สารบัญ:
- อินเทอร์เน็ตแห่งความไม่มั่นคง
- การขาดมาตรฐาน
- มันไม่ได้เป็นอึทั้งหมด
- อินเทอร์เน็ตที่ไม่อาจต้านทานได้ของสิ่งต่าง ๆ
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (พฤศจิกายน 2024)
หากอุตสาหกรรมอินเทอร์เน็ตของทุกสิ่ง (IoT) เป็นคำสั่งของเจไดพร้อมด้วยไฟสัญญาณฟิลิปส์เว้และพลังพลังจากเมฆ "สมาร์ท" จากนั้นบัญชี Twitter ยอดนิยมอินเทอร์เน็ตของอึเป็น Sith Lord ในช่วงเวลาที่อุตสาหกรรมเทคโนโลยีดูเหมือนจะกระตือรือร้นที่จะใส่ชิปในทุกสิ่งผลที่ตามมาจะถูกสาปแช่ง Internet of Shit ตั้งชื่อให้กับปัญหาของอุปกรณ์อิเล็กทรอนิกส์ที่ไร้ประโยชน์ใหม่และไฮไลท์ที่บางส่วนของผลิตภัณฑ์เหล่านี้อาจไม่ใจดีเท่าที่เราคิด
บัญชี Twitter ของ Internet of Shit มุ่งเน้นไปที่เรื่องเฉพาะและความนิยม ในกรณีของพูดจ่ายค่าอาหารโดยใช้ขวดน้ำสมาร์ทมันถามคำถามอรรถประโยชน์ มันเน้นถึงความไร้เหตุผลที่จะต้องรอความจำเป็นพื้นฐานเช่นแสงและความร้อนซึ่งไม่สามารถใช้งานได้หลังจากผลิตภัณฑ์ "สมาร์ท" ได้รับการอัพเดตเฟิร์มแวร์
ฉันทุกครั้งที่มีอุปกรณ์ใหม่ออกมา pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 มกราคม 2017
ดังที่คุณอาจจินตนาการได้อินเทอร์เน็ตของอึสามารถที่จะแยกแยะอุตสาหกรรมที่มันล้อเลียนอย่างมีประสิทธิภาพเพราะอุตสาหกรรมนั้นอยู่ใกล้กับหัวใจของมัน "มันเกิดขึ้นตามธรรมชาติ" IOS กล่าว "ฉันเคยใช้เวลามากกับ Kickstarter และเห็นการเพิ่มขึ้นของ Internet of Things ที่นั่นดูเหมือนทุกวัน ๆ ที่วัตถุธรรมดา ๆ บางชิ้นถูกชิปฝังอยู่ แต่ไม่มีใคร - แม้แต่ในสื่อ - เป็นสิ่งนั้น วิจารณ์เกี่ยวกับเรื่องนี้เพียงแค่พูดสิ่งต่าง ๆ เช่น 'ว้าวเราจะได้รับอินเทอร์เน็ตในร่ม' '
IOS มองว่าตัวเองเป็นสิ่งที่สนับสนุนหรือรู้สึกผิดชอบชั่วดีของมารร้ายต่อวัฒนธรรมผู้บริโภค ในสายตาของเขาบัญชี Twitter คือการตรวจสอบสติที่จำเป็นมากเกี่ยวกับการมองโลกในแง่ดีแบบ faux ของ Silicon Valley "เมื่อเราไปไกลเกินไปเทคโนโลยีคำถามสำคัญที่ผู้คนมักจะลืมคือ: ใครต้องการสิ่งนี้จริง ๆ เตาอบที่ทำอาหารไม่ถูกต้องหากไม่มีอินเทอร์เน็ตทำไมคนไม่ออกแบบสิ่งเหล่านี้ให้ดีกว่า"
แต่มากกว่าการออกแบบที่ไม่ดีและการเรียกร้องยูทิลิตี้ที่กว้างขวางข้อกังวลหลักของ IOS คือหนึ่งในความเป็นส่วนตัวและในที่สุดความปลอดภัยส่วนบุคคล: "ฉันเห็น IoT ว่ามีความเสี่ยงโดยเนื้อแท้ แต่ฉันไม่ไว้ใจ บริษัท เหล่านี้ จะถูกแฮ็คอย่างรุนแรงในอนาคต "
โพสต์ขนาดกลางที่เขียนในช่วงต้นชีวิตของบัญชี Twitter IOS กล่าวว่าเขากังวลว่า บริษัท จะเริ่มมองหาวิธีสร้างรายได้จากการรวบรวมข้อมูลจากบ้านของผู้คน จากเรื่องราวนั้น: "ถ้า Nest ต้องการเพิ่มผลกำไรก็สามารถขายข้อมูลสภาพแวดล้อมภายในบ้านของคุณให้กับผู้โฆษณาได้เย็นเกินไปหรือไม่โฆษณา Amazon สำหรับผ้าห่มร้อนเกินไปหรือไม่โฆษณาแบนเนอร์สำหรับเครื่องปรับอากาศชื้นเกินไปหรือไม่เครื่องลดความชื้นใน Facebook ของคุณ"
IOS ยังคงยืนหยัดด้วยความกังวลเหล่านี้ “ เหตุผลที่ IoT น่าดึงดูดสำหรับผู้ผลิตไม่ใช่เพราะพวกเขาเพิ่มคุณสมบัติอัจฉริยะให้กับชีวิตของคุณ - นั่นเป็นเพียงผลพลอยได้” เขาเขียนฉัน "ยิ่งไปกว่านั้นการทำเช่นนั้นทำให้พวกเขาได้รับข้อมูลเชิงลึกอย่างไม่เคยปรากฏมาก่อนเกี่ยวกับวิธีการใช้งานอุปกรณ์เหล่านั้นเช่นความถี่สิ่งที่คุณใช้บ่อยที่สุดและข้อมูลทั้งหมดที่มาพร้อมกับสิ่งนั้น"
IOS กล่าวว่า บริษัท IoT จำเป็นต้องมีนโยบายการรวบรวมข้อมูลอย่างตรงไปตรงมาและผู้ที่สามารถเข้าถึงข้อมูลที่อาจถูกรวบรวมโดยอุปกรณ์เหล่านี้ "คำถามที่เราทุกคนต้องตัดสินใจคือระดับการเข้าถึงที่เรายินดีมอบให้ บริษัท เหล่านี้เพื่อแลกเปลี่ยนกับข้อมูลที่พวกเขาได้รับ - และคนที่เราไว้วางใจกับสิ่งนั้นคือกุญแจสำคัญ"
ในวันคริสต์มาสในปี 2559 IOS เปิดใช้งานไฟกะพริบเมื่อใดก็ตามที่พูดถึง Twitter ของเขา ผลการวิจัยพบว่ามีความรุนแรงการลดทอนและสรุปย่อซึ่งอาจแสดงให้เห็นว่าสิ่งที่ IOS เกลียดชังเกี่ยวกับอินเทอร์เน็ตของทุกสิ่ง
อินเทอร์เน็ตแห่งความไม่มั่นคง
แย่กว่าผลของอุปกรณ์ IoT ที่ไร้ประโยชน์ที่มีต่อกระเป๋าเงินของผู้บริโภค แต่เป็นผลกระทบที่พวกเขามีต่อความปลอดภัยส่วนบุคคล ความกลัวของตลาด iOS สำหรับข้อมูลผู้ใช้ที่เก็บรวบรวมโดยอุปกรณ์ IoT นั้นไม่ได้ดึงมาไกล (คุณคิดว่าแอพฟรีและ บริษัท ข่าวอินเทอร์เน็ตฟรีทำเงินได้อย่างไร) และมีภัยคุกคามอื่น ๆ
ผู้เข้าร่วมประชุมในการประชุม Black Hat 2016 ได้รับการบรรยายจากนักวิจัยด้านความปลอดภัย Eyal Ronen จากการวิจัยของเขาเขาสามารถควบคุมไฟฟิลิปส์เว้จากเสียงพึมพำที่โฉบอยู่ด้านนอกอาคารสำนักงาน การโจมตีครั้งนี้ไม่เพียงโดดเด่นในเรื่องผลลัพธ์ที่น่าทึ่งและเสียงพึมพำเท่านั้น แต่ยังเป็นเพราะอาคารเป็นที่ตั้งของ บริษัท รักษาความปลอดภัยที่มีชื่อเสียงหลายแห่ง
Ronen อธิบายให้ฉันฟังว่าเขาพยายามแสดงให้เห็นว่าการโจมตีอุปกรณ์ระดับสูงของอุปกรณ์ IoT นั้นเป็นไปได้ “ มีแฮ็ก IoT จำนวนมากที่มุ่งเน้นไปที่อุปกรณ์ระดับล่างที่ไม่มีความปลอดภัยที่แท้จริงเราต้องการทดสอบความปลอดภัยของผลิตภัณฑ์ที่ควรจะปลอดภัย” เขากล่าว เขากระตือรือร้นที่จะโจมตี บริษัท ที่มีชื่อเสียงและตั้งรกรากอยู่ที่ฟิลิปส์ Ronen กล่าวว่ามันเป็นการยากที่จะแตกเกินกว่าที่เขาคิดไว้ในตอนแรก แต่เขาและทีมของเขาค้นพบและใช้ประโยชน์จากข้อผิดพลาดในซอฟต์แวร์ ZigBee Light Link ซึ่งเป็นโปรโตคอลการสื่อสารของบุคคลที่สามที่ใช้โดย บริษัท IoT หลายแห่ง
“ มันใช้วิธีการเข้ารหัสลับขั้นสูงและมีการอ้างสิทธิ์ด้านความปลอดภัยที่แข็งแกร่ง” Ronen กล่าว “ ในตอนท้ายในช่วงเวลาสั้น ๆ ที่มีฮาร์ดแวร์ราคาต่ำมากมีมูลค่าประมาณ $ 1, 000 เราก็สามารถทำลายมันได้” Ronen กล่าว
วิดีโอการโจมตีของ Ronen (ด้านบน) แสดงไฟของอาคารที่กระพริบตามลำดับคำสั่งของเขาส่งจากระยะไกลผ่านทางเสียงพึมพำที่โฉบ ถ้าสิ่งนี้เกิดขึ้นกับคุณมันจะน่ารำคาญ - อาจจะไม่น่ารำคาญไปกว่าสถานการณ์ใด ๆ ที่ IOS ไฮไลต์ในบัญชี Twitter ของเขา แต่ผู้เชี่ยวชาญด้านความปลอดภัยยืนยันว่ามีผลต่อความปลอดภัย IoT มากกว่า
"ในงานก่อนหน้านี้เราแสดงวิธีใช้แสงเพื่อกำจัดข้อมูลจากเครือข่าย air-gapped และทำให้เกิดอาการชักจากโรคลมชักและในงานนี้เราแสดงให้เห็นว่าเราสามารถใช้แสงเพื่อโจมตีไฟฟ้ากริดและแยม Wi-Fi ได้อย่างไร" Ronen กล่าว ฉัน. “ IoT กำลังเข้าสู่ทุกส่วนของชีวิตของเราและความปลอดภัยของมันสามารถส่งผลกระทบต่อทุกสิ่งตั้งแต่อุปกรณ์การแพทย์ไปจนถึงรถยนต์และบ้าน”
การขาดมาตรฐาน
การโจมตีของ Ronen ใช้ประโยชน์จากความใกล้เคียงกัน แต่หัวหน้าฝ่ายวิจัยความปลอดภัย Alexandru Balan ที่ Bitdefender ได้ระบุข้อบกพร่องด้านความปลอดภัยอื่น ๆ อีกมากมายที่เข้ามาในอุปกรณ์ IoT เขากล่าวว่ารหัสผ่านของ Hardcoded นั้นเป็นปัญหาโดยเฉพาะเช่นเดียวกับอุปกรณ์ที่กำหนดค่าให้สามารถเข้าถึงได้จากอินเทอร์เน็ตเปิด
มันเป็นการรวมกันของการเข้าถึงอินเทอร์เน็ตและรหัสผ่านเริ่มต้นที่เรียบง่ายซึ่งก่อให้เกิดความเสียหายในเดือนตุลาคม 2559 เมื่อ Mirai botnet ใช้บริการที่สำคัญเช่น Netflix และ Hulu ทั้งออฟไลน์หรือทำให้ช้าจนไม่สามารถใช้งานได้ ไม่กี่สัปดาห์ต่อมามิไรแปรปรวนของการเข้าถึงอินเทอร์เน็ตทั่วประเทศไลบีเรีย
"สิ่งที่เลวร้ายที่สุดของพวกเขาคืออุปกรณ์ที่สัมผัสโดยตรงกับอินเทอร์เน็ตด้วยข้อมูลรับรองเริ่มต้น" Balan กล่าว "สามารถพบได้ใน IoT เสิร์ชเอ็นจิ้นเช่น Shodan หรือเพียงแค่คลานอินเทอร์เน็ตและเข้าถึงพวกมันด้วย admin admin, admin 1234 และอื่น ๆ " Balan กล่าวต่อแสดงตัวอย่างของรหัสผ่านที่ง่ายและคาดเดาได้ง่ายเกินไป เนื่องจากอุปกรณ์เหล่านี้มีความปลอดภัยน้อยที่สุดและสามารถถูกโจมตีจากอินเทอร์เน็ตกระบวนการของการติดไวรัสอาจเป็นแบบอัตโนมัติซึ่งนำไปสู่อุปกรณ์ที่เสียหายหลายพันหรือล้านเครื่อง
ไม่นานหลังจากที่ข่าวของ Mirai พังลงฉันได้ดูสถานการณ์นี้และกล่าวโทษอุตสาหกรรม IoT โดยไม่สนใจคำเตือนเกี่ยวกับการรับรองความถูกต้องที่ไม่ดีและการเข้าถึงออนไลน์ที่ไม่จำเป็น แต่บาลานจะไม่ไปไกลถึงการเรียกข้อบกพร่องเหล่านี้อย่างชัดเจน "ต้องทำวิศวกรรมย้อนกลับบนเฟิร์มแวร์เพื่อดึงข้อมูลรับรองเหล่านั้น แต่บ่อยครั้งมากที่พวกเขาพบข้อมูลประจำตัวที่เข้ารหัสยากในอุปกรณ์เหตุผลในกรณีนี้คือในหลายกรณีไม่มีมาตรฐานเมื่อมาถึง ความปลอดภัย IoT "
ช่องโหว่เช่นนี้เกิดขึ้น Balan ตั้งสมมติฐานเพราะ บริษัท IoT ดำเนินงานด้วยตัวเองโดยไม่ต้องมีมาตรฐานหรือผู้เชี่ยวชาญด้านความปลอดภัยที่เป็นที่ยอมรับในระดับสากล “ มันง่ายกว่าที่จะสร้างมันขึ้นมาแบบนี้และคุณสามารถพูดได้ว่าพวกเขากำลังตัดมุม แต่ประเด็นหลักคือพวกเขาไม่ได้มองหาวิธีการสร้างอย่างเหมาะสมในแบบที่ปลอดภัยพวกเขาแค่พยายามทำให้สำเร็จ ทำงานอย่างถูกต้อง "
แม้ว่า บริษัท ต่างๆจะพัฒนาแก้ไขสำหรับการโจมตีเช่นเดียวกับ Ronen ที่ค้นพบอุปกรณ์ IoT บางตัวไม่สามารถใช้การอัปเดตอัตโนมัติได้ สิ่งนี้ทำให้ความรับผิดชอบของผู้บริโภคในการค้นหาและใช้งานแพตช์เองซึ่งอาจเป็นสิ่งที่น่ากังวลเป็นพิเศษสำหรับอุปกรณ์ที่ไม่ได้ตั้งใจให้บริการ
แม้จะมีอุปกรณ์ที่สามารถอัปเดตได้ง่าย แต่ช่องโหว่ก็ยังคงมีอยู่ นักวิจัยหลายคนแสดงให้เห็นว่าไม่ใช่นักพัฒนา IoT ทุกคนที่ลงนามการอัพเดทด้วยลายเซ็นเข้ารหัส ซอฟต์แวร์ที่เซ็นชื่อจะถูกเข้ารหัสด้วยครึ่งส่วนตัวของคีย์การเข้ารหัสแบบอสมมาตรซึ่งเป็นของผู้พัฒนาซอฟต์แวร์ อุปกรณ์ที่ได้รับการอัพเดทมีกุญแจครึ่งสาธารณะซึ่งใช้ในการถอดรหัสการอัพเดท วิธีนี้ช่วยให้มั่นใจได้ว่าการอัปเดตเป็นทางการและไม่ได้รับการแก้ไขเนื่องจากการลงนามการอัปเดตที่เป็นอันตรายหรือการแก้ไขการอัปเดตซอฟต์แวร์จะต้องใช้รหัสลับของนักพัฒนา "หากพวกเขาไม่ได้ลงนามในการอัพเดทแบบดิจิทัลพวกเขาสามารถถูกแย่งชิงได้พวกเขาสามารถได้รับการดัดแปลงรหัสสามารถถูกฉีดเข้าไปในการอัพเดทเหล่านั้น" Balan กล่าว
นอกเหนือจากการเปิดและปิดไฟเพียงอย่างเดียว Balan กล่าวว่าอุปกรณ์ IoT ที่ติดเชื้อสามารถใช้เป็นส่วนหนึ่งของบ็อตเน็ตได้เมื่อเห็นกับมิไรหรือเพื่อจุดประสงค์ที่ร้ายกาจ "ฉันสามารถดึงข้อมูลรับรอง Wi-Fi ของคุณได้เพราะคุณเห็นได้ชัดว่าติดกับเครือข่าย Wi-Fi ของคุณและเป็นกล่อง Linux ฉันสามารถใช้เพื่อหมุนและเริ่มการโจมตีภายในเครือข่ายไร้สายของคุณ
"ภายในความเป็นส่วนตัวของเครือข่าย LAN ของคุณกลไกการพิสูจน์ตัวตนนั้นหละหลวม" Balan กล่าวต่อ "ปัญหาเกี่ยวกับ LAN คือเมื่อฉันอยู่ในเครือข่ายส่วนตัวของคุณฉันสามารถเข้าถึงทุกสิ่งที่เกิดขึ้นที่นั่น" ด้วยเหตุนี้ IoT ที่เสียหายจะกลายเป็นหัวหาดในการโจมตีอุปกรณ์ที่มีค่ามากขึ้นในเครือข่ายเดียวกันเช่น Network Attached Storage หรือคอมพิวเตอร์ส่วนบุคคล
บางทีมันอาจจะบอกว่าอุตสาหกรรมความปลอดภัยได้เริ่มมองอย่างใกล้ชิดกับ IoT ในช่วงไม่กี่ปีที่ผ่านมาผลิตภัณฑ์จำนวนมากได้เข้าสู่ตลาดเพื่อปกป้องอุปกรณ์ IoT จากการถูกโจมตี ฉันได้เห็นหรืออ่านเกี่ยวกับผลิตภัณฑ์หลายอย่างและตรวจสอบการเสนอของ Bitdefender เรียกว่า Bitdefender Box อุปกรณ์นี้เชื่อมต่อกับเครือข่ายที่มีอยู่ของคุณและให้การป้องกันไวรัสสำหรับทุกอุปกรณ์ในเครือข่ายของคุณ แม้จะตรวจสอบอุปกรณ์ของคุณเพื่อหาจุดอ่อนที่อาจเกิดขึ้น Bitdefender จะเปิดตัว Box รุ่นที่สองในปีนี้ นอร์ตันจะเข้าสู่ข้อเสนอของตนเอง (ด้านล่าง) ซึ่งมีการตรวจสอบแพ็คเก็ตลึกในขณะที่ F-Secure ได้ประกาศอุปกรณ์ฮาร์ดแวร์
ในฐานะหนึ่งในตลาดแรก Bitdefender อยู่ในตำแหน่งที่ไม่ซ้ำใครของความปลอดภัยของซอฟต์แวร์และจากนั้นออกแบบฮาร์ดแวร์สำหรับผู้บริโภคที่น่าจะปลอดภัยไร้ที่ติ ประสบการณ์นั้นเป็นอย่างไร? "มันยากมาก" Balan ตอบ
Bitdefender มีโปรแกรมบั๊ก bounty (เป็นเงินรางวัลให้กับโปรแกรมเมอร์ที่เปิดโปงและมอบทางออกให้กับบั๊กบนเว็บไซต์หรือในแอปพลิเคชั่น) ซึ่ง Balan ยืนยันได้ช่วยพัฒนากล่อง "บริษัท ไม่ควรจะหยิ่งมากพอที่จะเชื่อว่าสามารถหาข้อผิดพลาดทั้งหมดด้วยตัวเองนี่คือเหตุผลที่ว่ามีโปรแกรมบั๊กโปรดปรานอยู่มากมาย แต่ความท้าทายด้านฮาร์ดแวร์คือการที่มีแบ็คดอร์อยู่ภายในชิปจริง ๆ "
“ เรารู้ว่าต้องมองหาอะไรและควรมองอย่างไรและเรามีทีมงานฮาร์ดแวร์ที่สามารถแยกชิ้นส่วนและดูส่วนประกอบแต่ละอย่างในบอร์ดนั้นได้โชคดีที่บอร์ดนั้นไม่ใหญ่มาก”
มันไม่ได้เป็นอึทั้งหมด
มันง่ายที่จะลดราคาของอุตสาหกรรมทั้งหมดโดยอิงจากนักแสดงที่เลวร้ายที่สุดและสิ่งเดียวกันก็เป็นจริงสำหรับ Internet of Things แต่ George Yianni หัวหน้าฝ่ายเทคโนโลยีระบบภายในบ้าน Philips Lighting พบว่ามุมมองนี้น่าผิดหวังอย่างยิ่ง
"เราเริ่มจริงจังมากตั้งแต่แรกนี่คือหมวดหมู่ใหม่เราต้องสร้างความเชื่อมั่นและสิ่งเหล่านี้สร้างความเสียหายต่อความไว้วางใจและนั่นก็เป็นเหตุผลว่าทำไมฉันถึงคิดว่าผลิตภัณฑ์ที่ไม่ได้ทำงานที่ดีเช่นนี้คือสิ่งที่ดี กัดเซาะความไว้วางใจในหมวดหมู่โดยรวมผลิตภัณฑ์ใด ๆ ที่สามารถทำได้ไม่ดีมันไม่ใช่คำวิจารณ์ของอุตสาหกรรมโดยรวม "
บ่อยครั้งที่ บริษัท รักษาความปลอดภัยวิธีที่ บริษัท ตอบสนองต่อการโจมตีนั้นสำคัญกว่าผลกระทบของการโจมตีนั้น ในกรณีของโดรนจู่โจมบนอุปกรณ์ของฟิลิปส์ Yianni อธิบายว่า Ronen ส่งการค้นพบของเขาผ่านทางโปรแกรมเปิดเผยความรับผิดชอบของ บริษัท ที่มีอยู่ นี่เป็นขั้นตอนที่ใช้เพื่อให้ บริษัท มีเวลาตอบสนองต่อการค้นพบของนักวิจัยด้านความปลอดภัยก่อนที่จะเผยแพร่ต่อสาธารณะ ด้วยวิธีนี้ผู้บริโภคสามารถมั่นใจได้ว่าพวกเขาปลอดภัยและนักวิจัยได้รับเกียรติ
Ronen พบข้อผิดพลาดในสแต็กซอฟต์แวร์บุคคลที่สาม Yianni กล่าว โดยเฉพาะมันเป็นส่วนหนึ่งของมาตรฐาน ZigBee ที่ จำกัด การสื่อสารกับอุปกรณ์ภายในสองเมตร งานของ Ronen อย่างที่คุณจะจำได้ก็สามารถควบคุมได้จากระยะไกล - 40 เมตรด้วยเสาอากาศมาตรฐานและ 100 เมตรพร้อมเสาอากาศเสริม ต้องขอบคุณโปรแกรมการเปิดเผยข้อมูลที่มีความรับผิดชอบ Yianni กล่าวว่าฟิลิปส์สามารถส่งปะต่อแสงในสนามก่อนที่ Ronen จะบอกโลกเกี่ยวกับการโจมตี
เมื่อเห็น บริษัท หลายแห่งต่อสู้กับการละเมิดความปลอดภัยสาธารณะหรือผลงานของนักวิจัยด้านความปลอดภัย Yianni และการตอบสนองของฟิลิปส์อาจฟังดูคล้ายกับการตบหลังจริง ๆ แต่มันก็ประสบความสำเร็จจริงๆ "ผลิตภัณฑ์ของเราทั้งหมดสามารถอัปเดตซอฟต์แวร์ได้เพื่อให้สามารถแก้ไขได้" Yianni บอกกับฉัน "สิ่งอื่น ๆ ที่เราทำการประเมินความเสี่ยงด้านความปลอดภัยการตรวจสอบความปลอดภัยการทดสอบการเจาะระบบบนผลิตภัณฑ์ทั้งหมดของเรา แต่จากนั้นเราก็ดำเนินกระบวนการเปิดเผยข้อมูลที่รับผิดชอบเหล่านี้เพื่อให้หากมีสิ่งใดเกิดขึ้นเราจะสามารถทราบล่วงหน้าและแก้ไขได้ มันเร็วมาก
"เรามีกระบวนการทั้งหมดที่เราสามารถผลักดันการอัปเดตซอฟต์แวร์จากคลาวด์ทั้งหมดของเราลงไปและแจกจ่ายให้กับแสงทั้งหมดนั่นเป็นสิ่งสำคัญสุดเพราะพื้นที่กำลังเคลื่อนไหวอย่างรวดเร็วและสิ่งเหล่านี้เป็นผลิตภัณฑ์ที่กำลังจะเกิดขึ้นในช่วง 15 ปีที่ผ่านมา และถ้าเราจะตรวจสอบให้แน่ใจว่าพวกเขายังคงมีความเกี่ยวข้องในแง่ของฟังก์ชั่นและเพื่อความปลอดภัยเพียงพอสำหรับการโจมตีล่าสุดเราจำเป็นต้องมีสิ่งนั้น "
ในการติดต่อกับฉัน Ronen ยืนยันว่าฟิลิปส์ได้ทำงานที่น่าชื่นชมอย่างแท้จริงในการรักษาระบบไฟฮิว "ฟิลิปส์ทุ่มเทความพยายามอย่างมากในการรักษาความปลอดภัยของไฟ" Ronen บอกกับฉัน "แต่น่าเสียดายที่สมมติฐานด้านความปลอดภัยขั้นพื้นฐานบางอย่างที่ใช้การรักษาความปลอดภัยชิปพื้นฐานของ Atmel นั้นผิด" เมื่อ Balan ชี้ให้เห็นถึงการทำงานของ Bitdefender บน Box ทุกแง่มุมของอุปกรณ์ IoT นั้นจะถูกโจมตี
ฟิลิปส์ยังออกแบบฮับส่วนกลาง - อุปกรณ์ที่จำเป็นสำหรับการประสานเครือข่ายของผลิตภัณฑ์ฟิลิปส์ IoT - ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตเปิด "การเชื่อมต่ออินเทอร์เน็ตทั้งหมดนั้นเริ่มต้นจากอุปกรณ์เราไม่เคยเปิดพอร์ตบนเราเตอร์หรือทำการเชื่อมต่อเพื่อให้อุปกรณ์บนอินเทอร์เน็ตสามารถพูดคุยกับโดยตรงได้" Yianni อธิบาย แต่ฮับจะส่งคำขอไปยังโครงสร้างพื้นฐานคลาวด์ของฟิลิปส์ซึ่งจะตอบกลับคำขอแทนวิธีอื่น ๆ สิ่งนี้ยังช่วยให้ฟิลิปส์เพิ่มเลเยอร์พิเศษเพื่อปกป้องอุปกรณ์ของผู้บริโภคโดยไม่ต้องเข้าไปในบ้านและทำการเปลี่ยนแปลงใด ๆ "เป็นไปไม่ได้ที่จะสื่อสารกับจากภายนอก Hub เว้นแต่คุณจะถูกส่งผ่านคลาวด์นี้ซึ่งเราสามารถสร้างความปลอดภัยและการตรวจสอบเพิ่มเติมในเลเยอร์"
Yianni อธิบายว่านี่เป็นส่วนหนึ่งของแนวทางแบบหลายชั้นของ Philips ที่ใช้ในการรักษาความปลอดภัยของระบบไฟ Hue เนื่องจากระบบประกอบด้วยชิ้นส่วนต่าง ๆ มากมายตั้งแต่ฮาร์ดแวร์ภายในหลอดไฟไปจนถึงซอฟต์แวร์และฮาร์ดแวร์บน Hue Hub ไปจนถึงแอพภายในโทรศัพท์ของผู้ใช้จึงต้องมีมาตรการที่แตกต่างกันในทุกระดับ “ ทั้งหมดของพวกเขาต้องการมาตรการรักษาความปลอดภัยที่แตกต่างกันเพื่อให้พวกเขาปลอดภัยพวกเขาทั้งหมดมีระดับความเสี่ยงและความเสี่ยงที่แตกต่างกันดังนั้นเราจึงทำมาตรการต่าง ๆ สำหรับส่วนต่าง ๆ เหล่านี้ทั้งหมด” Yianni กล่าว
สิ่งนี้รวมถึงการทดสอบการเจาะระบบ แต่เป็นการออกแบบจากล่างขึ้นบนที่มีวัตถุประสงค์เพื่อป้องกันการโจมตี "ไม่มีรหัสผ่านระดับโลกเหมือนกับที่ใช้ในบอตเน็ตของ Mirai นี้" Yianni กล่าว มัลแวร์ Mirai มีรหัสผ่านเริ่มต้นจำนวนมากที่จะใช้ในการพยายามครอบครองอุปกรณ์ IoT "ทุกคนมีกุญแจที่ไม่เหมือนใครและเซ็นชื่อแบบอสมมาตรเพื่อตรวจสอบเฟิร์มแวร์ทุกอย่างนี้อุปกรณ์หนึ่งซึ่งมีฮาร์ดแวร์ที่ได้รับการดัดแปลงไม่มีความเสี่ยงระดับโลกจากสิ่งนั้น" เขาอธิบาย
สิ่งนี้ยังใช้กับค่าของอุปกรณ์ IoT “ ผลิตภัณฑ์จำนวนมากเหล่านี้มีแนวโน้มที่จะเชื่อมต่อเพื่อประโยชน์ในการเชื่อมต่อ” เขากล่าว “ ความต้องการอัตโนมัติทุกอย่างภายในบ้านของคุณไม่ใช่ปัญหาที่ผู้บริโภคจำนวนมากมีและนั่นเป็นเรื่องยากมากที่จะนำคุณไปรอบ ๆ เราคิดว่าผลิตภัณฑ์ที่ทำได้ดีนั้นเป็นผลิตภัณฑ์ที่ให้คุณค่าที่เข้าใจง่ายแก่ผู้บริโภค”
อินเทอร์เน็ตที่ไม่อาจต้านทานได้ของสิ่งต่าง ๆ
การรู้ถึงความเสี่ยงเกี่ยวกับ IoT และแม้กระทั่งการยอมรับความเหลื่อมล้ำนั้นก็ไม่ได้หยุดยั้งผู้คนไม่ให้ซื้อแสงสมาร์ทเช่น Philips Hue ผู้ช่วยประจำบ้านเช่น Google Home หรือ Amazon Echo และใช่ขวดน้ำสมาร์ท แม้แต่ผู้ให้บริการอินเทอร์เน็ตของ Shit ก็ยังเป็นแฟน IoT ตัวยง
“ การประชดตัวจริงที่อยู่เบื้องหลัง Internet of Shit ก็คือฉันเป็นคนที่น่าดึงดูดสำหรับอุปกรณ์เหล่านี้” IOS กล่าว "ฉันเป็นผู้ยอมรับในช่วงแรกและทำงานด้านเทคโนโลยีดังนั้นหลายครั้งที่ฉันไม่สามารถต้านทานสิ่งเหล่านี้ได้" IOS แสดงไฟที่เชื่อมต่อของ Philips, เครื่องควบคุมอุณหภูมิ Tado, เครื่องติดตามการนอนหลับ Sense, ลำโพงอัจฉริยะ, กล้อง Canary และปลั๊กที่เชื่อมต่อ Wi-Fi ท่ามกลางสิ่งอำนวยความสะดวกในบ้านล้ำสมัยของเขา
"ฉันรู้ว่าบัญชีมีขนาดใหญ่เกินกว่าที่ฉันคาดไว้โดยไม่ได้ตั้งใจและฉันไม่ต้องการกีดกันผู้คนให้เข้าสู่เทคโนโลยี - ฉันคิดว่าการทดลองด้วยความคิดที่โง่เง่านั้นเป็นวิธีที่ความคิดที่ยอดเยี่ยมสามารถเกิดขึ้นได้ Simone Giertz สอนฉันนิดหน่อย "IOS กล่าว
Giertz นักบวชที่ไร้เหตุผลและ YouTuber เป็นผู้อยู่เบื้องหลัง Shitty Robots ผลงานของเธอประกอบไปด้วยเสียงขึ้นจมูกที่ให้ตัดผม - หรือที่ล้มเหลว - และหมวกขนาดใหญ่ที่สวมแว่นกันแดดลงบนใบหน้าของเธอ คิดว่ามันเป็น Rube Goldberg ที่มีความเห็นถากถางดูถูกซิลิคอนแวลลีย์ในปริมาณที่ดีต่อสุขภาพ
คนที่อยู่เบื้องหลัง IOS รายงานว่าเขากำลังพยายามที่จะบังเหียนในสัญชาตญาณการรับเลี้ยงบุตรบุญธรรมของเขาในวันนี้ "ฉันคิดว่าช่วงเวลาที่ฉันต้องอัปเดตเฟิร์มแวร์หลอดไฟของฉันเพื่อเปิดใช้งานนั้นเป็นความเข้าใจที่ดีสำหรับฉัน … "
Balan ของ Bitdefender กล่าวว่าเขาใช้หลอดไฟที่เพิ่มเป็นสองเท่าของเครือข่าย Wi-Fi อุปกรณ์เหล่านี้ขยายทั้งแสงและ Wi-Fi ไปทุกมุมของบ้าน แต่พวกเขาก็เต็มไปด้วยช่องโหว่มากมายที่เขาเย้ยหยันรวมถึงรหัสผ่านเริ่มต้นที่อ่อนแอ เมื่อมาถึง IoT เขายังคงไม่สะทกสะท้าน
“ มันก็เหมือนกับเรื่องเซ็กส์” เขาบอกฉัน “ คุณจะไม่ทำมันโดยไม่มีถุงยางอนามัยเราชอบเพศเซ็กส์ยอดเยี่ยมเราจะไม่ยอมแพ้เซ็กส์เพราะมันอันตราย แต่เราจะต้องใช้การป้องกันเมื่อเราทำมัน” แทนที่จะเชื่อในความหวาดระแวงเขาเชื่อว่าผู้บริโภคควรพึ่งพา บริษัท รักษาความปลอดภัยและเพื่อนที่มีการศึกษาที่สามารถระบุ บริษัท ที่ให้ความปลอดภัยอย่างจริงจังด้วยการรับข้อผิดพลาดและเครื่องมืออัปเดตที่ปลอดภัยเป็นประจำ
Ronen ใช้แฮงเอาท์ IoT หรือไม่ "ปัจจุบันไม่มี" เขากล่าว "ฉันกลัวว่าผลกระทบจะมีต่อความเป็นส่วนตัวและความปลอดภัยของฉันและผลประโยชน์นั้นไม่สูงพอสำหรับความต้องการของฉัน"
แม้แต่ผู้แต่งที่ถ่อมตนของคุณผู้ต่อต้านเพลงไซเรนของเครื่องตรวจจับควันและไฟเปลี่ยนสีหลายปีก็เริ่มพังทลาย เมื่อเร็ว ๆ นี้ในความพยายามที่จะโก้เก๋สำนักงานสำหรับวันหยุดฉันพบว่าตัวเองติดตั้งไฟอัจฉริยะสามดวงแยกกัน ผลที่ได้ออกมาน่ากลัวและสวยงามมาก
ในขณะเดียวกันแสง Philips Hue ใหม่เอี่ยมกำลังนั่งอยู่ในตะกร้าช้อปปิ้ง Amazon ของฉัน สักวันหนึ่งฉันจะกดปุ่ม