$ 3599 er en masse penge.
Det kunne få dig en anstændig brugt bil, eller en relativt slået ud iMac. Du kunne købe 3599 McChicken burgere, eller 2589 McDoubles. Eller det kunne få dig Samsung RF28HMELBSR.
Dette (snappily-navngivet) køleskab har alt. Det har fire døre, en kolossal 28 kubikmeter plads og en integreret 8 "WiFi-aktiveret LCD touchscreen-skærm, der giver dig mulighed for at gøre alt fra at læse nyhederne, til fjernstyring af din Android-smartphone.
Hvis det lyder bekendt, skyldes det, at det engang blev fremhævet på min liste over de dumeste Smart Home-produkter nogensinde Tweeting Fridges og Web Controlled Rice Cookers: 9 af de dumeste Smart Hvidevarer Tweeting Køleskabe og Web Controlled Rice Cookers: 9 af de dumeste Smart Home Apparater Der er mange smarte hjem enheder, der er værdige til din tid og penge. men der er også slags, der aldrig bør se dagens lys. Her er 9 af de værste. Læs mere . Og omtalte jeg det skibe med en massiv, gabende sikkerhedssårbarhed?
Smart køleskab, dum fejl
Ja, for hele sin raffinement, blev dette køleskab sendt med en betydelig sikkerhedsfejl, der potentielt kunne se, at en hacker høstede Gmail-loginoplysninger.
Sårbarheden blev først rapporteret i The Register den 24. august og blev opdaget af UK-baserede infosec-firma Pen Test Parters, mens de deltog i en internet af ting (IoT) hacking udfordring på den seneste Defcon 23-konference.
Den indbyggede berøringsskærm på dette køleskab giver brugeren adgang til deres egen Google Kalender. Tilslutninger til og fra Googles servere krypteres ved hjælp af SSL-kryptering Hvad er et SSL-certifikat, og har du brug for en? Hvad er et SSL-certifikat, og har du brug for en? Gennemse internettet kan være skræmmende, når personlige oplysninger er involveret. Læs mere, men Samsungs implementering af SSL kontrollerer ikke certifikaternes gyldighed.
Dette udgør et alvorligt sikkerhedsproblem, da alle på netværket ville kunne starte en "mand i midten" Hvad er et menneske i midten-angrebet? Sikkerhedsjargon Forklaret Hvad er en Man-in-the-Middle Attack? Sikkerhedsjargon Forklaret Hvis du har hørt om "man-in-the-middle" angreb, men ikke helt sikker på hvad det betyder, er dette artiklen for dig. Læs mere angreb og aflyt brugerens loginoplysninger i transit. En angriber vil også kunne få dem ved at forfalske et adgangspunkt eller via et trådløst deautentiseringsangreb.
Samsung har sagt, at de "undersøger denne sag så hurtigt som muligt", og formodentlig arbejder fladt ud for at udstede en løsning. Men denne episode præsenterer en interessant demonstration af, hvor meget sikkerhed kan gå galt på tingets internet.
(In) Sikkerhed i en netværksforretning
Tidligere har vi talt om de risici, der er forbundet med tingenes internet, både fra et privatliv Hvorfor ting i internettet er det største sikkerhedsmergeri, hvorfor ting i internet er den største sikkerhedsmardrøm En dag kommer du hjem fra arbejde for at opdage, at dit cloud-aktiverede hjemme sikkerhedssystem er blevet brudt. Hvordan kunne det ske? Med Internet af Ting (IoT), kan du finde ud af den hårde vej. Læs mere og fra et sikkerhedsmæssigt og sociologisk perspektiv 7 Grunde til, at ting på Internettet skal skræmme dig 7 Grunde til, at ting på Internettet skal skræmme dig De potentielle fordele ved tingets ting bliver stærkt, mens farerne bliver kastet i de stille skygger. Det er på tide at gøre opmærksom på disse farer med syv skræmmende løfter om IoT. Læs mere . At adressere dem er svært, for når det kommer til at sikre internettet af ting, støder vi på nogle få problemer.
For det første er disse enheder ikke pc'er eller telefoner i den henseende, at de er ensartede nemme at opdatere (Windows 10 vil endda installere opdateringer på dine vegne Sådan slukkes automatiske appopdateringer i Windows 10 Sådan slukkes automatiske appopdateringer i Windows 10 Deaktivering af systemopdateringer anbefales ikke. Men hvis det er nødvendigt, så gør du det på Windows 10. Læs mere), og leverandørerne bag dem er involveret og frigiver regelmæssigt software og sikkerhedsopdateringer. Mange smarte hjemmeprodukter "opdaterer" ikke i luften, enten du kræver at du bruger komplicerede eller upålidelige softwarepakker, flytbar lagring eller bare ikke tillader dig at opdatere firmwaren overhovedet.
Hvordan opdaterer du for eksempel en sammenkoblet kaffekande eller en computeriseret termostat? Der er ingen nem og universel måde at gøre.
Det er også vigtigt at tage fat på det faktum, at mange af disse enheder nu er bygget af faste folk i deres eget hjem. Arduino og Raspberry Pi har givet os mulighed for at introducere netværksforbindelse og computeriseret logik til steder, vi aldrig har tænkt mulige, mens produkter som Microsofts Windows 10 til IoT Windows 10 - kommer til en Arduino i nærheden af dig? Windows 10 - Kommer til en Arduino i nærheden af dig? Read More har gjort det nemmere at udsætte disse enheder for det bredere internet og samtidig åbne op for en verden af mulighed og risiko.
Mens mange erfarne udviklere ved, hvordan man opbygger disse enheder på en måde, der er sikker, gør alt for mange nybegyndere og hobbyistudviklere ikke det.
Så kommer vi videre til problemet med lang levetid. Igen, dette problem, der er entydigt endemisk til Smart Home verden. Fordi mens din pc og telefon kører software, der er bygget af virksomheder med lange historier og dybe lommer, har de fleste af dine Smart Home-enheder ikke det.
Det overvældende flertal af disse virksomheder er tidligt til sidst i starten af starten, mange af disse er i et foreløbigt stadium i deres udvikling. Hvis de lukker ned, hvad sker der med de produkter, de allerede har afsendt? Hvem vil skrive softwareopdateringer og sikkerhedsprogrammer?
Som vi har skrevet om i fortiden, er hardware opstartsopgaver vanskelige Hvorfor Hardware opstart er vanskelige: At bringe ErgoDox til liv Hvorfor hardware opstarter er svære: Bring ErgoDox til livet Her er en kontroversiel mening for dig: Det er nemt at starte en softwareopstart. Hardware, på den anden side? Hardware startups er hårde. Rigtig hård. Læs mere . Allerede i år har vi set betydelige afskedigelser hos Leeo og Wink - to af de største Smart Home startups. Mange flere - ligesom Lumos - har undladt at komme helt væk fra jorden.
Men måske er den største og mest vedvarende trussel mod Smart Home og Internet of Things sikkerhed simpelthen, at disse enheder er bygget til at vare længere end deres producenter foretrækker. Embedded systemer og Smart Home produkter kan fungere ganske heldigvis i årevis og år. Mange af disse arbejder ikke på en abonnementstjeneste.
Kan vi forvente, at Nest og Philips tilbyder opdateringer, så længe Microsoft understøttede Windows XP Hvad Windows XPocalypse betyder for dig Hvad Windows XPocalypse betyder for dig Microsoft vil dræbe support til Windows XP i april 2014. Dette har alvorlige konsekvenser for både virksomheder og forbrugere. Her skal du vide, om du stadig kører Windows XP. Læs mere ?
Ud af LAN, i branden
Disse sikkerhedsproblemer forværres væsentligt af, at mange af disse enheder er forbundet til det bredere internet og eksternt tilgængeligt, hvorved der indføres et smorgasbord af sikkerhedshensyn.
Fordi når du forbinder noget med internettet, introducerer du derefter en ny angrebsvektor til den, der er så motiveret. I stedet for at skulle oprette forbindelse til dit hjemmenetværk, kunne nogen simpelthen fjerne det på et kompromis.
Det er lettere end du tror også. Der er endda en søgemaskine til indlejrede systemer, kaldet Shodan. Med blot et par tastetryk kan du finde systemer, der har været udsat for internettet over hele verden - fra kraftværker i Japan, til webkameraer i Holland og VoIP-telefoner i New York.
Bare at søge efter "Web Cam" udsætter tusindvis af fjernadgangskameraer. Jeg har ikke adgang til nogen, men det ville næsten helt sikkert resultere i, at jeg overtrådte Computer Misuse Act 1990 Computer Misuse Act: Den Lov, der Criminalizes Hacking I Storbritannien Computer Misbrug Act: Den Lov, der Criminalizes Hacking I Storbritannien I UK Computer Misuse Act 1990 omhandler hacking forbrydelser. Twhis kontroversielle lovgivning blev for nylig opdateret for at give Det Forenede Kongeriges efterretningsorganisation GCHQ den retlige ret til at hakke ind på enhver computer. Selv din. Læs mere .
Det er skræmmende. Vi er begyndt at introducere vores hjem til internettet, og det er trivielt nemt at finde dem og at starte målrettede angreb på dem. Vi burde være bekymrede.
Så hvad kan der gøres?
Sikkerhedsfejl, som den, der findes i Samsungs Android-køleskab, vil altid være der. Så længe det er let for leverandører at udstede rettelser, og de bliver konstant opdateret i hele enhedernes levetid, er det ikke for meget af et problem.
Men det er vigtigt, at vi løser de andre problemer. Der skal gøres en indsats for at sikre, at udviklerne af Smart Home og IoT-produkter ved, hvordan man udvikler sikre systemer. Dette kunne opnås ved større udbredelse med sikkerhedssamfundet.
Der er en række præcedenser for dette. Projektet OWASP (Open Web Application Security Project) er et, der springer øjeblikkeligt i tankerne. Lanceret i 2004 har dette produceret frit tilgængeligt undervisningsmateriale, der lærer udviklere, hvordan man opbygger sikre hjemmesider og hackere, hvordan man korrekt tester sikkerheden ved webapplikationer .
Der er ingen grund til, at noget lignende ikke kunne oprettes for den smarte hjemmevirksomhed og for udviklere af Internet af Ting.
Desuden skal vi sikre, at Smart Home-systemer opdateres og vedligeholdes, selvom sælgerne foldes. Dette kan gøres ved at pålægge alle, der frigiver deres kode, til en kildekode-escrow, hvor koden frigives, hvis virksomheden arkiverer konkurs eller på anden måde undlader at opretholde softwaren på en måde, der er tilfredsstillende.
Og som forbrugere skal vi begynde at kræve mere fra leverandører. Vi skal kræve, at de enheder, vi køber, understøttes af sikkerhedsflader for produktets levetid. Vi bør forvente, at sikkerhedsproblemer løses hurtigt og afgørende. Vi bør forvente, at leverandører behandler sikkerhedstrusler med absolut gennemsigtighed. Og vi bør ikke forkaste sælgere, der ikke opfylder den dårlige standard.
Disse er alle forholdsvis små ændringer, men der er ingen grund til at tro, at de ikke ville resultere i mere sikre Smart Home-enheder. Men hvad synes du?
Hvis du har nogle tanker, eller har nogen rædselshistorier om IOT-usikkerhed, vil jeg høre om dem. Lad mig vide i kommentarerne nedenfor, og vi vil chatte.
Foto Credits: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)