Er ditt smarte hjem utsatt for sikkerhetsproblemer?

Er Internett av ting trygt? Du ville håpe det, men en nylig studie har fremhevet at sikkerhetsproblemer oppstått for flere år siden, har ennå ikke blitt adressert. Du smarte hjem kan være i fare.

Er Internett av ting trygt? Du ville håpe det, men en nylig studie har fremhevet at sikkerhetsproblemer oppstått for flere år siden, har ennå ikke blitt adressert. Du smarte hjem kan være i fare.
Annonse

Tingenes Internett har et stort løfte om. Hver enhet vi samhandler med, er i nettverksskapende kapasitet, og gir billig smart hjemme-teknologi til alle. Dette er bare en av mulighetene. Vel, dessverre, så spennende som en fullstendig nettverksverden lyder, er Tingets Internett konsekvent og uhyggelig usikkert.

En gruppe av Princeton University-sikkerhetsforskere hevder at internett av ting er usynlig usikkert at selv kryptert nettverkstrafikk er lett gjenkjennelig. Hvordan virker kryptering, og er det virkelig trygt? Hvordan virker kryptering, og er det virkelig trygt? Les mer .

Er det substans for deres krav, eller er det et annet "standard" IoT-treff? La oss ta en titt.

Bakt In

Problemet er at enkelte enheter har individuelle sikkerhetsprofiler. Og noen sikkerhetsinnstillinger kommer bak i enheten. Dette betyr at sluttbrukere ikke kan endre sikkerhetsinnstillingene.

Innstillinger som er de samme for tusen av matchende produkter.

Du kan se det store sikkerhetsproblemet Dette er hvorfor Internett av ting er det største sikkerhetsmardrittet Hvorfor Internett av ting er det største sikkerhetsmardrittet En dag kommer du hjem fra jobb for å oppdage at ditt skytsikrede hjemmesikkerhetssystem har blitt brutt . Hvordan kan dette skje? Med Internett av Ting (IoT), kan du finne ut den harde måten. Les mer .

Kombinert med en generell misforståelse (eller er det ren uvitenhet?) Om hvor lett det er å tilpasse en IoT-enhet for ufarlige aktiviteter, og det er et ekte, globalt problem for hånden.

For eksempel, en sikkerhetsforsker, da han snakket med Brian Krebs, ga ut at de hadde vært vitne til dårlig sikrede internettrutere som ble brukt som SOCKS-proxyer, annonsert åpent. De spekulerte på at det ville være enkelt å bruke internettbaserte webkameraer og andre IoT-enheter for det samme og myriade andre formål.

Og de hadde rett.

Slutten av 2016 så et enormt DDoS-angrep. "Massiv, " sier du? Ja: 650 Gbps (det er omtrent 81 GB / s). Sikkerhetsforskerne fra Imperva som oppdaget angrepet, bemerket gjennom nyttelastanalyse at størstedelen av kraften kom fra kompromitterte IoT-enheter. Dobbelte "Leet" etter en tegnstreng i nyttelastet Dette er hvordan programvareinstallatører jobber på Windows, MacOS og Linux Dette er hvordan programvareinstallatører jobber med Windows, MacOS og Linux Moderne operativsystemer gir deg enkle metoder for å sette opp nye applikasjoner . Men hva skjer faktisk når du kjører installatøren eller utsteder den kommandoen? Les mer, det er den første IoT botnet til rivaliserende Mirai (den enorme botnet som målrettet anerkjent sikkerhetsforsker og journalist, Brian Krebs).

IoT Sniffing

Princeton-undersøkelsen, med tittelen A Smart Home, er No Castle [PDF], utforsker ideen om at "passive nettverk observatører, som internettleverandører, kan potensielt analysere IoT-nettverkstrafikk for å utlede sensitive opplysninger om brukere." Forskere Noah Apthorpe, Dillon Reisman og Nick Feamster ser på "En Sense Sleep Monitor" 6 Smart Gadgets som hjelper deg med å sove bedre 6 Smart Gadgets for å hjelpe deg med å sove bedre Ikke å få en god natts søvn er aldri en god måte å begynne på dagen. Heldigvis er det nok av hjemmegods som kan hjelpe deg med å få en god natts søvn. Les mer, et Nest Cam Innendørs sikkerhetskamera, en WeMo-bryter og et Amazon-ekko. "

Deres konklusjon? Trafikkfingeravtrykk fra hver av enhetene er gjenkjennelige, selv når de er kryptert.

  • Nest Cam - Observer kan utlede når en bruker aktivt overvåker en feed, eller når et kamera oppdager bevegelse i sitt synsfelt.
  • Sense - Observer kan utlede bruker sovemønstre.
  • WeMo - Observer kan oppdage når et fysisk apparat i et smart hjem slås på eller av.
  • Ekko - Observer kan oppdage når en bruker samhandler med en intelligent personlig assistent.

Få tilgang til pakker

Princeton-papiret antar at en angriper snuser (avlyser) pakker (data) direkte fra en Internett-leverandør. Deres analyse kommer direkte fra pakkemetadata: IP-pakkehoder, TCP-pakkehoder, og send / motta priser. Uavhengig av avlytingspunktet, kan du forsøke å tolke data hvis du kan få tilgang til pakker i overgang.

Forskerne brukte en tre-trinns strategi for å identifisere IoT-enheter som er koblet til deres provisoriske nettverk:

  1. Separat trafikk i pakkestrømmer.
  2. Etikettstrømmer etter type enhet.
  3. Undersøk trafikkratene.

Denne strategien viste at selv om en enhet kommuniserer med flere tjenester, må en potensiell angriper typisk bare "" identifisere en enkelt strøm som koder for enhetstilstanden. "For eksempel viser nedenstående tabell DNS-spørringer knyttet til hver strøm, kortlagt til en bestemt enhet .

dns spør etter internett av ting som sniffer

Forskningsresultatene er avhengige av flere forutsetninger, noen enhetsspesifikke. Data for Sense-søvnmonitoren forutsetter at brukerne "bare slutter å bruke enhetene sine umiddelbart før de sover, at alle i hjemmet sover samtidig, og deler ikke enhetene sine, og at brukerne ikke forlater sine andre enheter som kjører for å utføre nettverk -intensive oppgaver eller oppdateringer mens de sover. "

Kryptering og konklusjoner

BII anslår at i 2020 vil det være 24 milliarder IoT-enheter på nettet. OWASP-listen over Top IoT Vulnerabilites (Open Web Application Security Project) er som følger:

  1. Usikkert webgrensesnitt.
  2. Utilstrekkelig autentisering / autorisasjon.
  3. Usikre nettverkstjenester.
  4. Mangel på transportkryptering.
  5. Personvern bekymringer.
  6. Usikkert skygrensesnitt.
  7. Usikkert mobilt grensesnitt.
  8. Utilstrekkelig sikkerhetskonfigurasjon.
  9. Usikker programvare / fastvare.
  10. Dårlig fysisk sikkerhet.

OWASP utstedte denne listen i 2014 - og den har ikke sett en oppdatering siden fordi sårbarhetene forblir de samme . Og som Princeton-forskerne rapporterer, er det overraskende hvor lett en passiv nettverksobservatør kan utlede kryptert smart hjemlig trafikk. Tro ikke disse 5 myter om kryptering! Ikke tro disse 5 myter om kryptering! Kryptering høres komplisert, men er langt enklere enn de fleste tror. Likevel kan du føle deg litt for mørk for å gjøre bruk av kryptering, så la oss bytte noen krypteringsmyter! Les mer .

data mønstre internett av ting sniffing

Utfordringen er å implementere integrerte IoT VPN-løsninger, eller til og med overbevise IoT-enhetsprodusenter om at mer sikkerhet er verdt (i motsetning til en nødvendighet).

Et viktig steg vil skille mellom enhetstyper. Noen IoT-enheter er iboende mer personvernsfølsomme, for eksempel en integrert medisinsk enhet versus et Amazon Echo. Analysen som brukes, sender / mottar kun kryptert trafikk for å identifisere brukeradferd - ingen dyp pakkeinspeksjon er nødvendig. Og mens flere integrerte sikkerhetsfunksjoner kan ha negativ innvirkning på IoT-enhetens ytelse, ligger ansvaret hos produsentene for å gi sikkerhet for sluttbrukere.

IoT-enheter blir stadig mer gjennomgripende. Svar på spørsmål om personvern er ikke umiddelbart kommende, og forskning som dette illustrerer perfekt disse bekymringene.

Har du tatt imot smart hjemme og IoT-enheter inn i livet ditt? Har du bekymringer om personvernet ditt etter å ha sett denne undersøkelsen? Hvilken sikkerhet mener du at produsentene skal installeres i hver enhet? Gi oss beskjed om dine tanker nedenfor!

In this article