Έξυπνα μέτρα, χαζή ασφάλεια; Hacking το Διαδίκτυο των πραγμάτων
Σύμφωνα με το Υπουργείο Ενέργειας και Κλιματικής Αλλαγής του Ηνωμένου Βασιλείου, σχεδόν 100.000 έξυπνα μέτρα εγκαταστάθηκαν στα σπίτια μέσα στο δεύτερο τρίμηνο του 2014 - στην Ισπανία, εκατομμύρια από αυτές τις συσκευές παρακολούθησης της ενέργειας είναι στη βρύση για να εγκατασταθούν μέχρι το 2018. Όπως σημειώνεται από πρόσφατο BBC Ωστόσο, η αξιοποίηση του Ίντερνετ των πραγμάτων (IoT) δεν είναι χωρίς κίνδυνο: παρά τους "smarts", οι μετρητές και άλλοι τύποι τεχνολογίας οικιακού αυτοματισμού μπορούν εύκολα να χαραχτούν.
Σπίτι μου σπιτάκι μου?
Οι ανεξάρτητοι ερευνητές Javier Vidal και Alberto Illera έριξαν ένα έξυπνο μετρητή για να δουν αν θα μπορούσε να συμβιβαστεί. Ανακάλυψαν κλειδιά κρυπτογράφησης που είχαν ταφεί στο υλικολογισμικό της συσκευής, τα οποία χρησιμοποιήθηκαν για να επικοινωνήσουν με τους "κόμβους" πάνω στο σύστημα διανομής ισχύος. Με τα κλειδιά και τον μοναδικό αναγνωριστικό αριθμό μετρητή στο χέρι, οι Vidal και Illera διαπίστωσαν ότι θα μπορούσαν να στείλουν ψεύτικα μηνύματα στην εταιρεία ηλεκτρικής ενέργειας, είτε κάτω είτε υπερεκτιμώντας την ποσότητα ενέργειας που χρησιμοποιήθηκε. Επίσης, προειδοποίησαν ότι ενδέχεται να είναι δυνατό για τους εγκληματίες να παραβιάζουν τα αναγνωριστικά των χρηστών και να αποφεύγουν να πληρώνουν εντελώς, ή ακόμη και να διακόπτουν την εξουσία σε συγκεκριμένα σπίτια. Το ζεύγος έλαβε τα ευρήματά του στον κατασκευαστή, ο οποίος εργάζεται τώρα για την επίλυση του προβλήματος.
Αλλά όπως ανακάλυψε ο αναλυτής της Kaspersky Lab David Jacoby, οι έξυπνοι μετρητές δεν είναι οι μόνοι συνδεδεμένοι μηχανισμοί που βρίσκονται σε κίνδυνο στο σπίτι σας. Τον Αύγουστο, ο Jacoby προσπάθησε να χαράξει συσκευές στο σπίτι του και διαπίστωσε ότι "δύο δημοφιλείς συσκευές αποθήκευσης συνδεδεμένες στο δίκτυο (NAS) περιείχαν περισσότερα από 14 σημεία ευπάθειας που θα μπορούσαν να επιτρέψουν την εκτέλεση εντολών απομακρυσμένου συστήματος υπό τα υψηλότερα διοικητικά προνόμια." Επιπλέον, οι συσκευές ήταν τόσο αδύναμες όσο και μη κρυπτογραφημένες, παρέχοντας έναν εύκολο τρόπο για τους επιτιθέμενους να εγκαταστήσουν κακόβουλα εργαλεία ή να εκτελέσουν επιθέσεις στο οικιακό τους δίκτυο. Ο δρομολογητής DSL του Jacoby και η έξυπνη τηλεόραση ήταν επίσης ευάλωτοι: ο δρομολογητής είχε κρυμμένες λειτουργίες με την επωνυμία "κάμερες web" και "έλεγχος πρόσβασης", ενώ η τηλεόραση δεν χρησιμοποίησε έλεγχο ταυτότητας ή κρυπτογράφηση κατά τη λήψη περιεχομένου όπως μικρογραφίες ή γραφικά στοιχεία, -σε-μέση (MitM) επιθέσεις.
Πάλι στο δρόμο
Αν οι συνδεδεμένες συσκευές στο σπίτι σας βρίσκονται υπό πολιορκία, μπορείτε πάντα να ξεφύγετε, πηδώντας στο αυτοκίνητο και οδηγώντας στο ηλιοβασίλεμα, σωστά; Δυστυχώς δεν. Ο οικονομολόγος σημειώνει ότι τα "σύγχρονα αυτοκίνητα είναι ουσιαστικά μια συλλογή υπολογιστών σε τροχούς" και οι ερευνητές έχουν ήδη δείξει ότι είναι δυνατό να χάσουν αυτά τα συστήματα και να πάρουν τον έλεγχο. Αυτό περιλαμβάνει μικρές ενοχλήσεις, όπως η αλλαγή του ραδιοφωνικού σταθμού ή η προσαρμογή της θερμοκρασίας σε πιο επικίνδυνες δραστηριότητες, όπως η στρέβλωση του τροχού στη μία πλευρά ή η κοπή ισχύος στον κινητήρα. Ευτυχώς, οι περισσότερες από αυτές τις επιθέσεις απαιτούν άμεση πρόσβαση στο ίδιο το αυτοκίνητο, αλλά η ταχύτητα της υιοθεσίας του IoT αρχίζει να ξεπερνά ακόμα και αυτό το είδος φυσικής ασφάλειας.
Και ναι, χειροτερεύει. Ο εμπειρογνώμονας ασφαλείας Jay Radcliffe διαπίστωσε ότι ήταν δυνατό να χαράξει την ασύρματη αντλία ινσουλίνης του και να αλλάξει την ποσότητα της χορηγούμενης ινσουλίνης, καθιστώντας τον αποτελεσματικό στόχο για ένα είδος ασύρματης δολοφονίας. Ο Billy Rios της εταιρείας ασφάλειας Qualys λέει ότι "υπάρχουν απλά σούπερ ελαττώματα σε ορισμένες ιατρικές συσκευές".
Επιστροφή στην εποχή των λίθων?
Δεν είναι όλες οι καταστροφές και η θλίψη - οι εταιρείες τείνουν να είναι δεκτικοί όταν οι ερευνητές ανακαλύψουν ατέλειες και πολλά προφανή ζητήματα με τις φορητές και συνδεδεμένες συσκευές IoT στο σπίτι έχουν ήδη αντιμετωπιστεί. Αλλά τι μπορούν να κάνουν οι τελικοί χρήστες για να περιορίσουν τον κίνδυνο?
Μία από τις επιλογές είναι να μεταβιβαστεί συνολικά το IoT, αλλά με τις κυβερνήσεις που σπεύδουν να συνδέσουν ασύρματα την υποδομή ζωτικής σημασίας και την παρακολούθηση της χρήσης της οικιακής ενέργειας, αυτό θα γίνει σταδιακά πιο δύσκολο. Μέρος της λύσης προέρχεται από την κοινωνική πίεση: οι χρήστες πρέπει να απαιτούν ότι οι συσκευές που χρησιμοποιούν έρχονται με ενσωματωμένη ασφάλεια που ποτέ δεν παραλείπει κρυπτογράφηση ή προσφέρει διοικητικά backdoors. Για ενισχυμένο έλεγχο, αναλάβετε τη δική σας σύνδεση - στο σπίτι και στις κινητές συσκευές σας, επιλέξτε μια πλήρως κρυπτογραφημένη, ανώνυμη σύνδεση που σκληραίνει αποτελεσματικά το σπίτι σας από τους επιτιθέμενους. Ψάχνουν έναν εύκολο τρόπο μέσα από "χαζή" μετρητές ή όχι-τόσο-έξυπνες τηλεοράσεις? το κάνουν δύσκολο και θα πάνε κάπου αλλού.
Το Διαδίκτυο των πραγμάτων προσφέρει πραγματικά οφέλη για τα σπίτια, τα οχήματα και ακόμη και τις ιατρικές συσκευές, αλλά όταν τα προσωπικά δεδομένα συναντούν ασύρματες συνδέσεις, τα πράγματα μπορούν να γίνουν περίπλοκα. Κρατήστε το απλό - μείνετε προστατευμένο.
Έξυπνα μέτρα, χαζή ασφάλεια; Hacking το Διαδίκτυο των πραγμάτων
Σύμφωνα με το Υπουργείο Ενέργειας και Κλιματικής Αλλαγής του Ηνωμένου Βασιλείου, σχεδόν 100.000 έξυπνα μέτρα εγκαταστάθηκαν στα σπίτια μέσα στο δεύτερο τρίμηνο του 2014 - στην Ισπανία, εκατομμύρια από αυτές τις συσκευές παρακολούθησης της ενέργειας είναι στη βρύση για να εγκατασταθούν μέχρι το 2018. Όπως σημειώνεται από πρόσφατο BBC Ωστόσο, η αξιοποίηση του Ίντερνετ των πραγμάτων (IoT) δεν είναι χωρίς κίνδυνο: παρά τους "smarts", οι μετρητές και άλλοι τύποι τεχνολογίας οικιακού αυτοματισμού μπορούν εύκολα να χαραχτούν.
Σπίτι μου σπιτάκι μου?
Οι ανεξάρτητοι ερευνητές Javier Vidal και Alberto Illera έριξαν ένα έξυπνο μετρητή για να δουν αν θα μπορούσε να συμβιβαστεί. Ανακάλυψαν κλειδιά κρυπτογράφησης που είχαν ταφεί στο υλικολογισμικό της συσκευής, τα οποία χρησιμοποιήθηκαν για να επικοινωνήσουν με τους "κόμβους" πάνω στο σύστημα διανομής ισχύος. Με τα κλειδιά και τον μοναδικό αναγνωριστικό αριθμό μετρητή στο χέρι, οι Vidal και Illera διαπίστωσαν ότι θα μπορούσαν να στείλουν ψεύτικα μηνύματα στην εταιρεία ηλεκτρικής ενέργειας, είτε κάτω είτε υπερεκτιμώντας την ποσότητα ενέργειας που χρησιμοποιήθηκε. Επίσης, προειδοποίησαν ότι ενδέχεται να είναι δυνατό για τους εγκληματίες να παραβιάζουν τα αναγνωριστικά των χρηστών και να αποφεύγουν να πληρώνουν εντελώς, ή ακόμη και να διακόπτουν την εξουσία σε συγκεκριμένα σπίτια. Το ζεύγος έλαβε τα ευρήματά του στον κατασκευαστή, ο οποίος εργάζεται τώρα για την επίλυση του προβλήματος.
Αλλά όπως ανακάλυψε ο αναλυτής της Kaspersky Lab David Jacoby, οι έξυπνοι μετρητές δεν είναι οι μόνοι συνδεδεμένοι μηχανισμοί που βρίσκονται σε κίνδυνο στο σπίτι σας. Τον Αύγουστο, ο Jacoby προσπάθησε να χαράξει συσκευές στο σπίτι του και διαπίστωσε ότι "δύο δημοφιλείς συσκευές αποθήκευσης συνδεδεμένες στο δίκτυο (NAS) περιείχαν περισσότερα από 14 σημεία ευπάθειας που θα μπορούσαν να επιτρέψουν την εκτέλεση εντολών απομακρυσμένου συστήματος υπό τα υψηλότερα διοικητικά προνόμια." Επιπλέον, οι συσκευές ήταν τόσο αδύναμες όσο και μη κρυπτογραφημένες, παρέχοντας έναν εύκολο τρόπο για τους επιτιθέμενους να εγκαταστήσουν κακόβουλα εργαλεία ή να εκτελέσουν επιθέσεις στο οικιακό τους δίκτυο. Ο δρομολογητής DSL του Jacoby και η έξυπνη τηλεόραση ήταν επίσης ευάλωτοι: ο δρομολογητής είχε κρυμμένες λειτουργίες με την επωνυμία "κάμερες web" και "έλεγχος πρόσβασης", ενώ η τηλεόραση δεν χρησιμοποίησε έλεγχο ταυτότητας ή κρυπτογράφηση κατά τη λήψη περιεχομένου όπως μικρογραφίες ή γραφικά στοιχεία, -σε-μέση (MitM) επιθέσεις.
Πάλι στο δρόμο
Αν οι συνδεδεμένες συσκευές στο σπίτι σας βρίσκονται υπό πολιορκία, μπορείτε πάντα να ξεφύγετε, πηδώντας στο αυτοκίνητο και οδηγώντας στο ηλιοβασίλεμα, σωστά; Δυστυχώς δεν. Ο οικονομολόγος σημειώνει ότι τα "σύγχρονα αυτοκίνητα είναι ουσιαστικά μια συλλογή υπολογιστών σε τροχούς" και οι ερευνητές έχουν ήδη δείξει ότι είναι δυνατό να χάσουν αυτά τα συστήματα και να πάρουν τον έλεγχο. Αυτό περιλαμβάνει μικρές ενοχλήσεις, όπως η αλλαγή του ραδιοφωνικού σταθμού ή η προσαρμογή της θερμοκρασίας σε πιο επικίνδυνες δραστηριότητες, όπως η στρέβλωση του τροχού στη μία πλευρά ή η κοπή ισχύος στον κινητήρα. Ευτυχώς, οι περισσότερες από αυτές τις επιθέσεις απαιτούν άμεση πρόσβαση στο ίδιο το αυτοκίνητο, αλλά η ταχύτητα της υιοθεσίας του IoT αρχίζει να ξεπερνά ακόμα και αυτό το είδος φυσικής ασφάλειας.
Και ναι, χειροτερεύει. Ο εμπειρογνώμονας ασφαλείας Jay Radcliffe διαπίστωσε ότι ήταν δυνατό να χαράξει την ασύρματη αντλία ινσουλίνης του και να αλλάξει την ποσότητα της χορηγούμενης ινσουλίνης, καθιστώντας τον αποτελεσματικό στόχο για ένα είδος ασύρματης δολοφονίας. Ο Billy Rios της εταιρείας ασφάλειας Qualys λέει ότι "υπάρχουν απλά σούπερ ελαττώματα σε ορισμένες ιατρικές συσκευές".
Επιστροφή στην εποχή των λίθων?
Δεν είναι όλες οι καταστροφές και η θλίψη - οι εταιρείες τείνουν να είναι δεκτικοί όταν οι ερευνητές ανακαλύψουν ατέλειες και πολλά προφανή ζητήματα με τις φορητές και συνδεδεμένες συσκευές IoT στο σπίτι έχουν ήδη αντιμετωπιστεί. Αλλά τι μπορούν να κάνουν οι τελικοί χρήστες για να περιορίσουν τον κίνδυνο?
Μία από τις επιλογές είναι να μεταβιβαστεί συνολικά το IoT, αλλά με τις κυβερνήσεις που σπεύδουν να συνδέσουν ασύρματα την υποδομή ζωτικής σημασίας και την παρακολούθηση της χρήσης της οικιακής ενέργειας, αυτό θα γίνει σταδιακά πιο δύσκολο. Μέρος της λύσης προέρχεται από την κοινωνική πίεση: οι χρήστες πρέπει να απαιτούν ότι οι συσκευές που χρησιμοποιούν έρχονται με ενσωματωμένη ασφάλεια που ποτέ δεν παραλείπει κρυπτογράφηση ή προσφέρει διοικητικά backdoors. Για ενισχυμένο έλεγχο, αναλάβετε τη δική σας σύνδεση - στο σπίτι και στις κινητές συσκευές σας, επιλέξτε μια πλήρως κρυπτογραφημένη, ανώνυμη σύνδεση που σκληραίνει αποτελεσματικά το σπίτι σας από τους επιτιθέμενους. Ψάχνουν έναν εύκολο τρόπο μέσα από "χαζή" μετρητές ή όχι-τόσο-έξυπνες τηλεοράσεις? το κάνουν δύσκολο και θα πάνε κάπου αλλού.
Το Διαδίκτυο των πραγμάτων προσφέρει πραγματικά οφέλη για τα σπίτια, τα οχήματα και ακόμη και τις ιατρικές συσκευές, αλλά όταν τα προσωπικά δεδομένα συναντούν ασύρματες συνδέσεις, τα πράγματα μπορούν να γίνουν περίπλοκα. Κρατήστε το απλό - μείνετε προστατευμένο.