Недостаток в безопасности умного освещения освещает риск IoT – Tehnografi.com

Последний кошмар безопасности умного дома подчеркивает риск, который вы принимаете каждый раз, когда добавляете еще один подключенный элемент в свою домашнюю, офисную или промышленную сеть. И даже лидирующие на рынке бренды допускают ошибки.

История Хюэ

Умные системы освещения Philips Hue, вероятно, являются одними из самых распространенных решений для умного дома в мире, поэтому многие люди должны знать о последнем исследовании Check Point, которое предупреждает о серьезном недостатке безопасности в них.

Судя по всему, можно проникнуть в домашние/офисные сети, используя удаленный эксплойт в маломощном беспроводном протоколе ZigBee и умные лампочки Philips Hue и мост в качестве точки доступа.

В отчете утверждается, что было возможно подорвать безопасность умного дома до такой степени, что хакеры взяли под свой контроль лампочку, а затем обманом заставили пользователей выполнить ряд действий, которые позволили хакерам проникнуть в саму сеть.

Check Point предупредил Philips о проблеме, и производитель быстро выпустил программное исправление для защиты от нее. (Вы можете получить этот патч здесь — и если у вас где-то установлена система Hue, вам следует установить ее как можно скорее.)

Примечание. Исследования «Лаборатории Касперского», согласно которым количество атак на устройства «умного дома» выросло примерно на 700 % за последние 12 месяцев.

Почему это все еще происходит?

Это очень напоминает мне широко разрекламированную атаку 2014 года, когда преступники использовали уязвимость в подключенной системе HVAC для кражи данных миллионов кредитных и дебетовых карт из Target.

Вот что может случиться, когда злоумышленникам удастся проникнуть в сеть — немного перехвата пакетов, и ваши банковские реквизиты могут быть украдены, как и коды доступа к электростанции, на которой вы работаете.

Что примечательно в этом, так это то, что прошло шесть лет с момента взлома Target, и все еще возможно изолировать связанные элементы, чтобы подорвать их.

Apple пытается решить эту проблему с момента создания своей системы.

Производители несут ответственность

Я не собираюсь сосредоточивать свой гнев на Philips — компания предприняла шаги, чтобы исправить ситуацию, как только узнала об этом. Виноват не только Zigbee — правда в том, что каждая операционная система содержит свой собственный набор уязвимостей, и их выявление — большой бизнес.

Но я сосредоточу немного гнева на тех производителях умного дома, которые не считают безопасность и конфиденциальность важными в эпоху все более связанных сетей. Потому что риск для дома и бизнеса, связанный с плохо защищенными устройствами в ваших подключенных сетях, зависит от самых слабых устройств, установленных гораздо больше, чем от лучших.

У вас может быть 10 000 хорошо защищенных интеллектуальных устройств, но этот древний подключенный термостат в кладовой может быть единственной уязвимостью, необходимой хакеру для проникновения во всю вашу сеть.

Вот почему вы должны тщательно проверять, насколько производители привержены регулярным обновлениям программного обеспечения и безопасности для устройств, которые они хотят продавать. Неважно, предназначены ли эти системы для деловых или обычных пользователей, если они не обеспечивают регулярную защиту, вам не следует их покупать.

Что ты можешь сделать?

Я рекомендую обычным и корпоративным пользователям провести инвентаризацию своих существующих развертываний подключенных устройств.

Затем задайте следующие вопросы:

Показывало ли это устройство какую-либо неожиданную нестабильность в последнее время?

Возможно ли обновить прошивку?

Установлен ли последний патч программного обеспечения?

Как часто выпускаются исправления программного обеспечения?

Можно ли изменить какой-либо пароль/код по умолчанию на устройстве и был ли он изменен?

Можно ли использовать буквенно-цифровой код?

Поддерживает ли система последнюю версию своей операционной системы?

Какой сетевой протокол у устройства? Он все еще актуален?

Можно ли идентифицировать устройство из-за пределов сети стандартными средствами сетевого мониторинга?

В некоторых случаях я слышал о развертываниях, в которых подключенные устройства помещаются в отдельную беспроводную сеть от любых компьютеров или систем хранения данных.

У Apple есть собственное решение, которое может каким-то образом обеспечить безопасность умных домов на базе HomeKit, маршрутизаторов с поддержкой Homekit. Они позволяют защищать интеллектуальные устройства в вашем офисе или дома, но сейчас доступно лишь несколько маршрутизаторов, поддерживающих эту функцию.

Лично я считаю, что в каждом маршрутизаторе должна быть встроена защита смарт-устройств. Возможно, именно этого Apple, Google, Amazon, Zigbee Alliance и другие надеются достичь с помощью проекта Connected Homes over IP.

Но уязвимости в системе безопасности, выявленные в связи с этой последней проблемой Hue, должны служить доказательством того, что более высокий уровень безопасности является обязательным для дома, офиса, фабрики или любой другой подключенной системы.

Пожалуйста, следуйте за мной на