositius mèdics fins a cotxes i cases".

Una manca d’estàndards

L’atac de Ronen va aprofitar la proximitat, però l’investigador en cap de seguretat, Alexandru Balan, a Bitdefender, va exposar moltes altres falles de seguretat que es produeixen al forn en alguns dispositius IoT. Les contrasenyes de codis durs, va dir, són particularment problemàtiques, com també ho són els dispositius configurats perquè siguin accessibles des d’internet obert.

Va ser aquesta combinació d’accessibilitat a Internet i contrasenyes simples i predeterminades que va causar estralls a l’octubre de 2016 quan el botnet Mirai va prendre serveis importants com Netflix i Hulu fora de línia o els van fer tan lents que no podrien ser utilitzats. Unes setmanes després, una variant de Mirai va accelerar l'accés a Internet a tota la nació de Libèria.

"El pitjor d'ells són dispositius directament exposats a Internet amb credencials per defecte", va dir Balan. "Es poden trobar amb motors de cerca IoT com Shodan o simplement rastrejant Internet i accedint-hi amb administrador, administrador 1234, etcètera", va continuar Balan, mostrant exemples de contrasenyes massa senzilles i fàcilment intuïbles. Com que aquests dispositius tenen una seguretat mínima i es poden atacar des d’internet, el procés d’infectar-los es pot automatitzar, provocant milers o milions d’aparells corruptes.

Poc després que es notiren les notícies de Mirai, vaig mirar aquest escenari i vaig culpar a la indústria IoT d’ignorar les advertències sobre una deficient autenticació i una accessibilitat en línia innecessària. Però Balan no arribaria tan lluny com a evidents aquests defectes. "cal fer enginyeria inversa al firmware per extreure aquestes credencials, però és freqüent que es trobin credencials de codi dur als dispositius. El motiu és que, en molts casos, no hi ha normes quan es tracta Seguretat IoT."

Hi ha una vulnerabilitat com aquesta, segons la hipòtesi de Balan, perquè les empreses IoT operen pel seu compte, sense estàndards universalment acceptats ni expertesa en seguretat. "És més fàcil construir-ho així. I es pot dir que estan tallant cantonades, però el principal és que no busquen com construir-lo correctament de manera segura. Simplement estan intentant que sigui possible funciona correctament ".

Fins i tot quan les empreses desenvolupen solucions per a atacs com el que va descobrir Ronen, alguns dispositius IoT no poden aplicar actualitzacions automàtiques. Això fa que els consumidors puguin trobar i aplicar els pegats ells mateixos, cosa que pot resultar especialment desconcertant en els dispositius que no estan pensats per ser servits.

Però, fins i tot amb dispositius que es poden actualitzar fàcilment, encara hi ha vulnerabilitats. Diversos investigadors han demostrat que no tots els desenvolupadors IoT signen les seves actualitzacions amb una signatura criptogràfica. El programari signat es xifra amb la meitat privada d’una clau criptogràfica asimètrica propietat del desenvolupador. Els dispositius que reben l'actualització tenen la meitat pública de la clau, que s'utilitza per desxifrar l'actualització. D’aquesta manera es garanteix que l’actualització sigui oficial i que no s’hagi modificat, ja que signar una actualització maliciosa o modificar l’actualització del programari requeriria la clau secreta del desenvolupador. "Si no signen digitalment les seves actualitzacions, es poden segrestar, es poden manipular; es pot injectar codi a les actualitzacions", va dir Balan.

Més enllà de només encendre i apagar llums, Balan va dir que els dispositius IoT infectats es poden utilitzar com a part de la botnet, com es veu amb Mirai, o amb finalitats molt més insidioses. "Puc extreure les vostres credencials de Wi-Fi, perquè òbviament l'heu enganxat a la vostra xarxa Wi-Fi i, com és una caixa Linux, puc fer-ho servir per pivotar i començar a llançar atacs dins de la vostra xarxa sense fils.

"Dins de la privadesa de la vostra pròpia xarxa LAN, els mecanismes d'autenticació són escassos", ha continuat Balan. "El problema de LAN és que un cop estigui a la vostra xarxa privada, puc tenir accés a gairebé tot el que passa allà". En efecte, IoT corromput es converteix en un cap de platja per als atacs a dispositius més valuosos de la mateixa xarxa, com ara l'emmagatzematge connectat per xarxa o els ordinadors personals.

Potser està dient que la indústria de la seguretat ha començat a estudiar detingudament. Durant els darrers anys, diversos productes han entrat al mercat reclamant protegir els dispositius IoT contra els atacs. He vist o llegit sobre diversos productes i he revisat l'oferta de Bitdefender. Trucat al quadre Bitdefender, el dispositiu s’adhereix a la vostra xarxa existent i ofereix protecció antivirus per a tots els dispositius de la xarxa. Fins i tot sondeja els teus dispositius per detectar possibles debilitats. Bitdefender llançarà la segona versió del seu dispositiu Box aquest any. Norton entrarà en la seva pròpia oferta (a continuació), amb una inspecció de paquets profunds, mentre que F-Secure també ha anunciat un dispositiu de maquinari.

Com un dels primers a comercialitzar, Bitdefender es troba en la posició única de tenir antecedents en seguretat de programari, i després dissenyar maquinari de consum que, presumiblement, estaria impecablement segur. Com va ser aquesta experiència? "Va ser molt dur", va respondre Balan.

Bitdefender té un programa de recompenses d’errors (una recompensa monetària que s’ofereix als programadors que descobreixen i proporciona una solució a un error en un lloc web o en una aplicació), que Balan ha confirmat que ha ajudat al desenvolupament de la caixa. "Cap empresa hauria de ser prou arrogant per creure que pugui trobar tots els errors per si mateixos. Per això existeixen programes de recompensa d'errors, però el desafiament del maquinari és que pot haver-hi espais posteriors dins dels xips reals."

"Sabem què buscar i què mirar, i en realitat tenim un equip de maquinari que pot separar-se i examinar cadascun dels components d'aquesta placa. Per sort, aquesta placa no és tan gran."

No és tot merda

És fàcil descomptar tota una indústria en funció dels seus pitjors actors, i el mateix passa per a Internet de les coses. Però George Yianni, el cap de Tecnologia, Sistemes per a la llar, Philips Lighting considera aquesta visió especialment frustrant.

"Ens hem pres molt seriosament des del principi. Aquesta és una nova categoria. Hem de crear confiança i, realment, això fa malbé la confiança. I també per això crec que la vergonya més gran dels productes que no han fet una feina tan bona és que erosiona la confiança en la categoria general. Qualsevol producte es pot malmetre. No és una crítica per a la indústria en general."

Com passa sovint per la seguretat, la manera com una empresa respon a un atac és sovint més important que els efectes de l’atac en si. En el cas de l'atac de drons als dispositius Philips, Yianni va explicar que Ronen va presentar les seves conclusions a través del programa de divulgació responsable de l'empresa existent. Es tracta de procediments que es posen en marxa per permetre a les empreses el temps per respondre al descobriment d’un investigador de seguretat abans que es faci públic. D’aquesta manera, els consumidors poden estar segurs i que els investigadors aconsegueixen la glòria.

Yenni va dir que Ronen havia trobat un error en una pila de programari de tercers. Concretament, va ser la part de l’estàndard ZigBee que limita la comunicació a dispositius a dos metres. El treball de Ronen, com recordaràs, va poder prendre el control des de la distància: 40 metres amb una antena estàndard i 100 metres amb una antena impulsada. Gràcies al programa de divulgació responsable, Yianni va dir que Philips va ser capaç de llançar un pegat a les llums del camp abans que Ronen expliqués el món sobre l'atac.

Després d’haver vist moltes empreses esclatar amb un incompliment de la seguretat pública o el resultat d’un treball d’un investigador en seguretat, la resposta de Yianni i Philips pot semblar un retrocés posterior al fet, però realment va ser un èxit. "Tots els nostres productes són actualitzables per programari, de manera que es poden arreglar les coses", em va dir Yianni. "L'altra cosa és fer avaluació de riscos de seguretat, auditories de seguretat, proves de penetració de tots els nostres productes. Però també realitzem aquests processos de divulgació responsable, de manera que si es produeix alguna cosa, podrem esbrinar-los amb antelació i arreglar-los. molt ràpid.

"Tenim tot un procés on podem empènyer les actualitzacions de programari des del nostre núvol sencer cap a cap i distribuir-lo a totes les llums. Això és molt important, perquè l'espai es mou tan ràpid i es tracta de productes que duraran 15 anys. I si ens assegurem que encara siguin rellevants en termes de funcionalitat i que siguin prou segurs per als últims atacs, caldrà tenir-ho."

En la seva correspondència amb mi, Ronen va confirmar que Philips realment havia fet un treball admirable assegurant el sistema d’il·luminació de Hue. "Philips va fer un esforç sorprenent per assegurar les llums", em va dir Ronen. "Però, per desgràcia, algunes de les hipòtesis bàsiques de seguretat que es basaven en la implementació de seguretat de xip d'Atmel subjacent eren incorrectes". Tal com va assenyalar Balan amb el treball de Bitdefender sobre el quadre, tots els aspectes del dispositiu IoT estan subjectes a atac.

Philips també va dissenyar el centre central -el dispositiu necessari per coordinar que les xarxes de productes de Philips IoT- siguin inaccessibles des d’internet obert. "Totes les connexions a Internet s'inicien des del dispositiu. Mai no obrim ports en routers ni ho fem perquè un dispositiu d'Internet pugui parlar directament amb el", va explicar Yianni. En canvi, el centre envia sol·licituds a la infraestructura del núvol de Philips, que respon a la sol·licitud en lloc de la inversa. Això també permet a Philips afegir capes addicionals per protegir els dispositius dels consumidors sense haver d’arribar a casa seva i fer cap canvi. "No és possible que es comuniqui amb l'exterior des del centre, a menys que us dirigeixin a través d'aquest núvol on puguem crear capes addicionals de seguretat i supervisió."

Yianni va explicar que tot això forma part d’un enfocament multicapa que Philips va dur a terme el sistema d’il·luminació de Hue. Com que el sistema està format per diverses peces diferents, des del maquinari de les bombetes fins al programari i el maquinari del Hue Hub fins a l'aplicació dels telèfons dels usuaris, s'han de prendre diferents mesures a tots els nivells. "Tots ells necessiten mesures de seguretat diferents per mantenir-los segurs. Tots tenen diferents nivells de risc i vulnerabilitat. Així, fem mesures diferents per a totes aquestes parts", va dir Yianni.

Incloïa proves de penetració, però també un disseny de fons a fi destinat a frustrar els atacants. "No hi ha contrasenyes globals com la que s'utilitzava en aquesta botnet Mirai", va dir Yianni. El programari maliciós Mirai tenia desenes de codis de seguretat predeterminats que utilitzarien per intentar fer-se càrrec dels dispositius IoT. "Tots tenen claus úniques i signades asimètricament per verificar el firmware, tot això. Un dispositiu que té modificat el seu maquinari, no hi ha cap risc global", va explicar.

Això també s'aplica al valor dels dispositius IoT. "Molts d'aquests productes solen ser connectivitat per raó de connectivitat", va dir. "La necessitat d'automatitzar tot allò que hi ha dins de casa no és un problema que tenen molts consumidors, i això és molt difícil de posar-se al cap. Creiem que els productes que funcionen bé són els que ofereixen un valor més fàcil d'entendre als consumidors".

Internet irresistible de les coses

Conèixer els riscos de IoT i, fins i tot, reconèixer la seva frivolitat, certament no ha impedit que la gent compri il·luminació intel·ligent com Philips Hue, assistents de casa sempre escoltats com Google Home o Amazon Echo, i sí, ampolles d’aigua intel·ligents. Fins i tot l’operador d’Internet de Shit és un gran fan IoT.

"La veritable ironia darrere d'Internet de la merda és que sóc una ventosa d'aquests dispositius", va dir iOS. "Sóc un adolescent precoç i treballo en tecnologia, així que moltes vegades no puc resistir aquestes coses". IOS enumera llums connectades Philips, el termòstat Tado, el tracker Sleep Tracker, altaveus intel·ligents, càmera canària i endolls connectats a Wi-Fi entre els seus serveis futuristes per a la llar.

"Sóc conscient que el compte ha esdevingut accidentalment molt més gran del que mai imaginava, i no vull mai descoratjar la gent que entri en tecnologia. Crec que experimentar amb idees mudes és la idea que poden néixer. que Simone Giertz em va ensenyar una mica ", va dir iOS.

Giertz, un robotista absurdista i YouTuber, és la ment que hi ha darrere de Robots de Shitty. Entre les seves creacions s’inclou un drone que dona retalls de cabell –o, més ben dit, no ho fa– i un barret massiu que li posa dramàticament ulleres de sol a la cara. Penseu en Rube Goldberg amb una sana dosi de cinisme de Silicon Valley.

La persona que hi ha darrere de l’IOS denuncia que està intentant tornar als instints d’adopció primerenca d’aquests dies. "Crec que el moment que vaig haver d'actualitzar el firmware de les bombetes per encendre-les va ser una cosa realitzada per a mi…"

Bitdefender's Balan va dir que utilitza bombetes que doblen com a repetidors Wi-Fi. Aquests dispositius estenen llum i Wi-Fi a tots els racons de casa seva. Però també es carreguen amb moltes de les vulnerabilitats que derivava, incloses les contrasenyes per defectes febles. No obstant això, quan es tracta de IoT, continua sent innocent.

"És com el sexe", em va dir. "No ho faríeu sense preservatiu. Ens agrada el sexe, el sexe és fantàstic, no abandonarem el sexe només perquè és perillós. Però farem protecció quan ho fem". En lloc de caure en la paranoia, creu que els consumidors han de confiar en empreses de seguretat i amics educats que puguin identificar les empreses que es prenen seriosament la seguretat amb recompenses d’errors i eines segures i freqüents d’actualització.

Ronen, i el hacker pilotador de drone utilitza IoT? "Actualment, no", va dir. "Em temo que l'efecte té sobre la meva privadesa i seguretat. I els beneficis no són prou elevats per a les meves necessitats."

Fins i tot el vostre humil autor, que ha resistit durant anys la sirena dels detectors de fum parlants i les llums que canvien el color, ha començat a esmicolar-se. Fa poc, per intentar afegir l’oficina durant les vacances, em vaig trobar muntant tres llums intel·ligents separats. El resultat, va ser horrorosament, bellament.

Mentrestant, un flamant llum Philips Hue està assegut a la meva cistella de la compra d'Amazon. Un dia aviat, pressionaré el botó.

Connectant tot a Internet: què pot anar malament?