Sadržaj:
Video: The Internet of Things by James Whittaker of Microsoft (Studeni 2024)
Ako je industrija Interneta stvari (IoT) u redu za Jedije, s svjetlosnim snopovima Philips Huea i "pametnim" moćnim silama utemeljenim u oblaku, onda je popularni Twitter račun Internet of Shit Sith Lord. U vrijeme kada tehnološka industrija izgleda želi ubaciti čip u sve, posljedice su proklete, Internet od govno postavlja ime nove, beskorisne elektronike i naglašava da neki od tih proizvoda možda nisu tako benigni koliko mislimo.
Internet Shit's Twitter računa usredotočen je na nišu i popularnost. U slučaju, recimo, plaćanja obroka pomoću pametne boce s vodom, s pravom se dovodi u pitanje uslužni program. Ističe apsurdnost potrebe čekanja osnovnih potrepština, poput svjetla i topline, koje su nedostupne nakon što "pametni" proizvodi dobiju ažuriranja firmvera.
svaki put kad izađe novi gadget pic.twitter.com/khHKAOcLbv
- Internet od sranja (@internetofshit) 23. siječnja 2017
Kao što možete zamisliti, Internet sranja može osvijestiti industriju kojoj se tako učinkovito ruga jer joj je ta industrija blizu srca. "To se dogodilo prirodno", rekao je IOS. "Provodio sam puno vremena na Kickstarteru i vidio sam uspon Interneta stvari tamo. Izgledalo je kao da je svaki drugi dan neki svjetovni objekt ubacio čip u njega, ali nitko - čak ni u medijima - nije bio takav kritički o tome. Rekli bi samo stvari poput: "Jao, konačno možemo dobiti kišobran na internetu."
IOS sebe smatra nečim zagovornikom vraga ili kolektivnom savješću potrošačke kulture. U njegovim očima na Twitter računu je prijeko potrebna provjera ispravnosti lažiranja optimizma Silicijske doline. "Kad idemo predaleko, važno pitanje koje ljudi obično zaboravljaju je: kome to zapravo treba? Pećnica koja ne može pravilno kuhati bez interneta? Zašto ljudi ne dizajniraju ovo bolje?"
Ali više od lošeg dizajna i temeljnih tvrdnji o korisnosti, glavna briga IOS-a odnosi se na privatnost i, u konačnici, na osobnu sigurnost: "Mada, vidim da je IoT sam po sebi rizičan. Ne vjerujem tim tvrtkama da ne propuštaju moje podatke ili ne u budućnosti biti ozbiljno hakiran."
U mediju objavljenom početkom života Twitter računa, IOS je rekao da se brine da će kompanije početi tražiti načine kako unovčiti podatke prikupljene iz domova ljudi. Iz te priče: "Ako bi Nest želio povećati zaradu, mogao bi prodavati podatke o okolišu svog doma oglašivačima. Previše hladno? Amazonski oglasi za deke. Previše vruće? Oglas s natpisom za klima uređaj. Previše vlažno? Odvlaživači zraka na vašem Facebooku."
IOS i dalje stoji iza ovih problema. "Razlog zašto je IoT toliko uvjerljiv proizvođačima nije taj što dodaju pametne značajke u vaš život - to je samo nusproizvod", napisao mi je. "Tim više što oni dobivaju bez presedana uvid u to kako se ti uređaji koriste, kao na primjer koliko često, koje značajke najviše koristite i sve podatke koji uz to dolaze."
IOS kaže da IoT tvrtke trebaju biti puno bolje informirane o svojim pravilima prikupljanja podataka i tko može pristupiti informacijama koje mogu prikupiti ti uređaji. "Pitanje koje svi trebamo odlučiti je koja je razina pristupa koju smo spremni dati tim tvrtkama u zamjenu za podatke koje dobivaju - i kome u to vjerujemo, je ključno."
Na Božić 2016. godine, IOS je omogućio da njegova svjetla trepere kad god se njegova ručka spominje na Twitteru. Rezultati su bili intenzivni, antiklimaktični i kratki, ilustrirajući možda sve ono što IOS mrzi o Internetu stvari.
Internet nesigurnosti
Daleko gori od učinka koji beskorisni IoT uređaji imaju na novčanike potrošača je, međutim, učinak koji imaju na osobnu sigurnost. Strahovi tvrtke IOS na tržištu za podatke korisnika koje su prikupili IoT uređaji nisu naišli (kako mislite da besplatne aplikacije i besplatne internetske vijesti zarađuju?), A postoje i druge, vrlo stvarne prijetnje.
Sudionici konferencije Black Hat 2016 obrađeni su snimcima istraživača sigurnosti Eyala Ronena. Pomoću svog istraživanja uspio je preuzeti kontrolu nad svjetlima Philips Hue iz bespilotnih letelica koje su lebdile izvan uredske zgrade. Napad je bio značajan ne samo po dramatičnim rezultatima i upotrebi drona, već i zbog toga što je u zgradi bilo nekoliko poznatih zaštitarske tvrtke.
Ronen mi je objasnio da pokušava pokazati kako je moguć napad na vrhunsku liniju IoT uređaja. "Puno je IoT hakova usmjerenih na uređaje nižeg razreda koji nemaju pravu sigurnost. Željeli smo testirati sigurnost proizvoda koji bi trebao biti siguran", rekao je. Također je želio napasti poznatu tvrtku i nastanio se na Philipsu. Ronen je rekao da je teže ispucati nego što se u početku mislilo, ali on i njegov tim pronašli su i iskoristili bugu u softveru ZigBee Light Link, komunikacijskom protokolu treće strane koji koristi nekoliko tvrtki IoT i smatra se zrelim i sigurnim sustavom.
"Koristi napredne kriptografske primitive i posjeduje snažne sigurnosne tvrdnje", rekao je Ronen. "Ali na kraju, u relativno kratkom vremenu s vrlo jeftinim hardverom u vrijednosti od oko 1000 dolara, uspjeli smo ga slomiti", rekao je Ronen.
Video Ronenovog napada (gore) prikazuje svjetla zgrade koja neprestano treperi, slijedeći njegove naredbe koje su daljinski poslane lebdećim dronom. Ako bi vam se to dogodilo, bilo bi neugodno - možda ne iritantnije od bilo kojeg scenarija koji IOS ističe na svom Twitter računu. Ali sigurnosni profesionalci tvrde da za IoT sigurnost postoje daleko veće posljedice.
"U prethodnom radu pokazali smo kako pomoću svjetala koristimo svjetla za iscrpljivanje podataka iz mreže koja propušta zrak i izazivaju epileptične napadaje. U ovom radu pokazujemo kako možemo koristiti svjetla za napad na električnu mrežu i zastoj Wi-Fi-ja", rekao je Ronen mi. "IoT ulazi u svaki dio našeg života, a sigurnost toga može utjecati na sve, od medicinskih uređaja do automobila i domova."
Nedostatak standarda
Ronenov napad iskoristio je blizinu, ali glavni istraživač sigurnosti Alexandru Balan u Bitdefenderu opisao je mnoge druge sigurnosne greške koje su nađene u nekim IoT uređajima. Tvrde lozinke, rekao je, posebno su problematične, kao i uređaji konfigurirani za pristup putem otvorenog interneta.
Upravo je ta kombinacija pristupačnosti Internetu i jednostavnih zadanih lozinki prouzročila pustoš u listopadu 2016., kada je Mirai botnet uzeo glavne usluge poput Netflixa i Hulu ili izvan mreže ili ih učinio tako sporima da nisu neupotrebljivi. Nekoliko tjedana kasnije, varijanta Mirai ugušila je pristup internetu u cijeloj naciji Liberije.
Nedugo nakon što su procurile vijesti o Mirai, pogledao sam ovaj scenarij i okrivio IoT industriju za ignoriranje upozorenja o lošoj provjeri autentičnosti i nepotrebnoj internetskoj dostupnosti. Ali Balan ne bi išao toliko daleko da bi nazvao ove mane očitim. "trebate napraviti obrnuti inženjering na upravljačkom programu za izdvajanje tih vjerodajnica, ali vrlo često se događa da na uređajima pronađu tvrdo kodirane vjerodajnice. Razlog za to je što u mnogim slučajevima nema standarda kada je u pitanju IoT sigurnost."
Ranjivosti poput ovih nastaju, hipotetizira Balan, jer IoT tvrtke djeluju samostalno, bez opće prihvaćenih standarda ili sigurnosne stručnosti. "Lakše je izgraditi ovako. I možete reći da sjeku kutove, ali glavno je pitanje što ne gledaju kako ih pravilno graditi na siguran način. Oni to samo pokušavaju napraviti rade ispravno."
Čak i kada tvrtke razvijaju popravke za napade poput onog koji je Ronen otkrio, neki IoT uređaji ne mogu primijeniti automatska ažuriranja. To opterećuje potrošače da sami pronađu i primijene zakrpe, što može biti posebno zastrašujuće na uređajima koji se ne trebaju servisirati.
Ali čak i kod uređaja koji se mogu lako ažurirati, ranjivosti i dalje postoje. Nekoliko istraživača pokazalo je da nisu svi IoT programeri svoja ažuriranja potpisali kriptografskim potpisom. Softver s potpisom šifriran je privatnom polovicom asimetričnog kriptografskog ključa u vlasništvu programera. Uređaji koji primaju ažuriranje imaju javnu polovinu ključa koji se koristi za dešifriranje ažuriranja. To osigurava da je ažuriranje službeno i da nije narušeno, jer će za potpisivanje zlonamjernog ažuriranja ili izmjene softverskog ažuriranja biti potreban tajni ključ programera. "Ako ne digitalno potpišu svoja ažuriranja, mogu se oteti, mogu se dirati; u ta ažuriranja može se unijeti kôd", rekao je Balan.
Dalje od jednostavnog uključivanja i isključivanja lampica, Balan je rekao da se zaraženi IoT uređaji mogu koristiti kao dio botneta, kao što je vidljivo s Miraiem, ili u daleko više podmukle svrhe. "Mogu vam izdvojiti vjerodajnice za Wi-Fi, jer ste ga očito spojili na svoju Wi-Fi mrežu i pošto ste kao Linux okvir, mogu to upotrijebiti za okretanje i pokretanje napada u vašoj bežičnoj mreži.
"Unutar privatnosti vlastite LAN mreže mehanizmi provjere autentičnosti su lagani", nastavio je Balan. "Problem s LAN-om je taj što jednom kada se budem nalazio u vašoj privatnoj mreži, mogu imati pristup gotovo svemu što se tamo događa." Zapravo, korumpirani IoT postaje centar plaže za napade na vrijednije uređaje na istoj mreži, poput mrežnog priložene pohrane ili osobnih računala.
Možda to govori da je sigurnosna industrija počela pažljivo promatrati IoT. U posljednjih nekoliko godina na tržište je ušlo nekoliko proizvoda koji tvrde da štite IoT uređaje od napada. Vidio sam ili čitao o nekoliko takvih proizvoda i pregledao ponudu Bitdefendera. Nazvan Bitdefender okvir, uređaj se priključuje na vašu postojeću mrežu i pruža antivirusnu zaštitu za svaki uređaj u vašoj mreži. Čak provjerava vaše uređaje za potencijalne slabosti. Bitdefender će ove godine lansirati drugu verziju svog Box uređaja. Norton će ući u svoju ponudu (ispod), hvaleći se dubinskim pregledom paketa, dok je F-Secure najavio i hardverski uređaj.
Kao jedan od prvih koji se plasirao na tržište, Bitdefender se nalazi na jedinstvenom položaju da ima pozadinu sigurnosti softvera - a zatim dizajnira potrošački hardver koji bi, pretpostavljamo, bio besprijekorno siguran. Kakvo je bilo to iskustvo? "Bilo je jako teško", odgovori Balan.
Bitdefender ima program za stvaranje bugova (novčana nagrada koja se nudi programerima koji otkriju i pruže rješenje za pogrešku na web stranici ili u aplikaciji), što je Balan potvrdio da je pomogao u razvoju okvira. "Nijedna tvrtka ne bi trebala biti dovoljno arogantna da vjeruje da može sama pronaći sve bugove. Zbog toga postoje programi obuzdanih pogrešaka, ali izazov s hardverom je taj što možda postoje stražnjice unutar stvarnih čipova."
"Znamo na što treba paziti i na što moramo pogledati, a zapravo imamo tim za hardver koji se može rastaviti i pogledati svaku od komponenti na toj ploči. Srećom, ta ploča nije tako velika."
Nije sve sranje
Lako je popustiti cijeloj industriji na temelju svojih najgorih aktera, a isto vrijedi i za Internet stvari. Ali George Yianni, šef tehnologije za kućne sustave, Philips Lighting, ovaj pogled smatra posebno frustrirajućim.
"Od početka smo se vrlo ozbiljno prihvatili. To je nova kategorija. Moramo izgraditi povjerenje, a oni zapravo štete povjerenju. I to je i razlog zašto mislim da je najveća sramota kod proizvoda koji nisu napravili tako dobar posao. narušava povjerenje u cjelokupnu kategoriju. Bilo koji proizvod može se napraviti loše. To nije kritika cijele industrije."
Kao što je često slučaj sa sigurnošću, kako tvrtka reagira na napad često je važnija od učinaka samog napada. U slučaju napada bespilotnih letelica na Philips uređaje, Yianni je objasnio da je Ronen svoje nalaze predao putem postojećeg programa tvrtke za odgovorno otkrivanje. Ovo su postupci koji se uspostavljaju kako bi se tvrtkama omogućilo vrijeme da odgovore na otkriće istraživača sigurnosti prije nego što je javno objavljeno. Na taj način potrošači se mogu uvjeriti da su sigurni, a istraživači dobivaju slavu.
Ronen je pronašao bugu u paketu softvera drugih proizvođača, rekao je Yianni. Konkretno, to je dio ZigBee standarda koji ograničava komunikaciju s uređajima na udaljenosti od dva metra. Ronenov je rad, kao što ćete se sjetiti, uspio preuzeti kontrolu s daljine - 40 metara udaljenom standardnom antenom i 100 metara s pojačanom antenom. Zahvaljujući odgovornom programu razotkrivanja, Yianni je rekla da je Philipsu uspio otkriti flaster na svjetla u polju prije nego što je Ronen svijetu rekao o napadu.
Vidjevši da se mnoge tvrtke bore za kršenje javne sigurnosti ili rezultat istraživanja istraživača sigurnosti, odgovor Yiannija i Philipsa možda zvuči kao naknadno tapkanje po činjenici - ali stvarno je bio uspješan. "Svi su naši proizvodi softverski ažurirani tako da se stvari mogu popraviti", rekao mi je Yianni. "Druga stvar koju radimo procjenom sigurnosnog rizika, sigurnosnom revizijom, prodorom testiranja na svim našim proizvodima. Ali tada pokrećemo i te procese odgovornih otkrivanja, tako da ako se nešto dogodi, možemo unaprijed saznati i popraviti to vrlo brzo.
"Imamo čitav proces u kojem možemo ažurirati softver iz cijelog našeg oblaka dolje i distribuirati ga na sva svjetla. To je vrlo važno, jer se prostor kreće tako brzo i to su proizvodi koji će trajati 15 godina. A ako ćemo se uvjeriti da su oni još uvijek relevantni u pogledu funkcionalnosti i da budemo dovoljno sigurni za najnovije napade, to moramo imati."
U prepisci sa mnom Ronen je potvrdio da je Philips doista obavio divan posao osiguravajući Hue sustav rasvjete. "Philips je uložio iznenađujuće napore u osiguravanje svjetala", rekao mi je Ronen. "Ali nažalost, neke osnovne sigurnosne pretpostavke koje su se oslanjale na temeljnu Atmelovu implementaciju čipove sigurnosti bile su pogrešne." Kao što je Balan istaknuo s Bitdefenderovim radom na Kutiji, svaki aspekt IoT uređaja podliježe napadu.
Philips je također osmislio da je središnji centar - uređaj potreban za koordiniranje mreža proizvoda Philips IoT - nedostupan s otvorenog interneta. "Sve veze s internetom pokreću se s uređaja. Nikada ne otvaramo portove na usmjerivačima niti ih stvaramo tako da uređaj na internetu može izravno razgovarati s njima", objasnio je Yianni. Umjesto toga, Hub šalje zahtjeve u Philipsovu oblačnu infrastrukturu, koji odgovara na zahtjev umjesto obrnuto. Ovo također omogućava Philipsu da doda dodatne slojeve kako bi zaštitili uređaje potrošača bez potrebe da posegnu u njihov dom i izvrše bilo kakve promjene. "Nije moguće komunicirati s njima izvan čvorišta, osim ako niste usmjereni kroz ovaj oblak gdje možemo izgraditi dodatne slojeve sigurnosti i nadzora."
Yianni je objasnio da je sve ovo dio višeslojnog pristupa koji je Philips osigurao osiguravanjem Hue sustava rasvjete. Budući da se sustav sastoji od nekoliko različitih dijelova - od hardvera unutar žarulja do softvera i hardvera na Hue Hub-u do aplikacije unutar telefona korisnika - trebalo je poduzeti različite mjere na svim razinama. "Svima su potrebne različite sigurnosne mjere da bi se zaštitili. Svi imaju različite razine rizika i ranjivosti. Dakle, mi radimo različite mjere za sve te različite dijelove", rekao je Yianni.
To je uključivalo testiranje prodora, ali i dizajn odozdo prema gore namijenjen sprečavanju napadača. "Ne postoje globalne lozinke poput one koja je korištena u ovom Mirai botnetu", rekao je Yianni. Zlonamjeran softver Mirai imao je na desetke zadanih pristupnih kodova koje će upotrijebiti u pokušaju preuzimanja IoT uređaja. "Svi imaju jedinstvene, asimetrično potpisane ključeve za provjeru firmware-a, sve ove stvari. Jedan uređaj ima hardver modificiran, nema globalnog rizika od toga", objasnio je.
To se odnosi i na vrijednost IoT uređaja. "Mnogo je tih proizvoda povezanost radi povezivanja", rekao je. "Potreba za automatizacijom svega u vašem domu nije problem koji ima mnogo potrošača, a to je vrlo teško zaobići glavu. Mislimo da proizvodi koji se dobro snalaze predstavljaju potrošače koji nude lakšu razumijevanje vrijednosti."
Neodoljivi Internet stvari
Poznavanje rizika za IoT, pa čak i priznavanje njegove neozbiljnosti, zasigurno nije spriječilo ljude da kupuju pametnu rasvjetu kao što je Philips Hue, kućne pomoćnike koji su uvijek slušali kao što su Google Home ili Amazon Echo, i da, pametne boce s vodom. Čak je i Internet Sranja velik obožavatelj IoT-a.
"Prava ironija iza interneta sranja je ta što sam sisa tih uređaja", rekao je IOS. "Ja sam rano usvojen i radim na tehnologiji, tako da puno vremena ne mogu odoljeti tim stvarima." IOS je među svojim futurističkim kućnim pogodnostima nabrojao Philips povezana svjetla, Tado termostat, Sense tracker spavanja, pametne zvučnike, Canary kameru i utikače povezane na Wi-Fi.
"Svjestan sam da je račun slučajno daleko veći nego što sam ikada zamislio i nikada ne želim obeshrabriti ljude da idu u tehnologiju - mislim da eksperimentiranje s glupim idejama može stvoriti sjajne ideje, a to je nešto da me je Simone Giertz pomalo naučio ", rekao je IOS.
Giertz, apsurdni robotik i YouTuber, um je iza Shitty Robots-a. Njene kreacije uključuju dronu koja daje frizure - ili bolje rečeno - i masivni šešir koji joj dramatično stavlja sunčane naočale na lice. Mislite na to kao Rube Goldberg sa zdravom dozom cinizma Silicijske doline.
Osoba koja stoji iza IOS-a izvještava da se ovih dana pokušava utažiti u svojim instinktima ranog usvajanja. "Mislim da je trenutak kada sam morao ažurirati firmver svojih žarulja da bih ih uključio bio pomalo realizacija za mene…"
Bitdefenderov Balan rekao je da koristi žarulje koje se udvostručuju kao Wi-Fi repetitore. Ovi uređaji proširuju svjetlost i Wi-Fi u svaki kutak njegovog doma. Ali oni su također opterećeni mnogim ranjivostima kojima je upravljao, uključujući slabe zadane lozinke. Međutim, kada je u pitanju IoT, on ostaje nepokopan.
"To je poput seksa", rekao mi je. "Ne biste to učinili bez kondoma. Mi volimo seks, seks je strašan, nećemo odustati od seksa samo zato što je opasan. Ali koristit ćemo zaštitu kada to radimo." Umjesto da upada u paranoju, vjeruje da bi se potrošači trebali pouzdati u zaštitarske tvrtke i obrazovane prijatelje koji mogu identificirati tvrtke koje ozbiljno shvataju sigurnost uz blagodati bugova i sigurne, česte alate za ažuriranje.
I koristi li bespilotni haker Ronen IoT? "Trenutno ne", rekao je. "Bojim se da učinak ima na moju privatnost i sigurnost. A prednosti nisu dovoljno visoke za moje potrebe."
Čak se i vaš skromni autor, koji je godinama odolijevao sirenskoj pjesmi detektora dima i svjetla koja mijenjaju boju, počeo raspadati. Nedavno, u nastojanju da pokrenem ured za blagdane, našao sam se kako postavljam tri zasebna pametna svjetla. Rezultat je bio zastrašujući, uvjerljivo lijep.
U međuvremenu, potpuno nova Philips Hue svjetlost sjedi u mojoj košarici za Amazon. Uskoro ću pritisnuti gumb.
