תוכן עניינים:
וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
אם ענף האינטרנט של הדברים (IoT) הוא הסדר הג'די, עם פנסי גוון של פיליפס הו וכוחות כוח "חכמים" מבוססי ענן, אז חשבון הטוויטר הפופולרי באינטרנט של שיט הוא סית 'לורד. בתקופה שתעשיית הטכנולוגיה נראית להוטה להכניס שבב לכל דבר, להסביר השלכות, Internet of Shit שם שם לבעיית האלקטרוניקה החדשה חסרת התועלת ומדגיש כי חלק מהמוצרים הללו עשויים להיות לא שפירים כמו שאנחנו חושבים.
האינטרנט של חשבון הטוויטר של שיט מתמקד בנישה והפופולרית. במקרה של, למשל, לשלם עבור ארוחה באמצעות בקבוק מים חכם, זה מטיל ספק בצורך בתועלת. זה מדגיש את האבסורד של הצורך לחכות לצרכים בסיסיים, כמו אור וחום, שאינם זמינים לאחר שמוצרים "חכמים" יקבלו עדכוני קושחה.
אותי בכל פעם שגאדג'ט חדש יוצא pic.twitter.com/khHKAOcLbv
- האינטרנט של חרא (@internetofshit) 23 בינואר 2017
כפי שאתה יכול לדמיין, האינטרנט של חרא מסוגל להמציא את הענף שהוא לועג לו כל כך ביעילות מכיוון שהתעשייה הזו קרובה לליבה. "זה קרה כל כך באופן טבעי, " אמר IOS. "ביליתי הרבה זמן על קיקסטארטר וראיתי את עליית האינטרנט של הדברים שם. נראה כאילו כל יום אחר היה איזה חפץ ארצישראלי שמכניס אליו שבב, אבל אף אחד - אפילו לא בתקשורת - היה זה ביקורתי בקשר לזה. פשוט היה אומר דברים כמו 'וואו, סוף סוף נוכל להביא את האינטרנט למטרייה'."
IOS רואה את עצמו כמשהו תומך השטן או מצפונו הקולקטיבי לתרבות הצריכה. בעיניו, חשבון הטוויטר הוא בדיקת השפיות הנחוצה מאוד על הרץ העמוק-אופטימי של עמק הסיליקון. "כשאנחנו הולכים רחוק מדי, השאלה החשובה שהטכנולוגיה שאנשים נוטים לשכוח היא: מי בעצם צריך את זה? תנור שלא יכול לבשל כמו שצריך בלי האינטרנט? מדוע אנשים לא מעצבים את הדברים האלה טוב יותר?"
אך יותר מעיצוב גרוע וטענות על שימושיות מפורשות, הדאגה העיקרית של IOS היא של פרטיות ובסופו של דבר, ביטחון אישי: "אני רואה IoT כמסוכן מטבעם. עם זאת, אני לא סומך על חברות אלה שלא ידליפו את הנתונים שלי או לא להיפרץ קשה בעתיד."
בפוסט בינוני שנכתב בתחילת חייו של חשבון הטוויטר, IOS אמר שהוא חושש שחברות יתחילו לחפש דרכים להפיק רווחים מנתונים שנאספו מבתיהם של אנשים. מהסיפור ההוא: "אם קן רצה להגדיל רווחים זה יכול למכור את נתוני הסביבה של הבית שלך למפרסמים. קר מדי? מודעות אמזון לשמיכות. חם מדי? מודעת באנר למזגן. לח מדי? מסירי לחות בפייסבוק שלך."
IOS עדיין עומד בדאגות הללו. "הסיבה שה- IoT כל כך משכנעת ליצרנים אינה שהיא מוסיפה תכונות חכמות לחייך - זו רק תוצר לוואי, " הוא כתב לי. "יותר מכך בכך הם מקבלים תובנה חסרת תקדים לגבי השימוש במכשירים האלה, כמו באיזו תדירות, באילו תכונות אתה משתמש הכי הרבה, וכל הנתונים שמגיעים עם זה."
IOS אומר שחברות IoT צריכות להיות הרבה יותר אפקטיביות בנוגע למדיניות איסוף הנתונים שלהם, ומי יכול לגשת למידע שעשוי להיות אוסף על ידי מכשירים אלה. "השאלה שכולנו צריכים להחליט היא איזו רמת גישה אנו מוכנים לתת לחברות האלה בתמורה לנתונים שהם מקבלים - ומי שאנחנו סומכים על זה הוא המפתח."
ביום חג המולד בשנת 2016, IOS אפשרה לאורותיו להבהב בכל פעם שנזכר הידית שלו בטוויטר. התוצאות היו אינטנסיביות, אנטי-קלימטיות וקצרות, והמחישו אולי את כל מה שמתעורר IOS בנושא האינטרנט של הדברים.
אינטרנט של חוסר ביטחון
אולם גרוע בהרבה מההשפעה של מכשירי IoT חסרי תועלת על ארנקי הצרכנים, היא ההשפעה שיש להם על הביטחון האישי. הפחדים של IOS מפני שוק נתוני משתמשים שנאספים על ידי מכשירי IoT אינם מופרכים רחוק (איך אתה חושב שאפליקציות בחינם וחברות חדשות בחינם באינטרנט מרוויחות כסף?), ויש כבר איומים אחרים, ממשיים מאוד.
המשתתפים בכנס השחור כובע 2016 טופלו בקטעי צילום של חוקר האבטחה אייל רונן. בעזרת מחקריו הוא הצליח להשתלט על אורות פיליפס הו ממל"ט המרחף מחוץ לבניין משרדים. ההתקפה בולטת לא רק בגלל התוצאות הדרמטיות שלה והשימוש במזל"ט, אלא גם משום שהבניין היה ביתם של כמה חברות אבטחה ידועות.
רונן הסביר לי שהוא מנסה להפגין שמתקפה נגד קו ברמה העליונה של מכשירי IoT. "יש הרבה פריצות של IoT שמכוונות למכשירים נמוכים ללא אבטחה אמיתית. רצינו לבדוק את האבטחה של מוצר שאמור להיות בטוח, " אמר. הוא גם היה להוט לתקוף חברה ידועה והתיישב בפיליפס. רונן אמר שקשה היה יותר לפצח ממה שחשב בתחילה, אך הוא וצוותו מצאו וניצלו באג בתוכנת ה- ZigBee Light Link, פרוטוקול תקשורת של צד שלישי המשמש כמה חברות IoT ונחשבו למערכת בוגרת ומאובטחת.
רונן אמר כי "הוא משתמש בפרימיטיביות קריפטוגרפיות מתקדמות, ויש לו טענות ביטחוניות חזקות. "אבל בסוף, בזמן קצר יחסית עם חומרה בעלות נמוכה מאוד בשווי של 1, 000 דולר, הצלחנו לשבור את זה", אמר רונן.
סרטון הפיגוע של רונן (למעלה) מציג את אורות הבניין מהבהבים ברצף, בעקבות פקודותיו שנשלחו מרחוק דרך מל"ט מרחף. אם זה היה קורה לך, זה היה מעצבן - אולי לא מעצבן יותר מכל התרחישים שה- IOS מדגיש בחשבון הטוויטר שלו. אך אנשי אבטחה גורסים כי יש השלכות הרבה יותר גדולות על אבטחת IoT.
"בעבודה קודמת הראינו כיצד להשתמש באורות כדי לסנן נתונים מרשת מרוחקת באוויר ולגרום להתקפים אפילפטיים. בעבודה זו אנו מראים כיצד אנו יכולים להשתמש באורות כדי לתקוף את רשת החשמל ופקק ה- Wi-Fi, " אמר רונן. אני. "IoT נכנס לכל חלק בחיינו והביטחון בו יכול להשפיע על כל דבר, החל במכשור רפואי ועד מכוניות ובתים."
חוסר בתקנים
ההתקפה של רונן ניצלה את הקרבה, אך חוקר האבטחה הראשי, אלכסנדרו בלן בבית ביטפנדר, תיאר תקלות אבטחה רבות אחרות שנאפיות בכמה מכשירי IoT. סיסמאות עם קידוד קשיח הן בעייתיות במיוחד, כמו גם מכשירים המוגדרים כנגישים מהאינטרנט הפתוח.
זה היה השילוב הזה של נגישות לאינטרנט וסיסמאות פשוטות וברירת מחדל שגרמו להרס באוקטובר 2016, כאשר הבוטנט של מיראי לקח שירותים מרכזיים כמו נטפליקס והולו במצב לא מקוון, או שהפך אותם לאיטיים עד שהם לא היו שמישים. כמה שבועות לאחר מכן, גרסה של מיראי הגישה לאינטרנט בכל מדינת ליבריה.
זמן לא רב לאחר שהתפרסמו חדשות על מיראי, התבוננתי בתרחיש הזה והאשמתי את ענף ה- IoT בהתעלמות מההתרעות על אימות לקוי ונגישות מקוונת מיותרת. אבל באלאן לא היה מרחיק לכת כדי לכנות את הפגמים הללו ברורים. "צריכים לעשות הנדסת רוורס על הקושחה כדי לחלץ את האישורים האלה, אבל לעתים קרובות מאוד הם מוצאים אישורים עם קידוד קשה במכשירים. הסיבה לכך היא שבמקרים רבים, אין תקנים כשמדובר אבטחת IoT."
פגיעויות כאלו מתעוררות, העלה בלן את ההשערה, מכיוון שחברות IoT פועלות בעצמן, ללא סטנדרטים מקובלים או מומחיות אבטחה. "קל יותר לבנות את זה ככה. ואתה יכול להגיד שהם חותכים פינות, אבל הנושא העיקרי הוא שהם לא בודקים איך לבנות את זה בצורה נכונה בצורה בטוחה. הם רק מנסים לעשות את זה עובד בצורה תקינה."
אפילו כשחברות מפתחות תיקונים להתקפות כמו זו שגילה רונן, ישנם מכשירי IoT שלא יכולים להחיל עדכונים אוטומטיים. זה מאפשר את הצרכנים לאתר ולהחיל טלאים בעצמם, דבר שיכול להרתיע במיוחד במכשירים שאינם מיועדים לתיקון.
אבל אפילו עם מכשירים שניתן לעדכן בקלות, פגיעויות עדיין קיימות. כמה חוקרים הראו כי לא כל מפתחי IoT חותמים על עדכוניהם בחתימה קריפטוגרפית. תוכנה חתומה מוצפנת עם המחצית הפרטית של מפתח קריפטוגרפי אסימטרי בבעלות היזם. למכשירים המקבלים את העדכון יש את המחצית הציבורית של המפתח, המשמש לפענוח העדכון. זה מבטיח כי העדכון הוא רשמי ולא טופלו בו, שכן חתימה על עדכון זדוני או שינוי עדכון התוכנה הייתה מחייבת את המפתח הסודי של המפתח. "אם הם לא חותמים דיגיטלית על העדכונים שלהם, אפשר לחטוף אותם, להתמודד איתם; אפשר להזרים קוד לעדכונים האלה, " אמר בלן.
מעבר לאורות מהבהבים ופשוטים לסירוגין, באלאן אמר שמכשירי IoT נגועים יכולים לשמש כחלק מבוטנט, כפי שניתן לראות אצל מיראי, או למטרות מגוחכות בהרבה. "אני יכול לחלץ את אישורי ה- Wi-Fi שלך, מכיוון שברור שאתה מחברת אותו לרשת ה- Wi-Fi שלך והיותה תיבת לינוקס, אני יכול להשתמש בה כדי לסובב ולהתחיל לבצע התקפות ברשת האלחוטית שלך.
"במסגרת הפרטיות של רשת LAN משלך, מנגנוני האימות הם רפויים", המשיך באלאן. "הבעיה עם LAN היא שברגע שאעבור לרשת הפרטית שלך, אוכל לקבל גישה כמעט לכל מה שקורה שם." למעשה, IoT פגום הופך לראש חוף להתקפות על מכשירים חשובים יותר באותה רשת, כגון אחסון מצורף ברשת או מחשבים אישיים.
אולי זה אומר שתעשיית האבטחה החלה להתבונן מקרוב ב- IoT. במהלך השנים האחרונות נכנסו כמה מוצרים לשוק הטוענים להגן על מכשירי IoT מפני התקפה. ראיתי או קראתי על כמה מוצרים כאלה וסקרתי את ההצעה של Bitdefender. המכשיר נקרא תיבת Bitdefender, ומתחבר לרשת הקיימת ומספק הגנה אנטי-וירוסית לכל מכשיר ברשת שלך. זה אפילו בודק את המכשירים שלך לחולשות פוטנציאליות. Bitdefender תשיק השנה את הגרסה השנייה של מכשיר ה- Box שלה. נורטון תיכנס להצעה משלה (להלן), ותהיה בבדיקה של מנות עמוקות, בעוד ש- F-Secure הודיעה גם על התקן חומרה.
כאחד הראשונים ששווקו, Bitdefender נמצא בעמדה הייחודית של רקע בתחום אבטחת התוכנה - ואז מתכנן חומרה צרכנית אשר, ככל הנראה, תהיה מאובטחת ללא דופי. איך הייתה אותה חוויה? "זה היה קשה מאוד", ענה בלן.
ל- Bitdefender יש תוכנית לבניית באגים (תגמול כספי המוצע למתכנתים שחושפים ומספקים פיתרון לבאג באתר אינטרנט או באפליקציה), אותה אישר בלן סייע בפיתוח ה- Box. "אף חברה לא צריכה להיות יהירה מספיק כדי להאמין שהיא יכולה למצוא את כל הבאגים בכוחות עצמם. זו הסיבה לכך שקיימות תוכניות ראוות באגים, אבל האתגר בחומרה הוא שישנם דלתות אחוריות בתוך השבבים האמיתיים."
"אנחנו יודעים מה לחפש ומה להסתכל ולמעשה יש לנו צוות חומרה שיכול לפרק ולהביט בכל אחד מהרכיבים בלוח זה. למרבה המזל, הלוח הזה לא גדול כל כך."
זה לא הכל חרא
קל להנחות ענף שלם בהתבסס על השחקנים הגרועים ביותר שלו, וזה נכון גם לאינטרנט של הדברים. אולם ג'ורג 'ינני, ראש הטכנולוגיה, מערכות ביתיות, פיליפס תאורה מוצא השקפה זו מתסכלת במיוחד.
"התייחסנו ברצינות רבה מההתחלה. זו קטגוריה חדשה. עלינו לבנות אמון, ואלה למעשה פוגעים באמון. וזו גם הסיבה שאני חושבת שהבושה הגדולה ביותר של המוצרים שלא עשו עבודה כל כך טובה היא שזה שוחק את האמון בקטגוריה הכוללת. כל מוצר יכול להיעשות בצורה לא טובה. זו לא ביקורת על התעשייה הכוללת."
כפי שקורה לעיתים קרובות בביטחון, האופן בו חברה מגיבה לתקיפה היא לעתים קרובות חשובה יותר מההשפעות של הפיגוע עצמו. במקרה של מתקפת המזל"ט במכשירי פיליפס, ינאי הסביר שרונן הגיש את ממצאיו באמצעות תוכנית הגילוי האחראי הקיימת של החברה. אלה נהלים שנמצאים בכדי לאפשר לחברות זמן להגיב לגילוי של חוקר אבטחה לפני שהיא מתפרסמת. ככה, ניתן להבטיח צרכנים שהם בטוחים והחוקרים זוכים לתהילה.
רונן מצא באג בערימת תוכנה של צד שלישי, אמר ינאי. באופן ספציפי, זה היה החלק של תקן ZigBee שמגביל את התקשורת למכשירים בטווח של שני מטרים. כזכור, עבודתו של רונן הצליחה להשתלט מרחוק - 40 מטר משם עם אנטנה רגילה ו -100 מטר עם אנטנה מוגברת. הודות לתכנית הגילוי האחראית, יאני אמר כי פיליפס הצליחה להעלות טלאי אל האורות בשטח לפני שרונן סיפר לעולם על הפיגוע.
לאחר שראיתי חברות רבות מתמודדות עם הפרה של ביטחון פנים או כתוצאה מעבודתו של חוקר אבטחה, תגובת יני ופיליפס אולי נשמעת כמו טפיחה אחורית של עובדה - אך זו באמת הייתה הצלחה. "כל המוצרים שלנו ניתנים לעדכון תוכנה, כך שניתן יהיה לתקן דברים", אמר לי יאני. "הדבר האחר שאנחנו עושים הערכת סיכוני אבטחה, ביקורת אבטחה, בדיקת חדירה על כל המוצרים שלנו. אבל אז אנו גם מנהלים את תהליכי הגילוי האחראים האלה, כך שאם משהו אכן יעבור, נוכל לברר זאת מראש ולתקן זה מהר מאוד.
"יש לנו תהליך שלם בו אנו יכולים לדחוף עדכוני תוכנה מכל הענן למטה ולהפיץ אותו לכל האורות. זה סופר חשוב, מכיוון שהמרחב נע כל כך מהר ואלה מוצרים שיימשכו 15 שנה.. אם אנו הולכים לוודא שהם עדיין רלוונטיים מבחינת הפונקציונליות ולהיות בטוחים מספיק להתקפות האחרונות, עלינו לקבל את זה."
בהתכתבויותיו אתי אישר רונן כי פיליפס אכן ביצע עבודה ראויה להערכה באבטחת מערכת התאורה בגוון. "פיליפס השקיע מאמץ מפתיע באבטחת האורות", אמר לי רונן. "אך למרבה הצער, חלק מהנחות האבטחה הבסיסיות שהסתמכו על יישום אבטחת השבבים של אטמל, היו שגויות." כפי שציין באלן עם עבודתו של ביטפנדר על התיבה, כל היבט במכשיר ה- IoT נתון לתקיפה.
פיליפס עיצבה גם את הרכזת המרכזית - המכשיר הנדרש לתיאום רשתות של מוצרי IoT של פיליפס - כדי להיות נגיש מהאינטרנט הפתוח. "כל החיבורים לאינטרנט מופעלים מההתקן. אנחנו אף פעם לא פותחים יציאות בנתבים או הופכים את זה כך שמכשיר באינטרנט יוכל לדבר ישירות עם זה", הסביר יאני. במקום זאת, ה- Hub שולח בקשות לתשתית הענן של פיליפס, המגיבה לבקשה במקום להפך. זה גם מאפשר לפיליפס להוסיף שכבות נוספות כדי להגן על מכשירי הצרכנים מבלי שיצטרכו להיכנס לביתם ולבצע שינויים. "לא ניתן לתקשר איתם מחוץ לרכזת אלא אם כן אתה מועבר דרך הענן הזה, שם נוכל לבנות שכבות נוספות של אבטחה ופיקוח."
ינאי הסביר שכל זה היה חלק מגישה רב שכבתית שניקמה פיליפס לאבטחת מערכת התאורה בגוון. מכיוון שהמערכת מורכבת מכמה חלקים שונים - החל מהחומרה בתוך הנורות ועד לתוכנה והחומרה ב- Hue Hub ועד לאפליקציה בטלפונים של משתמשים - היה צורך לנקוט באמצעים שונים בכל הרמות. "כל אחד זקוק לאמצעי אבטחה שונים בכדי לשמור עליהם בבטחון. לכולם יש רמות שונות של סיכון ופגיעות. לכן אנו מבצעים אמצעים שונים לכל החלקים השונים האלה, " אמר יאני.
זה כלל בדיקות חדירה אך גם עיצוב מלמטה למעלה שנועד לסכל את התוקפים. ינאי, "אין סיסמאות גלובליות כמו מה שהיה בשימוש בבוטנט של מיראי". לתוכנה הזדונית של Mirai היו עשרות סיסמאות ברירת מחדל בהן הוא ישתמש בניסיון להשתלט על מכשירי IoT. "לכל אחד מהם יש מפתחות ייחודיים, חתומים באופן לא סימטרי לאימות הקושחה, כל הדברים האלה. מכשיר אחד שעבר שינויי החומרה שלו, אין שום סיכון גלובלי מכך, " הסביר.
זה תקף גם לערך של מכשירי IoT. "הרבה מהמוצרים האלה נוטים להיות קישוריות לצורך קישוריות, " אמר. "הצורך לבצע אוטומציה של כל מה שבבית שלך הוא לא בעיה שיש לצרכנים רבים, וזה קשה מאוד לסובב את הראש. אנו חושבים שמוצרים שעושים טוב הם אלה שמציעים ערך קל יותר להבנה לצרכנים."
האינטרנט של הדברים שלא ניתן לעמוד בפניו
הידיעה על הסיכונים הנוגעים ל- IoT, ואפילו הכרת קלות הדעת שלה, בהחלט לא הפריע לאנשים לקנות תאורה חכמה כמו פיליפס גוון, עוזרי בית מאזינים תמיד כמו Google Home או Amazon Echo, וכן, בקבוקי מים חכמים. אפילו מפעיל האינטרנט של חרא הוא מעריץ ענק של IoT.
"האירוניה האמיתית שמאחורי האינטרנט של חרא היא שאני פראייר למכשירים האלה", אמר IOS. "אני מאמן מוקדם ועובד בטכנולוגיה, אז הרבה זמן אני לא יכול לעמוד בפני הדברים האלה." IOS מפרט אורות מחוברים של פיליפס, תרמוסטט טאדו, גשש השינה של סנס, רמקולים חכמים, המצלמה הקנרית ותקעים מחוברים Wi-Fi בין שירותים ביתיים עתידניים.
"אני מודע לכך שהחשבון בטעות היה גדול בהרבה ממה שדמיינתי אי פעם, ואני אף פעם לא רוצה להרתיע אנשים מלהיכנס לטכנולוגיה - אני חושב שניסוי עם רעיונות מטומטמים זה כמה רעיונות גדולים יכולים להיוולד, וזה משהו שסימון גרץ לימד אותי קצת, "אמר IOS.
גירץ, רובוטיסט אבסורדי ו- YouTuber, הוא המיינד שמאחורי שיטי רובוטים. היצירות שלה כוללות מזל"ט שמעניק תספורות - או ליתר דיוק, לא מצליח - וכובע מסיבי שמניח משקפי שמש באופן דרמטי על פניה. חשוב על זה כמו רוב גולדברג עם מנה בריאה של ציניות בעמק הסיליקון.
האדם שעומד מאחורי IOS אכן מדווח כי הוא מנסה לרסן את האינסטינקטים המוקדמים שלו בימינו. "אני חושב שהרגע שהייתי צריך לעדכן את הקושחה של הנורות שלי כדי להפעיל אותם היה קצת מימוש עבורי…"
בלן של ביטדפנדר אמר שהוא משתמש בנורות שמשמשות כמתחזרי Wi-Fi. מכשירים אלה מרחיבים אור וגם Wi-Fi לכל פינה בביתו. אבל הם גם עמוסים ברבים מהפגיעויות שהוא גרר, כולל סיסמאות ברירת מחדל חלשות. בכל הנוגע ל- IoT, הוא נשאר ללא היכרות.
"זה כמו סקס", הוא אמר לי. "לא היית עושה את זה בלי קונדום. אנחנו אוהבים סקס, סקס זה מדהים, אנחנו לא נוותר על סקס רק בגלל שזה מסוכן. אבל אנחנו נשתמש בהגנה כשאנחנו עושים את זה." במקום לחלוף לפרנויה, הוא מאמין שצרכנים צריכים לסמוך על חברות אבטחה וחברים משכילים שיכולים לזהות את החברות שלוקחים את האבטחה ברצינות עם הנחות באגים וכלי עדכונים מאובטחים ותכופים.
והאם ההאקר של טייס המזל"ט רונן משתמש ב- IoT? "נכון לעכשיו, לא, " הוא אמר. "אני חושש מההשפעה על הפרטיות והביטחון שלי. והיתרונות לא מספיק גדולים לצרכים שלי."
אפילו סופרך הצנוע, שהתנגד לשיר הסירנה של גלאי עשן מדברים ואורות מתחלפים בצבע במשך שנים, החל להתפורר. לאחרונה, במאמץ לגדל את המשרד לחגים, מצאתי את עצמי מקים שלושה נורות חכמות נפרדות. התוצאה, הייתה בצורה מחרידה, יפה להפליא.
בינתיים, אור חדש של פיליפס גוון יושב בסל הקניות שלי באמזון. יום אחד בקרוב, אני לחץ על הכפתור.
