Geladeira Inteligente da Samsung Só Tenho Pwned. Como sobre o resto da sua casa inteligente?

Uma vulnerabilidade com a geladeira inteligente da Samsung foi descoberta pela firma de testes Infosec, do Reino Unido, Pen Test Parters. A implementação de criptografia SSL da Samsung não verifica a validade dos certificados.

Uma vulnerabilidade com a geladeira inteligente da Samsung foi descoberta pela firma de testes Infosec, do Reino Unido, Pen Test Parters.  A implementação de criptografia SSL da Samsung não verifica a validade dos certificados.
Propaganda

$ 3599 é muito dinheiro.

Poderia conseguir um carro decente em segunda mão ou um iMac relativamente enganado. Você poderia comprar 3599 hambúrgueres McChicken ou 2589 McDoubles. Ou você pode obter o Samsung RF28HMELBSR.

Este frigorífico tem tudo. Ela tem quatro portas, um colossal 28 pés cúbicos de espaço e uma tela sensível ao toque LCD integrada de 8 ”WiFi que permite que você faça qualquer coisa, desde ler as notícias, até controlar remotamente seu smartphone Android.

Se isso soa familiar, é porque já apareceu na minha lista dos produtos Smart Home mais idiotas que já chilreavam geladeiras e fogões de arroz controlados pela Web: 9 dos Eletrodomésticos Inteligentes Stupidest Chilreando Frigoríficos e Panelas de Arroz Controladas pela Web: 9 dos Smart Home Estúpidos Aparelhos Há muitos dispositivos domésticos inteligentes que são dignos do seu tempo e dinheiro. mas também há tipos que nunca devem ver a luz do dia. Aqui estão 9 dos piores. Consulte Mais informação . E eu mencionei que existe uma enorme vulnerabilidade de segurança?

Geladeira Inteligente, Erro Estúpido

Sim, por toda a sua sofisticação, essa geladeira foi enviada com uma falha de segurança significativa que poderia fazer com que um invasor capturasse as credenciais de login do Gmail sub-repticiamente.

A vulnerabilidade foi relatada pela primeira vez no The Register em 24 de agosto, e descoberta pela empresa de informação Pen Test Parters, baseada no Reino Unido, enquanto participava de um desafio de hacking da Internet das Coisas (IoT) na recente conferência Defcon 23.

O ecrã táctil incorporado neste frigorífico permite ao utilizador aceder ao seu próprio Calendário Google. As conexões de e para os servidores do Google são criptografadas usando criptografia SSL O que é um certificado SSL e você precisa de um? O que é um certificado SSL e você precisa de um? Navegar na Internet pode ser assustador quando informações pessoais estão envolvidas. Leia mais, mas a implementação de SSL da Samsung não verifica a validade dos certificados.

RF28HMELBSR

Isso representa um sério problema de segurança, já que qualquer um na rede seria capaz de lançar um “Homem no Meio”. O que é um ataque do tipo “homem no meio”? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Leia Mais ataque e intercepte as credenciais de login do usuário em trânsito. Um invasor também poderá obtê-los falsificando um ponto de acesso ou por meio de um ataque de desautenticação sem fio.

A Samsung disse que está "investigando o assunto o mais rápido possível" e, provavelmente, está trabalhando para resolver um problema. Mas este episódio apresenta uma demonstração interessante de quão mal a segurança pode dar errado na Internet das Coisas.

(In) Segurança Em Um Mundo De Coisas Em Rede

No passado, falamos extensivamente sobre os riscos representados pela Internet das Coisas, tanto de uma privacidade. Por que a Internet das coisas é o maior pesadelo de segurança? Por que a Internet das coisas é o maior pesadelo da segurança? trabalhe para descobrir que seu sistema de segurança doméstico habilitado para a nuvem foi violado. Como isso pôde acontecer? Com a Internet of Things (IoT), você pode descobrir o caminho mais difícil. Leia mais e de uma perspectiva sociológica e de segurança 7 razões pelas quais a Internet das coisas deve assustá-lo 7 razões pelas quais a Internet das coisas deve assustá-lo Os benefícios potenciais da Internet das Coisas brilham, enquanto os perigos são lançados nas sombras silenciosas. É hora de chamar a atenção para esses perigos com sete promessas aterrorizantes da IoT. Consulte Mais informação . Endereçá-los é difícil, porque quando se trata de proteger a Internet das coisas, encontramos alguns problemas.

Em primeiro lugar, esses dispositivos não são PCs ou telefones, pelo que são uniformemente fáceis de atualizar (o Windows 10 instala até atualizações em seu nome Como desativar as atualizações automáticas de aplicativos no Windows 10 Como desativar as atualizações automáticas de aplicativos no Windows 10 Desativar as atualizações do sistema não é recomendado, mas, se necessário, veja como você faz isso no Windows 10. Leia mais), e os fornecedores envolvidos estão regularmente lançando atualizações de software e segurança. Muitos produtos domésticos inteligentes não “atualizam” o ar, exigindo que você use pacotes de software complicados ou não confiáveis, armazenamento removível ou simplesmente não permite a atualização do firmware.

Como você, por exemplo, atualiza um pote de café interconectado ou um termostato computadorizado? Não há maneira fácil e universal de fazer isso.

Também é importante abordar o fato de que muitos desses dispositivos agora são construídos por pessoas comuns em suas próprias casas. Arduino e Raspberry Pi nos permitiram introduzir conectividade de rede e lógica computadorizada em lugares que nunca imaginamos possíveis, enquanto produtos como o Windows 10 da Microsoft para IoT Windows 10 - Chegando a um Arduino perto de você? Windows 10 - Chegando a um Arduino perto de você? A Read More facilitou a exposição desses dispositivos à Internet em geral, abrindo simultaneamente um mundo de oportunidades e riscos.

samsung-experimentationkit

Embora muitos desenvolvedores experientes saibam como construir esses dispositivos de maneira segura, muitos desenvolvedores novatos e amadores não.

Então nos deparamos com o problema da longevidade. Novamente, esse problema é exclusivamente endêmico para o mundo do Smart Home. Porque enquanto o seu PC e Phone executam software que foi construído por empresas com longos históricos e bolsos profundos, a maioria dos seus dispositivos Smart Home não.

A esmagadora maioria dessas empresas está no início de startups em estágio avançado, muitas delas estão em um estágio preliminar em seu desenvolvimento. Se eles desligarem, o que acontece com os produtos que já enviaram? Quem vai escrever atualizações de software e patches de segurança?

Como escrevemos no passado, as startups de hardware são difíceis Por que as Startups de hardware são difíceis: trazendo o ErgoDox à vida Por que as Startups de hardware são difíceis: trazendo o ErgoDox à vida Aqui está uma opinião controversa: é fácil iniciar um software. Hardware, por outro lado? Startups de hardware são difíceis. Muito difícil. Consulte Mais informação . Já neste ano, vimos demissões significativas em Leeo e Wink - duas das maiores startups de Smart Home. Muitos mais - como Lumos - não conseguiram sair completamente do chão.

Mas talvez a maior e mais duradoura ameaça à segurança da Smart Home e da Internet das Coisas seja simplesmente o fato de esses dispositivos serem construídos para durar mais do que seus fabricantes prefeririam. Sistemas embarcados e produtos Smart Home podem funcionar, felizmente, por anos e anos. Muitos deles não funcionam em um serviço de assinatura.

Devemos esperar que a Nest e a Philips ofereçam atualizações enquanto a Microsoft oferecer suporte ao Windows XP O que o Windows XPocalypse significa para você O que o Windows XPocalypse significa para você A Microsoft matará o suporte ao Windows XP em abril de 2014. Isso tem sérias consequências empresas e consumidores. Aqui está o que você deve saber se ainda estiver executando o Windows XP. Consulte Mais informação ?

Fora da LAN, no fogo

Esses problemas de segurança são significativamente exacerbados pelo fato de que muitos desses dispositivos estão conectados à Internet em geral e podem ser acessados ​​remotamente, introduzindo assim uma variedade de preocupações de segurança.

Porque quando você conecta algo à Internet, você introduz um novo vetor de ataque para quem está tão motivado. Em vez de ter que se conectar à sua rede doméstica, alguém poderia simplesmente comprometê-lo remotamente.

É mais fácil do que você pensa também. Existe até um mecanismo de busca para sistemas embarcados, chamado Shodan. Com apenas algumas teclas, você pode encontrar sistemas que foram expostos à Internet em todo o mundo - de usinas de energia no Japão, a webcams na Holanda e telefones VoIP em Nova York.

samsung-shodan-iot

Basta pesquisar por “Web Cam” e exibir milhares de webcams remotamente acessíveis. Eu não acessei nenhum, no entanto, como isso quase certamente resultaria em eu quebrar a Lei de Uso Indevido de Computador de 1990. A Lei de Uso Indevido de Computador: A Lei que Criminaliza Hacking no Reino Unido. Reino Unido, o Computer Misuse Act de 1990 lida com crimes de hacking. Essa legislação controversa foi recentemente atualizada para dar à organização de inteligência britânica GCHQ o direito legal de invadir qualquer computador. Até o seu. Consulte Mais informação .

samsung-shodan-webcam

É assustador. Começamos a apresentar nossas casas à Internet, e é relativamente fácil encontrá-las e lançar ataques direcionados a elas. Nós deveríamos estar preocupados.

Então, o que pode ser feito?

Falhas de segurança, como a encontrada na geladeira Android da Samsung, sempre estarão lá. Contanto que seja fácil para os fornecedores emitirem correções, e elas estejam sendo constantemente atualizadas durante toda a vida útil dos dispositivos, isso não é um grande problema.

Mas é importante abordar os outros problemas. Esforços devem ser feitos para garantir que os desenvolvedores de produtos Smart Home e IoT saibam como desenvolver sistemas seguros. Isso poderia ser alcançado por um maior contato com a comunidade de segurança.

Existem vários precedentes para isso. O projeto OWASP (Open Web Application Security Project) é algo que vem imediatamente à mente. Lançado em 2004, produziu material educacional disponível gratuitamente que ensina os desenvolvedores a criar sites seguros e hackers a testar adequadamente a segurança dos aplicativos da Web. .

owasp-presentation

Não há motivos para que algo semelhante não possa ser criado para o mundo dos smart home e para os desenvolvedores do Internet of Things.

Além disso, precisamos garantir que os sistemas Smart Home sejam atualizados e mantidos, mesmo se os fornecedores desistirem. Isso pode ser feito obrigando todos a liberarem seu código em um depósito de código-fonte, onde o código é liberado se a empresa pedir falência ou não conseguir manter o software de maneira satisfatória.

E como consumidores, devemos começar a exigir mais dos fornecedores. Devemos exigir que os dispositivos que compramos sejam compatíveis com patches de segurança durante a vida útil do produto. Devemos esperar que quaisquer questões de segurança sejam resolvidas de forma rápida e decisiva. Devemos esperar que os fornecedores tratem ameaças de segurança com transparência absoluta. E não devemos patrocinar fornecedores que não cumprem esse padrão escasso.

Todas são mudanças relativamente pequenas, mas não há razão para pensar que elas não resultariam em dispositivos Smart Home mais seguros. Mas o que você acha?

Se você tem algum pensamento, ou tem alguma história de horror da insegurança da IoT, eu quero ouvir sobre eles. Deixe-me saber nos comentários abaixo, e vamos conversar.

Créditos das fotos: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)

In this article