Werbung

3599 Dollar sind eine Menge Geld.

Es könnte Ihnen ein anständiges gebrauchtes Auto oder einen relativ ausgetricksten iMac bringen. Sie könnten 3599 McChicken Burger oder 2589 McDoubles kaufen. Oder es könnte Ihnen das Samsung RF28HMELBSR bringen.

Dieser (bissig benannte) Kühlschrank hat alles. Es verfügt über vier Türen, einen riesigen Raum von 28 Kubikfuß und ein integriertes 8-Zoll-WLAN-fähiges LCD Touchscreen-Display, mit dem Sie alles tun können, vom Lesen der Nachrichten bis zur Fernsteuerung Ihres Android Smartphone.

Wenn es Ihnen bekannt vorkommt, liegt es daran, dass es einmal auf meiner Liste der dümmste Smart Home-Produkte aller Zeiten Tweeten von Kühlschränken und webgesteuerten Reiskochern: 9 der dümmsten Smart Home-GeräteEs gibt viele Smart-Home-Geräte, die Ihre Zeit und Ihr Geld wert sind. Es gibt aber auch Arten, die niemals das Licht der Welt erblicken sollten. Hier sind 9 der schlimmsten. Weiterlesen . Und habe ich schon erwähnt, dass es mit einer massiven, klaffenden Sicherheitslücke geliefert wird?

instagram viewer

Intelligenter Kühlschrank, dummer Fehler

Ja, bei aller Raffinesse wurde dieser Kühlschrank mit einer erheblichen Sicherheitslücke ausgeliefert, durch die ein Angreifer möglicherweise heimlich die Anmeldeinformationen für Google Mail abrufen kann.

Die Sicherheitsanfälligkeit wurde zuerst gemeldet im Register am 24. August und von der britischen Infosec-Firma entdeckt Pen Test Parters während der Teilnahme an einer Hacking-Herausforderung im Internet der Dinge (IoT) in letzter Zeit Defcon 23 Konferenz.

Über den integrierten Touchscreen dieses Kühlschranks kann der Nutzer auf seinen eigenen Google Kalender zugreifen. Verbindungen zu und von den Servern von Google werden verschlüsselt mit SSL-Verschlüsselung Was ist ein SSL-Zertifikat und benötigen Sie eines?Das Surfen im Internet kann beängstigend sein, wenn es um persönliche Informationen geht. Weiterlesen Die Implementierung von SSL durch Samsung überprüft jedoch nicht die Gültigkeit der Zertifikate.

RF28HMELBSR

Dies stellt ein ernstes Sicherheitsproblem dar, da jeder im Netzwerk in der Lage wäre, a zu starten "Der Mann in der Mitte" Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärtWenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen angreifen und die Anmeldeinformationen des Benutzers während der Übertragung abfangen. Ein Angreifer kann sie auch durch Spoofing eines Zugriffspunkts oder durch einen drahtlosen Deauthentifizierungsangriff erhalten.

Samsung hat dies angekündigt "Untersuchung dieser Angelegenheit so schnell wie möglich"und arbeiten vermutlich mit Hochdruck daran, eine Lösung zu finden. Diese Episode zeigt jedoch auf interessante Weise, wie schlecht die Sicherheit im Internet der Dinge schief gehen kann.

(In) Sicherheit in einer vernetzten Welt der Dinge

In der Vergangenheit haben wir ausführlich über die Risiken gesprochen, die das Internet der Dinge mit sich bringt aus einer Privatsphäre Warum das Internet der Dinge der größte Sicherheitsalptraum istEines Tages kommen Sie von der Arbeit nach Hause und stellen fest, dass Ihr Cloud-fähiges Haussicherungssystem verletzt wurde. Wie konnte das passieren? Mit dem Internet der Dinge (Internet of Things, IoT) können Sie es auf die harte Tour herausfinden. Weiterlesen und aus sicherheitstechnischer und soziologischer Sicht 7 Gründe, warum das Internet der Dinge Sie erschrecken sollteDie potenziellen Vorteile des Internet der Dinge werden immer größer, während die Gefahren in die ruhigen Schatten geworfen werden. Es ist Zeit, mit sieben schrecklichen Versprechungen des IoT auf diese Gefahren aufmerksam zu machen. Weiterlesen . Es ist schwierig, sie anzusprechen, da wir bei der Sicherung des Internets der Dinge auf einige Probleme stoßen.

Erstens sind diese Geräte keine PCs oder Telefone, da sie einheitlich einfach zu aktualisieren sind (Windows 10 installiert sogar Updates in Ihrem Namen So deaktivieren Sie automatische App-Updates in Windows 10Das Deaktivieren von Systemupdates wird nicht empfohlen. Wenn nötig, gehen Sie wie folgt unter Windows 10 vor. Weiterlesen ) und die dahinter stehenden Anbieter sind beteiligt und veröffentlichen regelmäßig Software- und Sicherheitsupdates. Viele Smart-Home-Produkte werden nicht drahtlos aktualisiert, sodass Sie entweder komplizierte oder komplizierte Produkte verwenden müssen unzuverlässige Softwarepakete, Wechselspeicher oder einfach nicht das Aktualisieren der Firmware unter alle.

Wie aktualisieren Sie beispielsweise eine miteinander verbundene Kaffeekanne oder einen Computerthermostat? Es gibt keine einfache, universelle Möglichkeit, dies zu tun.

Es ist auch wichtig, die Tatsache anzusprechen, dass viele dieser Geräte jetzt von normalen Leuten in ihren eigenen vier Wänden gebaut werden. Arduino und Raspberry Pi haben es uns ermöglicht, Netzwerkkonnektivität und computergestützte Logik an Orten einzuführen, die wir nie für möglich gehalten hätten, während Produkte wie Microsoft Windows 10 für IoT Windows 10 - Kommen Sie zu einem Arduino in Ihrer Nähe? Weiterlesen hat es einfacher gemacht, diese Geräte dem breiteren Internet zugänglich zu machen und gleichzeitig eine Welt voller Chancen und Risiken zu eröffnen.

Samsung-Experimentierkit

Während viele erfahrene Entwickler wissen, wie man diese Geräte auf sichere Weise baut, tun dies viel zu viele Anfänger und Hobby-Entwickler nicht.

Dann kommen wir zum Problem der Langlebigkeit. Auch dieses Problem ist in der Smart Home-Welt einzigartig. Denn während auf Ihrem PC und Telefon Software ausgeführt wird, die von Unternehmen mit langer Geschichte und tiefen Taschen entwickelt wurde, ist dies bei den meisten Ihrer Smart Home-Geräte nicht der Fall.

Die überwiegende Mehrheit dieser Unternehmen sind Startups im frühen bis späten Stadium, viele von ihnen befinden sich in einem vorläufigen Stadium ihrer Entwicklung. Was passiert mit den Produkten, die sie bereits ausgeliefert haben, wenn sie heruntergefahren werden? Wer schreibt Software-Updates und Sicherheitspatches?

Wie wir in der Vergangenheit geschrieben haben, Hardware-Starts sind schwierig Warum Hardware-Startups schwierig sind: ErgoDox zum Leben erweckenHier ist eine kontroverse Meinung für Sie: Das Starten eines Software-Starts ist einfach. Hardware dagegen? Hardware-Starts sind schwierig. Sehr hart. Weiterlesen . Bereits in diesem Jahr haben wir gesehen erhebliche Entlassungen bei Leeo und Wink - zwei der größten Smart Home-Startups. Viel mehr - wie Lumos - haben es nicht geschafft, ganz in Gang zu kommen.

Die vielleicht größte und dauerhafteste Bedrohung für die Sicherheit von Smart Home und Internet of Things besteht jedoch darin, dass diese Geräte für eine längere Lebensdauer ausgelegt sind, als es die Hersteller bevorzugen würden. Eingebettete Systeme und Smart Home-Produkte können jahrelang sehr glücklich funktionieren. Viele davon funktionieren nicht mit einem Abonnementdienst.

Erwarten wir, dass Nest und Philips so lange Updates anbieten? Microsoft unterstützte Windows XP Was die Windows XPocalypse für Sie bedeutetMicrosoft wird die Unterstützung für Windows XP im April 2014 einstellen. Dies hat schwerwiegende Folgen für Unternehmen und Verbraucher. Folgendes sollten Sie wissen, wenn Sie noch Windows XP ausführen. Weiterlesen ?

Aus dem LAN ins Feuer

Diese Sicherheitsprobleme werden durch die Tatsache, dass viele dieser Geräte vorhanden sind, erheblich verschärft verbunden mit dem breiteren Internet und remote zugänglich, wodurch ein smorgasbord an Sicherheit eingeführt wird Bedenken.

Denn wenn Sie etwas mit dem Internet verbinden, führen Sie einen neuen Angriffsvektor für jeden ein, der so motiviert ist. Anstatt sich mit Ihrem Heimnetzwerk verbinden zu müssen, kann jemand es einfach aus der Ferne kompromittieren.

Es ist auch einfacher als Sie denken. Es gibt sogar eine Suchmaschine für eingebettete Systeme. genannt Shodan. Mit nur wenigen Tastenanschlägen finden Sie Systeme, die weltweit dem Internet ausgesetzt waren - von Kraftwerken in Japan über Webcams in Holland bis hin zu VoIP-Telefonen in New York.

Samsung-Shodan-Iot

Durch die einfache Suche nach „Web Cam“ werden Tausende von remote zugänglichen Webcams angezeigt. Ich habe jedoch auf keinen zugegriffen, da dies mit ziemlicher Sicherheit zu mir führen würde Verstoß gegen das Computer Misuse Act von 1990 The Computer Misuse Act: Das Gesetz, das Hacking in Großbritannien unter Strafe stelltIn Großbritannien befasst sich der Computer Misuse Act von 1990 mit Hacking-Verbrechen. Diese umstrittene Gesetzgebung wurde kürzlich aktualisiert, um der britischen Geheimdienstorganisation GCHQ das gesetzliche Recht zu geben, sich in jeden Computer zu hacken. Sogar deine. Weiterlesen .

Samsung-Shodan-Webcam

Es ist gruselig. Wir haben damit begonnen, unsere Häuser mit dem Internet vertraut zu machen. Es ist trivial einfach, sie zu finden und gezielte Angriffe auf sie zu starten. Wir sollten besorgt sein.

Was kann also getan werden?

Sicherheitslücken, wie sie im Android-Kühlschrank von Samsung zu finden sind, werden immer vorhanden sein. Solange es für Anbieter einfach ist, Korrekturen vorzunehmen, und diese während der gesamten Lebensdauer der Geräte ständig aktualisiert werden, ist dies kein allzu großes Problem.

Es ist jedoch wichtig, dass wir uns mit den anderen Themen befassen. Es müssen Anstrengungen unternommen werden, um sicherzustellen, dass die Entwickler von Smart Home- und IoT-Produkten wissen, wie man sichere Systeme entwickelt. Dies könnte durch eine größere Kontaktaufnahme mit der Sicherheitsgemeinschaft erreicht werden.

Hierfür gibt es eine Reihe von Präzedenzfällen. Das OWASP-Projekt (Open Web Application Security Project) ist eine, die sofort in den Sinn kommt. Das 2004 gestartete Programm hat frei verfügbares Lehrmaterial erstellt, das Entwicklern das Erstellen sicherer Websites und Hackern das ordnungsgemäße Testen der Sicherheit von Webanwendungen beibringt.

Owasp-Präsentation

Es gibt keinen Grund, warum etwas Ähnliches nicht für die Smart-Home-Welt und für Internet-of-Things-Entwickler geschaffen werden könnte.

Darüber hinaus müssen wir sicherstellen, dass Smart Home-Systeme aktualisiert und gewartet werden, auch wenn die Anbieter ausfallen. Dies kann erreicht werden, indem jeder seinen Code in a freigibt Quellcode-Treuhandkonto, wenn der Code freigegeben wird, wenn das Unternehmen Insolvenz anmeldet oder die Software auf andere Weise nicht in zufriedenstellender Weise wartet.

Und als Verbraucher sollten wir anfangen, mehr von den Anbietern zu fordern. Wir sollten verlangen, dass die von uns gekauften Geräte während der gesamten Lebensdauer des Produkts mit Sicherheitspatches unterstützt werden. Wir sollten erwarten, dass alle Sicherheitsprobleme schnell und entschlossen gelöst werden. Wir sollten erwarten, dass Anbieter Sicherheitsbedrohungen mit absoluter Transparenz behandeln. Und wir sollten keine Anbieter bevormunden, die diesen mageren Standard nicht erfüllen.

Dies sind alles relativ kleine Änderungen, aber es gibt keinen Grund zu der Annahme, dass sie nicht zu sichereren Smart Home-Geräten führen würden. Aber was denkst du?

Wenn Sie irgendwelche Gedanken haben oder Horrorgeschichten über IoT-Unsicherheit haben, möchte ich davon hören. Lass es mich in den Kommentaren unten wissen und wir werden uns unterhalten.

Bildnachweis: Arduino Experimentierkit (Oomlout), IMG_5145 (JWalsh)

Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er wird selten ohne eine Tasse starken schwarzen Kaffee in der Hand gefunden und liebt sein Macbook Pro und seine Kamera. Sie können seinen Blog unter lesen http://www.matthewhughes.co.uk und folge ihm auf Twitter unter @matthewhughes.