211service.com
Ett internet av förrädiska saker
Många science fiction-historier visar vanliga hushållsapparater som iscensätter ett uppror. I ett avsnitt av futurama , brödrostar och hemrobotar reser sig mot sina mänskliga förtryckare. Två trender börjar nu göra att sådana scenarier verkar mindre långsökta.
Den ena är vågen av Internet of things-enheter som utvecklas för hem – i full visning på CES-mässan förra veckan. Den andra är den ökade hackningen av hemnätverksutrustning – vilket demonstreras av en zombiehord av hemnätverksroutrar som nyligen upptäckts.
Dussintals företag visade upp internetanslutna enheter och apparater på CES, från intelligenta glödlampor till tvättmaskiner som styrs av smartphone. Samsung gick så långt som att lova att alla dess produkter skulle vara internetanslutna till 2020 (se CES 2015: The Internet of Just About Everything ).
Under tiden Brian Krebs, en säkerhetsforskare och författare, avslöjade förra veckan att hackare hade byggt upp ett nätverk som heter Lizard Stressor som andra människor kan använda för att ta webbsidor offline, antingen för att skapa olägenhet eller i kriminella syften. Nätverk av persondatorer eller servrar som förvandlas till bots är inget nytt. Vad Krebs avslöjade är dock att Lizard Stressor förlitar sig på routrar som används i hem och kommersiella nätverk. Infekterade eller komprometterade enheter som är anslutna till ett hemnätverk kan användas för mer ondskefulla syften. De kan ge en utgångspunkt för inbrott i persondatorer, eller användas för att fånga data som passerar över hemnätverket, inklusive lösenord eller kreditkortsuppgifter.
Lättheten med vilken dessa routrar äventyrades är kanske inte förvånande. Det är väldokumenterat att de flesta hemroutrar levereras med lättanvänd programvara eller med en administrativ kontrollpanel som använder ett standardanvändarnamn och lösenord som admin.
Smarta enheter har vanligtvis liknande nätverksfunktioner. Och eftersom fler hushållsapparater är datoriserade och anslutna till Internet, kan hackare vända sin uppmärksamhet mot dessa nya mål.
Olika faktorer bidrar till osäkerheten hos hemnätverksutrustning. Konsumenter köper vanligtvis inte utrustning baserad på säkerhetskraven som används av IT-proffs, såsom en garanti för uppgraderingar av operativsystem under en viss tidsperiod. Det låga priset driver snarare upp köpvanor och funktioner är ojämnt inkluderade i billigare hårdvara, även från större leverantörer.
Det finns också en spänning mellan att skärpa säkerheten och att göra saker bekväma för användarna. Att ställa in ett unikt kontonamn och lösenord för varje router skulle vara relativt trivialt, liksom att kräva ett fysiskt steg under autentiseringen som att sätta i en USB. Men sådana säkerhetsåtgärder frustrerar många användare. Och detta leder till att de ringer kundsupportsamtal och returnerar sådana enheter till butiken.
Även när enheter är utformade på ett säkert sätt kan öppna portar som är utformade för att tillåta legitim kommunikation med andra datorer tillåta oavsiktlig fjärråtkomst, och programvara kan vara inaktuell. I september sa ett företag 1,2 miljoner routrar med ett gemensamt protokoll kunde lätt angripas . I december upptäcktes en bugg som korrigerades 2002 att stilla finns på 12 miljoner hemroutrar . En vanlig metod för internetleverantörer att komma åt kundroutrar är också en trolig väg för utnyttjande för miljontals enheter.
Enheter – även de som släpps av stora tillverkare – tenderar inte att uppgraderas av tre anledningar: tillverkare slutar stödja för att hålla kostnaderna nere; tillverkare går under eller lämnar verksamheten; och kunder kan vara dåligt rustade att hantera den tekniska driften av att uppgradera firmware, vilket kan innebära att man laddar ner en patch och laddar upp en via ett administrativt gränssnitt i en webbläsare.
Hundratals miljoner hem- och småkontorsroutrar är redan utplacerade över hela världen. Antalet Internet of things-enheter uppskattas i intervallet fyra till fem miljarder idag och förväntas växa till 25 till 50 miljarder inom fem år. Sådana enheter kan ha svagheter som liknar de som finns i hemnätverksutrustning, särskilt när företag skyndar sig att producera nya produkter.
Vissa tillsynsmyndigheter verkar vara medvetna om fallgroparna och verkar angelägna om att förebygga den typ av sårbarheter som drabbar tidigare generationer av inbäddade enheter. U.S. Federal Trade Commissions ordförande, Edith Ramirez, levererade en åtta sidor lång huvudtal på CES som beskriver sin byrås oro för integritet, datainsamling och säkerhet, och gör tillverkare av Internet of things-enheter informerade. Kanske den här gången kommer de att lyssna.