DEF CON og Black Hat er ikke rappere med gjesteplasser på Jay-Zs nye album; de er et par sikkerhetskonferanser som du sannsynligvis aldri har hørt om eller lagt merke til. Det kan være lurt å endre det i år. En stor del av disse konferansene er presentasjoner av sikkerhetsfagpersoner (som er uttalt "hackere") som bruker dagene på å bryte seg inn i alt digitalt, og årets agendaer er stablet med demonstrasjoner av utnyttelser mot tilkoblet hjemmeteknologi. Eksplosjonen av ellers verdslige internettaktiverte enheter - termostater, lyspærer, ovner, TV-er, listen fortsetter - har alle fra manuskriptbarn til etterretningsbyråer like begeistret for de nye angrepsveiene som disse gadgets og apparater åpner. Alle enheter som kan snakke med en annen enhet eller internett kan potensielt hackes for å gjøre noe utilsiktet av skaperen eller eieren, og dette vil snart bli demonstrert offentlig på Black Hat #Fouladi og DEF CON.
Hvorfor bekymre seg?
Riktignok kan det hende at en hacker som følger din internettaktiverte brødrister, ikke er lukrativ på samme måte som å stjele identiteten din eller banklegitimasjonen din, men penger er ikke alltid motivet i hackingskretser. Mange av de mest skadelige angrepene på datamaskiner har blitt utført for sjokkverdi, underjordisk troverdighet eller profesjonelt omdømme. Å brenne et hjem ved å hacke tilkoblede apparater ville være verdt mye mer kred enn å bestemme bestemorens datamaskin. Dette er riktignok et verste scenario, men det er utallige måter som et kompromittert tilknyttet hjem kan brukes til å ødelegge dagen. En hacket babymonitor kan brukes av potensielle innbruddstyver for å finne ut når du ikke er hjemme, manuskriptbarnet ved siden av kan stenge av varmen midt på vinteren og sprengte rørene dine ved å hacke din internettforbundne termostat, eller slå av ditt smart-grid kjøleskap og ødelegge all maten. For noen år tilbake var proof-of-concept-angrep mot kompromitterte nettverkslaserskrivere i stand til å få dem til å bli papir. Tilbake da jeg hadde X10-automatiseringsbrytere i hele huset, pleide venner å kjøre forbi og rote med lysene mine, bare for moro skyld. Utnyttelse mot en X10-etterfølger, Z-Wave, vil snart bli demoed på BlackHat og DEF CON.
Poenget: Dette er ikke bare tinfoil-hat ting; det er mange sannsynlige angrep mot et tilknyttet hjem. I motsetning til irritasjonsfaktoren når en datamaskin blir hacket, kan det få fysiske konsekvenser i den virkelige verden når usikrede tilkoblede apparater utnyttes.
Usikker som standard
Sann sikkerhet handler om å balansere risiko og belønning
Sikkerhet er ofte en ettertanke i utformingen av tilkoblede enheter. Det er ikke noe de fleste forbrukere er opplært til, og det er ofte vanskelig å beskrive det på en punkt eller i avkrysningsruten ("Sikkerhet: Ja"). Videre har mange av de gamle produsentene som går inn i det tilkoblede enhetsområdet ikke institusjonell kunnskap om sikkerhet; det har ikke historisk vært et problem for for eksempel kjøleskap. I dragkampen for produktutvikling mellom sikkerhet og bekvemmelighet er sikkerhet vanligvis taperen. Et godt eksempel kan sees når du kobler telefonen til et Bluetooth-hodesett eller bilen din. Ofte blir du bedt om en PIN-kode, men det er vanligvis alle nuller (faktisk er det så vanlig at noen nye enheter bare prøver alle nuller og aldri ber om en PIN-kode i det hele tatt hvis det fungerer). Sammenkoblings-PIN-koden er en sikkerhetsfunksjon innebygd i Bluetooth for å forhindre at en angriper forstyrrer på en måte som muliggjør senere avlytting av den krypterte tilkoblingen, men den har blitt sterilisert effektivt av de mange produsentene som velger å ikke bruke den på bekvemmelighetsnavnet. Et angrep på et hodesett kan bare føre til noe saftig sladder fra telefonsamtalene dine som går rundt på neste blokkfest, men konsekvensene av et paringsangrep kan være mye verre med noe som en dørlås eller garasjeportåpner.Hva å gjøre?
Vi kan ha deg så redd nå at du er fristet til å bare leve det luddittiske livet; vær trygg på at det ikke er vår intensjon. Vi elsker ideen om det tilknyttede hjemmet, men rimelige grep bør tas for å beskytte deg mot å få det brukt mot deg.
Sikre nettverket ditt
Dette burde si seg selv, men vet hvordan du sikrer WiFi-nettverket ditt. Det er nesten ingen unnskyldning for å kjøre et åpent ukryptert WiFi-nettverk. Hvis ruteren din er mer enn noen få år gammel, er oddsen at sikkerhetsmekanismene sannsynligvis kan utnyttes, og den bør byttes ut. Nyere WiFi-rutere har innebygde gjestenettverksfunksjoner som kan isolere upålitelige enheter fra hverandre og fra resten av nettverket - en nyttig funksjon for de fleste enheter som bare trenger internettilgang og ikke trenger å snakke med andre enheter. Ekstra konfigurasjon kan være nødvendig for å sikre sikre enheter som trenger å snakke med hverandre (for eksempel automatiseringskontrollere og sikkerhetskameraer), men det er mulig å begrense denne kommunikasjonen uten å avsløre resten av hjemmets nettverk.
Vet hva som er hjemme hos deg
Hold oversikt over tilkoblede apparater og andre enheter (inkludert produsentnavn og modellnummer). Når du tar med deg en ny enhet, oppdater listen. Lær deg selv om noen grunnleggende sikkerhetsprinsipper før du ønsker nye tilkoblede enheter velkommen i hjemmet ditt. Hvordan kobles enheten til (Bluetooth, WiFi, GSM, noe proprietært)? Hvis den kan kontrolleres av en nettbrettapp eller datamaskin, hvordan fungerer tilknytningsprosessen? Er det en PIN-kode eller et passord? Er prosessen kryptert? Hvordan fungerer oppdateringer, og hvor lenge vil de bli gitt? Denne informasjonen skal være tilgjengelig fra produsentene, enten publisert på deres nettsider i tekniske spesifikasjoner, eller ved å kontakte kundestøtte. Hvis en produsent ikke kan eller ikke vil svare på disse spørsmålene for deg, kan du stemme med lommeboken og ta pengene dine andre steder.
Enheter som magisk "bare fungerer" uten noen form for sikker tilknytningsprosess eller kryptering involvert, kan være modne for hacking. Sann sikkerhet handler om å balansere risiko og belønning; mengden skade som kan gjøres av noen som utnytter en Bluetooth-lydbjelke eller en WiFi-aktivert LED-lyspære er sannsynligvis ganske minimal sammenlignet med fordelene ved å ha slike ting rundt. Skripten kiddie ved siden av kan være i stand til å plage deg om Justin Bieber-fetisj eller kjøre en improvisert lysshow på din krone, men det er ikke verdens ende. På den annen side fortjener absolutt tingene en dårlig fyr kan gjøre med større tilkoblede apparater, internettaktivert oppvarming og sikkerhetssystemer.
Holde oppdatert
Sett opp en vanlig tidsplan for å se etter oppdateringer og utnyttelse av elementene på listen over tilkoblede enheter. Noen enheter kan oppdateres automatisk; enda bedre! Godt oppførte produsenter bør tilby sikkerhetsoppdateringer i årevis, men andre kaller det gjort når det er sendt, og gå videre til neste prosjekt. Google rundt for kjente utnyttelser mot de tilkoblede enhetene i hjemmet ditt. Hvis du finner noen, og produsenten ikke har levert oppdateringer som adresserer dem, kan det være på tide å trekke den aktuelle enheten. Noen ganger er det verdt risikoen å fortsette å bruke en utnyttbar enhet, men det er best å bli informert.
På slutten av dagen er det tilkoblede hjemmet kommet for å bli. Akkurat som de tidligere bølgene innen hjemmebruk og mobil databehandling, er det sikkert noen voksende smerter når produsenter fomler seg gjennom sikkerhet. Vi håper flere produsenter av tilkoblede enheter vil ta sikkerhet på alvor, før de mindre velsmakende deltakerne på Black Hat og DEF CON begynner å leke med de nye lekene dine.
