DEF CON og Black Hat er ikke rappere med gæstepletter på Jay-Zs nye album; de er et par sikkerhedskonferencer, som du sandsynligvis aldrig har hørt om eller har været opmærksom på. Det vil du måske ændre i år. En stor del af disse konferencer er præsentationer af sikkerhedsprofessionelle (det er udtalte "hackere"), der bruger deres dage på at bryde ind i alt det digitale, og årets dagsordener er stablet med demonstrationer af bedrifter mod tilsluttet hjemmeteknologi. Eksplosionen af ellers verdslige internetaktiverede enheder - termostater, pærer, ovne, tv, listen fortsætter - har alle fra script-kiddies til efterretningsbureauer lige så begejstrede for det nye angreb, som disse gadgets og apparater åbner. Enhver enhed, der kan tale med en anden enhed eller internettet, kan potentielt hackes til at gøre noget utilsigtet af dens skaber eller ejer, og dette vil snart blive demonstreret offentligt på Black Hat #Fouladi og DEF CON.
Hvorfor bekymre sig?
Indrømmet at en hacker, der går efter din internet-aktiverede brødrister, måske ikke er lukrativ på samme måde som at stjæle din identitet eller bankoplysninger, men penge er ikke altid motivet i hacking-kredse. Mange af de mest skadelige angreb på computere er begået for chokværdi, underjordisk troværdighed eller professionelt omdømme. At nedbrænde et hjem ved at hacke tilsluttede apparater ville være meget mere værd end at besejre bedstemors computer. Dette er ganske vist et værst tænkeligt scenario, men der er utallige måder, et kompromitteret tilsluttet hjem kan bruges til at ødelægge din dag. En hacket babymonitor kunne bruges af potentielle indbrudstyve til at finde ud af, når du ikke er hjemme, script-kiddie ved siden af kunne lukke for din varme midt om vinteren og sprænge dine rør ved at hacke din internetforbundne termostat eller lukke dit smart-grid-aktiverede køleskab og forkæle al maden. For et par år tilbage var proof-of-concept-angreb mod kompromitterede netværksbaserede laserprintere i stand til at få dem til at blive enkeltpapir. Dengang da jeg havde X10-automatiseringsafbrydere i hele huset, plejede venner at køre forbi og rode med mit huslys bare for sjov. Udnyttelser mod en X10-efterfølger, Z-Wave, vil snart blive demoedet på BlackHat og DEF CON.
Pointen: Dette er ikke bare tinfoil-hat ting; der er masser af plausible angreb mod et tilsluttet hjem. I modsætning til irritationsfaktoren, når en computer bliver hacket, kan der være fysiske konsekvenser i den virkelige verden, når usikrede tilsluttede apparater udnyttes.
Usikker som standard
Ægte sikkerhed handler om at balancere risiko og belønning
Sikkerhed er ofte en eftertanke i designet af tilsluttede enheder. Det er ikke noget, som de fleste forbrugere er uddannet til, og det er ofte svært at beskrive på en punkt eller i afkrydsningsfeltet ("Sikkerhed: Ja"). Desuden har mange af de gamle producenter, der går ind i det tilsluttede enheds rum, ikke institutionel viden omkring sikkerhed; det har ikke historisk været et problem for f.eks. køleskabe. I trækket om produktudvikling mellem sikkerhed og bekvemmelighed er sikkerhed normalt taberen. Et godt eksempel kan ses, når du parrer din telefon til et Bluetooth-headset eller din bil. Ofte bliver du bedt om en PIN-kode, men det er normalt alle nuller (faktisk er det så almindeligt, at nogle nye enheder bare prøver alle nuller og aldrig beder om en PIN-kode, hvis det fungerer). Parrings-PIN-koden er en sikkerhedsfunktion, der er indbygget i Bluetooth, for at forhindre, at en hacker interfererer på en måde, der muliggør senere aflytning af den krypterede forbindelse, men den er blevet kastreret effektivt af de mange producenter, der vælger ikke at bruge den i bekvemmelighedens navn. Et angreb på et headset kan kun resultere i noget saftigt sladder fra dine telefonopkald, der går rundt på den næste blokfest, men konsekvenserne af et parringsangreb kan være meget værre med noget som en dørlås eller garageportåbner.Hvad skal man gøre?
Vi kan have dig så bange nu, at du er fristet til bare at leve det ludditiske liv; være sikker på, at det ikke er vores hensigt. Vi elsker ideen om det tilsluttede hjem, men der bør tages rimelige skridt til at beskytte dig mod at få det brugt mod dig.
Beskyt dit netværk
Dette burde være en selvfølge, men ved, hvordan du sikrer dit WiFi-netværk. Der er næsten ingen undskyldning for at køre et åbent ukrypteret WiFi-netværk. Hvis din router er mere end et par år gammel, er oddsene, at dens sikkerhedsmekanismer sandsynligvis kan udnyttes, og den skal udskiftes. Nyere WiFi-routere har indbyggede gæstens netværksfunktioner, der kan isolere ikke-tillid til enheder fra hinanden og fra resten af dit netværk - en nyttig funktion til de fleste enheder, der kun har brug for internetadgang og ikke behøver at tale med andre enheder. Ekstra konfiguration kan være påkrævet for at sikre ordentligt enheder, der har brug for at tale med hinanden (som automatiseringskontroller og sikkerhedskameraer), men det er muligt at begrænse denne kommunikation uden at afsløre resten af dit hjem netværk.
Ved hvad der er i dit hjem
Opbevar en oversigt over dine tilsluttede apparater og andre enheder (inklusive producentnavne og modelnumre). Opdater listen, når du medbringer en ny gadget hjem. Uddann dig selv om nogle grundlæggende sikkerhedsprincipper, inden du byder nye tilsluttede enheder velkommen i dit hjem. Hvordan forbinder enheden (Bluetooth, WiFi, GSM, noget proprietært)? Hvis det kan styres af en tablet-app eller computer, hvordan fungerer tilknytningsprocessen? Er der en pinkode eller adgangskode? Er processen krypteret? Hvordan fungerer opdateringer, og i hvor lang tid leveres de? Denne information skal være tilgængelig fra producenterne, enten offentliggjort på deres websteder i tekniske specifikationer eller ved at kontakte kundesupport. Hvis en producent ikke kan eller ikke vil besvare disse spørgsmål for dig, skal du stemme med din tegnebog og tage dine penge andetsteds.
Enheder, der magisk ”bare fungerer” uden nogen form for sikker tilknytningsproces eller kryptering involveret, kan være modne til hacking. Ægte sikkerhed handler om at balancere risiko og belønning; mængden af skader, der kan udføres af nogen, der udnytter en Bluetooth-soundbar eller en WiFi-aktiveret LED-pære, er sandsynligvis temmelig minimal sammenlignet med fordelene ved at have sådanne ting rundt. Manuskriptkiddie ved siden af kan muligvis besvær med dig om din Justin Bieber-fetish eller køre en improviseret lysshow på din krone, men det er ikke verdens ende. På den anden side fortjener de ting, en dårlig fyr kunne gøre med større tilsluttede apparater, internet-aktiveret opvarmning og sikkerhedssystemer, seriøst overvejet.
Holde opdateret
Opsæt en regelmæssig tidsplan for at kontrollere, om der er opdateringer og udnyttelse af elementerne på listen over tilsluttede enheder. Nogle enheder opdateres muligvis automatisk; endnu bedre! Producenter, der er velopdragen, bør levere sikkerhedsopdateringer i årevis, men andre kalder det gjort, når det er afsendt, og fortsætter til det næste projekt. Google rundt for kendte bedrifter mod de tilsluttede enheder i dit hjem. Hvis du finder nogle, og producenten ikke har leveret opdateringer, der adresserer dem, er det måske tid til at trække den pågældende enhed tilbage. Nogle gange er det risikoen værd at fortsætte med at bruge en enhed, der kan udnyttes, men det er bedst at blive informeret.
I slutningen af dagen er det forbundne hjem kommet for at blive. Ligesom de tidligere bølger inden for hjemme- og mobilcomputering er der sandsynligvis nogle voksende smerter, da producenter fumler sig gennem sikkerhed. Vi håber, at flere tilsluttede enhedsproducenter tager sikkerhed alvorligt, før de mindre salte deltagere på Black Hat og DEF CON begynder at lege med dit nye legetøj.
