Inhoudsopgave:
- Internet van onveiligheid
- Een gebrek aan normen
- Het is niet allemaal shit
- Het onweerstaanbare internet der dingen
Video: internet verbinding problemen herstellen (November 2024)
Als de Internet of Things (IoT) -industrie de Jedi-orde is, met Philips Hue-lichtzwaarden en "slimme" cloud-gebaseerde Force-krachten, dan is het populaire Twitter-account Internet van Shit een Sith Lord. In een tijd waarin de technologische industrie alles in zich op wil nemen, zijn de gevolgen verdomd, noemt Internet of Shit het probleem van nieuwe, nutteloze elektronica en benadrukt dat sommige van deze producten misschien niet zo goedaardig zijn als we denken.
Het Twitter-account van Internet of Shit richt zich op de niche en de populaire. In het geval van, bijvoorbeeld, betalen voor een maaltijd met behulp van een slimme waterfles, stelt het terecht het nut in vraag. Het benadrukt de absurditeit van het moeten wachten op fundamentele behoeften, zoals licht en warmte, die niet beschikbaar zijn nadat "slimme" producten firmware-updates ontvangen.
mij elke keer als er een nieuw gadget verschijnt pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 januari 2017
Zoals je je misschien kunt voorstellen, is het internet van Shit in staat om de industrie te ontdoen die het zo effectief bespot omdat die industrie dicht bij zijn hart staat. "Het gebeurde zo natuurlijk, " zei IOS. "Ik bracht veel tijd door op Kickstarter en zag de opkomst van het internet der dingen daar. Het leek alsof er om de andere dag een alledaags object een chip erin schoof, maar niemand - zelfs in de media - was dat kritisch. zou gewoon dingen zeggen als: 'Wauw, we kunnen het internet eindelijk in een paraplu krijgen.'"
IOS ziet zichzelf als een voorstander van een duivel of een collectief geweten voor de consumentencultuur. In zijn ogen is het Twitter-account een broodnodige sanitaire controle op het faux-optimisme van Silicon Valley, dat amok is. "Als we te ver gaan, is de belangrijke vraag die mensen vaak vergeten: wie heeft dit eigenlijk nodig? Een oven die niet goed kan koken zonder internet? Waarom ontwerpen mensen deze dingen niet beter?"
Maar meer dan slecht ontwerp en misleidende claims van nut, is IOS de primaire zorg van privacy en, uiteindelijk, persoonlijke veiligheid: "Ik zie IoT echter als inherent riskant, hoewel. Ik vertrouw deze bedrijven niet om mijn gegevens niet te lekken of niet om in de toekomst ernstig te worden gehackt."
In een mediumbericht dat vroeg in het leven van het Twitter-account werd geschreven, zei IOS dat hij zich zorgen maakte dat bedrijven op zoek zouden gaan naar manieren om geld te verdienen met gegevens die ze bij mensen thuis hadden verzameld. Uit dat verhaal: "Als Nest de winst wilde vergroten, zou het de omgevingsgegevens van je huis aan adverteerders kunnen verkopen. Te koud? Amazon-advertenties voor dekens. Te warm? Een banneradvertentie voor een airconditioner. Te vochtig? Ontvochtigers op je Facebook."
IOS blijft zich aan deze zorgen houden. "De reden dat het IoT zo aantrekkelijk is voor fabrikanten, is niet dat ze slimme functies aan je leven toevoegen - dat is slechts een bijproduct", schreef hij. "Het is meer dat ze hierdoor ongekend inzicht krijgen in hoe die apparaten worden gebruikt, zoals hoe vaak, welke functies u het meest gebruikt, en alle gegevens die daarbij horen."
IOS zegt dat IoT-bedrijven veel meer vooraf moeten zijn over hun beleid voor het verzamelen van gegevens en wie toegang moet hebben tot informatie die door deze apparaten kan worden verzameld. "De vraag die we allemaal moeten beslissen is welk toegangsniveau we bereid zijn deze bedrijven te geven in ruil voor de gegevens die ze krijgen - en wie we daarmee vertrouwen is de sleutel."
Op eerste kerstdag in 2016 liet IOS zijn lichten knipperen wanneer zijn handvat op Twitter werd genoemd. De resultaten waren intens, anticlimactisch en kort, en illustreerden misschien al dat IOS een hekel heeft aan Internet of Things.
Internet van onveiligheid
Veel erger dan het effect dat nutteloze IoT-apparaten hebben op de portemonnee van consumenten, is echter het effect dat ze hebben op de persoonlijke veiligheid. De angst van IOS voor een marktplaats voor gebruikersgegevens verzameld door IoT-apparaten is niet vergezocht (hoe denk je dat gratis apps en gratis internetnieuwsbedrijven geld verdienen?), En er zijn al andere, zeer reële bedreigingen.
Deelnemers aan de Black Hat 2016-conferentie werden getrakteerd op beelden van beveiligingsonderzoeker Eyal Ronen. Met zijn onderzoek kon hij de controle over Philips Hue-lichten overnemen van een drone die buiten een kantoorgebouw zweefde. De aanval was niet alleen opmerkelijk vanwege de dramatische resultaten en het gebruik van een drone, maar ook omdat het gebouw de thuisbasis was van verschillende bekende beveiligingsbedrijven.
Ronen legde me uit dat hij probeerde aan te tonen dat een aanval op een toplijn van IoT-apparaten mogelijk was. "Er zijn veel IoT-hacks gericht op low-end apparaten die geen echte beveiliging hebben. We wilden de beveiliging testen van een product dat veilig zou moeten zijn, " zei hij. Hij wilde ook een bekend bedrijf aanvallen en vestigde zich op Philips. Ronen zei dat het moeilijker was om te kraken dan hij aanvankelijk dacht, maar hij en zijn team vonden en exploiteerden een bug in de ZigBee Light Link-software, een communicatieprotocol van derden dat door verschillende IoT-bedrijven wordt gebruikt en als een volwassen en veilig systeem wordt beschouwd.
"Het maakt gebruik van geavanceerde cryptografische primitieven en het heeft sterke veiligheidsclaims", aldus Ronen. "Maar uiteindelijk, in een relatief korte tijd met zeer goedkope hardware ter waarde van ongeveer $ 1.000, konden we het breken", zei Ronen.
Video van de aanval van Ronen (hierboven) toont de lichten van het gebouw die opeenvolgend knipperen, na zijn opdrachten die op afstand zijn verzonden via een zwevende drone. Als dit je zou overkomen, zou het vervelend zijn - misschien niet meer vervelend dan de scenario's die IOS op zijn Twitter-account belicht. Maar beveiligingsprofessionals beweren dat er veel grotere gevolgen zijn voor IoT-beveiliging.
"In een eerder werk hebben we laten zien hoe we lichten kunnen gebruiken om gegevens van luchtgapnetwerk te exfiltreren en epileptische aanvallen kunnen veroorzaken, en in dit werk laten we zien hoe we lichten kunnen gebruiken om het elektriciteitsnet aan te vallen en wifi te blokkeren, " vertelde Ronen me. "IoT komt in elk deel van ons leven en de beveiliging ervan kan van invloed zijn op alles, van medische apparatuur tot auto's en huizen."
Een gebrek aan normen
De aanval van Ronen profiteerde van de nabijheid, maar hoofdveiligheidsonderzoeker Alexandru Balan van Bitdefender schetste vele andere beveiligingsfouten die in sommige IoT-apparaten zijn ingebakken. Hardcoded wachtwoorden zijn volgens hem bijzonder problematisch, net als apparaten die zijn geconfigureerd om toegankelijk te zijn vanaf het open internet.
Het was deze combinatie van internettoegang en eenvoudige, standaardwachtwoorden die in oktober 2016 voor ravage hebben gezorgd toen het Mirai-botnet belangrijke services zoals Netflix en Hulu offline bracht of zo traag maakte dat ze onbruikbaar waren. Een paar weken later smoorde een variant van Mirai internettoegang in het hele land Liberia.
Niet lang nadat het nieuws over Mirai bekend was, keek ik naar dit scenario en gaf ik de IoT-industrie de schuld voor het negeren van de waarschuwingen over slechte authenticatie en onnodige online toegankelijkheid. Maar Balan zou niet zo ver gaan om deze gebreken als vanzelfsprekend te noemen. "moeten reverse engineering uitvoeren op de firmware om die referenties te extraheren, maar het komt vaak voor dat ze hard gecodeerde referenties in de apparaten vinden. De reden daarvoor is dat er in veel gevallen geen normen zijn als het gaat om IoT-beveiliging."
Kwetsbaarheden zoals deze ontstaan, veronderstelden Balan, omdat IoT-bedrijven zelfstandig werken, zonder universeel aanvaarde normen of beveiligingsexpertise. "Het is gemakkelijker om het op deze manier te bouwen. En je kunt zeggen dat ze bezuinigen, maar het belangrijkste probleem is dat ze niet onderzoeken hoe ze het op een veilige manier goed kunnen bouwen. Ze proberen het gewoon te maken werk nauwkeurig."
Zelfs wanneer bedrijven fixes ontwikkelen voor aanvallen zoals Ronen heeft ontdekt, kunnen sommige IoT-apparaten geen automatische updates toepassen. Dit legt de verantwoordelijkheid op de consument om zelf patches te vinden en toe te passen, wat vooral ontmoedigend kan zijn voor apparaten die niet zijn bedoeld om te worden onderhouden.
Maar zelfs met apparaten die gemakkelijk kunnen worden bijgewerkt, bestaan er nog steeds kwetsbaarheden. Verschillende onderzoekers hebben aangetoond dat niet alle IoT-ontwikkelaars hun updates ondertekenen met een cryptografische handtekening. Ondertekende software is gecodeerd met de privé-helft van een asymmetrische cryptografische sleutel die eigendom is van de ontwikkelaar. De apparaten die de update ontvangen, hebben de openbare helft van de sleutel, die wordt gebruikt om de update te decoderen. Dit zorgt ervoor dat de update officieel is en er niet mee is geknoeid, omdat het ondertekenen van een kwaadaardige update of het wijzigen van de software-update de geheime sleutel van de ontwikkelaar vereist. "Als ze hun updates niet digitaal ondertekenen, kunnen ze worden gekaapt, kan er mee worden geknoeid; code kan in die updates worden geïnjecteerd", aldus Balan.
Naast het simpelweg in- en uitschakelen van lichten, zei Balan dat geïnfecteerde IoT-apparaten kunnen worden gebruikt als onderdeel van het botnet, zoals te zien bij Mirai, of voor veel meer verraderlijke doeleinden. "Ik kan je wifi-gegevens ophalen, omdat je het duidelijk hebt gekoppeld aan je wifi-netwerk en omdat het een Linux-box is, kan ik het gebruiken om te draaien en aanvallen te starten binnen je draadloze netwerk.
"Binnen de privacy van uw eigen LAN-netwerk zijn authenticatiemechanismen laks", vervolgt Balan. "Het probleem met LAN is dat ik, zodra ik in je privé-netwerk zit, toegang heb tot bijna alles wat daar gebeurt." Beschadigde IoT wordt in feite een beachhead voor aanvallen op waardevollere apparaten op hetzelfde netwerk, zoals Network Attached Storage of personal computers.
Misschien is het veelzeggend dat de beveiligingsindustrie het IoT van dichtbij is gaan bekijken. De afgelopen jaren zijn er verschillende producten op de markt gekomen die beweren IoT-apparaten tegen aanvallen te beschermen. Ik heb verschillende van dergelijke producten gezien of gelezen en het aanbod van Bitdefender bekeken. Dit apparaat wordt de Bitdefender Box genoemd en wordt aan uw bestaande netwerk bevestigd en biedt antivirusbescherming voor elk apparaat in uw netwerk. Het onderzoekt zelfs uw apparaten op mogelijke zwakke punten. Bitdefender zal dit jaar de tweede versie van zijn Box-apparaat lanceren. Norton zal zijn eigen aanbod invoeren (hieronder), met diepgaande pakketinspectie, terwijl F-Secure ook een hardwareapparaat heeft aangekondigd.
Als een van de eersten die op de markt is, bevindt Bitdefender zich in de unieke positie om een achtergrond te hebben in softwarebeveiliging en vervolgens consumentenhardware te ontwerpen die vermoedelijk onberispelijk veilig zou zijn. Hoe was die ervaring? "Het was heel moeilijk", antwoordde Balan.
Bitdefender heeft een bug bounty-programma (een geldelijke beloning die wordt aangeboden aan programmeurs die een bug op een website of in een applicatie ontdekken en een oplossing bieden), waarvan Balan heeft bevestigd dat het de ontwikkeling van de Box heeft geholpen. "Geen enkel bedrijf mag arrogant genoeg zijn om te geloven dat het alle bugs zelf kan vinden. Daarom bestaan er programma's voor bugs bounty, maar de uitdaging met hardware is dat er mogelijk backdoors in de daadwerkelijke chips zitten."
"We weten waar we op moeten letten en waar we naar moeten kijken en we hebben eigenlijk een hardwareteam dat elk onderdeel van dat bord uit elkaar kan halen en bekijken. Gelukkig is dat bord niet zo groot."
Het is niet allemaal shit
Het is gemakkelijk om een hele branche te disconteren op basis van zijn slechtste actoren, en hetzelfde geldt voor het internet der dingen. Maar George Yianni, het hoofd van de technologie, Home Systems, Philips Lighting vindt dit beeld bijzonder frustrerend.
"We hebben vanaf het begin heel serieus genomen. Dit is een nieuwe categorie. We moeten vertrouwen opbouwen, en dit schaadt het vertrouwen. En daarom vind ik de grootste schande van de producten die niet zo goed werk hebben geleverd, dat het tast het vertrouwen in de algemene categorie aan. Elk product kan slecht worden gemaakt. Het is geen kritiek op de algemene industrie."
Zoals vaak het geval is voor beveiliging, is de manier waarop een bedrijf op een aanval reageert vaak belangrijker dan de effecten van de aanval zelf. In het geval van de drone-aanval op Philips-apparaten, legde Yianni uit dat Ronen zijn bevindingen heeft ingediend via het bestaande programma voor verantwoorde openbaarmaking van het bedrijf. Dit zijn procedures die zijn ingesteld om bedrijven de tijd te geven om te reageren op de ontdekking van een beveiligingsonderzoeker voordat deze openbaar wordt gemaakt. Op die manier kunnen consumenten er zeker van zijn dat ze veilig zijn en krijgen de onderzoekers de eer.
Ronen had een bug gevonden in een softwarestack van derden, zei Yianni. Het was met name het onderdeel van de ZigBee-standaard dat de communicatie beperkt tot apparaten binnen twee meter. Het werk van Ronen was, zoals u zich zult herinneren, in staat om controle te nemen vanaf een afstand - 40 meter afstand met een standaardantenne en 100 meter met een versterkte antenne. Dankzij het verantwoordelijke openbaarmakingsprogramma zei Yianni dat Philips een patch naar de lichten in het veld kon brengen voordat Ronen de wereld over de aanval vertelde.
Yianni en Philips hebben gezien dat veel bedrijven worstelden met een inbreuk op de openbare veiligheid of het resultaat van het werk van een beveiligingsonderzoeker, maar achteraf klinken, maar het was echt een succes. "Al onze producten kunnen worden bijgewerkt met software, zodat dingen kunnen worden opgelost, " vertelde Yianni me. "Het andere wat we doen, veiligheidsrisicobeoordeling, beveiligingsaudits, penetratietests op al onze producten. Maar dan voeren we ook deze verantwoorde openbaarmakingsprocessen uit, zodat als er iets doorkomt, we het van tevoren kunnen achterhalen en repareren het heel snel.
"We hebben een heel proces waar we software-updates van onze hele cloud naar beneden kunnen duwen en naar alle lichten kunnen distribueren. Dat is super belangrijk, omdat de ruimte zo snel beweegt en dit zijn producten die 15 jaar meegaan. En als we ervoor willen zorgen dat ze nog steeds relevant zijn qua functionaliteit en voldoende veilig zijn voor de nieuwste aanvallen, moeten we dat hebben."
In zijn correspondentie met mij bevestigde Ronen dat Philips inderdaad een bewonderenswaardige taak had gedaan om het Hue-verlichtingssysteem te beveiligen. "Philips heeft verrassend veel moeite gedaan om de lichten te beveiligen, " vertelde Ronen me. "Maar helaas waren enkele fundamentele beveiligingsaannames die afhankelijk waren van de onderliggende implementatie van de chipbeveiliging van Atmel onjuist." Zoals Balan opmerkt met het werk van Bitdefender aan de Box, kan elk aspect van het IoT-apparaat worden aangevallen.
Philips heeft ook ontworpen dat de centrale hub, het apparaat dat nodig is voor het coördineren van netwerken van Philips IoT-producten, ontoegankelijk is vanaf het open internet. "Alle verbindingen met het internet worden geïnitieerd vanaf het apparaat. We openen nooit poorten op routers of zorgen ervoor dat een apparaat op internet rechtstreeks met de kan communiceren, " legde Yianni uit. In plaats daarvan stuurt de Hub aanvragen naar de cloudinfrastructuur van Philips, die op de aanvraag reageert in plaats van andersom. Hiermee kan Philips ook extra lagen toevoegen om apparaten van consumenten te beschermen zonder bij hen thuis te hoeven komen en wijzigingen aan te brengen. "Het is niet mogelijk om mee te communiceren van buiten de Hub, tenzij je door deze cloud wordt geleid waar we extra beveiligings- en bewakingslagen kunnen bouwen."
Yianni legde uit dat dit allemaal deel uitmaakte van een meerlagige aanpak die Philips koos voor het beveiligen van het Hue-verlichtingssysteem. Omdat het systeem uit verschillende onderdelen bestaat - van de hardware in de lampen tot de software en hardware op de Hue Hub tot de app in de telefoons van gebruikers - moesten op alle niveaus verschillende maatregelen worden genomen. "Ze hebben allemaal verschillende beveiligingsmaatregelen nodig om ze veilig te houden. Ze hebben allemaal verschillende niveaus van risico en kwetsbaarheid. Dus doen we verschillende maatregelen voor al deze verschillende onderdelen, " zei Yianni.
Dit omvatte penetratietesten maar ook een bottom-up ontwerp dat bedoeld was om aanvallers te dwarsbomen. "Er zijn geen globale wachtwoorden zoals die werden gebruikt in dit Mirai-botnet, " zei Yianni. De Mirai-malware had tientallen standaard wachtwoordcodes die het zou gebruiken in een poging om IoT-apparaten over te nemen. "Elk heeft unieke, asymmetrisch ondertekende sleutels om de firmware te verifiëren, al deze dingen. Eén apparaat waarvan de hardware is aangepast, daar bestaat geen wereldwijd risico", legde hij uit.
Dit geldt ook voor de waarde van IoT-apparaten. "Veel van deze producten zijn meestal connectiviteit omwille van connectiviteit, " zei hij. "De behoefte om alles in uw huis te automatiseren is voor veel consumenten geen probleem, en dat is heel moeilijk om rond te komen. We denken dat producten die het goed doen, producten zijn die een beter te begrijpen waarde bieden voor consumenten."
Het onweerstaanbare internet der dingen
De risico's van IoT kennen en zelfs de frivoolheid erkennen, heeft mensen zeker niet weerhouden om slimme verlichting te kopen, zoals Philips Hue, altijd luisterende thuisassistenten zoals Google Home of de Amazon Echo, en ja, slimme flessen water. Zelfs de operator van Internet of Shit is een enorme IoT-fan.
"De echte ironie achter het internet van Shit is dat ik een sukkel ben voor deze apparaten, " zei IOS. "Ik ben een early adopter en werk in technologie, dus vaak kan ik deze dingen niet weerstaan." IOS vermeldt Philips verbonden lichten, de Tado-thermostaat, de Sense slaap-tracker, slimme luidsprekers, de Canarische camera en via wifi verbonden stekkers als een van zijn futuristische huishoudelijke voorzieningen.
"Ik ben me ervan bewust dat het account per ongeluk veel groter werd dan ik ooit had gedacht, en ik wil mensen nooit ontmoedigen om in technologie te gaan - ik denk dat experimenteren met domme ideeën is hoe geweldige ideeën kunnen worden geboren, wat iets is dat Simone Giertz me een beetje heeft geleerd, "zei IOS.
Giertz, een absurdistische robot en YouTuber, is de geest achter Shitty Robots. Haar creaties omvatten een drone die kapsels oplevert - of liever niet - en een enorme hoed die een zonnebril dramatisch op haar gezicht plaatst. Zie het als Rube Goldberg met een gezonde dosis cynisme in Silicon Valley.
De persoon achter IOS meldt dat hij tegenwoordig probeert zijn instincten voor vroege adoptanten in toom te houden. "Ik denk dat het moment dat ik de firmware van mijn gloeilampen moest bijwerken om ze in te schakelen een beetje een realisatie voor me was…"
Balan van Bitdefender zei dat hij gloeilampen gebruikt die ook dienst doen als wifi-repeaters. Deze apparaten breiden zowel licht als wifi uit naar elke hoek van zijn huis. Maar ze zijn ook geladen met veel van de kwetsbaarheden die hij heeft bespot, waaronder zwakke standaardwachtwoorden. Als het gaat om het IoT, blijft hij echter onverschrokken.
"Het is als seks, " vertelde hij me. "Je zou het niet doen zonder condoom. We houden van seks, seks is geweldig, we zullen seks niet opgeven alleen omdat het gevaarlijk is. Maar we zullen bescherming gebruiken wanneer we het doen." In plaats van te vervallen in paranoia, is hij van mening dat consumenten moeten vertrouwen op beveiligingsbedrijven en goed opgeleide vrienden die de bedrijven kunnen identificeren die beveiliging serieus nemen met bugs en veilige, frequente updatetools.
En gebruikt de drone-piloot hacker Ronen IoT? "Momenteel niet, " zei hij. "Ik ben bang dat dit effect heeft op mijn privacy en veiligheid. En de voordelen zijn niet groot genoeg voor mijn behoeften."
Zelfs je bescheiden auteur, die zich jarenlang heeft verzet tegen het sirenenlied van pratende rookmelders en van kleur veranderende lichten, is begonnen af te brokkelen. Onlangs, in een poging om het kantoor voor de vakantie op te knappen, merkte ik dat ik drie afzonderlijke slimme lichten instelde. Het resultaat was afschuwelijk, meeslepend mooi.
Ondertussen zit er een gloednieuwe Philips Hue-lamp in mijn Amazon-winkelmandje. Op een dag zal ik op de knop drukken.
