211service.com
Het slimme huis beveiligen, van broodroosters tot toiletten
Eind december merkte een onderzoeker van het enterprise-beveiligingsbedrijf Proofpoint iets vreemds op: een beveiligingsgateway registreerde honderdduizenden kwaadaardige e-mails die duidelijk werden verzonden door meer dan 100.000 Linux-apparaten, maar het waren geen pc's. Het waren eerder op internet aangesloten consumentengadgets, waaronder routers, tv's, multimediacentra en zelfs een koelkast.
David Knight, algemeen directeur van Bewijspunt 's informatiebeveiligingseenheid, zegt dat de aanvallers in feite een internet of things-achtige botnet hadden opgezet - iets dat we vaker zien op pc's - waarbij de apparaten onbewust worden gekaapt om dingen te doen zoals spam verzenden of illegale hosten pornografie. Hij verwacht veel meer te zien van wat hij dingbots noemt als verbonden apparaten die door het hele huis zijn verspreid, vooral omdat de beveiliging van zoveel van deze gadgets slechts een eenvoudige webinterface is die je vraagt om een gebruikersnaam en wachtwoord in te stellen. .
De beveiliging die er was, was ontoereikend, zegt Knight, die vermoedt dat de apparaten zijn gecompromitteerd door simpelweg bekende Linux-kwetsbaarheden te misbruiken.
Hackers hebben lang geleden schade aangericht op pc's via internet, wat heeft geleid tot datalekken en computercrashes. Nu er haast is om connectiviteit toe te voegen aan alles, van crockpots tot gloeilampen, wordt de inzet nog hoger - en persoonlijker (zie Meer verbonden huizen, meer problemen ). Antivirussoftware hielp pc's, maar u kunt niet zomaar een softwarepakket voor uw desktop op een slimme broodrooster installeren; als gevolg hiervan zijn connected home-apparaten meestal afhankelijk van de gebruiker die online gaat en een gebruikersnaam en wachtwoord instelt voor bescherming.
Een aantal technologiebedrijven en branchegroepen zegt dat slimme apparaten in de winkelrekken liggen met weinig beveiliging. Beveiligingsexperts geven het probleem de schuld van een aantal factoren: startups kunnen beveiliging op de achterbank plaatsen in hun haast om producten de deur uit te krijgen, en gevestigde bedrijven die traditioneel offline opereren, zoals stereo- of tv-fabrikanten, realiseren zich misschien gewoon niet dat ze moeten beschermen tegen bedreigingen als het gaat om gadgets die met internet zijn verbonden.
Ze zijn niet dom, zegt Marc Rogers, hoofd beveiligingsonderzoeker bij mobiel beveiligingsbedrijf Pas op . Het is gewoon niet iets waar ze mee te maken hebben gehad.
Dus terwijl bedrijven alles uitrollen, van slimme lampen en deursloten die je kunt bedienen met een smartphone tot aangesloten toiletten en bloeddrukmeters, is er ook een beweging gaande om deze producten zo veilig mogelijk te maken.
Voor Rogers van Lookout betekent dit het hacken en soms fysiek demonteren van op internet aangesloten apparaten om erachter te komen waar hun beveiligingsfouten liggen. Afgelopen zomer ontdekten Rogers en zijn team een zwakke plek in de door het hoofd gedragen computer van Google, Google Glass (zie Onderzoekers vinden beveiligingsbarsten in Google Glass). Meer recentelijk identificeerde en vergelijkt Rogers de beveiligingsmaatregelen in camera's en entertainmentsystemen met internettoegang.
Ik ben eigenlijk dingen aan het doorbreken en dan aan het uitwerken: wat wordt er goed gedaan? Wat wordt er slecht gedaan? Wat zijn de lessen hier? hij zegt.
Net als veel andere technologiebedrijven erkent Lookout de toenemende invloed van apparaten die op internet kunnen worden aangesloten - een ruimte die zo populair is dat Google vorige week zei dat het $ 3,2 miljard zal besteden aan de aankoop van slimme thermostaat en rookmeldermaker Nest. Vorig jaar waren er meer dan 10 miljard verbonden apparaten, en dit aantal zal tegen 2020 oplopen tot 50 miljard, volgens een schatting van Cisco, fabrikant van netwerkapparatuur.
In de hoop de beveiligingsrisico's van al deze groei te minimaliseren, ontwikkelt Rogers een reeks beveiligingsnormen die bedrijven kunnen volgen bij het ontwikkelen van verbonden producten. Hij weigert specifiek te zijn over wat de Internet of Things-standaarden zouden kunnen omvatten, maar zegt dat hij geneigd is te vertrouwen op de meer volwassen standaarden voor internet en de Open Web Application Security Project's Top 10 lijst met beveiligingsrisico's als richtlijn, omdat het veel soorten risico's beschrijft die van invloed kunnen zijn op alle soorten apparaten met internetverbinding.
Op dit moment denk ik dat iedereen zijn eigen ding doet, maar er is een groeiende stem om te zeggen: 'Laten we iedereen bij elkaar brengen, laten we proberen dit op één lijn te krijgen', zegt hij.
De AllSeen Alliance , een in december opgerichte Internet of Things-industriegroep om interoperabiliteit tussen aangesloten apparaten te stimuleren, ongeacht de fabrikant, denkt dat de open-sourcesoftware die het ontwikkelt ook kan helpen.
De software van de groep zal gebaseerd zijn op: AllJoyn , de open-source Internet of Things-software van Qualcomm, de maker van smartphonechips (en groepslid). Liat Ben-Zur , de voorzitter van de AllSeen Alliance en hoofd van de AllJoyn-eenheid van Qualcomm, zegt dat AllJoyn app-ontwikkelaars in staat stelt te beslissen welk beveiligingsniveau erin moet worden ingebouwd, zoals het al dan niet coderen van gegevens die zijn overgedragen van een slimme tandenborstel naar een bijbehorende smartphone-app. AllJoyn biedt ook meer genuanceerde beveiligingsinstellingen, zegt ze, zoals een bezoekende vriend toestaan om je aangesloten huisairconditioner te bedienen, maar alleen binnen een bepaald temperatuurbereik en alleen voor de twee dagen dat hij in de stad is.
Methoden om tijdelijke toegang toe te staan worden al weergegeven in sommige nog vrij te geven slimme deursloten - een van de enige verbonden apparaten die hun veiligheid aanprijzen - zoals Goji , waarmee u tijden kunt instellen waarop vrienden uw huis kunnen betreden met hun telefoon. Tot nu toe is dit echter niet typisch.
Een soortgelijk idee als wat Ben-Zur beschrijft, is in de maak bij Mocana , een mobiel en internet-of-things beveiligingsbedrijf. Mocana werkt aan een soort digitaal matrixproduct met de codenaam AtoM (voor app naar machine) waarvan chief technology officer James Blaisdell zegt dat het verschillende gebruikers in staat zal stellen om apparaten veilig op schaal te beheren en te besturen, met verschillende autoriteitsniveaus.
Het bedrijf verwacht deze eind dit jaar uit te rollen. In eerste instantie zal het gericht zijn op industriële toepassingen, zegt Blaisdell, zoals de fabrikant van een windturbine laten zien hoe deze wordt onderhouden, terwijl een elektriciteitsbedrijf kan zien hoeveel stroom hij opwekt. Hij kan zich voorstellen dat het ook voor andere dingen wordt gebruikt, zoals gadgets voor in huis.
Het is hetzelfde soort problemen: hoe sluit je al deze apparaten veilig aan en zorg je ervoor dat ze veilig met elkaar kunnen communiceren? hij zegt.
Zelfs als er iets als een slimme stereo of een koffiezetapparaat is gehackt, kan het lastiger zijn om te vertellen dan met een laptop of een smartphone. Deze apparaten hebben vaak geen visuele weergave en als ze deelnemen aan een aanval die lijkt op die van Proofpoint, vertonen ze mogelijk geen tekenen van problemen.
In sommige gevallen kan de eenvoudigste oplossing zijn om simpelweg het aantal apparaten dat verbinding met internet kan maken, te beperken. Een ding dat de AllJoyn-software van de AllSeen Alliance kan doen, is ervoor zorgen dat slimme apparaten alleen met andere apparaten in huis kunnen communiceren - bijvoorbeeld een groep gloeilampen of een deurslot - en geen verbinding maken met internet daarbuiten. Voor sommige verbindingsjunkies klinkt het misschien beperkend, maar Ben-Zur ziet het als een manier om je apparaten ook veiliger en meer privé te houden.
Ik wil niet per se dat een cloudservice elke keer weet wanneer ik mijn voordeur in en uit loop, zegt Ben-Zur.