Innehållsförteckning:
Video: Planera en samling i SKATTENs planeringsverktyg (September 2024)
Om Internet of Things (IoT) -industrin är Jedi-ordningen, med Philips Hue-lampor och "smarta" molnbaserade Force-krafter, är det populära Twitter-kontot Internet of Shit en Sith Lord. I en tid då teknikindustrin verkar ivriga att sätta ett chip i allt, konsekvenser fördömmas, ger Internet of Shit ett namn på problemet med ny, värdelös elektronik och framhäver att vissa av dessa produkter kanske inte är så godartade som vi tror.
Internet av Shits Twitter-konto fokuserar på nisch och den populära. I fallet med att säga, betala för en måltid med en smart vattenflaska, ifrågasätter det med rätta verktyget. Det belyser absurditeten i att behöva vänta på grundläggande nödvändigheter, som ljus och värme, som inte är tillgängliga efter att "smarta" produkter har fått uppdateringar av firmware.
mig varje gång en ny gadget kommer ut pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 januari 2017
Som du kanske föreställer dig kan Internet of Shit se till att den industrin som han hånar så effektivt, eftersom den branschen ligger nära sitt hjärta. "Det hände så naturligt, " sade IOS. "Jag brukade spendera mycket tid på Kickstarter och såg uppkomsten av Internet of Things där. Det verkade som varannan dag som ett vardagligt föremål hade ett chip som skjutits in i det, men ingen - inte ens i media - var det kritisk till det. skulle bara säga saker som: "Wow, vi kan äntligen få internet i ett paraply."
IOS ser sig själv som något av djävulens förespråkare eller kollektiva samvete för konsumentkultur. I hans ögon är Twitter-kontot en välbehövlig sanitetskontroll av Silicon Valley faux-optimismkörning. "När vi går för långt är den viktiga frågesteknologi som människor tenderar att glömma: Vem behöver egentligen detta? En ugn som inte kan laga ordentligt utan internet? Varför utformar inte människor dessa saker bättre?"
Men mer än dålig design och besvärliga påståenden om användbarhet är IOS: s primära oro för integritet och i slutändan personlig säkerhet: "Jag ser dock IoT som i sig naturligt riskabelt. Jag litar inte på att dessa företag inte läcker mina data eller inte att bli hårt hackad i framtiden."
I ett Medium-inlägg som skrivits tidigt i Twitter-kontoets liv sa IOS att han var orolig för att företag skulle börja leta efter sätt att tjäna pengar på data som samlats in från människors hem. Från den berättelsen: "Om Nest ville öka vinsten skulle det kunna sälja ditt hem miljöinformation till annonsörer. För kallt? Amazon-annonser för filtar. För varmt? En bannerannons för ett luftkonditioneringsapparat. För fuktigt? Avfuktare i din Facebook."
IOS står fortfarande vid dessa problem. "Anledningen till att IoT är så tvingande för tillverkare är inte att de lägger till smarta funktioner i ditt liv - det är bara en biprodukt, " skrev han mig. "Det är mer att genom att göra det får de en aldrig tidigare skådad inblick i hur dessa enheter används, till exempel hur ofta, vilka funktioner du använder mest, och all information som följer med det."
IOS säger att IoT-företag måste vara mycket mer övertygade om sin policy för datainsamling och vem som kan få tillgång till information som kan samlas in av dessa enheter. "Frågan som vi alla måste bestämma är vilken nivå av tillgång vi är villiga att ge dessa företag i utbyte mot den information de får - och vem vi litar på med det är nyckeln."
På juldagen 2016 möjliggjorde IOS att hans lampor blinkade närhelst hans handtag nämndes på Twitter. Resultaten var intensiva, antiklimaktiska och korta och illustrerade kanske allt som IOS avsky för tingenes internet.
Internet of Insecurity
Mycket sämre än effekten av värdelösa IoT-enheter på konsumenternas plånböcker är dock effekten de har på personlig säkerhet. IOS: s rädsla för en marknad för användardata som samlas in av IoT-enheter är inte långtgående (hur tror du att gratisappar och gratis internetnyhetsföretag tjänar pengar?), Och det finns redan andra, väldigt verkliga hot.
Deltagare på Black Hat 2016-konferensen behandlades med film från säkerhetsforskaren Eyal Ronen. Genom att använda sin forskning kunde han ta kontroll över Philips Hue-lampor från en drönare som svävade utanför en kontorsbyggnad. Attacken noterades inte bara för dess dramatiska resultat och för att använda en drönare utan också för att byggnaden var hem för flera välkända säkerhetsföretag.
Ronen förklarade för mig att han försökte visa att en attack mot en toppnivå med IoT-enheter var möjlig. "Det finns många IoT-hackar som syftar till avancerade enheter som inte har någon verklig säkerhet. Vi ville testa säkerheten för en produkt som ska vara säker, " sade han. Han var också angelägen om att attackera ett välkänt företag och bosatte sig på Philips. Ronen sa att det var svårare att knäcka än vad han först trodde, men han och hans team hittade och utnyttjade ett fel i ZigBee Light Link-programvaran, ett kommunikationsprotokoll från tredje part som används av flera IoT-företag och betraktas som ett moget och säkert system.
"Den använder avancerade kryptografiska primitiv, och den har starka säkerhetskrav, " sade Ronen. "Men i slutet, på relativt kort tid med mycket lågkostnadshårdvara värd cirka 1 000 dollar, kunde vi bryta den, " sade Ronen.
Video av Ronens attack (ovan) visar lamporna i byggnaden som blinkar i följd efter hans kommandon som skickats på distans via en svävande surr. Om detta skulle hända dig, skulle det vara irriterande - kanske inte mer irriterande än någon av de scenarier som IOS höjdpunkter på hans Twitter-konto. Men säkerhetspersonal hävdar att det finns mycket större konsekvenser för IoT-säkerhet.
"I ett tidigare arbete visade vi hur man använder ljus för att filtrera ut data från nätverk med luftappar och orsaka epileptiska anfall, och i detta arbete visar vi hur vi kan använda ljus för att attackera det elektriska nätet och fastkopplat Wi-Fi, " berättade Ronen mig. "IoT kommer in i alla delar av våra liv, och säkerheten för det kan påverka allt från medicinsk utrustning till bilar och hem."
Brist på standarder
Ronens attack utnyttjade närheten, men Chief Security Researcher Alexandru Balan på Bitdefender beskrev många andra säkerhetsfel som kommer bakade i vissa IoT-enheter. Hårdkodade lösenord, sade han, är särskilt problematiska, liksom enheter som är konfigurerade för att vara tillgängliga från det öppna internet.
Det var denna kombination av internettillgänglighet och enkla standardlösenord som har orsakat förödelse i oktober 2016 när Mirai botnet tog stora tjänster som Netflix och Hulu antingen offline eller gjorde dem så långsamma att de var obrukbara. Några veckor senare stängde en variant av Mirai internetanslutning i hela Liberia nationen.
Inte länge efter att nyheterna om Mirai bröt så tittade jag på detta scenario och skyllde IoT-branschen för att ha ignorerat varningarna om dålig autentisering och onödig tillgänglighet online. Men Balan skulle inte gå så långt som att kalla dessa brister uppenbara. "behöver göra reverse engineering på firmware för att extrahera dessa referenser, men det är ofta så att de hittar hårdkodade referenser i enheterna. Skälet till det är att det i många fall inte finns några standarder när det gäller IoT-säkerhet."
Sårbarheter som dessa uppstår, antydde Balan, eftersom IoT-företag verkar på egen hand utan allmänt accepterade standarder eller säkerhetskompetens. "Det är lättare att bygga det så här. Och du kan säga att de skär hörn, men huvudfrågan är att de inte undersöker hur de kan bygga det på ett säkert sätt. De försöker bara göra det arbeta ordentligt."
Även när företag utvecklar korrigeringar för attacker som den Ronen upptäckte, kan vissa IoT-enheter inte tillämpa automatiska uppdateringar. Detta sätter konsumenterna på att hitta och applicera korrigeringar själva, vilket kan vara särskilt skrämmande för enheter som inte är avsedda att servas.
Men även med enheter som enkelt kan uppdateras finns sårbarheter fortfarande. Flera forskare har visat att inte alla IoT-utvecklare signerar sina uppdateringar med en kryptografisk signatur. Signerad mjukvara är krypterad med den privata halvan av en asymmetrisk kryptografisk nyckel som ägs av utvecklaren. Enheterna som får uppdateringen har den offentliga halvan av nyckeln, som används för att dekryptera uppdateringen. Detta säkerställer att uppdateringen är officiell och inte har manipulerats, eftersom det är nödvändigt av utvecklarens hemliga nyckel att underteckna en skadlig uppdatering eller ändra programvaruuppdateringen. "Om de inte signerar sina uppdateringar digitalt kan de kapas, de kan manipuleras; kod kan sprutas in i dessa uppdateringar, " sade Balan.
Utöver att helt enkelt blinka och släcka ljus, sa Balan att infekterade IoT-enheter kan användas som en del av botnet, sett med Mirai, eller för mycket mer lumviga ändamål. "Jag kan extrahera dina Wi-Fi-referenser, eftersom du uppenbarligen har anslutit den till ditt Wi-Fi-nätverk och är som en Linux-ruta, jag kan använda den för att svänga och börja starta attacker i ditt trådlösa nätverk.
"Inom ditt eget LAN-nätverks integritet är autentiseringsmekanismer slappa, " fortsatte Balan. "Problemet med LAN är att när jag väl är i ditt privata nätverk kan jag ha tillgång till nästan allt som händer där." I själva verket blir den skadade IoT ett strandhuvud för attacker på mer värdefulla enheter i samma nätverk, t.ex. Network Attached Storage eller persondatorer.
Det kanske berättar att säkerhetsbranschen har börjat titta närmare på IoT. Under de senaste åren har flera produkter gått in på marknaden och påstår sig skydda IoT-enheter från attacker. Jag har sett eller läst om flera sådana produkter och granskat Bitdefenders erbjudande. Enhet som kallas Bitdefender Box, ansluter enheten till ditt befintliga nätverk och ger antivirusskydd för alla enheter i ditt nätverk. Det undersöker till och med dina enheter för potentiella svagheter. Bitdefender lanserar den andra versionen av sin Box-enhet i år. Norton kommer att gå in i sitt eget erbjudande (nedan) och kan skryta med djuppaketinspektion, medan F-Secure också har meddelat en hårdvara.
Som en av de första på marknaden är Bitdefender i den unika positionen att ha en bakgrund inom mjukvarusäkerhet - och sedan utforma konsumenthårdvara som förmodligen skulle vara oklanderligt säker. Hur var den upplevelsen? "Det var mycket svårt, " svarade Balan.
Bitdefender har ett bounty-program (en monetär belöning som erbjuds programmerare som avslöjar och ger en lösning på ett fel på en webbplats eller i en applikation), vilket Balan bekräftade har hjälpt utvecklingen av Box. "Inget företag bör vara tillräckligt arrogant för att tro att det kan hitta alla buggarna på egen hand. Det är anledningen till program för bountypremier, men utmaningen med hårdvara är att det kan finnas bakdörrar i själva chips."
"Vi vet vad vi ska leta efter och vad vi ska titta på och vi har faktiskt ett hårdvaruteam som kan ta isär och titta in på var och en av komponenterna på det kortet. Tack och lov är det styrelsen inte så stor."
Det är inte allt skit
Det är lätt att rabattera en hel bransch baserat på dess värsta aktörer, och detsamma gäller för Internet of Things. Men George Yianni, teknikchefen, hemsystem, Philips Lighting tycker att denna uppfattning är särskilt frustrerande.
"Vi tog väldigt allvarligt från början. Det här är en ny kategori. Vi måste bygga förtroende och dessa skadar faktiskt förtroendet. Och det är också därför jag tror att den största skammen för de produkter som inte har gjort så bra jobb är att det försvårar förtroendet för den övergripande kategorin. Varje produkt kan göras dåligt. Det är inte en kritik av den totala industrin."
Som ofta är fallet för säkerhet är hur ett företag svarar på en attack ofta viktigare än själva attackens effekter. När det gäller dröneanfallet på Philips-enheter förklarade Yianni att Ronen lade fram sina resultat genom företagets befintliga program för ansvarsfullt avslöjande. Detta är förfaranden som införs för att ge företag tid att svara på en säkerhetsforskares upptäckt innan den offentliggörs. På så sätt kan konsumenter vara säkra på att de är säkra och att forskarna får härlighet.
Ronen hade hittat ett fel i en tredjeparts programvaruback, sa Yianni. Specifikt var det den del av ZigBee-standarden som begränsar kommunikationen till enheter inom två meter. Ronens arbete kunde, som ni kommer ihåg, ta kontroll från ett avstånd - 40 meter bort med en standardantenn och 100 meter med en förstärkt antenn. Tack vare det ansvarsfulla avslöjningsprogrammet sade Yianni att Philips kunde rulla ut en lapp i lamporna i fältet innan Ronen berättade världen om attacken.
Efter att ha sett många företag kämpa med ett brott mot allmän säkerhet eller resultatet av en säkerhetsforskares arbete, kan Yianni och Philips svar svåra som bakomliggande back-patting - men det var verkligen en framgång. "Alla våra produkter kan uppdateras med mjukvara, så att saker kan åtgärdas, " sa Yianni till mig. "Det andra vi gör bedömning av säkerhetsrisker, säkerhetsrevisioner, penetrationstest på alla våra produkter. Men sedan kör vi också dessa ansvarsfulla avslöjande processer, så att om något kommer igenom, kan vi ta reda på det i förväg och fixa det mycket snabbt.
"Vi har en hel process där vi kan driva mjukvaruuppdateringar från hela molnet till och distribuera det till alla lamporna. Det är oerhört viktigt, eftersom utrymmet rör sig så snabbt och det är produkter som kommer att pågå i 15 år Och om vi ska se till att de fortfarande är relevanta vad gäller funktionalitet och för att vara tillräckligt säkra för de senaste attackerna, måste vi ha det."
I sin korrespondens med mig bekräftade Ronen att Philips verkligen hade gjort ett beundransvärt jobb för att säkra Hue-belysningssystemet. "Philips gjorde en överraskande ansträngning för att säkra lamporna, " sa Ronen till mig. "Men tyvärr var några av de grundläggande säkerhetsantagandena som förlitade sig på den underliggande Atmels implementering av chipsäkerhet fel." Som Balan påpekade med Bitdefenders arbete med rutan är alla aspekter av IoT-enheten utsatta för attacker.
Philips designade också den centrala hubben - den enhet som krävs för att samordna nätverk av Philips IoT-produkter - för att vara otillgänglig från det öppna internet. "Alla anslutningar till internet startas från enheten. Vi öppnar aldrig portar på routrar eller gör det så att en enhet på internet direkt kan prata med", förklarade Yianni. I stället skickar hubben förfrågningar till Philips molninfrastruktur, som svarar på begäran istället för tvärtom. Detta gör att Philips också kan lägga till extra lager för att skydda konsumenternas enheter utan att behöva räcka in i sitt hem och göra några ändringar. "Det är inte möjligt för dem att kommuniceras med utanför hubben såvida du inte har dirigerats genom detta moln där vi kan bygga ytterligare lager av säkerhet och övervakning."
Yianni förklarade att allt detta var en del av en flerskiktsstrategi som Philips tog för att säkra Hue-belysningssystemet. Eftersom systemet består av flera olika delar - från hårdvaran inuti glödlamporna till programvaran och hårdvaran på Hue Hub till appen inom användarnas telefoner - måste olika åtgärder vidtas på alla nivåer. "Alla behöver olika säkerhetsåtgärder för att hålla dem säkra. De har alla olika nivåer av risk och sårbarhet. Så vi gör olika åtgärder för alla dessa olika delar, " sade Yianni.
Detta inkluderade penetrationstest men också en bottom-up-design avsedd att hindra angripare. "Det finns inga globala lösenord som det som användes i detta Mirai botnet, " sade Yianni. Mirai malware hade dussintals standardkoder som det skulle använda i ett försök att ta över IoT-enheter. "Var och en har unika, asymmetriskt signerade nycklar för att verifiera firmware, allt det här. En enhet som har hårdvaran modifierad, det finns ingen global risk för det, " förklarade han.
Detta gäller också värdet på IoT-enheter. "Många av dessa produkter tenderar att vara anslutning för anslutningsmöjlighetens skull", sade han. "Behovet av att automatisera allt inuti ditt hem är inte ett problem som många konsumenter har, och det är väldigt svårt att ta dig runt. Vi tror att produkter som klarar sig är de som erbjuder ett lättare att förstå värde för konsumenterna."
Det oemotståndliga tingen Internet
Att känna till riskerna kring IoT och till och med erkänna dess letthet, har verkligen inte hindrat folk från att köpa smart belysning som Philips Hue, alltid lyssna på hemmassistenter som Google Home eller Amazon Echo, och ja, smarta vattenflaskor. Till och med operatören av Internet of Shit är ett stort IoT-fan.
"Den verkliga ironin bakom internet från Shit är att jag är en sucker för dessa enheter, " sade IOS. "Jag är en tidig adopter och arbetar inom teknik, så mycket av tiden kan jag inte motstå dessa saker." IOS listar Philips-anslutna lampor, Tado-termostaten, Sense sleep tracker, smarta högtalare, den kanariska kameran och Wi-Fi-anslutna kontakter bland hans futuristiska hemfaciliteter.
"Jag är medveten om att kontot av misstag blev mycket större än jag någonsin föreställt mig, och jag vill aldrig avskräcka människor från att gå in i teknik - jag tror att experimentera med dumma idéer är hur bra idéer kan föds, vilket är något att Simone Giertz lärde mig lite, "sa IOS.
Giertz, en absurdistisk robotist och YouTuber, är sinnet bakom Shitty Robots. Hennes skapelser inkluderar en drönare som ger hårklipp - eller snarare misslyckas med det - och en massiv hatt som placerar solglasögon dramatiskt i hennes ansikte. Tänk på det som Rube Goldberg med en hälsosam dos av Silicon Valley-cynism.
Personen bakom IOS rapporterar att han försöker töja sina tidiga adopterinstinkter idag. "Jag tror att det ögonblick som jag var tvungen att uppdatera mina glödlampors firmware för att sätta på dem var lite av en insikt för mig…"
Bitdefenders Balan sa att han använder glödlampor som fungerar som Wi-Fi-repeatrar. Dessa enheter förlänger både ljus och Wi-Fi till varje hörn i hans hem. Men de är också laddade med många av de sårbarheter som han har använt, inklusive svaga standardlösenord. När det gäller IoT förblir han dock obekymrad.
"Det är som sex", sa han till mig. "Du skulle inte göra det utan kondom. Vi gillar sex, sex är fantastiskt, vi kommer inte att ge upp sex bara för att det är farligt. Men vi kommer att använda skydd när vi gör det." I stället för att försvinna i paranoia, anser han att konsumenterna bör lita på säkerhetsföretag och utbildade vänner som kan identifiera de företag som tar säkerheten på allvar med felavtal och säkra, ofta uppdaterade verktyg.
Och använder drone-pilot-hacker Ronen IoT? "För närvarande nej, " sade han. "Jag är rädd för vilken effekt det har på min integritet och säkerhet. Och fördelarna är inte tillräckligt stora för mina behov."
Till och med din ödmjuka författare, som har motstått sirenens sång med pratande rökdetektorer och färgändrande lampor i flera år, har börjat smula. Nyligen, i ett försök att granska kontoret för semestern, fann jag mig själv att sätta upp tre separata smarta lampor. Resultatet var skrämmande, övertygande vackert.
Samtidigt sitter ett helt nytt Philips Hue-ljus i min Amazon shoppingkorg. Någon gång kommer jag att trycka på knappen.
