La nevera inteligente de Samsung acaba de ser lanzada. ¿Qué tal el resto de su casa inteligente?
$ 3599 es mucho dinero.
Podría conseguirte un auto de segunda mano decente, o un iMac relativamente engañado. Usted podría comprar 3599 hamburguesas McChicken, o 2589 McDoubles. O podría conseguirte el Samsung RF28HMELBSR.
Este refrigerador (de nombre fácil) lo tiene todo. Tiene cuatro puertas, un colosal 28 pies cúbicos de espacio, y un integrado, 8” Pantalla LCD táctil habilitada para WiFi que le permite hacer cualquier cosa, desde leer las noticias, para controlar de forma remota su teléfono inteligente Android.
Si suena familiar, se debe a que una vez se incluyó en mi lista de los productos más inteligentes de Smart Home de todos los tiempos: tuiteando frigoríficos y ollas arroceras controladas por la web: 9 de los electrodomésticos inteligentes más estupendos Tweeteando los frigoríficos y las ollas arroceras controladas por la web: 9 de la casa inteligente más estúpida Electrodomésticos Hay muchos dispositivos inteligentes para el hogar que son dignos de su tiempo y dinero. Pero también hay tipos que nunca deben ver la luz del día. Aquí hay 9 de los peores. Lee mas . ¿Y mencioné que se envía con una vulnerabilidad de seguridad enorme y enorme??
Nevera Inteligente, Error Estúpido
Sí, a pesar de toda su sofisticación, esta nevera se presentó con una importante falla de seguridad que podría hacer que un atacante cosechara a escondidas las credenciales de inicio de sesión de Gmail.
La vulnerabilidad se reportó por primera vez en The Register el 24 de agosto, y fue descubierta por la empresa de infoseción en el Reino Unido Pen Test Parters mientras participaba en un desafío de piratería de Internet de las cosas (IoT) en la reciente conferencia Defcon 23..
La pantalla táctil incorporada en este refrigerador le permite al usuario acceder a su propio Google Calendar. Las conexiones hacia y desde los servidores de Google están cifradas mediante cifrado SSL. ¿Qué es un certificado SSL y lo necesita? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lea más, pero la implementación de SSL de Samsung no comprueba la validez de los certificados.
Esto presenta un grave problema de seguridad, ya que cualquier persona en la red podría lanzar un “Hombre en el medio” ¿Qué es un ataque del hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lea más ataque e intercepte las credenciales de inicio de sesión del usuario en tránsito. Un atacante también podría obtenerlos falsificando un punto de acceso o mediante un ataque de autenticación remota..
Samsung ha dicho que son “investigando este asunto lo más rápido posible”, y se supone que están trabajando a toda máquina para emitir una solución. Pero este episodio presenta una demostración interesante de cuán gravemente puede salir mal la seguridad en el Internet de las cosas..
(In) Seguridad en un mundo de cosas en red
En el pasado, hemos hablado extensamente sobre los riesgos que presenta el Internet de las cosas, tanto desde la privacidad. Por qué el Internet de las cosas es la mayor pesadilla de seguridad Por qué el Internet de las cosas es la mayor pesadilla de seguridad Un día, llega a casa desde trabaje para descubrir que su sistema de seguridad residencial habilitado para la nube ha sido violado. ¿Cómo pudo pasar esto? Con Internet of Things (IoT), puedes descubrirlo de la manera más difícil. Lea más y desde una perspectiva sociológica y de seguridad 7 Razones por las que la Internet de las cosas debería asustarlo 7 Razones por las que la Internet de las cosas debería asustarle Los beneficios potenciales de la Internet de las cosas crecen, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete prometedoras promesas del IoT. Lee mas . Abordarlas es difícil, porque cuando se trata de proteger Internet de las cosas, nos encontramos con algunos problemas..
En primer lugar, estos dispositivos no son PC ni teléfonos, en el sentido de que son fáciles de actualizar (Windows 10 incluso instalará actualizaciones en su nombre Cómo desactivar actualizaciones automáticas de aplicaciones en Windows 10 Cómo desactivar actualizaciones automáticas de aplicaciones en Windows 10 No se recomienda desactivar las actualizaciones del sistema. Pero si es necesario, a continuación le indicamos cómo hacerlo en Windows 10. Lea más), y los proveedores que las respaldan están involucrados y lanzan periódicamente actualizaciones de software y seguridad. Muchos productos caseros inteligentes no lo hacen “actualizar” por aire, ya sea que requiera el uso de paquetes de software complicados o poco confiables, almacenamiento extraíble o simplemente que no le permita actualizar el firmware en absoluto.
¿Cómo, por ejemplo, actualiza una cafetera interconectada o un termostato computarizado? No hay una manera fácil y universal de hacer eso..
También es importante abordar el hecho de que muchos de estos dispositivos ahora son construidos por personas normales en sus propios hogares. Arduino y Raspberry Pi nos han permitido introducir la conectividad de red y la lógica computarizada en lugares que nunca creímos posibles, mientras que productos como el Windows 10 de Microsoft para IoT Windows 10, ¿vienen a un Arduino cerca de usted? Windows 10 - ¿Viene a un Arduino cerca de ti? Read More ha facilitado la exposición de estos dispositivos a la Internet más amplia, al mismo tiempo que abre un mundo de oportunidades y riesgos..
Si bien muchos desarrolladores experimentados saben cómo construir estos dispositivos de una manera segura, muchos desarrolladores novatos y aficionados no lo hacen..
Luego nos ocupamos del problema de la longevidad. Nuevamente, este problema es endémico del mundo de Smart Home. Porque mientras su PC y teléfono ejecutan un software que ha sido desarrollado por compañías con una larga historia y un gran bolsillo, la mayoría de sus dispositivos Smart Home no lo han hecho..
La gran mayoría de estas empresas están en una etapa inicial o tardía, muchas de ellas están en una etapa tentativa en su desarrollo. Si se cierran, ¿qué sucede con los productos que ya han enviado? ¿Quién escribirá actualizaciones de software y parches de seguridad??
Como hemos escrito en el pasado, las startups de hardware son difíciles Por qué las startups de hardware son difíciles: dar vida al ErgoDox Por qué las startups de hardware son difíciles: dar vida al ErgoDox Aquí hay una opinión controvertida para usted: lanzar un inicio de software es fácil. Hardware, por otro lado? Los arranques de hardware son difíciles. Realmente difícil. Lee mas . Ya en este año, hemos visto despidos significativos en Leeo y Wink, dos de las mayores empresas de inicio de Smart Home. Muchos más, como Lumos, no han podido despegar completamente..
Pero tal vez la amenaza más grande y más duradera para la seguridad de Smart Home e Internet of Things es simplemente que estos dispositivos están diseñados para durar más de lo que prefieren sus fabricantes. Los sistemas integrados y los productos de Smart Home pueden funcionar, de manera bastante feliz, durante años y años. Muchos de estos no funcionan en un servicio de suscripción..
¿Podemos esperar que Nest y Philips ofrezcan actualizaciones mientras Microsoft sea compatible con Windows XP? ¿Qué significa Windows XPocalypse para usted? ¿Qué significa “Windows XPocalypse” significa para usted? Microsoft matará el soporte para Windows XP en abril de 2014. Esto tiene graves consecuencias para Tanto las empresas como los consumidores. Esto es lo que debe saber si todavía está ejecutando Windows XP. Lee mas ?
Fuera de la LAN, en el fuego
Estos problemas de seguridad se ven exacerbados significativamente por el hecho de que muchos de estos dispositivos están conectados a Internet y son accesibles de forma remota, lo que introduce una amplia variedad de problemas de seguridad..
Porque cuando conectas algo a Internet, introduces un nuevo vector de ataque a quien esté tan motivado. En lugar de tener que conectarse a su red doméstica, alguien podría simplemente comprometerla de forma remota.
También es más fácil de lo que piensas. Incluso hay un motor de búsqueda para sistemas integrados, llamado Shodan. Con solo unas pocas pulsaciones, puede encontrar sistemas que han estado expuestos a Internet en todo el mundo, desde plantas de energía en Japón hasta cámaras web en Holanda y teléfonos VoIP en Nueva York..
Simplemente buscando “Cámara web” expone miles de cámaras web de acceso remoto. Sin embargo, no accedí a ninguno, ya que eso casi con toda seguridad me llevaría a infringir la Ley de uso indebido de computadoras de 1990. La Ley de uso indebido de computadoras: La Ley que tipifica como delito la piratería informática en el Reino Unido. La Ley de uso indebido de computadoras: La Ley que tipifica como delito la piratería informática en el Reino Unido. Reino Unido, la Ley de uso indebido de computadoras de 1990 trata los delitos de piratería Esta controvertida legislación se actualizó recientemente para otorgar a la organización de inteligencia del Reino Unido GCHQ el derecho legal de piratear cualquier computadora. Incluso el tuyo. Lee mas .
Da miedo. Comenzamos a presentar nuestros hogares a Internet, y es muy fácil encontrarlos y lanzar ataques dirigidos contra ellos. Deberiamos estar preocupados.
Entonces, qué puede hacerse?
Los defectos de seguridad, como el que se encuentra en el refrigerador Android de Samsung, siempre estarán ahí. Si los proveedores pueden realizar correcciones fácilmente y se actualizan constantemente a lo largo de la vida útil de los dispositivos, no es un gran problema..
Pero es importante que abordemos los otros temas. Se deben hacer esfuerzos para asegurar que los desarrolladores de productos Smart Home e IoT saben cómo desarrollar sistemas seguros. Esto podría lograrse mediante un mayor alcance con la comunidad de seguridad.
Hay una serie de precedentes para esto. El proyecto OWASP (Open Web Application Security) es uno que viene a la mente de inmediato. Lanzado en 2004, ha producido material educativo de libre acceso que enseña a los desarrolladores cómo crear sitios web seguros y hackers cómo probar correctamente la seguridad de las aplicaciones web..
No hay razón para que no se pueda crear algo similar para el mundo de la casa inteligente y para los desarrolladores de Internet de las cosas.
Además, debemos asegurarnos de que los sistemas de Smart Home se actualicen y se mantengan, incluso si los proveedores se retiran. Esto se puede hacer obligando a todos a que liberen su código en un depósito de código fuente, donde el código se libera si la empresa se declara en bancarrota, o si no mantiene el software de una manera satisfactoria..
Y como consumidores, deberíamos comenzar a exigir más a los proveedores. Debemos exigir que los dispositivos que compramos sean compatibles con parches de seguridad durante toda la vida útil del producto. Debemos esperar que cualquier problema de seguridad se resuelva de manera rápida y decisiva. Debemos esperar que los proveedores traten las amenazas de seguridad con absoluta transparencia. Y no deberíamos patrocinar a los vendedores que no cumplan con ese exiguo estándar.
Todos estos son cambios relativamente pequeños, pero no hay razón para pensar que no darían lugar a dispositivos Smart Home más seguros. Pero qué piensas?
Si tiene alguna idea, o tiene alguna historia de horror sobre la inseguridad de IoT, quiero escuchar acerca de ellos. Déjame saber en los comentarios a continuación, y charlaremos..
Créditos fotográficos: kit de experimentación Arduino (Oomlout), IMG_5145 (JWalsh)
Obtenga más información sobre: Seguridad en línea, Dispositivo inteligente.