Sommario:
- Internet of Insecurity
- Una mancanza di standard
- Non è tutta merda
- L'irresistibile Internet delle cose
Video: COSA POTREBBE ANDARE STORTO? (Ottobre 2024)
Se l'industria dell'Internet of Things (IoT) è l'ordine Jedi, con le spade laser Philips Hue e i poteri della Forza "intelligenti" basati su cloud, allora il famoso account Twitter Internet of Shit è un Sith Lord. In un momento in cui l'industria tecnologica sembra desiderosa di mettere un chip in tutto, le conseguenze sono dannate, Internet of Shit dà un nome al problema della nuova elettronica inutile e sottolinea che alcuni di questi prodotti potrebbero non essere così benigni come pensiamo.
L'account Twitter di Internet of Shit si concentra sulla nicchia e sul popolare. Nel caso, diciamo, di pagare per un pasto usando una bottiglia d'acqua intelligente, giustamente mette in discussione l'utilità. Sottolinea l'assurdità di dover attendere le necessità fondamentali, come luce e calore, che non sono disponibili dopo che i prodotti "intelligenti" ricevono aggiornamenti del firmware.
ogni volta che esce un nuovo gadget pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 gennaio 2017
Come puoi immaginare, Internet of Shit è in grado di sviscerare l'industria che prende in giro in modo così efficace perché quell'industria è vicina al suo cuore. "È successo in modo così naturale", ha detto IOS. "Passavo molto tempo su Kickstarter e vedevo l'ascesa dell'Internet of Things lì. Sembrava che a giorni alterni un oggetto banale venisse spinto dentro un chip, ma nessuno - nemmeno nei media - lo era critico su questo. direi semplicemente cose del tipo: "Wow, possiamo finalmente mettere Internet sotto un ombrello"."
IOS si considera una specie di avvocato del diavolo o coscienza collettiva per la cultura del consumo. Ai suoi occhi, l'account Twitter è un controllo di sanità mentale tanto necessario sul finto ottimismo della Silicon Valley. "Quando andiamo troppo lontano, l'importante domanda che la gente tende a dimenticare è: chi ne ha davvero bisogno? Un forno che non può cucinare correttamente senza Internet? Perché le persone non progettano meglio queste cose?"
Ma oltre alla cattiva progettazione e alle pretese pretese di utilità, la principale preoccupazione di IOS riguarda la privacy e, in definitiva, la sicurezza personale: "Tuttavia, ritengo l'IoT intrinsecamente rischioso. Non mi fido di queste società che non perdano i miei dati o meno essere gravemente violato in futuro ".
In un post Medium scritto all'inizio della vita dell'account Twitter, IOS ha affermato che era preoccupato che le aziende iniziassero a cercare modi per monetizzare i dati raccolti dalle case delle persone. Da quella storia: "Se Nest volesse aumentare i profitti potrebbe vendere i dati ambientali della tua casa agli inserzionisti. Troppo freddo? Annunci Amazon per coperte. Troppo caldo? Un banner pubblicitario per un condizionatore d'aria. Troppo umido? Deumidificatori su Facebook".
IOS sostiene ancora queste preoccupazioni. "La ragione per cui l'IoT è così avvincente per i produttori non è che stanno aggiungendo funzionalità intelligenti alla tua vita, è solo un sottoprodotto", mi ha scritto. "Oltre a ciò, ottengono informazioni senza precedenti su come vengono utilizzati quei dispositivi, come ad esempio la frequenza, le funzionalità che usi di più e tutti i dati che ne derivano."
IOS afferma che le aziende IoT devono essere molto più anticipate sulle loro politiche di raccolta dei dati e su chi può accedere alle informazioni che possono essere raccolte da questi dispositivi. "La domanda che tutti dobbiamo decidere è quale livello di accesso siamo disposti a concedere a queste aziende in cambio dei dati che ottengono e di chi ci fidiamo è fondamentale."
Il giorno di Natale del 2016, IOS ha permesso alle sue luci di lampeggiare ogni volta che la sua maniglia è stata menzionata su Twitter. I risultati furono intensi, anticlimatici e brevi, illustrando forse tutto ciò che IOS detesta sull'Internet of Things.
Internet of Insecurity
Molto peggio dell'effetto che i dispositivi IoT inutili hanno sui portafogli dei consumatori, tuttavia, è l'effetto che hanno sulla sicurezza personale. I timori di IOS di un mercato per i dati degli utenti raccolti dai dispositivi IoT non sono inverosimili (come pensi che facciano app gratuite e società di notizie su Internet gratuite?), E ci sono già altre minacce molto reali.
I partecipanti alla conferenza Black Hat 2016 sono stati trattati con filmati del ricercatore di sicurezza Eyal Ronen. Usando le sue ricerche, è stato in grado di prendere il controllo delle luci Philips Hue da un drone sospeso sopra un edificio per uffici. L'attacco è stato notevole non solo per i suoi drammatici risultati e per l'utilizzo di un drone, ma anche perché l'edificio ospitava diverse note società di sicurezza.
Ronen mi ha spiegato che stava tentando di dimostrare che era possibile un attacco contro una linea di dispositivi IoT di alto livello. "Ci sono molti hack IoT rivolti a dispositivi di fascia bassa che non hanno una vera sicurezza. Volevamo testare la sicurezza di un prodotto che dovrebbe essere sicuro", ha detto. Era anche desideroso di attaccare una società ben nota e si stabilì su Philips. Ronen ha affermato che era più difficile decifrare di quanto pensasse inizialmente, ma lui e il suo team hanno scoperto e sfruttato un bug nel software ZigBee Light Link, un protocollo di comunicazione di terze parti utilizzato da diverse società IoT e considerato un sistema maturo e sicuro.
"Utilizza primitive crittografiche avanzate e ha forti pretese di sicurezza", ha affermato Ronen. "Ma alla fine, in un tempo relativamente breve con hardware a basso costo del valore di circa $ 1.000, siamo stati in grado di romperlo", ha detto Ronen.
Il video dell'attacco di Ronen (sopra) mostra le luci dell'edificio che lampeggiano in sequenza, seguendo i suoi comandi inviati da remoto tramite un drone in bilico. Se ciò dovesse accadere a te, sarebbe fastidioso, forse non più fastidioso di nessuno degli scenari evidenziati da IOS sul suo account Twitter. Ma i professionisti della sicurezza sostengono che ci sono conseguenze molto maggiori per la sicurezza dell'IoT.
"In un precedente lavoro, abbiamo mostrato come usare le luci per esfiltrare i dati dalla rete con intercapedini d'aria e causare attacchi epilettici, e in questo lavoro mostriamo come possiamo usare le luci per attaccare la rete elettrica e bloccare il Wi-Fi", ha detto Ronen me. "L'IoT sta entrando in ogni parte della nostra vita e la sua sicurezza può influire su tutto, dai dispositivi medici alle automobili e alle case".
Una mancanza di standard
L'attacco di Ronen ha approfittato della prossimità, ma il capo ricercatore di sicurezza Alexandru Balan di Bitdefender ha delineato molti altri difetti di sicurezza che si verificano in alcuni dispositivi IoT. Le password codificate, ha affermato, sono particolarmente problematiche, così come i dispositivi configurati per essere accessibili da Internet aperto.
È stata questa combinazione di accessibilità a Internet e password semplici e predefinite che ha causato il caos nell'ottobre 2016 quando la botnet Mirai ha portato i principali servizi come Netflix e Hulu offline o li ha resi così lenti da essere inutilizzabili. Alcune settimane dopo, una variante di Mirai ha limitato l'accesso a Internet in tutta la nazione della Liberia.
Non molto tempo dopo la notizia di Mirai, ho esaminato questo scenario e incolpato l'industria IoT per aver ignorato gli avvertimenti sulla scarsa autenticazione e sull'accessibilità online non necessaria. Ma Balan non si spingerebbe fino a chiamare ovvi questi difetti. "è necessario eseguire il reverse engineering sul firmware per estrarre quelle credenziali, ma molto spesso accade che trovino credenziali codificate nei dispositivi. Il motivo è che in molti casi non ci sono standard quando si tratta di Sicurezza IoT ".
Vulnerabilità come queste sorgono, ipotizzato Balan, perché le aziende IoT operano da sole, senza standard universalmente accettati o competenze in materia di sicurezza. "È più facile costruirlo in questo modo. E puoi dire che stanno tagliando gli angoli, ma il problema principale è che non stanno cercando come costruirlo correttamente in modo sicuro. Stanno solo cercando di farlo lavorare bene."
Anche quando le aziende sviluppano correzioni per attacchi come quello scoperto da Ronen, alcuni dispositivi IoT non sono in grado di applicare aggiornamenti automatici. Ciò spinge i consumatori a trovare e applicare le patch stesse, il che può essere particolarmente scoraggiante sui dispositivi che non sono destinati alla manutenzione.
Ma anche con dispositivi che possono essere facilmente aggiornati, esistono ancora delle vulnerabilità. Diversi ricercatori hanno dimostrato che non tutti gli sviluppatori IoT firmano i loro aggiornamenti con una firma crittografica. Il software firmato viene crittografato con la metà privata di una chiave crittografica asimmetrica di proprietà dello sviluppatore. I dispositivi che ricevono l'aggiornamento hanno la metà pubblica della chiave, che viene utilizzata per decrittografare l'aggiornamento. Ciò garantisce che l'aggiornamento sia ufficiale e non sia stato manomesso, poiché la firma di un aggiornamento dannoso o la modifica dell'aggiornamento software richiederebbe la chiave segreta dello sviluppatore. "Se non firmano digitalmente i loro aggiornamenti, possono essere dirottati, possono essere manomessi; il codice può essere iniettato in quegli aggiornamenti", ha detto Balan.
Oltre a accendere e spegnere semplicemente le luci, Balan ha affermato che i dispositivi IoT infetti possono essere utilizzati come parte della botnet, come visto con Mirai, o per scopi molto più insidiosi. "Posso estrarre le tue credenziali Wi-Fi, perché ovviamente l'hai agganciato alla tua rete Wi-Fi ed essendo come una scatola Linux, posso usarlo per ruotare e iniziare a lanciare attacchi all'interno della tua rete wireless.
"All'interno della privacy della propria rete LAN, i meccanismi di autenticazione sono lassisti", ha continuato Balan. "Il problema con la LAN è che una volta che sono nella tua rete privata, posso avere accesso a quasi tutto ciò che sta accadendo lì dentro." In effetti, l'IoT corrotto diventa un vantaggio per gli attacchi su dispositivi più preziosi sulla stessa rete, come Network Attached Storage o personal computer.
Forse sta dicendo che l'industria della sicurezza ha iniziato a guardare da vicino l'IoT. Negli ultimi anni, diversi prodotti sono entrati nel mercato sostenendo di proteggere i dispositivi IoT dagli attacchi. Ho visto o letto molti di questi prodotti e recensito l'offerta di Bitdefender. Chiamato Bitdefender Box, il dispositivo si collega alla tua rete esistente e fornisce protezione antivirus per ogni dispositivo della tua rete. Indaga anche i tuoi dispositivi per potenziali punti deboli. Bitdefender lancerà quest'anno la seconda versione del suo dispositivo Box. Norton entrerà nella propria offerta (di seguito), vantando un'ispezione approfondita dei pacchetti, mentre F-Secure ha anche annunciato un dispositivo hardware.
Come uno dei primi sul mercato, Bitdefender è nella posizione unica di avere un background nella sicurezza del software e quindi progettare hardware di consumo che presumibilmente sarebbe impeccabilmente sicuro. Com'è stata questa esperienza? "È stato molto difficile", ha risposto Balan.
Bitdefender ha un programma di ricompensa dei bug (una ricompensa in denaro offerta ai programmatori che scoprono e forniscono una soluzione a un bug su un sito Web o in un'applicazione), che Balan ha confermato ha aiutato lo sviluppo del Box. "Nessuna azienda dovrebbe essere abbastanza arrogante da credere di poter trovare tutti i bug da sola. Ecco perché esistono programmi di bug bounty, ma la sfida con l'hardware è che potrebbero esserci backdoor all'interno dei chip reali."
"Sappiamo cosa cercare e cosa guardare e in realtà abbiamo un team hardware che può smontare e guardare ciascuno dei componenti su quella scheda. Per fortuna, quella scheda non è così grande."
Non è tutta merda
È facile scontare un intero settore in base ai suoi attori peggiori, e lo stesso vale per l'Internet delle cose. Ma George Yianni, Head of Technology, Home Systems, Philips Lighting ritiene questa visione particolarmente frustrante.
"Abbiamo preso molto sul serio sin dall'inizio. Questa è una nuova categoria. Dobbiamo creare fiducia e questi in realtà danneggiano la fiducia. Ed è anche per questo che penso che la più grande vergogna dei prodotti che non hanno fatto un buon lavoro sia che erode la fiducia nella categoria generale. Qualsiasi prodotto può essere reso male. Non è una critica del settore in generale."
Come spesso accade per la sicurezza, il modo in cui un'azienda risponde a un attacco è spesso più importante degli effetti dell'attacco stesso. Nel caso dell'attacco di droni su dispositivi Philips, Yianni ha spiegato che Ronen ha presentato le sue scoperte attraverso l'attuale programma di divulgazione delle responsabilità dell'azienda. Si tratta di procedure messe in atto per consentire alle aziende di rispondere alle scoperte di un ricercatore di sicurezza prima che vengano rese pubbliche. In questo modo, i consumatori possono essere certi che sono al sicuro e che i ricercatori ottengono la gloria.
Ronen aveva trovato un bug in uno stack di software di terze parti, ha detto Yianni. In particolare, è stata la parte dello standard ZigBee a limitare la comunicazione con i dispositivi entro due metri. Il lavoro di Ronen, come ricorderete, è stato in grado di assumere il controllo a distanza: 40 metri di distanza con un'antenna standard e 100 metri con un'antenna potenziata. Grazie al programma di divulgazione responsabile, Yianni ha dichiarato che Philips è stata in grado di stendere una patch per le luci sul campo prima che Ronen parlasse al mondo dell'attacco.
Avendo visto molte aziende alle prese con una violazione della sicurezza pubblica o il risultato del lavoro di un ricercatore in materia di sicurezza, la risposta di Yianni e Philips potrebbe sembrare un back-pacing di fatto, ma è stato davvero un successo. "Tutti i nostri prodotti sono aggiornabili via software, in modo che le cose possano essere riparate", mi ha detto Yianni. "L'altra cosa che facciamo è la valutazione del rischio per la sicurezza, i controlli di sicurezza, i test di penetrazione su tutti i nostri prodotti. Ma poi eseguiamo anche questi processi di divulgazione responsabile, in modo che se qualcosa dovesse accadere, saremo in grado di scoprire in anticipo e risolvere molto rapidamente.
"Abbiamo un intero processo in cui possiamo spingere gli aggiornamenti software da tutto il nostro cloud verso il basso e distribuirlo a tutte le luci. È estremamente importante, perché lo spazio si sta muovendo così velocemente e questi sono prodotti che dureranno 15 anni E se vogliamo assicurarci che siano ancora rilevanti in termini di funzionalità e che siano sufficientemente sicuri per gli ultimi attacchi, dobbiamo averlo ".
Nella sua corrispondenza con me, Ronen ha confermato che Philips aveva davvero fatto un lavoro ammirevole nel proteggere il sistema di illuminazione Hue. "Philips ha fatto uno sforzo sorprendente per proteggere le luci", mi ha detto Ronen. "Ma sfortunatamente, alcune delle ipotesi di sicurezza di base che si basavano sull'implementazione della sicurezza dei chip di Atmel sottostante erano sbagliate." Come ha sottolineato Balan con il lavoro di Bitdefender sulla scatola, ogni aspetto del dispositivo IoT è soggetto ad attacchi.
Philips ha inoltre progettato l'hub centrale, il dispositivo necessario per il coordinamento delle reti di prodotti IoT Philips, per renderlo inaccessibile da Internet aperto. "Tutte le connessioni a Internet vengono avviate dal dispositivo. Non apriamo mai le porte sui router né facciamo in modo che un dispositivo su Internet possa parlare direttamente con", ha spiegato Yianni. Al contrario, l'hub invia richieste all'infrastruttura cloud di Philips, che risponde alla richiesta anziché viceversa. Ciò consente inoltre a Philips di aggiungere ulteriori livelli per proteggere i dispositivi dei consumatori senza dover raggiungere la propria abitazione e apportare modifiche. "Non è possibile comunicare con dall'esterno dell'hub a meno che non venga instradato attraverso questo cloud in cui è possibile creare livelli aggiuntivi di sicurezza e monitoraggio".
Yianni ha spiegato che tutto ciò faceva parte di un approccio multistrato adottato da Philips per proteggere il sistema di illuminazione Hue. Dato che il sistema è composto da diversi pezzi, dall'hardware all'interno delle lampadine al software e hardware sull'hue hub all'app ai telefoni degli utenti, sono state prese diverse misure a tutti i livelli. "Tutti hanno bisogno di misure di sicurezza diverse per tenerli al sicuro. Hanno tutti diversi livelli di rischio e vulnerabilità. Quindi facciamo diverse misure per tutte queste diverse parti", ha detto Yianni.
Ciò includeva test di penetrazione ma anche un design dal basso destinato a contrastare gli aggressori. "Non esistono password globali come quelle utilizzate in questa botnet Mirai", ha affermato Yianni. Il malware Mirai aveva dozzine di passcode predefiniti che avrebbe usato nel tentativo di rilevare i dispositivi IoT. "Ognuno ha chiavi univoche e firmate asimmetricamente per verificare il firmware, tutta questa roba. Un dispositivo con l'hardware modificato non comporta rischi globali", ha spiegato.
Questo vale anche per il valore dei dispositivi IoT. "Molti di questi prodotti tendono ad essere connettività per motivi di connettività", ha affermato. "La necessità di automatizzare tutto all'interno della tua casa non è un problema per molti consumatori, ed è molto difficile orientarti. Pensiamo che i prodotti che fanno bene sono quelli che offrono un valore più facile da capire ai consumatori."
L'irresistibile Internet delle cose
Conoscere i rischi sull'IoT e persino riconoscerne la frivolezza, certamente non ha impedito alle persone di acquistare illuminazione intelligente come Philips Hue, assistenti domestici sempre in ascolto come Google Home o Amazon Echo, e sì, bottiglie d'acqua intelligenti. Anche l'operatore di Internet of Shit è un grande fan dell'IoT.
"La vera ironia dietro Internet di Shit è che sono un fanatico di questi dispositivi", ha detto IOS. "Sono uno che adotta presto e lavoro nella tecnologia, quindi per la maggior parte del tempo non posso resistere a queste cose." IOS elenca le luci collegate Philips, il termostato Tado, il rilevatore di sonno Sense, gli altoparlanti intelligenti, la fotocamera Canary e le prese connesse Wi-Fi tra i suoi futuristici servizi per la casa.
"Sono consapevole che l'account è diventato accidentalmente molto più grande di quanto avessi mai immaginato, e non voglio mai scoraggiare le persone dall'entrare nella tecnologia. Penso che sperimentare idee stupide sia come possono nascere grandi idee, che è qualcosa che Simone Giertz mi ha insegnato un po '", ha detto IOS.
Giertz, un assurdo robotico e YouTuber, è la mente dietro Shitty Robots. Le sue creazioni includono un drone che dà tagli di capelli - o, piuttosto, non riesce - e un cappello enorme che mette gli occhiali da sole in modo drammatico sul viso. Pensalo come Rube Goldberg con una buona dose di cinismo nella Silicon Valley.
La persona dietro IOS riferisce che sta cercando di frenare il suo istinto di early adopter in questi giorni. "Penso che il momento in cui ho dovuto aggiornare il firmware delle mie lampadine per accenderle sia stato un po 'una realizzazione per me…"
Balan di Bitdefender ha affermato di utilizzare lampadine che fungono anche da ripetitori Wi-Fi. Questi dispositivi estendono sia la luce che il Wi-Fi in ogni angolo della sua casa. Ma sono anche carichi di molte delle vulnerabilità che ha deriso, tra cui password predefinite deboli. Quando si tratta dell'IoT, tuttavia, rimane imperterrito.
"È come il sesso", mi disse. "Non lo faresti senza preservativo. A noi piace il sesso, il sesso è fantastico, non rinunceremo al sesso solo perché è pericoloso. Ma useremo la protezione quando lo facciamo." Invece di cadere nella paranoia, ritiene che i consumatori dovrebbero fare affidamento su società di sicurezza e amici istruiti in grado di identificare le aziende che prendono sul serio la sicurezza con taglie di bug e strumenti di aggiornamento sicuri e frequenti.
E l'hacker pilota di droni Ronen usa l'IoT? "Attualmente no", ha detto. "Temo che l'effetto abbia sulla mia privacy e sicurezza. E i benefici non sono abbastanza alti per le mie esigenze."
Anche il tuo umile autore, che ha resistito per anni al canto della sirena di rivelatori di fumo e luci che cambiano colore, ha iniziato a sgretolarsi. Di recente, nel tentativo di abbellire l'ufficio per le vacanze, mi sono ritrovato a installare tre luci intelligenti separate. Il risultato è stato orribilmente, irresistibilmente bello.
Nel frattempo, nel mio carrello Amazon è presente una nuovissima lampada Philips Hue. Un giorno presto, premerò il pulsante.
