211service.com
Fler uppkopplade hem, fler problem
Som en växande siffra av internetanslutna hushållsapparater som kommer ut på marknaden oroar sig David Bryan och Daniel Crowley för att digitala ne'er-do-brunnar kommer att få nya sätt att ta kontroll över dessa enheter, låsa upp ditt hus, driva upp din värmeräkning, spola din toalett— eller ännu värre — på långt håll.
Bryan och Crowley, båda säkerhetsforskare vid Trustwave Holdings , har försökt slå detta larm sedan de hörde talas om Lockitron , en 179 $ gadget designad för att passa på en standard deadbolt och låter dig låsa eller låsa upp ditt hem från din smartphone. Vid den tiden hade enheten ännu inte börjat skickas till kunder, men det väckte Bryan och Crowleys nyfikenhet. De tänkte att de skulle prova andra smarta enheter medan de höll på, och under de senaste månaderna har de upptäckt att nästan alla, inklusive lampor, en våg och en toalett, hade betydande säkerhetsbrister.
Deras resultat visar på ett potentiellt problem med det så kallade Internet of Things och den nya klassen av internetanslutna hemprodukter som du kan övervaka och hantera på distans. Dessa enheter erbjuder bekvämlighet och potentiella energibesparingar och ibland bara nyheter (se Home Tweet Home: A House with Its Own Voice på Twitter ). Enligt data från ABI Research finns det redan mer än 10 miljarder trådlöst anslutna enheter i bruk, och år 2020 kommer det att finnas mer än 30 miljarder av dem. Medan navenheter som smartphones och bärbara datorer utgör det mesta av denna summa idag, förväntar sig marknadsforskaren att detta kommer att skifta till förmån för billiga sensorer och nodenheter som utgör Internet of Things.
Men när vi ansluter fler och fler enheter till Internet, kan allt från termostaten till toaletten till själva ytterdörren skapa en potentiell ny öppning för elektroniska inkräktare. Precis som med datorer finns det sätt att skydda dessa enheter från utomstående, men Crowleys och Bryans erfarenheter tyder på att detta, åtminstone för närvarande, inte alltid är ett primärt problem för företag som har bråttom att sälja den här utrustningen. Att göra enheter säkrare kan lägga tid på produktutvecklingen.
Det varierar från enhet till enhet, men en röd tråd med många av dessa enheter är att de inte kräver någon autentisering alls, säger Crowley.
Till exempel undersökte Crowley och Bryan Veralight , som ansluts till ditt hemdatornätverk och låter dig styra och hantera många typer av hushållsapparater. Som standard krävde det inget användarnamn eller lösenord för att komma åt systemet, och de säger att de hittat många sätt att kringgå autentisering även när den var påslagen. På senare tid upptäckte Crowley och Bryan hur lätt man kunde få en musikspelande toalett som heter Satis , som kontrolleras av en Android smartphone app , för att spola sig själv upprepade gånger eller spela hög musik. De diskuterade nyligen sina resultat vid den årliga säkerhetskonferensen Black Hat i Las Vegas.
Crowley och Bryan säger att de har kontaktat varje företag vars produkter de tror har säkerhetsbrister. För det mesta har de inte fått något direkt svar. I ett uttalande, tillverkaren av Veralight, Hong Kong-baserad Mitt gröna hus , sade att det tror att dess kontroller är lika säkra eller säkrare än någon av hemautomationsprodukterna på marknaden idag. Slät , det japanska företaget bakom den nätverksanslutna toaletten, sa i ett uttalande att det finns flera nödvändiga villkor som måste uppfyllas för att fjärrstyra toaletten, som att para ihop en smartphone med toaletten, vilket måste göras med en separat enhet som följer med Satis.
Säkerhetsforskare fruktar att riskerna med dessa nya typer av prylar är särskilt oroande. Om hackare kan utnyttja en svaghet i en enda typ av internetansluten hushållsapparat eller system – till exempel ett internetanslutet dörrlås – kan de skada tusentals människor samtidigt. Det kan vara en ansträngning att få till den här typen av scenario, men om inbrott i en server innebär att du får plundra 100, 1 000, 10 000 människors hem, är det definitivt värt det, och det är där den verkliga faran ligger, säger Crowley.
Yoshi Kohno , en docent vid University of Washington som studerar datorsäkerhet och integritet inom konsumentteknologi, säger att det är svårt att veta exakt hur stort problem detta kommer att bli. Men han har hittat verkliga sårbarheter i flera internetuppkopplade saker, inklusive bilar, medicinsk utrustning och barnleksaker. En leksak som inkluderar en webbkamera, till exempel, kan tillåta en onlineangripare att ansluta till leksaken och slå på webbkameran. Vi som ett samhälle måste se holistiskt på all framväxande teknologi och inte bara säga 'Åh, det är en brödrost, det spelar ingen roll', och tro att allt spelar roll tills vi tror att det inte gör det, säger han.
Kohno säger att han skulle behöva se mer av en betoning på säkerhet innan han skulle känna sig bekväm med att använda de flesta av de för närvarande tillgängliga uppkopplade hem-prylarna: lampor som kan styras över webben kan vara okej, men ett automatiskt dörrlås, till exempel skulle fortfarande inte komma i fråga.
Även med säkerhetsåtgärder på plats finns det också potential för elektronisk avlyssning, säger Kamin Whitehouse, en docent vid University of Virginia som studerar smarta byggnader. Hans forskning har visat att även om datatrafiken från trådlösa smarta enheter i hemmet är krypterad, kan en angripare fortfarande analysera nätverkstrafikmönster och, genom att göra några antaganden om mänskligt beteende, få en uppfattning om vad som händer inne i huset. När huset väl börjar bli helt uppkopplat finns det ingen anledning att tro att det inte kommer att bli ett mål, säger han.
Crowley och Bryan är för sin del optimistiska om att detta kommer att förändras. Det smartphone-kontrollerade dörrlåset som först fascinerade dem började nyligen levereras till kunder och erbjuder säkerhet detaljer och en e-postkontakt för säkerhetsrelaterade frågor. Det är en indikation på det Apigy , företaget bakom Lockitron, är fokuserat på frågan, säger Crowley. Det är stort. Det säger något bra om säkerhetsläget i den produkten, säger han. Det betyder att vi förmodligen kommer att ha svårt att bryta det.