Зміст:
Відео: Настя и сборник весёлых историй (Листопад 2024)
Якщо галузь Інтернету речей (IoT) - це порядок джедаїв, з лампами Philips Hue та "розумними" силами хмарних сил, то популярний обліковий запис Twitter Internet of Shit - це сит-лорд. У той час, коли технологічна індустрія, схоже, прагне вкласти чіп у все, наслідки будуть прокляті, Internet of Shit називає проблему нової, марної електроніки і підкреслює, що деякі з цих продуктів можуть бути не настільки доброякісними, як ми думаємо.
Інтернет-акаунт Твіттера в мережі Shit зосереджений на ніші та популярності. У випадку, скажімо, оплати їжі за допомогою розумної пляшки з водою, це справедливо ставить під сумнів корисність. Це підкреслює безглуздість необхідності чекати основних предметів, таких як світло і тепло, які недоступні після отримання "розумними" продуктами оновлень програмного забезпечення.
мені щоразу, коли виходить новий гаджет pic.twitter.com/khHKAOcLbv
- Інтернет від лайна (@internetofshit) 23 січня 2017 року
Як ви можете собі уявити, Інтернет з лайна здатний настільки ефективно висміювати галузь, з якої знущається, бо ця галузь близька до її серця. "Це сталося так природно", - сказав IOS. "Я витрачав багато часу на Kickstarter і бачив піднесення Інтернету речей там. Здавалося, що щодня якийсь мирський об'єкт мав у нього запхнуту мікросхему, але ніхто - навіть у ЗМІ - не був таким критично ставтеся до цього. Просто сказали б такі речі: "Ого, ми нарешті зможемо отримати Інтернет в парасольку".
IOS розглядає себе як щось захисника диявола чи колективної совісті для споживчої культури. В його очах обліковий запис Twitter - це дуже необхідна перевірка обґрунтованості перевірки штучного оптимізму в Силіконовій долині. "Коли ми зайшли занадто далеко, важливим питанням, яке люди зазвичай забувають, є: кому насправді це потрібно? Духовка, яка не може правильно готувати без Інтернету? Чому люди не спроектують ці речі краще?"
Але більш ніж поганий дизайн та сумнівні претензії на корисність, головна турбота IOS - це конфіденційність та, зрештою, особиста безпека: "Я вважаю, що IoT є суттєво ризикованим. Хоча я не довіряю цим компаніям не витікати мої дані чи ні щоб в майбутньому сильно зламатись ".
У повідомленні "Середній", написаному на початку життя акаунта Twitter, IOS заявив, що переживає, що компанії почнуть шукати способи монетизації даних, зібраних з будинків людей. З цієї історії: "Якщо Nest хотів збільшити прибуток, він міг би продати дані про оточення вашого будинку рекламодавцям. Занадто холодно? Оголошення Amazon для ковдр. Занадто гаряче? Банерна реклама для кондиціонера. Занадто волога? Осушувачі в Facebook."
IOS все ще стоїть під цим питанням. "Причина IoT настільки переконлива для виробників полягає в тому, що вони додають розумні функції у ваше життя - це просто побічний продукт", - написав він мені. "Більше того, отримуючи це, вони отримують безпрецедентне уявлення про те, як ці пристрої використовуються, наприклад, як часто, якими функціями ви користуєтеся найбільше, і всі дані, що додаються до цього".
IOS стверджує, що компаніям IoT потрібно бути більш чіткими щодо своєї політики збору даних, і хто може отримати доступ до інформації, яка може бути зібрана цими пристроями. "Питання, якому ми всі мусимо вирішити, полягає в тому, який рівень доступу ми готові надати цим компаніям в обмін на отримані ними дані - і кому ми довіряємо, що є ключовим".
У день Різдва 2016 року IOS давав змогу блимати лампам кожного разу, коли його ручка згадувалась у Twitter. Результати були інтенсивними, антикліматичними та короткими, ілюструючи, мабуть, все, що IOS ненавидить про Інтернет речей.
Інтернет незахищеності
Набагато гірший ефект, який марні пристрої IoT надають на гаманці споживачів, однак, це вплив, який вони мають на особисту безпеку. Побоювання IOS на ринку даних користувачів, зібраних на пристроях IoT, не надумано (як ви думаєте, як безкоштовні програми та безкоштовні Інтернет-компанії роблять гроші?), І вже існують інші, дуже реальні загрози.
Присутні на конференції "Чорна шапочка 2016" розглядали кадри дослідника з безпеки Ейал Ронен. Використовуючи свої дослідження, він зміг захопити контроль над вогнями Philips Hue від дрона, що навився біля офісної будівлі. Атака була помітна не лише своїми драматичними результатами та використанням безпілотника, але й тим, що в будівлі знаходились кілька відомих охоронних компаній.
Ронен пояснив мені, що він намагався продемонструвати, що можливий напад на найвищий рівень пристроїв IoT. "Є дуже багато хакерів IoT, спрямованих на пристрої низького класу, які не мають реальної безпеки. Ми хотіли перевірити безпеку продукту, який повинен бути безпечним", - сказав він. Він також захопився напасти на відому компанію і влаштувався на Philips. Ронен зазначив, що зламати складніше, ніж він спочатку думав, але він та його команда знайшли та використали помилку в програмному забезпеченні ZigBee Light Link, сторонньому протоколі спілкування, який використовується декількома компаніями IoT і розглядали як зрілу та безпечну систему.
"Він використовує передові криптографічні примітиви, і він має сильні претензії щодо безпеки", - сказав Ронен. "Але врешті-решт, за порівняно короткий час з дуже дешевим обладнанням вартістю близько 1000 доларів ми змогли його зламати", - сказав Ронен.
Відео нападу Ронена (вище) показує, що вогні будівлі миготять послідовно, слідуючи за його командами, віддаленими віддалено через нависаючий безпілотник. Якби це сталося з вами, це було б прикро - можливо, не дратує більше, ніж будь-який із сценаріїв, які IOS виділяє у своєму акаунті в Twitter. Але фахівці з безпеки підтверджують, що для безпеки IoT набагато більші наслідки.
"У попередній роботі ми показали, як за допомогою вогнів використовувати випромінювання даних із повітряної мережі та викликати епілептичні напади. У цій роботі ми показуємо, як ми можемо використовувати світло для атаки на електромережу та заклинання Wi-Fi", - сказав Ронен я. "IoT потрапляє у кожну частину нашого життя, і безпека цього може вплинути на все - від медичних пристроїв до автомобілів та будинків".
Відсутність стандартів
Атака Ронена скористалася близькістю, але головний науковий співробітник з питань безпеки Олександру Балан в Bitdefender окреслив багато інших помилок безпеки, які виявилися в певних пристроях IoT. За його словами, жорсткі коди паролів є особливо проблематичними, як і пристрої, налаштовані на доступ із відкритого Інтернету.
Саме це поєднання доступності до Інтернету та простих паролів за замовчуванням спричинило хаос у жовтні 2016 року, коли ботнет Mirai взяв такі офлайн-сервіси, як Netflix та Hulu, або зробив їх такими повільними, що були непридатними. Через кілька тижнів варіант Міраї зменшив доступ до Інтернету у всій країні Ліберії.
"Найгірший з них - це пристрої, які безпосередньо піддаються доступу до Інтернету з обліковими записами за замовчуванням", - сказав Балан. "їх можна знайти в пошукових системах IoT, таких як Shodan, або просто просканувати Інтернет та отримати доступ до них з адміністратором admin, admin 1234 тощо", - продовжував Балан, перелічуючи приклади надто спрощених та легко вподобаних паролів. Оскільки ці пристрої мають мінімальну безпеку і можуть атакуватися з Інтернету, процес зараження ними може бути автоматизованим, що призводить до тисяч або мільйонів пошкоджених пристроїв.
Невдовзі після появи новин про Мірай я переглянув цей сценарій і звинувачував індустрію IoT у тому, що вона ігнорувала попередження про погану автентифікацію та зайву доступність в Інтернеті. Але Балан не пішов би так далеко, щоб назвати ці вади очевидними. "Для вилучення цих облікових даних потрібно зробити зворотну інженерію, але дуже часто трапляється так, що вони знаходять жорстко закодовані облікові дані на пристроях. Причиною цього є те, що у багатьох випадках немає стандартів, коли мова йде про Безпека IoT ".
Такі вразливості виникають, гіпотезував Балан, оскільки компанії IoT діють самостійно, без загальновизнаних стандартів або експертизи з питань безпеки. "Простіше побудувати його так. І можна сказати, що вони вирізають кути, але головне питання полягає в тому, що вони не розглядають, як правильно будувати його надійним способом. Вони просто намагаються зробити це працювати належним чином ».
Навіть коли компанії розробляють виправлення для атак, таких як відкритий Ронен, деякі пристрої IoT не в змозі застосувати автоматичні оновлення. Це покладає на споживача тяжкість пошуку та застосування самих патчів, що може бути особливо непростим на пристроях, які не призначені для обслуговування.
Але навіть на пристроях, які можна легко оновити, вразливості все ще існують. Кілька дослідників показали, що не всі розробники IoT підписують свої оновлення криптографічним підписом. Підписане програмне забезпечення шифрується приватною половиною асиметричного криптографічного ключа, що належить розробнику. Пристрої, що отримують оновлення, мають загальнодоступну половину ключа, який використовується для розшифрування оновлення. Це гарантує, що оновлення є офіційним та його не підробляють, оскільки для підписання шкідливого оновлення чи зміни оновлення програмного забезпечення потрібен секретний ключ розробника. "Якщо вони не підписують свої цифрові оновлення, вони можуть бути викрадені, вони можуть бути підроблені; код може бути введений у ці оновлення", - сказав Балан.
Крім простого включення та вимкнення вогнів, Балан сказав, що заражені пристрої IoT можуть використовуватися як частина ботнету, як це спостерігається з Міраєм, або для куди більш підступних цілей. "Я можу витягнути ваші облікові дані Wi-Fi, оскільки ви, очевидно, підключили його до своєї мережі Wi-Fi і будучи такою, що є Linux коробкою, я можу використовувати її для перемикання та початку запуску атак у вашій бездротовій мережі.
"У конфіденційності вашої власної мережі LAN механізми аутентифікації слабкі", - продовжив Балан. "Проблема з LAN полягає в тому, що, перебуваючи у вашій приватній мережі, я можу отримати доступ до майже всього, що там відбувається". Фактично, пошкоджений IoT стає плацдармом для атак на більш цінні пристрої в тій самій мережі, як Network Attached Storage або персональні комп'ютери.
Можливо, це говорить про те, що галузь безпеки почала пильно дивитися на IoT. За останні кілька років на ринок вийшли кілька товарів, які заявляють про захист пристроїв IoT від нападу. Я бачив чи читав про декілька таких продуктів та переглядав пропозиції Bitdefender. Викликаний Bitdefender Box, пристрій підключається до існуючої мережі та забезпечує антивірусний захист для кожного пристрою у вашій мережі. Він навіть перевіряє ваші пристрої на можливі слабкі місця. Цього року Bitdefender запустить другу версію свого пристрою Box. Нортон введе власну пропозицію (внизу), похвалившись глибоким оглядом пакетів, в той час як F-Secure також оголосила апаратний пристрій.
Одним з перших, хто вийшов на ринок, Bitdefender опинився в унікальній позиції щодо досвіду програмного забезпечення, а потім створив споживче обладнання, яке, мабуть, було б бездоганно захищеним. Яким був цей досвід? - Це було дуже важко, - відповів Балан.
У Bitdefender є програма з виправлення помилок (грошова винагорода, яка пропонується програмістам, які розкривають та надають рішення про помилку на веб-сайті чи в додатку), що, за підтвердженням Балана, допомогло в розробці Box. "Жодна компанія не повинна бути такою нахабною, щоб вірити, що вона може знайти всі помилки самостійно. Ось чому існують програми з виправленнями помилок, але проблема з обладнанням полягає в тому, що там можуть бути заднім кутом всередині власне чіпів".
"Ми знаємо, на що звернути увагу і на що звернути увагу. Насправді у нас є команда апаратури, яка може розібратись і заглянути в кожен з компонентів цієї дошки. На щастя, ця дошка не така велика".
Це не все лайно
Знижки на всю галузь, засновану на найгірших її суб'єктах, легко, і це саме стосується Інтернету речей. Але Джордж Янні, керівник відділу технологій «Домашні системи» Philips Lighting, вважає цей погляд особливо неприємним.
"Ми сприйняли дуже серйозно спочатку. Це нова категорія. Ми повинні будувати довіру, і це насправді шкодить довірі. І саме тому я вважаю, що найбільша ганьба продуктів, які не зробили такої доброї роботи, - це розмиває довіру до загальної категорії. Будь-який продукт може бути зроблений погано. Це не критика загальної галузі ".
Як часто це стосується безпеки, те, як компанія реагує на атаку, часто важливіше, ніж наслідки самої атаки. У випадку нападу безпілотників на пристрої Philips, Yianni пояснив, що Ронен представив свої висновки через існуючу в компанії програму розкриття відповідальності. Це такі процедури, які дозволяють компаніям вчасно реагувати на відкриття дослідника з питань безпеки, перш ніж вона буде оприлюднена. Таким чином, споживачі можуть бути впевнені, що вони безпечні, і дослідники отримають славу.
Ронен знайшов помилку в сторонньому стеку програмного забезпечення, сказав Yianni. Зокрема, саме ця частина стандарту ZigBee обмежує зв'язок із пристроями в межах двох метрів. Ронен Розена, як ви пам’ятаєте, зміг взяти контроль здалеку - 40 метрів зі стандартною антеною та 100 метрів із посиленою антеною. Завдяки відповідальній програмі розкриття інформації, Yianni заявила, що Philips змогла розгорнути патч до вогнів у полі, перш ніж Ронен розповів світові про атаку.
Побачивши, що багато компаній стикаються з порушенням громадської безпеки або результатом роботи дослідника з питань безпеки, відповідь Yianni та Philips може здатися схожим на фактичне зворотне погладжування - але це справді було успіхом. "Всі наші продукти є оновленими програмними засобами, так що все можна виправити", - сказав мені Yianni. "Інше, що ми робимо оцінку ризику для безпеки, аудит безпеки, тестування на проникнення на всю нашу продукцію. Але потім ми також запускаємо ці відповідальні процеси розкриття інформації, так що якщо щось станеться, ми зможемо дізнатися заздалегідь і виправити. це дуже швидко.
"У нас є цілий процес, коли ми можемо натиснути оновлення програмного забезпечення з усієї нашої хмари вниз і поширити його на всі світильники. Це дуже важливо, оскільки простір рухається так швидко, і це продукти, які збираються останні 15 років І якщо ми збираємось переконатися, що вони все ще є актуальними з точки зору функціональності та бути достатньо безпечними для останніх атак, нам це потрібно мати ".
У своєму листуванні зі мною Ронен підтвердив, що Philips справді зробив чудову роботу із забезпечення системи освітлення Hue. "Philips доклав дивовижних зусиль для забезпечення вогнів", - сказав мені Ронен. "Але, на жаль, деякі основні припущення щодо безпеки, які покладаються на основні принципи безпеки мікросхем Atmel, були помилковими". Як вказував Балан при роботі Bitdefender над Box, кожен аспект пристрою IoT піддається атаці.
Philips також розробив центральний концентратор - пристрій, необхідний для координації мереж продуктів Philips IoT - недоступним із відкритого Інтернету. "Всі з'єднання з Інтернетом ініціюються із пристрою. Ми ніколи не відкриваємо порти на маршрутизаторах або робимо це так, щоб пристрій в Інтернеті міг безпосередньо спілкуватися з ними", - пояснив Яні. Натомість, Hub надсилає запити до хмарної інфраструктури Philips, яка відповідає на запит, а не навпаки. Це також дозволяє Philips додати додаткові шари, щоб захистити пристрої споживачів, не забираючись у їх будинок та вносити будь-які зміни. "Неможливо спілкуватися з ними за межами Центру, якщо ви не пройдете через цю хмару, де ми можемо створити додаткові шари безпеки та моніторингу."
Yianni пояснив, що це все є частиною багатошарового підходу, який Philips застосував до забезпечення системи освітлення Hue. Оскільки система складається з декількох деталей - від апаратного забезпечення всередині лампочок до програмного забезпечення та апаратного забезпечення на Hue Hub до програми в межах телефонів користувачів - на всіх рівнях потрібно було вживати різних заходів. "Всі вони потребують різних заходів безпеки, щоб зберегти їх у безпеці. Усі вони мають різний рівень ризику та вразливості. Тому ми робимо різні заходи для всіх цих різних частин", - сказав Яньані.
Це включало тестування на проникнення, але також конструкцію знизу вгору, призначену для запобігання нападникам. "Немає глобальних паролів, як те, що використовувалося в цій ботнеті Міраї", - сказав Йіанні. Зловмисне програмне забезпечення Mirai містило десятки кодів паролів за замовчуванням, які він використовував при спробі захопити пристрої IoT. "У кожного є унікальні, асиметрично підписані ключі для перевірки вбудованого програмного забезпечення. Все це. Один пристрій, який модифікує апаратне забезпечення, глобального ризику від цього немає", - пояснив він.
Це стосується і значень пристроїв IoT. "Багато цих продуктів, як правило, є зв'язком заради зв'язку", - сказав він. "Необхідність автоматизувати все, що знаходиться у вашому домі, не є проблемою, з якою багато споживачів мають проблеми, і це дуже важко обійтися головою. Ми вважаємо, що продукти, які добре працюють, є тими, які пропонують споживачам легше зрозуміти ціну".
Непереборний Інтернет речей
Знання ризиків щодо IoT і навіть визнання його легковажності, безумовно, не завадило людям купувати розумне освітлення, таке як Philips Hue, постійно слухати домашніх помічників, таких як Google Home або Amazon Echo, і так, розумні пляшки з водою. Навіть оператор Internet Shit є величезним шанувальником IoT.
"Справжня іронія, що стоїть в Інтернеті від лайна, полягає в тому, що я засмоктую ці пристрої", - сказав IOS. "Я ранній підприємець і працюю в галузі технологій, тому багато часу не можу протистояти цим речам". Серед його футуристичних домашніх зручностей IOS перераховує підключені світильники Philips, терморегулятор Tado, трекер сну Sense, розумні динаміки, камеру Canary та Wi-Fi.
"Я знаю, що рахунок випадково набагато більший, ніж я коли-небудь уявляв, і я ніколи не хочу перешкоджати людям вступати в технології. Я думаю, що експериментувати з тупими ідеями, як можна народжувати чудові ідеї, які щось що Сімоне Герц навчив мене трохи ", - сказав IOS.
Гірц, абсурдистський робототехнік та YouTuber, - розум, що стоїть за Shitty Robots. Її творіння включають безпілотник, який дає стрижки, а точніше, не виходить - і масивну шапку, яка різко розміщує сонцезахисні окуляри на обличчі. Подумайте про це як Рубе Голдберг із здоровою дозою цинізму в Кремнієвій долині.
Людина, що стоїть за IOS, повідомляє, що в наші дні він намагається втримати свої інстинкти. "Я думаю, що момент, коли мені довелося оновити прошивку моїх лампочок, щоб увімкнути їх, був для мене трохи реалізацією …"
Балан Bitdefender заявив, що використовує лампочки, які подвоюються як ретранслятори Wi-Fi. Ці пристрої поширюють світло та Wi-Fi на кожен куточок його будинку. Але вони також завантажені безліччю вразливих ситуацій, серед яких він слабкий, включаючи слабкі паролі за замовчуванням. Що стосується ІОТ, то він залишається непорушеним.
"Це як секс", - сказав він мені. "Ви б не обійшлися без презерватива. Нам подобається секс, секс приголомшливий, ми не будемо відмовлятися від сексу лише тому, що це небезпечно. Але ми будемо використовувати захист, коли це робимо". Замість того, щоб потрапляти в параної, він вважає, що споживачі повинні покладатися на охоронні компанії та освічених друзів, які можуть ідентифікувати компанії, які серйозно сприймають безпеку, за допомогою помилок і безпечні, часті інструменти оновлення.
А чи використовує безпілотний хакер Ronen використання IoT? "Наразі ні", - сказав він. "Я боюся, що вплив має на мою конфіденційність та безпеку. І переваги недостатньо високі для моїх потреб".
Навіть твій скромний автор, який протягом багатьох років чинив опір сиренковій пісні розмовних детекторів диму та зміні кольорів, почав руйнуватися. Нещодавно, прагнучи підняти офіс на свята, я виявив, що встановлюю три окремі розумні вогні. Результат, був жахливо, переконливо красивий.
Тим часом, у моїй кошику Amazon сидить абсолютно новий світильник Philips Hue. Невдовзі я натискаю кнопку.