Daftar Isi:
- Internet Ketidakamanan
- Kurangnya Standar
- Ini Tidak Semua Sial
- Internet of Things yang Tak Tertahankan
Video: Mengatasi Wifi Terhubung Tetapi Tidak Bisa internet (Oktober 2024)
Jika industri Internet of Things (IoT) adalah tatanan Jedi, dengan lightsabers Philips Hue dan kekuatan Force berbasis cloud "pintar", maka akun Twitter populer Internet of Shit adalah Sith Lord. Pada saat industri teknologi tampak bersemangat untuk meletakkan chip dalam segala hal, akibatnya terkutuk, Internet of Shit memberi nama pada masalah elektronik baru yang tidak berguna dan menyoroti bahwa beberapa produk ini mungkin tidak jinak seperti yang kita kira.
Internet akun Twitter Shit berfokus pada niche dan yang populer. Dalam kasus, katakanlah, membayar makanan menggunakan botol air pintar, itu benar mempertanyakan utilitas. Ini menyoroti absurditas harus menunggu untuk kebutuhan mendasar, seperti cahaya dan panas, yang tidak tersedia setelah produk "pintar" menerima pembaruan firmware.
saya setiap kali gadget baru keluar pic.twitter.com/khHKAOcLbv
- Internet Shit (@internetofshit) 23 Januari 2017
Seperti yang Anda bayangkan, Internet of Shit mampu menghancurkan industri yang ia tiru dengan sangat efektif karena industri itu dekat dengan intinya. "Itu terjadi secara alami, " kata IOS. "Saya biasa menghabiskan banyak waktu di Kickstarter dan melihat munculnya Internet of Things di sana. Sepertinya setiap hari beberapa objek duniawi sedang memasukkan sebuah chip ke dalamnya, tetapi tidak ada seorang pun - bahkan di media - yang kritis tentang itu. hanya akan mengatakan hal-hal seperti, 'Wow, kita akhirnya bisa mendapatkan internet dalam payung.'"
IOS melihat dirinya sebagai advokat iblis atau nurani kolektif untuk budaya konsumen. Di matanya, akun Twitter adalah pemeriksaan kewarasan yang sangat dibutuhkan tentang optimisme palsu Silicon Valley. "Ketika kita melangkah terlalu jauh, pertanyaan penting yang cenderung dilupakan oleh orang-orang teknologi adalah: Siapa yang sebenarnya membutuhkan ini? Oven yang tidak bisa dimasak dengan baik tanpa internet? Mengapa orang tidak merancang hal-hal ini dengan lebih baik?"
Tetapi lebih dari desain yang buruk dan klaim utilitas yang beragam, perhatian utama IOS adalah privasi dan, pada akhirnya, keamanan pribadi: "Saya melihat IoT secara inheren berisiko, meskipun. Saya tidak percaya perusahaan-perusahaan ini tidak membocorkan data saya atau tidak untuk diretas di masa depan."
Dalam posting Medium yang ditulis di awal kehidupan akun Twitter, IOS mengatakan dia khawatir bahwa perusahaan akan mulai mencari cara untuk mendapatkan uang dari data yang dikumpulkan dari rumah orang. Dari cerita itu: "Jika Nest ingin meningkatkan keuntungan, ia bisa menjual data lingkungan rumah Anda kepada pengiklan. Terlalu dingin? Iklan Amazon untuk selimut. Terlalu panas? Iklan banner untuk AC. Terlalu lembab? Penurun di Facebook Anda."
IOS masih berdiri dengan keprihatinan ini. "Alasan mengapa IoT begitu menarik bagi pabrikan bukanlah karena mereka menambahkan fitur-fitur pintar dalam hidup Anda - itu hanya produk sampingan, " tulisnya padaku. "Lebih dari itu, mereka mendapatkan wawasan yang belum pernah terjadi sebelumnya tentang bagaimana perangkat itu digunakan, seperti seberapa sering, fitur apa yang paling sering Anda gunakan, dan semua data yang menyertainya."
IOS mengatakan bahwa perusahaan IoT harus jauh lebih maju tentang kebijakan pengumpulan data mereka, dan siapa yang dapat mengakses informasi yang mungkin dikumpulkan oleh perangkat ini. "Pertanyaan yang kita semua perlu putuskan adalah tingkat akses apa yang ingin kita berikan kepada perusahaan-perusahaan ini sebagai imbalan dari data yang mereka peroleh - dan siapa yang kita percayai itu kuncinya."
Pada Hari Natal tahun 2016, iOS mengaktifkan lampu untuk berkedip kapan pun pegangannya disebutkan di Twitter. Hasilnya intens, antiklimaks, dan singkat, menggambarkan mungkin semua yang dibenci IOS tentang Internet of Things.
Internet Ketidakamanan
Jauh lebih buruk daripada efek perangkat IoT yang tidak berguna miliki di dompet konsumen, meskipun, adalah efek yang mereka miliki terhadap keamanan pribadi. Ketakutan IOS tentang pasar untuk data pengguna yang dikumpulkan oleh perangkat IoT tidak terlalu mengada-ada (bagaimana menurut Anda aplikasi gratis dan perusahaan berita internet gratis menghasilkan uang?), Dan sudah ada ancaman lain yang sangat nyata.
Peserta di konferensi Black Hat 2016 disuguhi cuplikan dari peneliti keamanan Eyal Ronen. Dengan menggunakan penelitiannya, ia dapat menguasai lampu Philips Hue dari sebuah drone yang melayang di luar gedung kantor. Serangan itu terkenal tidak hanya karena hasil dramatisnya dan karena menggunakan drone tetapi juga karena bangunan itu adalah rumah bagi beberapa perusahaan keamanan terkenal.
Ronen menjelaskan kepada saya bahwa ia berusaha untuk menunjukkan bahwa serangan terhadap garis top perangkat IoT adalah mungkin. "Ada banyak peretasan IoT yang ditujukan pada perangkat kelas bawah yang tidak memiliki keamanan nyata. Kami ingin menguji keamanan suatu produk yang seharusnya aman, " katanya. Dia juga tertarik untuk menyerang perusahaan terkenal dan menetap di Philips. Ronen mengatakan bahwa itu lebih sulit untuk dipecahkan daripada yang dia pikirkan, tetapi dia dan timnya menemukan dan mengeksploitasi bug dalam perangkat lunak ZigBee Light Link, protokol komunikasi pihak ketiga yang digunakan oleh beberapa perusahaan IoT dan dianggap sebagai sistem yang matang dan aman.
"Ini menggunakan primitif kriptografi canggih, dan memiliki klaim keamanan yang kuat, " kata Ronen. "Tetapi pada akhirnya, dalam waktu yang relatif singkat dengan perangkat keras yang sangat murah bernilai sekitar $ 1.000, kami dapat memecahkannya, " kata Ronen.
Video serangan Ronen (di atas) menunjukkan lampu gedung berkedip secara berurutan, mengikuti perintahnya yang dikirim dari jarak jauh melalui drone yang melayang. Jika ini terjadi pada Anda, itu akan menjengkelkan - mungkin tidak lebih menjengkelkan daripada skenario yang disoroti iOS di akun Twitter-nya. Tetapi para profesional keamanan berpendapat bahwa ada konsekuensi yang jauh lebih besar untuk keamanan IoT.
"Dalam karya sebelumnya, kami menunjukkan cara menggunakan lampu untuk mengekstrak data dari jaringan berpenutup udara dan menyebabkan kejang epilepsi, dan dalam karya ini kami menunjukkan bagaimana kami dapat menggunakan lampu untuk menyerang jaringan listrik dan macet Wi-Fi, " kata Ronen kepada saya. "IoT memasuki setiap bagian kehidupan kita, dan keamanannya dapat memengaruhi segalanya, mulai dari perangkat medis hingga mobil dan rumah."
Kurangnya Standar
Serangan Ronen mengambil keuntungan dari kedekatan, tetapi Kepala Peneliti Keamanan Alexandru Balan di Bitdefender menguraikan banyak kesalahan keamanan lainnya yang muncul pada beberapa perangkat IoT. Kata sandi hardcode, katanya, sangat bermasalah, seperti halnya perangkat yang dikonfigurasi untuk dapat diakses dari internet terbuka.
Kombinasi aksesibilitas internet ini dan kata sandi default sederhana yang telah menyebabkan kekacauan pada Oktober 2016 ketika Mirai botnet mengambil layanan utama seperti Netflix dan Hulu baik offline atau membuatnya sangat lambat sehingga tidak dapat digunakan. Beberapa minggu kemudian, varian Mirai mencekik akses internet di seluruh negara Liberia.
Tidak lama setelah berita tentang Mirai pecah, saya melihat skenario ini dan menyalahkan industri IoT karena mengabaikan peringatan tentang otentikasi yang buruk dan aksesibilitas online yang tidak perlu. Tapi Balan tidak mau menyebut kelemahan ini jelas. "perlu melakukan rekayasa balik pada firmware untuk mengekstrak kredensial tersebut, tetapi sering kali mereka menemukan kredensial hard-coded di perangkat. Alasannya adalah bahwa dalam banyak kasus, tidak ada standar ketika datang ke Keamanan IOT."
Kerentanan seperti ini muncul, hipotesis Balan, karena perusahaan IoT beroperasi sendiri, tanpa standar atau keahlian keamanan yang diterima secara universal. "Lebih mudah untuk membangunnya seperti ini. Dan Anda dapat mengatakan bahwa mereka mengambil jalan pintas, tetapi masalah utamanya adalah mereka tidak mencari cara untuk membangunnya dengan benar dengan cara yang aman. Mereka hanya berusaha membuatnya bekerja dengan benar."
Bahkan ketika perusahaan mengembangkan perbaikan untuk serangan seperti yang ditemukan oleh Ronen, beberapa perangkat IoT tidak dapat menerapkan pembaruan otomatis. Ini menempatkan tanggung jawab pada konsumen untuk menemukan dan menerapkan tambalan itu sendiri, yang dapat sangat menakutkan pada perangkat yang tidak dimaksudkan untuk dilayani.
Tetapi bahkan dengan perangkat yang dapat dengan mudah diperbarui, kerentanan masih ada. Beberapa peneliti telah menunjukkan bahwa tidak semua pengembang IoT menandatangani pembaruan mereka dengan tanda tangan kriptografi. Perangkat lunak yang ditandatangani dienkripsi dengan separuh pribadi dari kunci kriptografi asimetris yang dimiliki oleh pengembang. Perangkat yang menerima pembaruan memiliki setengah publik dari kunci, yang digunakan untuk mendekripsi pembaruan. Ini memastikan bahwa pembaruan itu resmi dan belum dirusak, karena menandatangani pembaruan yang berbahaya atau mengubah pembaruan perangkat lunak akan memerlukan kunci rahasia pengembang. "Jika mereka tidak menandatangani pembaruan mereka secara digital, mereka dapat dibajak, mereka dapat dirusak; kode dapat disuntikkan ke dalam pembaruan itu, " kata Balan.
Selain sekadar menyalakan dan mematikan lampu, Balan mengatakan bahwa perangkat IoT yang terinfeksi dapat digunakan sebagai bagian dari botnet, seperti yang terlihat pada Mirai, atau untuk tujuan yang jauh lebih berbahaya. "Saya dapat mengekstrak kredensial Wi-Fi Anda, karena Anda jelas-jelas mengaitkannya ke jaringan Wi-Fi Anda dan menjadi kotak Linux, saya dapat menggunakannya untuk berputar dan mulai meluncurkan serangan dalam jaringan nirkabel Anda.
"Dalam privasi jaringan LAN Anda sendiri, mekanisme otentikasi lemah, " lanjut Balan. "Masalah dengan LAN adalah bahwa begitu saya berada di jaringan pribadi Anda, saya dapat memiliki akses ke hampir semua yang terjadi di sana." Akibatnya, IoT yang rusak menjadi sandaran bagi serangan pada perangkat yang lebih berharga di jaringan yang sama, seperti Network Attached Storage atau komputer pribadi.
Mungkin ini memberi tahu bahwa industri keamanan telah mulai melihat dengan cermat pada IOT. Selama beberapa tahun terakhir, beberapa produk telah memasuki pasar mengklaim untuk melindungi perangkat IoT dari serangan. Saya telah melihat atau membaca tentang beberapa produk seperti itu dan meninjau penawaran Bitdefender. Disebut Kotak Bitdefender, perangkat melekat ke jaringan Anda yang ada dan memberikan perlindungan antivirus untuk setiap perangkat di jaringan Anda. Bahkan memeriksa perangkat Anda untuk kelemahan potensial. Bitdefender akan meluncurkan versi kedua perangkat Box-nya tahun ini. Norton akan memasukkan penawarannya sendiri (di bawah), membual pemeriksaan paket dalam, sementara F-Secure juga mengumumkan perangkat perangkat keras.
Sebagai salah satu yang pertama memasarkan, Bitdefender berada dalam posisi unik memiliki latar belakang dalam keamanan perangkat lunak - dan kemudian merancang perangkat keras konsumen yang, mungkin, akan aman tanpa cela. Bagaimana pengalaman itu? "Itu sangat sulit, " jawab Balan.
Bitdefender memang memiliki program hadiah bug (hadiah uang yang ditawarkan kepada programmer yang mengungkap dan memberikan solusi untuk bug di situs web atau dalam aplikasi), yang dikonfirmasi Balan telah membantu pengembangan Kotak. "Tidak ada perusahaan yang cukup sombong untuk percaya bahwa mereka dapat menemukan semua bug sendiri. Inilah mengapa ada program karunia bug, tetapi tantangan dengan perangkat keras adalah bahwa mungkin ada pintu belakang dalam chip yang sebenarnya."
"Kami tahu apa yang harus dicari dan apa yang harus dilihat dan kami sebenarnya memiliki tim perangkat keras yang dapat membongkar dan melihat masing-masing komponen di papan itu. Syukurlah, papan itu tidak sebesar itu."
Ini Tidak Semua Sial
Mudah untuk mendiskon seluruh industri berdasarkan aktor terburuknya, dan hal yang sama berlaku untuk Internet of Things. Tetapi George Yianni, Kepala Teknologi, Sistem Rumah Tangga, Philips Lighting menemukan pandangan ini sangat mengecewakan.
"Kami menganggap sangat serius dari awal. Ini adalah kategori baru. Kami harus membangun kepercayaan, dan ini benar-benar merusak kepercayaan. Dan itu juga mengapa saya pikir rasa malu terbesar dari produk yang tidak melakukan pekerjaan yang baik adalah bahwa itu mengikis kepercayaan dalam kategori keseluruhan. Produk apa pun bisa dibuat buruk. Ini bukan kritik terhadap industri secara keseluruhan."
Seperti yang sering terjadi pada keamanan, bagaimana perusahaan merespons serangan sering kali lebih penting daripada efek serangan itu sendiri. Dalam kasus serangan drone pada perangkat Philips, Yianni menjelaskan bahwa Ronen menyerahkan temuannya melalui program pengungkapan tanggung jawab perusahaan yang ada. Ini adalah prosedur yang diberlakukan untuk memberi waktu bagi perusahaan merespons penemuan peneliti keamanan sebelum dipublikasikan. Dengan begitu, konsumen dapat yakin bahwa mereka aman dan para peneliti mendapatkan kejayaan.
Ronen telah menemukan bug di tumpukan perangkat lunak pihak ketiga, kata Yianni. Secara khusus, itu adalah bagian dari standar ZigBee yang membatasi komunikasi ke perangkat dalam waktu dua meter. Pekerjaan Ronen, seingat Anda, dapat mengendalikan dari jarak jauh - 40 meter dengan antena standar dan 100 meter dengan antena yang dikuatkan. Berkat program pengungkapan yang bertanggung jawab, Yianni mengatakan Philips bisa meluncurkan tambalan ke lampu di lapangan sebelum Ronen memberi tahu dunia tentang serangan itu.
Setelah melihat banyak perusahaan bergulat dengan pelanggaran keamanan publik atau hasil pekerjaan peneliti keamanan, respons Yianni dan Philips mungkin terdengar seperti menepuk punggung - bahkan ternyata itu sukses. "Semua produk kami dapat diperbarui oleh perangkat lunak, sehingga semuanya dapat diperbaiki, " kata Yianni kepada saya. "Hal lain yang kami lakukan adalah penilaian risiko keamanan, audit keamanan, pengujian penetrasi pada semua produk kami. Tetapi kemudian kami juga menjalankan proses pengungkapan yang bertanggung jawab ini, sehingga jika ada sesuatu yang terjadi, kami dapat mencari tahu di muka dan memperbaiki sangat cepat.
"Kami memiliki seluruh proses di mana kami dapat mendorong pembaruan perangkat lunak dari seluruh cloud kami ke bawah dan mendistribusikannya ke semua lampu. Itu super penting, karena ruang bergerak sangat cepat dan ini adalah produk yang akan bertahan 15 tahun terakhir Dan jika kita ingin memastikan bahwa mereka masih relevan dalam hal fungsionalitas dan cukup aman untuk serangan terbaru, kita perlu memilikinya."
Dalam korespondensinya dengan saya, Ronen mengkonfirmasi bahwa Philips memang telah melakukan pekerjaan yang mengagumkan untuk mengamankan sistem pencahayaan Hue. "Philips melakukan upaya yang mengejutkan dalam mengamankan lampu, " kata Ronen kepada saya. "Tapi sayangnya, beberapa asumsi keamanan dasar yang bergantung pada implementasi keamanan chip Atmel yang mendasar adalah salah." Seperti yang ditunjukkan Balan dengan karya Bitdefender di Box, setiap aspek perangkat IoT dapat diserang.
Philips juga merancang Hub pusat - perangkat yang diperlukan untuk mengoordinasikan jaringan produk-produk Philips IoT - agar tidak dapat diakses dari internet terbuka. "Semua koneksi ke internet dimulai dari perangkat. Kami tidak pernah membuka port pada router atau membuatnya sehingga perangkat di internet dapat langsung berbicara dengan, " jelas Yianni. Sebagai gantinya, Hub mengirimkan permintaan ke infrastruktur cloud Philips, yang menanggapi permintaan alih-alih sebaliknya. Ini juga memungkinkan Philips untuk menambahkan lapisan tambahan untuk melindungi perangkat konsumen tanpa harus menjangkau rumah mereka dan membuat perubahan apa pun. "Tidak mungkin untuk dikomunikasikan dengan dari luar Hub kecuali Anda dialihkan melalui cloud ini di mana kami dapat membangun lapisan keamanan dan pemantauan tambahan."
Yianni menjelaskan bahwa ini semua adalah bagian dari pendekatan berlapis-lapis yang dilakukan Philips untuk mengamankan sistem pencahayaan Hue. Karena sistem ini terdiri dari beberapa bagian yang berbeda - mulai dari perangkat keras di dalam bohlam hingga perangkat lunak dan perangkat keras di Hub Hue hingga aplikasi di dalam ponsel pengguna - langkah-langkah yang berbeda harus diambil di semua tingkatan. "Semua dari mereka memerlukan langkah-langkah keamanan yang berbeda untuk menjaga mereka tetap aman. Mereka semua memiliki tingkat risiko dan kerentanan yang berbeda. Jadi kami melakukan langkah-langkah berbeda untuk semua bagian yang berbeda ini, " kata Yianni.
Ini termasuk pengujian penetrasi tetapi juga desain dari bawah ke atas yang dimaksudkan untuk menghalangi penyerang. "Tidak ada kata sandi global seperti apa yang digunakan dalam botnet Mirai ini, " kata Yianni. Malware Mirai memiliki lusinan kode sandi default yang akan digunakannya dalam upaya mengambil alih perangkat IoT. "Setiap orang memiliki kunci unik, yang ditandatangani secara asimetris untuk memverifikasi firmware, semua ini. Satu perangkat mengalami perubahan perangkat kerasnya, tidak ada risiko global dari itu, " jelasnya.
Ini juga berlaku untuk nilai perangkat IoT. "Banyak dari produk ini cenderung konektivitas demi konektivitas, " katanya. "Kebutuhan untuk mengotomatisasi segala sesuatu di dalam rumah Anda bukanlah masalah yang dimiliki banyak konsumen, dan itu sangat sulit untuk dipahami. Kami berpikir bahwa produk yang bekerja dengan baik adalah yang menawarkan nilai yang lebih mudah dipahami kepada konsumen."
Internet of Things yang Tak Tertahankan
Mengetahui risiko tentang IoT, dan bahkan mengakui kesembronoannya, tentu tidak menghentikan orang untuk membeli pencahayaan pintar seperti Philips Hue, asisten rumah yang selalu mendengarkan seperti Google Home atau Amazon Echo, dan ya, botol air pintar. Bahkan operator Internet Shit adalah penggemar IOT besar.
"Ironi sebenarnya di balik Internet Shit adalah saya pengisap untuk perangkat ini, " kata IOS. "Saya seorang pengadopsi awal dan bekerja di bidang teknologi, jadi seringkali saya tidak bisa menolak hal-hal ini." IOS mencantumkan lampu Philips yang terhubung, termostat Tado, pelacak tidur Sense, speaker cerdas, kamera Canary, dan colokan yang terhubung dengan Wi-Fi di antara fasilitas rumah futuristiknya.
"Saya sadar bahwa akun itu secara tidak sengaja jauh lebih besar daripada yang saya bayangkan, dan saya tidak pernah ingin membuat orang tidak mau masuk ke teknologi - saya pikir bereksperimen dengan ide-ide bodoh adalah bagaimana ide-ide besar dapat dilahirkan, yang merupakan sesuatu bahwa Simone Giertz mengajari saya sedikit, "kata IOS.
Giertz, seorang robotik absurd dan YouTuber, adalah pikiran di balik Shitty Robots. Ciptaannya termasuk drone yang memberikan potongan rambut - atau, lebih tepatnya, gagal - dan topi besar yang menempatkan kacamata hitam secara dramatis di wajahnya. Anggap saja sebagai Rube Goldberg dengan dosis sinisme Silicon Valley yang sehat.
Orang di belakang iOS melaporkan bahwa ia berusaha mengendalikan insting pengadopsi awalnya hari ini. "Saya pikir saat saya harus memperbarui firmware bola lampu saya untuk menyalakannya adalah sedikit realisasi bagi saya…"
Bitdefender's Balan mengatakan dia menggunakan bola lampu yang berfungsi ganda sebagai repeater Wi-Fi. Perangkat ini memperluas cahaya dan Wi-Fi ke setiap sudut rumahnya. Tetapi mereka juga sarat dengan banyak kerentanan yang dia cemooh, termasuk kata sandi default yang lemah. Namun ketika berbicara tentang IOT, ia tetap tidak gentar.
"Ini seperti seks, " katanya padaku. "Kamu tidak akan melakukannya tanpa kondom. Kami menyukai seks, seks itu luar biasa, kami tidak akan berhenti berhubungan seks hanya karena itu berbahaya. Tapi kami akan menggunakan perlindungan saat kami melakukannya." Alih-alih jatuh ke paranoia, ia percaya konsumen harus mengandalkan perusahaan keamanan dan teman-teman yang berpendidikan yang dapat mengidentifikasi perusahaan yang menganggap serius keamanan dengan karunia bug dan alat pembaruan yang sering dan aman.
Dan apakah Ronen-piloting hacker menggunakan IOT? "Saat ini, tidak, " katanya. "Saya khawatir pengaruhnya terhadap privasi dan keamanan saya. Dan manfaatnya tidak cukup tinggi untuk kebutuhan saya."
Bahkan penulis Anda yang rendah hati, yang telah menolak lagu sirene tentang pendeteksi asap dan lampu yang berubah warna selama bertahun-tahun, sudah mulai runtuh. Baru-baru ini, dalam upaya merapikan kantor untuk liburan, saya mendapati diri saya menyiapkan tiga lampu pintar yang terpisah. Hasilnya, sangat mengerikan, sangat indah.
Sementara itu, lampu Philips Hue yang baru duduk di keranjang belanja Amazon saya. Suatu hari nanti, saya akan menekan tombol.
