O refrigerador inteligente da Samsung acabou de aparecer. Como sobre o resto da sua casa inteligente?

Propaganda

$ 3599 é muito dinheiro.

Poderia dar a você um carro decente em segunda mão ou um iMac relativamente complicado. Você poderia comprar 3599 hambúrgueres McChicken ou 2589 McDoubles. Ou você pode obter o Samsung RF28HMELBSR.

Este frigorífico (com o nome de um snappily) tem tudo. Ele tem quatro portas, um colossal espaço de 28 pés cúbicos e um LCD integrado de 8 "com WiFi tela sensível ao toque que permite fazer qualquer coisa, desde ler as notícias até controlar remotamente o seu Android Smartphone.

Se parece familiar, é porque já foi apresentado na minha lista de mais inteligentes produtos Smart Home de todos os tempos Tweeting Geladeiras e Panelas de Arroz Controladas pela Web: 9 dos mais estúpidos eletrodomésticos inteligentesExistem muitos dispositivos domésticos inteligentes que valem seu tempo e dinheiro. mas também existem tipos que nunca devem ver a luz do dia. Aqui estão 9 dos piores. consulte Mais informação . E eu mencionei que ele vem com uma enorme vulnerabilidade de segurança?

Geladeira inteligente, erro estúpido

Sim, por toda a sua sofisticação, esse refrigerador foi enviado com uma falha de segurança significativa que poderia potencialmente ver um invasor coletar clandestinamente credenciais de login do Gmail.

A vulnerabilidade foi relatada pela primeira vez no registo em 24 de agosto e descoberto pela empresa infosec sediada no Reino Unido Parâmetros de teste de caneta enquanto participava de um desafio de invasão da Internet das Coisas (IoT) na recente Defcon 23 conferência.

A tela de toque embutida neste refrigerador permite que o usuário acesse seu próprio Google Agenda. As conexões de e para os servidores do Google são criptografadas usando criptografia SSL O que é um certificado SSL e você precisa de um?Navegar na Internet pode ser assustador quando informações pessoais estão envolvidas. consulte Mais informação , mas a implementação do SSL da Samsung não verifica a validade dos certificados.

Isso representa um sério problema de segurança, pois qualquer pessoa na rede seria capaz de iniciar um "Homem no meio" O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar de ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação ataque e intercepte as credenciais de login do usuário em trânsito. Um invasor também poderá obtê-los falsificando um ponto de acesso ou através de um ataque de desautenticação sem fio.

Samsung disseram que são "Investigando esse assunto o mais rápido possível", e presumivelmente está trabalhando para emitir uma correção. Mas este episódio apresenta uma demonstração interessante de quão mal a segurança pode dar errado na Internet das Coisas.

(In) Segurança em um mundo de coisas em rede

No passado, conversamos extensivamente sobre os riscos impostos pela Internet das Coisas, ambos de uma privacidade Por que a Internet das coisas é o maior pesadelo de segurançaUm dia, você chega em casa do trabalho para descobrir que o seu sistema de segurança residencial habilitado para nuvem foi violado. Como isso pôde acontecer? Com a Internet das Coisas (IoT), você pode descobrir da maneira mais difícil. consulte Mais informação e de uma perspectiva sociológica e de segurança 7 razões pelas quais a Internet das coisas deve assustá-loOs benefícios potenciais da Internet das Coisas aumentam, enquanto os perigos são lançados nas sombras silenciosas. É hora de chamar a atenção para esses perigos com sete promessas aterradoras da IoT. consulte Mais informação . É difícil resolvê-los, porque quando se trata de proteger a Internet das coisas, encontramos alguns problemas.

Em primeiro lugar, esses dispositivos não são PCs ou telefones, pois são fáceis de atualizar de maneira uniforme (O Windows 10 instalará atualizações em seu nome Como desativar as atualizações automáticas de aplicativos no Windows 10Desativar atualizações do sistema não é recomendado. Mas, se necessário, veja como fazê-lo no Windows 10. consulte Mais informação ) e os fornecedores por trás deles estão envolvidos e lançam regularmente atualizações de software e segurança. Muitos produtos domésticos inteligentes não são "atualizados" pelo ar, exigindo o uso de ferramentas complicadas ou pacotes de software não confiáveis, armazenamento removível ou simplesmente não permitir a atualização do firmware em todos.

Como, por exemplo, você atualiza uma cafeteira interconectada ou um termostato computadorizado? Não existe uma maneira fácil e universal de fazer isso.

Também é importante abordar o fato de que muitos desses dispositivos agora são construídos por pessoas comuns em suas próprias casas. O Arduino e o Raspberry Pi nos permitiram introduzir conectividade de rede e lógica computadorizada em lugares que nunca imaginamos serem possíveis, enquanto produtos como Windows 10 da Microsoft para IoT Windows 10 - Chegando a um Arduino perto de você? consulte Mais informação facilitou a exposição desses dispositivos à Internet em geral, abrindo simultaneamente um mundo de oportunidades e riscos.

Embora muitos desenvolvedores experientes saibam como criar esses dispositivos de maneira segura, muitos desenvolvedores iniciantes e amadores não sabem.

Em seguida, abordamos o problema da longevidade. Novamente, esse problema é endêmico do mundo da Smart Home. Porque, enquanto seu PC e telefone executam softwares criados por empresas com históricos longos e bolsos profundos, a maioria dos seus dispositivos Smart Home não.

A maioria esmagadora dessas empresas é de iniciantes a estágios iniciais, muitos deles estão em um estágio experimental em seu desenvolvimento. Se eles desligarem, o que acontece com os produtos que já foram enviados? Quem escreverá atualizações de software e patches de segurança?

Como escrevemos no passado, startups de hardware são difíceis Por que as startups de hardware são difíceis: dando vida ao ErgoDoxAqui está uma opinião controversa para você: iniciar uma inicialização de software é fácil. Hardware, por outro lado? As startups de hardware são difíceis. Muito difícil. consulte Mais informação . Já este ano, vimos demissões significativas na Leeo e Wink - duas das maiores startups de Smart Home. Muito mais - como Lumos - não conseguiram decolar completamente.

Mas talvez a maior e mais duradoura ameaça à segurança da Casa Inteligente e da Internet das Coisas seja simplesmente que esses dispositivos sejam construídos para durar mais tempo do que seus fabricantes prefeririam. Os sistemas embarcados e os produtos Smart Home podem funcionar, muito felizes, por anos e anos. Muitos deles não funcionam em um serviço de assinatura.

Devemos esperar que a Nest e a Philips ofereçam atualizações pelo tempo que Microsoft suportado Windows XP O que o Windows XPocalypse significa para vocêA Microsoft eliminará o suporte ao Windows XP em abril de 2014. Isso tem sérias conseqüências para empresas e consumidores. Aqui está o que você deve saber se você ainda está executando o Windows XP. consulte Mais informação ?

Fora da LAN, no fogo

Esses problemas de segurança são significativamente exacerbados pelo fato de muitos desses dispositivos serem conectado à Internet mais ampla e acessível remotamente, introduzindo, assim, um pouco de segurança preocupações.

Porque, quando você conecta algo à Internet, introduz um novo vetor de ataque para quem está tão motivado. Em vez de ter que se conectar à sua rede doméstica, alguém poderia simplesmente comprometer remotamente.

É mais fácil do que você pensa também. Existe até um mecanismo de pesquisa para sistemas embarcados, chamado Shodan. Com apenas algumas teclas, você pode encontrar sistemas que foram expostos à Internet em todo o mundo - desde usinas de energia no Japão até webcams na Holanda e telefones VoIP em Nova York.

Simplesmente procurar "Web Cam" expõe milhares de webcams acessíveis remotamente. No entanto, não acessei, pois isso quase certamente resultaria em mim violando a Lei de Uso Indevido de Computadores de 1990 Lei de uso indevido de computadores: a lei que criminaliza os hackers no Reino UnidoNo Reino Unido, o Computer Misuse Act 1990 trata dos crimes de hackers. Essa legislação controversa foi recentemente atualizada para dar à organização de inteligência britânica GCHQ o direito legal de invadir qualquer computador. Até o seu. consulte Mais informação .

É assustador. Começamos a apresentar nossas casas na Internet, e é fácil encontrá-las e lançar ataques direcionados a elas. Deveríamos estar preocupados.

Então, o que pode ser feito?

Falhas de segurança, como a encontrada na geladeira Android da Samsung, sempre estarão lá. Desde que seja fácil para os fornecedores emitir correções, e eles estejam sendo atualizados constantemente durante a vida útil dos dispositivos, isso não é um problema.

Mas é importante abordarmos outras questões. Esforços precisam ser feitos para garantir que os desenvolvedores dos produtos Smart Home e IoT saibam como desenvolver sistemas seguros. Isso poderia ser conseguido através de um maior alcance com a comunidade de segurança.

Existem vários precedentes para isso. o Projeto OWASP (Projeto de segurança de aplicativos da Web abertos) é aquele que vem à mente imediatamente. Lançado em 2004, ele produziu material educacional disponível gratuitamente, que ensina os desenvolvedores a criar sites seguros e os hackers a testar adequadamente a segurança dos aplicativos da Web.

Não há razão para que algo semelhante não possa ser criado para o mundo doméstico inteligente e para os desenvolvedores da Internet das Coisas.

Além disso, precisamos garantir que os sistemas Smart Home sejam atualizados e mantidos, mesmo que os fornecedores desistam. Isso pode ser feito mandando que todos liberem seu código em um compromisso do código fonte, em que o código é liberado se a empresa pedir falência ou não conseguir manter o software de maneira satisfatória.

E, como consumidores, devemos começar a exigir mais dos fornecedores. Devemos exigir que os dispositivos que compramos sejam suportados com patches de segurança durante a vida útil do produto. Devemos esperar que quaisquer problemas de segurança sejam resolvidos de forma rápida e decisiva. Devemos esperar que os fornecedores tratem as ameaças à segurança com absoluta transparência. E não devemos patrocinar fornecedores que não cumprem esse padrão escasso.

Todas essas mudanças são relativamente pequenas, mas não há motivos para pensar que elas não resultariam em dispositivos Smart Home mais seguros. Mas o que você acha?

Se você tem alguma opinião ou tem histórias de horror sobre insegurança da Internet das Coisas, eu quero ouvir sobre elas. Deixe-me saber nos comentários abaixo e conversaremos.

Créditos fotográficos: Kit de Experimentação do Arduino (Oomlout), IMG_5145 (JWalsh)