Securitywatch: alasan sebenarnya saya tidak memiliki kamera keamanan

Saya dan mitra saya baru saja mendapatkan seekor anjing, yang bagi millenial hampir sama dengan mengatakan kami memiliki anak. Sekarang, kami sudah memiliki, dan masih memiliki, hewan peliharaan lain di rumah kami. Kejahatan kami akan tikus-tikus manis berhidung merah muda yang menggemaskan mungkin berbeda-beda ukurannya, tetapi sudah konstan dalam kehidupan pasangan saya dan saya sendiri selama hampir satu dekade. Hal tentang tikus adalah bahwa mereka sama bahagia di kandang dengan teman-teman tikus mereka seperti mereka dengan Anda. Anjing, di sisi lain, tidak bahagia saat Anda pergi dan akibatnya Anda juga tidak bahagia. Ketika kami mendapatkan anjing (yang namanya Lulu dan dia adalah anjing terbaik dengan ukuran apa pun dan semua objektif), pasangan saya menyarankan agar kami mendapatkan webcam atau monitor video bayi sehingga kami dapat mengawasi anak anjing kami saat kami sedang bekerja.

Saya akui, saya tergoda. Seperti yang saya sebutkan, hewan peliharaan kami mengisi peran anak-anak untuk kami, dan saya menghabiskan banyak waktu untuk mengkhawatirkan hewan-hewan saya ketika saya sedang bekerja, terutama selama musim panas NYC, yang menggabungkan panas Lembah Kematian dengan penyakit yang memuakkan. kelembaban ketiak. Terlepas dari kekhawatiran itu, saya merasa tidak nyaman. Pasangan saya sangat menyadari kecenderungan paranoiac saya, dan setelah kami membicarakannya, kami sepakat: kami tidak akan memiliki kamera keamanan di rumah kami.

Itu tidak, seperti yang mungkin Anda pikirkan, karena saya takut peretas menonton saat-saat intim atau badan intelijen saya mendengarkan setiap kata saya, meskipun itu adalah ancaman nyata. Tidak, kekhawatiran saya adalah bahwa setiap perangkat yang dapat diakses internet di jaringan saya dapat dibajak dan diubah menjadi senjata pemusnah massal online.

Hacks menyeramkan adalah nyata tetapi dapat dihindari

Kita akan mendapatkan ketakutan saya, tetapi pertama-tama saya harus mengakui bahwa, ya, hal-hal menyeramkan memang terjadi dengan perangkat IOT, dan itu bisa sangat buruk. Dengan sendirinya, ini adalah alasan yang valid untuk membenci sebelum mendapatkan kamera atau monitor bayi yang terhubung ke web.

Banyak cerita tentang orang-orang yang mendengar suara tanaman merambat yang datang melalui monitor bayi mereka, atau mengetahui bahwa seseorang telah menggunakan kamera di komputer mereka untuk mengambil gambar yang memalukan. Salah satu praktik yang sangat berbahaya disebut "sextortion, " di mana penyerang mengancam untuk melepaskan foto-foto memalukan yang diambil dari webcam yang dibajak (yang mungkin atau mungkin tidak benar-benar dimiliki) kecuali korban memberikan materi yang eksplisit secara seksual. Ini menjijikkan sendiri, dan fakta bahwa orang-orang muda sering menjadi sasaran serangan ini menyedihkan.

Serangan-serangan keji ini biasanya lebih sulit dilakukan karena mereka membutuhkan penargetan individu tertentu, tetapi silsilah keamanan yang buruk dari banyak perangkat Internet of Things, termasuk beberapa kamera keamanan dan monitor bayi yang terhubung, membuatnya menjadi tanda yang lebih mudah. Jika Anda ingin menemukan target, Anda dapat melihat Shodan - mesin pencari perangkat yang terhubung ke internet. Menyerang orang tertentu kemungkinan akan melibatkan akses fisik ke perangkat, atau serangan phishing yang dibuat dengan hati-hati, tetapi Shodan mungkin dapat menghubungkan Anda dengan korban yang tidak sengaja, jika agak acak, korban.

Serangan-serangan yang kasar dan invasif ini adalah ancaman nyata, tetapi serangan-serangan itu juga dapat dikurangi tanpa banyak pengetahuan teknis. Selotip sederhana di atas kain lap atau kering yang dilemparkan ke atas perangkat dapat membuat kamera benar-benar buta. Monitor bayi dapat diputuskan - atau lebih baik lagi, tidak diizinkan untuk terhubung ke internet. Saya bisa mengatasinya sendiri.

Yang Sungguh Menakutkan Saya

Ada presentasi Black Hat yang selalu menempel padaku. Di dalamnya, presenter menunjukkan bagaimana ia bisa mengendalikan kamera keamanan yang terhubung. Itu menakutkan, tetapi apa yang membuat saya menjadi presenter adalah bahwa kamera ini hanyalah komputer Linux kecil, dan dapat digunakan untuk melakukan apa pun yang diinginkan penyerang. Dia juga mengklaim bahwa sebagian besar kamera di pasar memiliki kelemahan besar.

Beberapa tahun kemudian, perangkat rumah pintar mulai menghantam rak, dan saya terus mendengar dari perusahaan keamanan bahwa mereka benar-benar khawatir. Mereka memiliki keprihatinan yang sama dengan presenter Black Hat; bahwa dimungkinkan untuk membajak perangkat pintar, dan menggunakannya untuk semua jenis tujuan jahat.

Tidak lama kemudian, ketakutan itu menjadi kenyataan, dan itu lebih buruk dari yang diharapkan. Malware Mirai secara otomatis memindai internet untuk mencari koneksi yang tersedia, dan kemudian menggunakan baterai serangan untuk masuk ke perangkat IOT, semuanya tanpa input dari manusia. Mirai menargetkan perangkat yang menjalankan versi embedded Linux, dari TV ke router, dan mampu merakit botnet yang cukup besar. Itu cukup besar untuk menghapus penyedia DNS, yang pada gilirannya menyebabkan situs-situs seperti GitHub, Netflix, dan Twitter menjadi tidak tersedia.

Mirai hanyalah satu contoh, tetapi telah kembali berulang kali. Menurut Wikipedia, varian malware Mirai telah terlihat beberapa kali dalam setahun terakhir, dengan beberapa penampakan baru-baru ini pada Februari 2019.

Mirai terbatas hanya pada beberapa perangkat, tetapi masih sangat efisien. Yang lebih buruk adalah serangan yang bahkan lebih maju - mungkin kurang otomatis, mungkin tidak - yang bisa melompat dari bola lampu yang terinfeksi ke router saya, dan kemudian secara bergantian ke setiap perangkat di jaringan. Ini akan membuat perangkat IoT menjadi tempat berpijak atau pijakan, sehingga penyerang atau malware dapat "berputar" ke dalam jaringan yang lebih berharga.

Memang, ada perbaikan dalam kamera yang terhubung dan monitor bayi, dan IoT lebih umum, tetapi industri masih perlu berbuat lebih banyak. Perusahaan harus memastikan bahwa perangkat mereka selamat dari serangkaian uji untuk menyelidiki kelemahan, dan paling tidak harus menyertakan mekanisme untuk memperbarui atau mengganti perangkat yang ternyata rentan. Vendor perlu berasumsi bahwa perangkat mereka akan diserang, membangun fitur keamanan, dan ingat bahwa produk mereka tidak selalu dapat diservis oleh pengguna, beberapa di antaranya tidak memiliki layar atau antarmuka apa pun .

Kekebalan kawanan

Ada beberapa tindakan pencegahan yang tersedia untuk orang biasa juga. Anda dapat melihat membeli perangkat keamanan IoT seperti Bitdefender Box, atau router dengan perangkat lunak keamanan bawaan. (Yang terakhir ini penting ketika Anda menganggap bahwa router, seperti perangkat IoT, hanyalah komputer yang dapat digunakan untuk kejahatan.) Anda dapat memastikan bahwa perangkat Anda mutakhir dengan tambalan perangkat lunak terbaru, dan mengubah kata sandi standar apa pun. Namun, itu hanya berjalan sejauh ini. Hampir tidak ada cara untuk mengetahui dari melihat sebuah kotak apakah kamera keamanan di dalamnya menggunakan kode yang ditandatangani dalam pembaruannya, atau jika memiliki kode rahasia yang tidak terlihat oleh pengguna dan kemungkinan pintu belakang potensial bagi penyerang.

Penting dicatat bahwa banyak nasihat itu, dan sebagian besar keamanan pada umumnya, ditulis dalam gagasan keselamatan dan tanggung jawab pribadi. Anda perlu melindungi mesin Anda , dan informasi pribadi Anda . Seperti halnya dengan Mirai, serangan yang berhasil pada saya dapat dengan cepat berubah menjadi serangan terhadap keluarga saya, teman-teman saya, komunitas saya, dan orang-orang yang tidak akan pernah saya kenal. Itu tidak hanya akan menyebabkan beberapa masalah dengan ISP saya, itu berarti saya tanpa sadar telah melukai orang-orang di sekitar saya.

Ini mengingatkan saya pada konsep kekebalan kawanan. Saat itulah persentase populasi yang cukup tinggi kebal atau divaksinasi terhadap penyakit tertentu sehingga tidak ada yang sakit. Populasi saling melindungi satu sama lain dengan membuat penyebaran penyakit tidak mungkin terjadi. Menempatkan kamera keamanan di rumah saya tidak hanya berisiko bagi saya, itu bisa membuat orang lain sedikit kurang aman juga.

Lulu, anjing terbaik, masih berjuang untuk merasa nyaman sendirian. Kami baru-baru ini memberinya penutup peti, karena anjing-anjing tampaknya secara alami tertarik ke sarang yang gelap dan aman. Sebagai gantinya, dia menarik penutup melalui jeruji, mengepaknya, dan tidur di atasnya. Saya masih berjuang juga, tetapi saya tahu solusinya adalah lebih banyak pelatihan untuknya dan bagi kami, bukan kamera yang hanya akan memberi tahu saya apa yang sudah saya ketahui.

• Peretasan Hue: Peneliti Cacing ke Internet of Things Peretasan Hue: Peneliti Cacing ke Internet of Things
• Nest: Menyalahkan Kata Sandi Lemah, Bukan Kami untuk Insiden Kamera Creepy Nest: Menyalahkan Kata Sandi Lemah, Bukan Kami untuk Insiden Kamera Creepy
• SecurityWatch: Buat Perusahaan, Bukan Pelanggan, Menderita Pelanggaran Data SecurityWatch: Buat Perusahaan, Bukan Pelanggan, Menderita Pelanggaran Data

Jaminan kecil apa pun yang diberikan kamera keamanan kepada saya tidak layak menjadi bagian dari serangan dahsyat. Ini menempatkan kedamaian pikiran saya di atas orang lain, dan itu bukan perdagangan yang ingin saya lakukan. Teknologi IoT membaik, dan ada alat yang lebih baik untuk melindungi perangkat ini, tetapi masih belum cukup bagi saya untuk merasa nyaman. Saya mulai menganggap perangkat di jaringan saya sebagai tanggung jawab saya, demi saya dan untuk orang lain, dan bagi saya, perangkat ini adalah risiko yang belum bersedia saya ambil.