DEF CON a Black Hat nejsou rappery s hostujícími místy na novém albu Jay-Z; je to dvojice bezpečnostních konferencí, o kterých jste pravděpodobně nikdy neslyšeli nebo jim nevěnovali žádnou pozornost. Možná to budete chtít letos změnit. Hlavní součástí těchto konferencí jsou prezentace bezpečnostních profesionálů (to jsou vyslovení „hackeři“), kteří tráví své dny pronikáním do všeho digitálního, a letošní programy jsou spojeny s ukázkami zneužití proti připojené domácí technologii. Výbuch jinak obyčejných zařízení s internetem - termostatů, žárovek, trub, televizorů, seznam pokračuje - má každý, od dětských scénářů až po zpravodajské agentury, stejně nadšený z nového útoku, že se tyto gadgety a zařízení otevírají. Každé zařízení, které může komunikovat s jiným zařízením nebo s internetem, může být hackováno, aby provedlo něco, co jeho tvůrce nebo vlastník nechtěl, a to bude brzy veřejně předvedeno na stránkách Black Hat #Fouladi a DEF CON.
Proč si dělat starosti?
Je pravda, že hacker, který jde po vašem toustovači s internetem, nemusí být lukrativní stejným způsobem jako krádež vaší identity nebo bankovních údajů, ale v hackerských kruzích nejsou motivem vždy peníze. Mnoho z nejškodlivějších útoků na počítače bylo spácháno kvůli hodnotě šoku, důvěryhodnosti v podzemí nebo profesionální pověsti. Vypálení domu hacknutím připojených spotřebičů by stálo za mnohem větší důvěryhodnost, než když by byl počítač babičky vypálen. Toto je bezpochyby nejhorší scénář, ale existuje nespočet způsobů, jak by mohl být kompromitovaný propojený dům použit k ničení vašeho dne. Hacker s monitorem dítěte by mohli použít případní zloději k tomu, aby zjistili, kdy nejste doma, dítě ze skriptu od vedle by mohlo vypnout vaše teplo uprostřed zimy a prasknout vaše potrubí hacknutím vašeho termostatu připojeného k internetu nebo vypnout svou ledničku s inteligentní sítí a zkazit všechno jídlo. Před několika lety byly útoky typu proof-of-concept proti kompromitovaným síťovým laserovým tiskárnám schopny přimět je, aby okouzlily papír. Když jsem měl doma přepínače s automatizací X10, přátelé jezdili a bavili se mými domácími světly, jen tak pro zábavu. Exploity proti nástupci X10, Z-Wave, budou brzy předvedeny na BlackHat a DEF CON.
Pointa: Nejsou to jen věci z klobouku staniolu; existuje spousta věrohodných útoků na připojený domov. Na rozdíl od faktoru obtěžování, když dojde k hacknutí počítače, mohou být při zneužití nezabezpečených připojených zařízení skutečné fyzické důsledky.
Ve výchozím nastavení nezabezpečené
Skutečná bezpečnost je o vyvážení rizika a odměny
Zabezpečení je často doplňkem návrhu připojených zařízení. Nejde o něco, o čem se většina spotřebitelů vzdělává, a je často těžké popsat je odrážkou nebo zaškrtávacím políčkem („Zabezpečení: Ano“). Mnoho výrobců ze staré linky, kteří vstupují do prostoru připojených zařízení, dále nemá institucionální znalosti o zabezpečení; historicky to nebyl problém například pro ledničky. Ve vývoji přetahování produktu mezi bezpečností a pohodlím je zabezpečení obvykle poraženým. Skvělým příkladem je spárování telefonu s náhlavní soupravou Bluetooth nebo automobilem. Často se zobrazí výzva k zadání kódu PIN, ale obvykle jsou to všechny nuly (ve skutečnosti je to tak běžné, že některá nová zařízení zkusí všechny nuly a nikdy nevyzve k zadání kódu PIN, pokud to funguje). Párovací PIN je bezpečnostní funkce zabudovaná do technologie Bluetooth, která má zabránit útočníkovi v rušení způsobem, který umožňuje pozdější odposlech šifrovaného připojení, ale mnoho výrobců, kteří se ho rozhodnou nepoužívat, byl účinně kastrován. Útok na náhlavní soupravu by mohl mít za následek pouze nějaké šťavnaté drby z vašich telefonních hovorů, které se budou konat na příští blokové party, ale důsledky párovacího útoku by mohly být mnohem horší, kdyby existoval zámek dveří nebo otvírač garážových vrat.Co dělat?
Mohli bychom vás teď tak vyděsit, že vás láká jen žít ludditský život; ujistěte se, že to není náš záměr. Líbí se nám myšlenka propojeného domu, ale měli byste podniknout přiměřené kroky, abyste se ochránili před tím, aby byl použit proti vám.
Zabezpečte svou síť
To by mělo být samozřejmé, ale víte, jak zabezpečit vaši WiFi síť. Neexistuje téměř žádná výmluva pro provozování otevřené nezašifrované sítě WiFi. Pokud je váš router starší než několik let, je pravděpodobné, že jeho bezpečnostní mechanismy jsou pravděpodobně zneužitelné a měl by být vyměněn. Novější směrovače WiFi mají vestavěné funkce sítě pro hosty, které mohou izolovat nedůvěryhodná zařízení od sebe navzájem a od zbytku vaší sítě - užitečná funkce pro většinu zařízení, která potřebují pouze přístup k internetu a nepotřebují mluvit s jinými zařízeními. Ke správnému zabezpečení zařízení, která potřebují komunikovat mezi sebou (jako jsou automatizační ovladače a bezpečnostní kamery), může být vyžadována zvláštní konfigurace, ale je možné tuto komunikaci omezit, aniž byste obnažili zbytek domácí sítě.
Zjistěte, co je ve vaší domácnosti
Uchovávejte soupis připojených zařízení a dalších zařízení (včetně jmen výrobců a čísel modelů). Kdykoli si přinesete nový gadget domů, seznam aktualizujte. Než uvítáte nová připojená zařízení ve vaší domácnosti, poučte se o základních zásadách zabezpečení. Jak se zařízení připojuje (Bluetooth, WiFi, GSM, něco chráněného)? Pokud je to možné ovládat pomocí aplikace pro tablet nebo počítače, jak funguje proces přidružení? Existuje PIN nebo heslo? Je proces šifrovaný? Jak aktualizace fungují a jak dlouho budou poskytovány? Tyto informace by měly být k dispozici u výrobců, buď zveřejněné na jejich webových stránkách v technických specifikacích, nebo kontaktováním zákaznické podpory. Pokud vám výrobce nemůže nebo nebude odpovídat na tyto otázky, hlasujte se svou peněženkou a vezměte peníze jinam.
Zařízení, která magicky „fungují“ bez jakéhokoli druhu zabezpečeného asociačního procesu nebo šifrování, mohou být zralá pro hackování. Skutečná bezpečnost je o vyvážení rizika a odměny; množství škody, které by mohl způsobit někdo, kdo využívá Bluetooth soundbar nebo LED žárovku s WiFi, je pravděpodobně docela minimální ve srovnání s výhodami, které takové věci mají. Děťátko od sousedního skriptu by vás mohlo potírat s fetišem Justina Biebera nebo spustit improvizovanou světelnou show na desetník, ale to není konec světa. Na druhou stranu věci, které by mohl špatný člověk dělat s většími připojenými spotřebiči, topením s připojením na internet a bezpečnostními systémy, si určitě zaslouží vážné zvážení.
Aktualizovat
Nastavte si pravidelný plán pro kontrolu aktualizací a zneužití položek v seznamu připojených zařízení. Některá zařízení se mohou aktualizovat automaticky; ještě lepší! Dobře vychovaní výrobci by měli poskytovat bezpečnostní aktualizace po celá léta, ale jiní to nazývají hotové, jakmile jsou odeslány, a přejít k dalšímu projektu. Google vyhledává známé zneužití proti připojeným zařízením ve vaší domácnosti. Pokud nějaké najdete a výrobce neposkytl aktualizace, které se jimi zabývají, může být čas toto konkrétní zařízení vyřadit z provozu. Někdy stojí za to riziko používat zneužívatelné zařízení, ale je nejlepší být informován.
Na konci dne je zde připojen domov. Stejně jako předchozí vlny domácích a mobilních počítačů, i zde budou jistě narůstající bolesti, když se výrobci budou hrabat v zabezpečení. Doufáme, že více výrobců připojených zařízení bude brát zabezpečení vážně, než si méně pikantní účastníci Black Hat a DEF CON začnou hrát s vašimi novými hračkami.
