Tartalomjegyzék:
Videó: Rácz Gergő x Orsovai Reni - Mostantól (A Dal 2020 győztes dala) (November 2024)
Ha a tárgyak internete (IoT) iparága a Jedi, a Philips Hue fényszórókkal és "intelligens" felhőalapú Force hatalmakkal, akkor a népszerű Twitter-fiók a Shit Internet egy Sith Lord. Abban az időben, amikor a technológiai ipar alig várja, hogy mindenbe beépítsen egy chipet, a következmények megsértettek lehetnek, a Shit Internet felhívja a figyelmet az új, haszontalan elektronika problémájára, és kiemeli, hogy ezeknek a termékeknek néhány része nem olyan jóindulatú, mint gondolnánk.
Az Internet of Shit Twitter-fiókja a rést és a népszerűket fókuszálja. Például, ha egy étkezésért intelligens vizes palackot fizet, ez jogosan kérdőjelezi meg a hasznosságot. Kiemelte annak abszurditását, hogy meg kell várni olyan alapvető szükségleteket, mint a fény és a hő, amelyek nem állnak rendelkezésre, miután az "intelligens" termékek firmware-frissítéseket kaptak.
nekem minden alkalommal, amikor egy új eszköz jelenik meg, pic.twitter.com/khHKAOcLbv
- A Szar Internetje (@internetofshit), 2017. január 23
Mint gondolnád, a Szar Internet képes eltávolítani az ipart, amelyet annyira hatékonyan gúnyolódik, mert az ipar a szíve közelében van. "Olyan természetesen történt" - mondta az IOS. "Nagyon sok időt töltöttem a Kickstarternél, és láttam, hogy ott nő a tárgyak internete. Úgy tűnt, mint minden másnap, hogy valami hétköznapi tárgynak van egy chipe, ami bele van dugva, de senki - még a médiában sem - volt az, hogy csak annyit mondanának, mint: "Hú, végre esernyőt kaphatunk az internetre."
Az IOS úgy látja magát, mint az ördög támogatóját vagy a fogyasztói kultúra kollektív lelkiismeretét. A szemében a Twitter-fiók egy nagyon szükséges józanság-ellenőrzés a Szilícium-völgy faux-optimizmusa ellen. "Ha túl messzire megyünk, az a fontos kérdés, amelyet a technológiák az emberek elfelejtenek: Kinek valójában szüksége van erre? Sütő, amely nem tud megfelelő módon főzni az internet nélkül? Miért nem tervezik jobban az emberek ezeket a dolgokat?"
De nem csupán a rossz tervezés és a speciális igények alapján, az IOS elsődleges aggodalma a magánélet védelme és végül a személyes biztonság: "Úgy gondolom azonban, hogy az IoT természetéből fakadóan kockázatos. Nem bízom benne, hogy ezek a cégek az adatok adatainak kiszivárogtatását vagy nem hogy a jövőben súlyosan feltörjék."
A Twitter-fiók életének elején írt közepes bejegyzésben az IOS kijelentette, hogy aggódik amiatt, hogy a vállalatok keresni fogják az emberek otthonából összegyűjtött adatok bevételszerzési lehetőségeit. Ebből a történetből: "Ha a Nest növelni akarta a nyereségét, akkor az otthonának környezeti adatait eladhatja a hirdetőknek. Túl hideg? Amazon takaróhirdetései. Túl meleg? Egy légkondicionáló reklámcsíkja. Túl nedves? Párátlanítók vannak a Facebook-on."
Az IOS továbbra is fenntartja ezeket az aggodalmakat. "Az IoT annyira vonzó a gyártók számára, hogy nem okos funkciókat adnak az életedbe - ez csak melléktermék" - írta nekem. "Sokkal több, hogy így cselekedve példátlan betekintést kapnak az eszközök használatába, például hogy milyen gyakran, milyen szolgáltatásokat használnak legjobban, és az ehhez kapcsolódó összes adatot."
Az IOS szerint a tárgyak internete vállalatoknak sokkal előretekintőbbnek kell lenniük az adatgyűjtési politikájukban, és ki férhet hozzá az ezen eszközök által összegyűjtött információkhoz. "Az a kérdés, amelyet mindannyian el kell döntenünk, az az, hogy milyen szintű hozzáférést vállalunk ezeknek a vállalatoknak az általuk kapott adatok cseréjeként - és kit bízunk benne, kulcsfontosságú."
A 2016-os karácsony napján az IOS lehetővé tette, hogy a fények villogjanak, amikor a kezét a Twitterben említik. Az eredmények intenzívek, antimimaktikusak és rövid voltak, illusztrálva az IOS talán mindazt, amit az IOS a tárgyak internetét illetően fél.
Biztonsági internet
Sokkal rosszabb, mint a haszontalan tárgyak internete eszközeinek a fogyasztói pénztárcákra gyakorolt hatása, bár ez a személyes biztonságra gyakorolt hatása. Az IOS félelme az IoT-eszközök által összegyűjtött felhasználói adatok piacától nem távolodott meg (hogyan gondolod, hogy az ingyenes alkalmazások és az ingyenes internetes hírcégek hogyan pénzt keresnek?), És vannak már más, nagyon valódi fenyegetések.
A Black Hat 2016 konferencián résztvevőket Eyal Ronen biztonsági kutató felvételeivel kezelték. Kutatásainak segítségével sikerült megragadnia a Philips Hue fények irányítását egy irodaépületen kívül lebegő drónról. A támadás nemcsak drámai eredményei és drón használata miatt volt figyelemre méltó, hanem azért is, mert az épületben számos ismert biztonsági társaság otthona volt.
Ronen elmagyarázta nekem, hogy meg akarja demonstrálni, hogy lehetséges-e támadás az IoT eszközök legmagasabb szintű vonalával szemben. "Sok IoT-hack olyan alacsony szintű készülékeket céloz meg, amelyeknek nincs valódi biztonsága. Egy olyan termék biztonságát szeretnénk kipróbálni, amely állítólag biztonságos" - mondta. Szeretett támadni egy ismert társaságot, és telepedett le a Philips-re. Ronen azt mondta, hogy nehezebb megtörni, mint eredetileg gondolta, ám ő és csapata megtalálta és kihasználta a hibát a ZigBee Light Link szoftverben, amely egy harmadik féltől származó kommunikációs protokoll, amelyet több IoT vállalat használ, és amelyet érett és biztonságos rendszernek tekint.
"Fejlett kriptográfiai primitíveket használ, és erős biztonsági igényekkel rendelkezik" - mondta Ronen. "De a végén, viszonylag rövid idő alatt, nagyon alacsony költségű, körülbelül 1000 dollár értékű hardverrel, meg tudtuk szakítani" - mondta Ronen.
Ronen támadásának videója (fent) az épület lámpáinak sorrendjét villogják, az ő parancsai után, amelyeket távolról küldtek egy lebegő drónon keresztül. Ha ez történne veled, bosszantó lenne - talán nem idegesítőbb, mint bármelyik forgatókönyv, amelyet az IOS kiemel a Twitter-fiókjában. A biztonsági szakemberek szerint azonban sokkal nagyobb következmények vannak az IoT biztonságára.
"Egy korábbi munkában megmutattuk, hogyan lehet a lámpákat felhasználni az adatok kiszűrésére a levegővel bezárt hálózatról, és epilepsziás rohamokat okozni. Ebben a munkában megmutattuk, hogyan használhatjuk a lámpákat az elektromos hálózat megtámadására és a Wi-Fi elakadására" - mondta Ronen nekem. "Az IoT életünk minden részébe bekerül, és biztonsága mindent érinthet, az orvostechnikai eszközöktől kezdve az autókig és otthonokig."
A szabványok hiánya
Ronen támadása kihasználta a közelség előnyeit, ám Alexandru Balan, a Bitdefender biztonsági biztonsági kutatója felvázolt sok más biztonsági hibát, amelyek egyes tárgyak internete eszközökbe kerülnek. Különösen problematikus a merev kódú jelszavak, csakúgy, mint a nyílt internetről elérhetők.
Az internethozzáférés és az egyszerű, alapértelmezett jelszavak e kombinációja okozta pusztítást 2016 októberében, amikor a Mirai botnet olyan szolgáltatásokat, mint a Netflix és a Hulu, akár offline módban, akár olyan lassúvá tette, hogy használhatatlanná tegyék. Néhány héttel később a Mirai egyik változata az egész Libéria országában fékezte az internet-hozzáférést.
Nem sokkal azután, hogy a Mirai-ról hírek törtek meg, megnéztem ezt a forgatókönyvet, és azzal vádoltam az internet iparát, hogy figyelmen kívül hagyta a rossz hitelesítésre és a szükségtelen online elérhetőségre vonatkozó figyelmeztetéseket. De Balan nem ment olyan messzire, hogy ezeket a hibákat nyilvánvalónak nyilvánítsa. "meg kell tennie a firmware fordított tervezését a hitelesítő adatok kibontásához, de nagyon gyakran fordul elő, hogy a készülékek hardveresen kódolt hitelesítő adatokat találnak. Ennek oka az, hogy sok esetben nincs szabvány, amikor a IoT biztonság."
Az ilyen jellegű sérülékenységek felvetették a Balan hipotézisét, mivel az IoT cégek önállóan működnek, általánosan elfogadott szabványok vagy biztonsági szakértelem nélkül. "Könnyebb ilyen módon felépíteni. És mondhatjuk, hogy sarkokat vágnak, de a legfontosabb kérdés az, hogy nem vizsgálják meg, hogyan lehet azt biztonságosan megépíteni. Csak próbálják megszerezni. megfelelően működik."
Még akkor is, amikor a vállalatok javításokat dolgoznak ki olyan támadásokra, mint amilyeneket Ronen fedezett fel, egyes tárgyak internete eszközök nem képesek automatikus frissítések alkalmazására. Ez arra kötelezi a fogyasztókat, hogy maguk találjanak és alkalmazzák a javításokat, ami különösen félelmetes lehet azokon az eszközökön, amelyeket nem szántak szervizelésre.
De még a könnyen frissíthető eszközökkel is vannak biztonsági rések. Számos kutató kimutatta, hogy nem minden tárgyak internete fejlesztője írta alá a frissítéseket kriptográfiai aláírással. Az aláírt szoftvert a fejlesztő tulajdonában lévő aszimmetrikus kriptográfiai kulcs privát felével titkosítjuk. A frissítést megkapó eszközök rendelkeznek a kulcs nyilvános felével, amelyet a frissítés visszafejtéséhez használnak. Ez biztosítja, hogy a frissítés hivatalos legyen, és hogy ne lehessen megváltoztatni, mivel egy rosszindulatú frissítés aláírására vagy a szoftverfrissítés módosítására a fejlesztő titkos kulcsához lenne szükség. "Ha nem írják alá a frissítéseket digitálisan, akkor az eltéríthetők, megtéveszthetők; a frissítésekbe kódot lehet beírni" - mondta Balan.
A fények be- és kikapcsolása mellett Balan elmondta, hogy a fertőzött tárgyak internete eszközei felhasználhatók a botnet részeként, amint azt a Mirai látja, vagy sokkal félrevezetőbb célokra. "Kivonhatom a Wi-Fi hitelesítő adatait, mivel nyilvánvalóan hozzákapcsolta a Wi-Fi hálózathoz, és mivel egy Linux dobozban van, felhasználhatom azt forgatáshoz és támadások indításához a vezeték nélküli hálózaton belül.
"A saját LAN hálózatának magánéletén belül a hitelesítési mechanizmusok elégtelenek" - folytatta Balan. "A LAN problémája az, hogy ha egyszer a magánhálózatában vagyok, szinte mindazhoz hozzáférhetek, ami ott zajlik." Valójában a sérült tárgyak internete tengerpartré válnak ugyanabban a hálózatban lévő értékes eszközök, például a hálózati csatolt tároló vagy a személyi számítógépek ellen.
Talán azt mondja, hogy a biztonsági ipar alaposan megvizsgálta az IoT-t. Az elmúlt években számos termék lépett be a piacra, állításuk szerint védi az internet eszközöket a támadásoktól. Láttam vagy olvastam több ilyen terméket, és felülvizsgáltam a Bitdefender kínálatát. A Bitdefender Box elnevezésű eszköz csatlakozik a meglévő hálózatához, és antivírusvédelmet biztosít a hálózat minden eszközéhez. Még vizsgálja az eszközöket a lehetséges gyengeségekkel kapcsolatban. A Bitdefender ebben az évben dobja be Box-eszközének második verzióját. A Norton belép a saját ajánlatába (lent), mély csomagok ellenőrzésével büszkélkedve, míg az F-Secure egy hardver eszközt is bejelentett.
Mivel az elsők voltak a piacon, a Bitdefender abban a különleges helyzetben van, hogy háttérrel rendelkezik a szoftverbiztonság területén, majd olyan fogyasztói hardvert tervez, amely feltehetően kifogástalanul biztonságos. Hogy volt ez a tapasztalat? - Nagyon nehéz volt - válaszolta Balan.
A Bitdefendernek van egy bug bounty programja (pénzbeli jutalom, amelyet azoknak a programozóknak kínálnak, akik felfedezik és megoldást találnak a hibára egy weboldalon vagy egy alkalmazásban), amelyet Balan megerősített, hogy elősegítette a Box fejlesztését. "Egyik társaságnak sem szabad elég arrogánsnak lennie ahhoz, hogy azt hitte, hogy megtalálja az összes hibát. Ezért léteznek bug bounty programok, ám a hardver kihívása az, hogy a tényleges zseton belül lehet hátsó ajtó."
"Tudjuk, hogy mit kell megnézni, és mit kell nézni, és valójában van egy hardver csapatunk, amely szétszerelheti és megvizsgálhatja az összes fórumon levő komponenst. Szerencsére az a tábla nem olyan nagy."
Ez nem minden szar
Könnyű engedményt adni egy egész iparágra a legrosszabb szereplői alapján, és ugyanez vonatkozik a tárgyak internetére. George Yianni, a Philips Lighting otthoni rendszerének technológiai vezetője azonban ezt a nézetet különösen bosszantónak találja.
"Nagyon komolyan vettük az elejétől kezdve. Ez egy új kategória. Bizalmat kell kiépítenünk, és ezek valójában károsítják a bizalmat. És ezért gondolom, hogy azoknak a termékeknek a legnagyobb szégyen, amelyek nem végeztek ilyen jó munkát, hogy lerontja a teljes kategóriába vetett bizalmat. Bármely termék rosszul elkészíthető. Ez nem az egész iparág kritikája."
Mint gyakran a biztonság szempontjából, a vállalat reagálása egy támadásra gyakran sokkal fontosabb, mint maga a támadás hatása. A Philips eszközökkel szembeni drogos támadás esetén Yianni elmondta, hogy Ronen a társaság jelenlegi felelős-nyilvánosságra hozatali programján keresztül nyújtotta be megállapításait. Ezeket az eljárásokat vezetik be annak érdekében, hogy a vállalatoknak időt lehessen reagálni egy biztonsági kutató felfedezésére, még mielőtt azt nyilvánosságra hozzák. Ily módon biztosítani lehet a fogyasztók biztonságát, és a kutatók megkapják a dicsőséget.
Ronen hibát talált egy harmadik féltől származó szoftvercsomagban - mondta Yianni. Pontosabban, ez volt a ZigBee szabvány része, amely korlátozza a kommunikációt két méteren belüli eszközökkel. Ronen munkája, amint emlékezni fogsz, távolról is átvette az irányítást - 40 méterre egy szokásos antennával és 100 méterre egy erősített antennával. A felelősségteljes nyilvánosságra hozatali programnak köszönhetően Yianni azt mondta, hogy a Philips képes volt egy foltot kidolgozni a mező fényeihez, mielőtt Ronen elmondta a világnak a támadást.
Miután sok vállalat látta, hogy a közbiztonságot megsértik vagy egy biztonsági kutató munkájának eredményeként jár, Yianni és Philips válasza a tény utólagos visszafizetéseként hangzik, de valójában sikerrel járt. "Minden termékünk szoftverfrissíthető, így a dolgok javíthatók" - mondta nekem Yianni. "A másik dolog, amit minden termékünknél biztonsági kockázatértékeléssel, biztonsági auditokkal és penetrációs tesztekkel végezünk. De akkor ezeket a felelősségteljes nyilvánosságra hozatali folyamatokat is elvégezzük, hogy ha valami átjön, előre tudjuk megtudni és kijavítani. nagyon gyorsan.
"Van egy teljes folyamatunk, ahol a szoftverfrissítéseket a teljes felhőnkről lefelé nyomhatjuk és az összes fényre eloszthatjuk. Ez rendkívül fontos, mert a tér mozog olyan gyorsan, és ezek olyan termékek, amelyek elmúlt 15 évben "És ha megbizonyosodunk arról, hogy a funkcionalitás szempontjából továbbra is relevánsak - e, és elég biztonságosak-e a legújabb támadásokhoz, akkor rendelkeznünk kell ezekkel."
Velem folytatott levelezésében Ronen megerősítette, hogy a Philips valóban csodálatos munkát végzett a Hue világítórendszer biztosításával. "A Philips meglepően sok erőfeszítést tett a lámpák biztosítása érdekében" - mondta nekem Ronen. "Sajnos azonban néhány alapvető biztonsági feltevés, amelyek az Atmel chip alapú biztonsági megvalósításán alapultak, tévesek voltak." Amint Balan rámutatott a Bitdefender dobozban végzett munkájára, az IoT minden elemét támadás képezi.
A Philips azt is megtervezte, hogy a központi központ - a Philips IoT termékek hálózatainak koordinálásához szükséges eszköz - elérhetetlen legyen a nyílt internetről. "Az összes internetkapcsolatot a készülék kezdeményezi. Soha nem nyithatunk meg portokat az útválasztókon, vagy úgy, hogy az interneten lévő eszközök közvetlenül beszélhessenek azokkal" - magyarázta Yianni. Ehelyett a központ kéréseket küld a Philips felhőinfrastruktúrájához, amely a kérésre válaszol, nem pedig fordítva. Ez lehetővé teszi a Philips számára, hogy további rétegeket adjon hozzá annak érdekében, hogy megvédje a fogyasztói eszközöket anélkül, hogy otthonba kellene menniük és bármilyen változtatást meg kellenejen végezniük. "Nem lehetséges, hogy a Hub-ról kívülről kommunikáljunk, hacsak nem vezetünk át ezen a felhőn, ahol további biztonsági és megfigyelési rétegeket építhetünk fel."
Yianni elmondta, hogy ez mind a többrétegű megközelítés része, amelyet a Philips a Hue világítórendszer biztosításához alkalmazott. Mivel a rendszer több különféle elemből áll - az izzók belsejében lévő hardvertől a szoftvertől és a Hue Hub hardverétől a felhasználói telefonokon belüli alkalmazásig -, minden szinten különféle intézkedéseket kellett tenni. "Mindegyiküknek különféle biztonsági intézkedésekre van szükségük, hogy biztonságban maradjanak. Mindegyiküknek különböző a kockázati és sebezhetőségi szintje. Tehát különböző intézkedéseket teszünk ezekre a különböző részekre" - mondta Yianni.
Ez magában foglalta a behatolás tesztelését, de egy alulról felfelé építkező terveket is, amelyek célja a támadók megakadályozása. "Nincsenek olyan globális jelszavak, mint amilyeneket ebben a Mirai robotban használtak" - mondta Yianni. A Mirai rosszindulatú programnak tucatnyi alapértelmezett kódja volt, amelyeket felhasználna az IoT eszközök átvételére. "Mindegyiknek egyedi, aszimmetrikusan aláírt kulcsa van a firmware ellenőrzéséhez, ezek mindegyike. Egy eszköz, amelynek hardvere módosítva van, ebből nincs globális kockázat" - magyarázta.
Ez vonatkozik az IoT eszközök értékére is. "Ezeknek a termékeknek a nagy része általában összeköttethetőség a csatlakoztathatóság kedvéért" - mondta. "A házon belüli mindent automatizáló szükséglet nem jelent problémát sok fogyasztó számára, és nagyon nehéz meggondolni a fejünket. Úgy gondoljuk, hogy a jól működő termékek azok, amelyek könnyebben érthető értéket kínálnak a fogyasztók felé."
Az ellenállhatatlan tárgyak internete
Az internet internetezésével kapcsolatos kockázatok ismerete és annak könnyű jellegének elismerése minden bizonnyal nem akadályozta meg az embereket az intelligens világítás, például a Philips Hue, az állandó hallgatású otthoni asszisztensek, például a Google Home vagy az Amazon Echo, és az intelligens víztartályok vásárlásában. Még az Internet of Shit operátora is hatalmas IoT rajongó.
"A Szar Internet mögött álló igazi irónia az, hogy én vagyok ezeknek az eszközöknek a szopása" - mondta az IOS. "Korai alkalmazott vagyok és a technológiában dolgozom, így sok idő alatt nem tudok ellenállni ezeknek a dolgoknak." Az IOS futurisztikus otthoni kényelmi szolgáltatásai között felsorolja a Philips csatlakoztatott lámpáit, a Tado termosztátot, a Sense alvásmérőt, intelligens hangszórókat, a Kanári-kamerát és a Wi-Fi-hez csatlakoztatott csatlakozókat.
"Tudom, hogy a fiók véletlenül sokkal nagyobb lett, mint amit valaha is elképzeltem, és soha nem akarom elriasztani az embereket a technológiába való belépéstől. Azt hiszem, hogy a hülye ötletekkel való kísérletezés hozhat létre nagyszerű ötleteket, ami valami hogy Simone Giertz egy kicsit tanított nekem "- mondta az IOS.
Giertz, az abszurdista robotista és a YouTuber a Shitty Robotok mögött rejlik. Alkotásai között szerepel egy drón, amely hajvágásokat ad - vagy inkább nem sikerül -, és egy hatalmas kalap, amely drámai módon napszemüveget helyez az arcára. Gondolj rá, mint Rube Goldberg egészséges adag Szilícium-völgy cinizmussal.
Az IOS mögött tartó személy jelentése szerint manapság megpróbálja visszatartani korai alkalmazói ösztöneit. "Úgy gondolom, hogy az a pillanat, amikor frissíteni kellett az izzóm firmware-jét, hogy bekapcsoljam őket, kicsit megvalósult számomra…"
A Bitdefender Balan elmondta, hogy villanykörtéket használ, amelyek dupla mint Wi-Fi ismétlők. Ezek az eszközök mind a könnyű, mind a Wi-Fi-t otthonának minden sarkába kiterjesztik. Ugyanakkor számos, az általa kiszámított biztonsági rést is terheltek, beleértve a gyenge alapértelmezett jelszavakat is. Az IoT-nál azonban rettegés nélkül marad.
"Olyan, mint a szex" - mondta nekem. "Nem óvszer nélkül csinálnád. Szeretjük a szexet, a szex fantasztikus, nem adjuk fel a szexet csak azért, mert veszélyes. De a védelmet fogjuk használni, amikor csináljuk." A paranoia elmulasztása helyett úgy véli, hogy a fogyasztóknak biztonsági társaságokra és oktatott barátaikra kell támaszkodniuk, akik a hibákat és biztonságos, gyakori frissítési eszközöket felhasználva azonosíthatják azokat a vállalatokat, amelyek komolyan veszik a biztonságot.
És használ-e a drone-pilóta hackeres Ronen az internet tárgyát? "Jelenleg nem" - mondta. "Attól tartok, hogy ez hatással van a személyiségemre és a biztonságomra. És az előnyök nem elég magasak az igényeimhez."
Még az ön szerény írója is, aki évek óta ellenzi a beszélő füstérzékelők és a színváltó fények sziréna dalát, morzsolódni kezdett. Az utóbbi időben, annak érdekében, hogy az irodát kibővítsem az ünnepekre, három különálló intelligens lámpát állítottam magamban. Az eredmény borzalmasan, lenyűgözően gyönyörű volt.
Időközben egy vadonatúj Philips Hue lámpa ül az Amazon bevásárlókosáromban. Valamikor hamarosan megnyomom a gombot.
