如何阻止我们的智能家庭转向我们
事情互联网正在在我们的眼睛之前将我们的家变为数据中心。然而,与数据中心不同,我们没有IT专业人员呼叫管理,修补和保护这些系统。已经在2016年,有报道LG智能电视被Scareware为目标。刚才,新的研究突出了严重的缺陷三星智能制定平台这可能允许远程黑客解锁门,触发智能家庭内的错误火警和重新编程安全设置。很遗憾的是,许多家庭用户毫无疑问地处理此类活动。他们需要唤醒他们无害的国内的事实,它可以被网络犯罪分子或政府幽灵劫持,具有潜在的严重后果。但行业和监管机构还需要采取行动 - 迫使制造商提高消费电子产品的安全性。
PRPL基金会举行的愿景新的指导文件全部是关于构建安全进入硅 - 具有安全的启动,建立信任的根源;并通过硬件虚拟化来限制横向运动。
复杂性品种不安全
IOT创新到处都是,它变得更加普遍。时间是我们的口袋里有一个哑的特色手机,家居中的一个共用电脑,模拟电视和一系列未连接的家用电器。今天我们至少有一个智能手机旁边,也许是其他一些智能外围设备。在房子里,可以有一个智能电视,家庭娱乐中心,智能路由器,连接的冰箱,智能烤面包机,物联网水壶,无线衣服/烘干机等。即使是车库门,灯泡和我们家中的防盗报警也越来越有嵌入式互联网连接的计算系统。这更不用说我们的汽车 - 从车辆排放到车载娱乐系统的一切,甚至转向和制动都越来越多地由微小的传感器,软件和硅控制。
这种新的IOT产品浪潮可能在表面上非常直观,但并不像许多人认为的那么容易。事实上,即使是最多的技术娴熟的消费者也会有问题,识别和修补他们家中越来越多的智能产品集合。更重要的是,许多制造商不会为其产品提供及时更新,如果有的话。尽管许多人在没有安全性的情况下设计的事实。固件留下无符号,这意味着攻击者可以反向工程它们可以远程修改,刷新并重新启动设备以执行任意代码的代码。允许横向运动经常,意思是黑客可以在目标系统内枢转,直到他们找到他们正在寻找的东西。
即使在家中手头管理员,我们也会努力锁定这种风险。那么攻击者可以通过利用这些固件的“设计缺陷”来实际做些什么?
- 所谓的 ”巨大的敲门声“2015年发现的攻击显示,国家州行动者有多可能设法修改思科路由器的固件形象,以实现受害者网络内的持久性。在网关中妥协到家庭网络的设备可以为攻击者提供一个完美的机会,可以窃取数据,监视通信和在并行系统上安装恶意软件。
- 智能设备或嵌入式计算机的远程控制可能允许攻击者将该设备转换为启动的机器人DDOS.那点击欺诈,信息窃取攻击等等。自己的一个物联网设备与BB枪一样强大。但想象一下你可以用一百万个BBS做些什么,都集中在一个目标上?这种僵尸网络军队在安全圈中是众所周知的,但传统上是由受损计算机组成的。然而,IoT设备对于此目的是完美的:始终打开,始终互联网连接和致命缺陷的架构,这些架构可以被利用。我们已经了解了几个案例,其中已经在en Masse上占据了IOT设备以构建僵尸网络。回到了2014年1月全局网络钓鱼和垃圾邮件攻击被追溯到受妥协的智能家居设备网络。和网络安全公司正在预测在来年,事情会变得更糟。
正如所见随着显着的敲门声,这不仅仅是犯罪团伙,有能力和动机在IoT系统中找到漏洞。政府和他们所雇用的国防承包商正在积极寻求这种弱点。即使他们以国家安全原因所做的那样,我们都知道,一旦漏洞已经在系统中被开发出来,它将最终找到通往网络犯罪地下论坛和网站的路上Darknet.。情报机构是否与主要技术供应商合作到工程师后门?我们不知道。但至少,他们发现和使用这种缺陷的努力是对我们所有人的安全威胁。
改变的时间
那么我们对此做了什么?我提出以下内容:
- 良好的安全性至少有一半关于产品的良好管理。然而,消费者技术产业优先考虑用户体验到其他一切。如果更安全的产品需要用户手册的一页读取或30秒的脑电,则被解雇。监管机构必须了解这一点。他们必须强调安全更新的最低标准 - 强制制造商来管理这些,因此设备不会被留下太长。
- 最近发现的三星Smarthings缺陷对智能家庭安全提出了一些重要问题。这些系统真的需要移动应用程序吗?该应用程序是否需要连接到云中的中央服务器?而且,最重要的是,有一个智能手机控制任何对您至关重要的东西是正确的吗?在许多情况下,应用程序本身不是由智能设备OEM开发的,而是一个第三方,它们可能没有控制或可见性。OEM应该在其设备中实现开放和可互操作的标准,主页IOT架构应仅依赖于本地,安全枢纽。
- 如果您要将最终用户转换为供应商的责任,则需要将安全的基础架构扩展到设备本身。如图所示PRPL基金会文件, 我们需要:
- 安全启动 - 确保IT Systems将仅启动,如果执行的第一件软件被可信实体密码签名。它需要使用公钥或证书匹配,该公钥或证书将硬编码到设备中,将“信任的根源”锚定到硬件中以使其篡改证明。这将阻止对思科和其他人的攻击。
- 硬件虚拟化 - 这使得这可以分离每个软件元素,其中可以设计系统,以使关键组件保持在其余的安全隔离和防止横向运动。这可以允许消费者增强和修改其产品,同时关键允许监管机构禁止并锁定视为过于危险的任何功能的修改。
你家里有多少智能设备?您最后一次检查固件是什么时候确保它更新?大多数人的答案将是“不确定”。然而,这些嵌入式计算机与互联网和彼此相连 - 在全球范围内,占据了世界各地的,并且包含了基本缺陷,这些缺陷可以由具有正确专业知识的人利用。这不能被允许继续。
随着物联网和连接的嵌入式计算开始渗透我们生活的每一部分,我们需要作为一个行业聚集在一起,并重新考虑我们的方法来保护和管理这些设备。
点击这里要了解有关Prpl Foundation的IoT安全方法的Prpl Foundation的蓝图:嵌入式计算的关键领域的安全指导。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。