Säkra det smarta hemmet, från brödrostar till toaletter

I slutet av december märkte en forskare på företagssäkerhetsföretaget Proofpoint något konstigt: en säkerhetsgateway loggade hundratusentals skadliga e-postmeddelanden som uppenbarligen skickades ut av över 100 000 enheter som körde Linux, men de var inte datorer. Snarare var de internetanslutna konsumentprylar inklusive routrar, TV-apparater, multimediacenter och till och med ett kylskåp.





David Knight, general manager för Bevispunkt s informationssäkerhetsenhet, säger att angriparna i princip hade skapat ett botnät i stil med Internet of things - något vi är mer bekanta med att se på datorer - där enheterna omedvetet kapas för att göra saker som att skicka ut skräppost eller vara olaglig värd. pornografi. Han förväntar sig att se mycket mer av det han refererar till som thingbots som anslutna enheter spridda över hela hemmet, särskilt eftersom säkerheten på så många av dessa prylar bara är ett enkelt webbgränssnitt som ber dig att ställa in ett användarnamn och lösenord .

Vilken säkerhet som helst var otillräcklig, säger Knight, som misstänker att enheterna äventyrades genom att helt enkelt utnyttja kända Linux-sårbarheter.

Hackare har länge orsakat förödelse på datorer via Internet, vilket lett till dataintrång och datorkraschar. Nu när brådskan är på väg att lägga till anslutning till allt från crockpots till glödlampor, blir insatserna ännu högre – och mer personliga (se Fler anslutna hem, fler problem ). Antivirusprogramvaran hjälpte datorer, men du kan inte bara installera en programsvit som utvecklats för ditt skrivbord på en smart brödrost; som ett resultat, förlitar anslutna hemenheter vanligtvis på att användaren går online och ställer in ett användarnamn och lösenord för skydd.



Ett antal teknikföretag och branschgrupper säger att smarta enheter når butikshyllorna med lite säkerhetsskydd. Säkerhetsexperter skyller på ett antal faktorer för problemet: nystartade företag kan lägga säkerheten i baksätet i sin brådska att få ut produkter genom dörren, och etablerade företag som traditionellt har opererat offline – som stereo- eller TV-tillverkare – kan helt enkelt misslyckas med att inse att de behöver skydda sig mot hot när det kommer till internetanslutna prylar.

De är inte dumma, säger Marc Rogers, ledande säkerhetsforskare på mobilsäkerhetsföretaget Se upp . Det är bara inget de har behövt ta itu med.

Så medan företag rullar ut allt från smarta lampor och dörrlås som du kan styra med en smartphone till uppkopplade toaletter och blodtrycksmätare, är det också en rörelse på gång för att göra dessa produkter så säkra som möjligt.



För Rogers at Lookout innebär detta att hacka sig in i och ibland fysiskt demontera internetanslutna enheter för att ta reda på var deras säkerhetsbrister ligger. Förra sommaren upptäckte Rogers och hans team en svaghet i Googles huvudburna dator, Google Glass (se Forskare hittar säkerhetssprickor i Google Glass ). På senare tid har Rogers identifierat och jämfört säkerhetsåtgärderna i internetkompatibla kameror och underhållningssystem.

Jag bryter i princip saker och tränar sedan: Vad görs bra? Vad görs dåligt? Vad är lärdomarna här? han säger.

Precis som många andra teknikföretag, erkänner Lookout det ökande inflytandet från internetanslutna enheter – ett utrymme så varmt att Google förra veckan sa att det kommer att betala ut 3,2 miljarder dollar för att köpa smart termostat- och brandvarnartillverkaren Nest. Förra året fanns det över 10 miljarder anslutna enheter, och denna siffra kommer att stiga så högt som 50 miljarder år 2020, enligt en uppskattning från nätverksutrustningstillverkaren Cisco.



I hopp om att minimera säkerhetsrisker som orsakas av all denna tillväxt, utvecklar Rogers en uppsättning säkerhetsstandarder som företag kan följa när de utvecklar uppkopplade produkter. Han avböjer att vara specifik om vad Internet of things-standarderna kan innehålla, men säger att han lutar mot att förlita sig på de mer mogna standarderna för Internet och använder Öppna webbapplikationssäkerhetsprojekt Topp 10 lista över säkerhetsrisker som en guide, eftersom den beskriver många typer av risker som kan påverka alla typer av internetanslutna enheter.

Just nu tror jag att alla gör sin egen grej, men det finns en växande röst som säger: 'Låt oss samla alla, låt oss försöka bli synkroniserade med det här', säger han.

De AllSeen Alliance , en branschgrupp för Internet of things som bildades i december för att uppmuntra interoperabilitet mellan anslutna enheter oavsett tillverkare, tror att programvaran med öppen källkod som den utvecklar kan hjälpa också.



Gruppens mjukvara kommer att baseras på AllJoyn , som är smartphone-chiptillverkare (och gruppmedlem) Qualcomms open source Internet of things-programvara. Liat Ben-Zur , AllSeen Alliances ordförande och chef för Qualcomms AllJoyn-enhet, säger att AllJoyn tillåter apputvecklare att bestämma vilken säkerhetsnivå som ska byggas in i den – till exempel om data som överförs från en smart tandborste till en motsvarande smartphone-app ska krypteras eller inte. AllJoyn erbjuder också mer nyanserade säkerhetsinställningar, säger hon, som att låta en besökande vän styra din luftkonditionering för uppkopplade hem, men bara inom ett visst temperaturintervall och bara under de två dagar han är i stan.

Metoder för att tillåta tillfällig åtkomst dyker redan upp i några smarta dörrlås som ännu inte släpps – bland de enda anslutna enheterna som hävdar deras säkerhet – som t.ex. Goji , som låter dig ställa in tider då vänner kan komma in i ditt hus genom att använda sina telefoner. Än så länge är detta dock inte typiskt.

En liknande idé som Ben-Zur beskriver är på gång Mocana , ett mobilt och Internet-of-things säkerhetsföretag. Mocana arbetar på en sorts digital matrisprodukt med kodnamnet AtoM (för app till maskin) som teknikchef James Blaisdell säger kommer att tillåta olika användare att hantera och kontrollera enheter säkert i skala, med olika auktoritetsnivåer.

Företaget räknar med att lansera det sent i år. Inledningsvis kommer det att vara inriktat på industriella tillämpningar, säger Blaisdell, som att låta tillverkaren av ett vindturbin se hur det underhålls samtidigt som det låter ett elföretag se hur mycket kraft den genererar. Han kan tänka sig att den används till annat också, som hemprylar.

Det är samma typ av problem: hur ansluter du alla dessa enheter säkert och får dem att kunna interagera med varandra säkert? han säger.

Även om något som en smart stereo eller kaffebryggare har hackats in, kan det vara knepigare att säga än med en bärbar dator eller en smartphone. Dessa enheter har ofta ingen visuell skärm, och om de deltar i en attack som liknar den som Proofpoint observerade, kanske de inte visar några tecken på problem.

I vissa fall kan alltså den enklaste lösningen vara att helt enkelt begränsa antalet enheter som kan ansluta till Internet. En sak som AllSeen Alliances AllJoyn-programvara kan göra är att göra det möjligt för smarta enheter att kommunicera bara med andra enheter i hemmet – en grupp glödlampor, till exempel, eller ett dörrlås – och inte ansluta till Internet utöver det. För vissa anslutningsjunkies kan det låta begränsande, men Ben-Zur ser det som ett sätt att hålla dina enheter säkrare och mer privata också.

Jag vill inte nödvändigtvis att en molntjänst ska veta varje gång jag går in och ut genom min ytterdörr, säger Ben-Zur.

Dölj