Ključni izsledki
- V ponedeljek, 17. maja, ob 4.50 EDT, viri varnostnih kamer Eufy, ki so razkrili hrošča.
- Pripomočki za pametni dom in internet stvari ne dajejo prednosti varnosti.
- Zakonodaja lahko prisili prodajalce, da varnost svojih uporabnikov jemljejo resno.
Lastniki pametnih varnostnih kamer Eufy so se v začetku tega tedna zbudili v nočno moro v slogu Hollywooda, ko so zaradi vdora njihove domače kamere razkrili kogar koli v internetu. Kako smo lahko bolje zaščiteni?
Vršitev je povzročila posodobitev programske opreme, ki je bila odpravljena po eni uri. Toda v tem času je peščica uporabnikov Eufy opazila, da imajo dostop do virov kamer drugih uporabnikov v živo in tudi do posnetih videoposnetkov. Kršitev je omogočila tudi popoln dostop do računa, kar pomeni, da je lahko kdorkoli premikal in nagibal kamere neznancev, da bi si dobro ogledal svoje domove. To poudarja težave, ki so del vseh pripomočkov za pametni dom.
»Ker prinašamo več tehnologije v dom, bodo kibernetski kriminalci vedno bolj usmerjali svojo pozornost na te nove sisteme,« je za Lifewire po elektronski pošti povedal Ben Dynkin, soustanovitelj in izvršni direktor Atlas Cybersecurity. "Ta povečan nadzor s strani kriminalcev bo neizogibno povzročil naraščajoče število napadov in noben zakon ali predpis tega ne bo mogel preprečiti. Da bi rešili to težavo, moramo najti nove in inovativne načine za zaščito sistemov in odvračanje kriminalnih dejavnosti."
Nevarno po zasnovi
V izjavi, ki jo je za Lifewire posredoval proizvajalec Eufy Anker, je napako povzročila posodobitev programske opreme, ki je prizadela 712 uporabnikov in je bila odpravljena v manj kot dveh urah.
Osnovne težave pa ostajajo. Naprave interneta stvari, kot so razvrščeni ti pripomočki za pametni dom, niso zasnovane tako, da bi bile varne.
"Trenutno naprave interneta stvari pogosto niso zgrajene tako, da imajo v mislih varnost," je za Lifewire po e-pošti povedal Dan Tyrrell iz podjetja za testiranje penetracije Cob alt.io. Težava je v tem, da oblikovalce in prodajalce bolj zanimajo funkcije kot varnost.
»Trg IoT nenehno uvaja inovacije z novimi in uveljavljenimi podjetji, ki na trg prinašajo izdelke in rešitve z vrtoglavo hitrostjo,« pravi Dynkin. »To pomeni, da morajo podjetja, da bi uspela v vesolju, hitro inovirati in skušati premagati svoje konkurente, kar neizogibno pomeni, da bo varnost obravnavana kot sekundarni vidik in ne kot temeljno načelo izdelka. To vodi do vseprisotnih ranljivosti, ki jih je mogoče izkoristiti."
Zanimivo je, da ta kršitev ni prizadela ljudi, ki so svoje kamere Eufy povezali samo z uporabo Applovega HomeKit Secure Video, kar kaže, da je možen pristop, ki je na prvem mestu varnost.
Uredba
Te kršitve se ne bodo ustavile, dokler varnost ne postane vsaj tako pomembna kot funkcije, to pa se ne bo zgodilo, dokler nekdo ne prisili prodajalcev pametnih domov, da to jemljejo resno. Eden od odgovorov je vladna ureditev, kot jo imamo za varno hrano in poceni gostovanje v mobilnih telefonih v EU. Uredba bi prodajalcem vsilila minimalne standarde in jih kaznovala za kršitve.
"Uredba ni nujno najboljša rešitev pri zagotavljanju varnosti naprav IoT," pravi Tyrrell. "Namesto tega bi morali na ureditev gledati kot na korak v pravo smer. Opozoril bi, da biti skladen z regulativnim standardom ni isto kot biti varen, vendar je bolje kot nič."
Da bi rešili ta problem, moramo najti nove in inovativne načine za zaščito sistemov in odvračanje kriminalnih dejavnosti.
Drugi v celoti nasprotujejo regulaciji. Paul Engel, ustanovitelj The Constitution Study, povzema ta odnos.
"Zadnje, kar potrebujemo, je več vmešavanja vlade," je Engel povedal Lifewire po elektronski pošti. "Nekaj dragih tožb in izplačil zavarovanj bi ta podjetja spodbudilo k večji varnosti, kot bi lahko katera koli zakonodaja."
Na koncu večina zaščite potrošnikov izvira iz vladnih predpisov. In glede na zgodovinske trende je verjetno, da se bo Evropska unija prva lotila tega, vendar ZDA že imajo nekaj zakonov, na katerih lahko gradijo.
"Lahko bi razširili standarde, določene v Zakonu o izboljšanju kibernetske varnosti interneta stvari iz leta 2020 – ki trenutno zajema samo opremo, ki jo nabavljajo vladne agencije – na poslovne in potrošniške izdelke," je za Lifewire povedal Paul Bischoff, zagovornik zasebnosti pri Comparitechu. preko elektronske pošte. "To vključuje oddaljene in samodejne posodobitve strojne in programske opreme, upravljanje identitete in šifriranje."
Brez boljše varnosti se bodo stvari poslabšale.
Zaščitite se
Najlažji način, da se izognete vdorom v IoT je, da ne namestite pametnih domačih naprav. Toda če nujno potrebujete pametni zvonec ali varnostno kamero, lahko sprejmete nekaj varnostnih ukrepov. Najprej razmislite o napravah, ki ne uporabljajo interneta.
"Lahko bi se odločili za varnostno kamero, ki shranjuje videoposnetke v lokalni napravi namesto strežnika v oblaku," pravi Bischoff. "[In] naprave IoT lahko usmerite prek VPN-ja, nameščenega na vašem usmerjevalniku Wi-Fi, ki skrije vaš pravi naslov IP in lokacijo ter šifrira podatke med prenosom."
Ko v dom prinašamo več tehnologije, bodo kibernetski kriminalci vedno bolj usmerjali svojo pozornost na te nove sisteme.
Na koncu je najpomembnejše, da se spomnite, da je varnost vaših naprav vaša odgovornost.
»Potrošniki bi morali izvajati dobro kibernetsko higieno s svojimi napravami IoT,« pravi Tyrrell. "Kjer je mogoče, spremenite privzeta uporabniška imena in gesla. Na internet povežite samo potrebne naprave. Zavedajte se, da je vaša naloga kot lastnik naprave, da posodobite popravke, in to počnite redno. Končno ohranite ločeno lokalno omrežje v svojem domu za vse naprave interneta stvari, da zmanjšate vpliv kršitve ene od teh naprav."