Índice:
Vídeo: Tenho Internet mas meu PC não Conecta, Veja como Resolver! (Outubro 2024)
Se a indústria da Internet das Coisas (IoT) for a ordem dos Jedi, com sabres de luz Philips Hue e poderes Force "inteligentes" baseados em nuvem, a popular conta no Twitter Internet of Shit é um Sith Lord. Em um momento em que a indústria de tecnologia parece ansiosa para colocar um chip em tudo, as conseqüências sejam condenadas, a Internet of Shit coloca um nome no problema de novos eletrônicos inúteis e destaca que alguns desses produtos podem não ser tão benignos quanto pensamos.
A conta da Internet da Shit no Twitter se concentra no nicho e no popular. No caso de, digamos, pagar por uma refeição usando uma garrafa de água inteligente, ela questiona corretamente o utilitário. Ele destaca o absurdo de ter que esperar por necessidades fundamentais, como luz e calor, que não estão disponíveis depois que os produtos "inteligentes" recebem atualizações de firmware.
Eu sempre que um novo gadget sai pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 de janeiro de 2017
Como você pode imaginar, a Internet do Shit é capaz de eviscerar o setor que zomba com tanta eficácia porque esse setor está próximo do seu coração. "Aconteceu tão naturalmente", afirmou o IOS. "Eu costumava passar muito tempo no Kickstarter e via o surgimento da Internet das Coisas por lá. Parecia que todos os dias algum objeto mundano estava com um chip enfiado nele, mas ninguém - mesmo na mídia - estava sendo assim. crítico sobre isso. diria apenas coisas como 'Uau, finalmente podemos colocar a Internet em um guarda-chuva'."
O IOS se vê como um advogado do diabo ou uma consciência coletiva da cultura do consumidor. Para ele, a conta do Twitter é uma verificação de sanidade necessária ao otimismo falso do Vale do Silício. "Quando vamos longe demais, a pergunta importante que as pessoas de tecnologia tendem a esquecer é: quem realmente precisa disso? Um forno que não consegue cozinhar adequadamente sem a Internet? Por que as pessoas não estão projetando essas coisas melhor?"
Porém, mais do que um projeto ruim e reivindicações ilusórias de utilidade, a principal preocupação do IOS é a privacidade e, em última análise, a segurança pessoal: "No entanto, vejo a IoT como inerentemente arriscada. Não confio nessas empresas para não vazar meus dados ou não ser severamente hackeado no futuro ".
Em um post do Medium escrito no início da vida da conta no Twitter, o IOS disse que estava preocupado com o fato de as empresas começarem a procurar maneiras de monetizar dados coletados nas casas das pessoas. A partir dessa história: "Se a Nest quisesse aumentar os lucros, poderia vender os dados ambientais de sua casa para os anunciantes. Muito frio? Anúncios da Amazon para cobertores. Muito quente? Um banner para um ar condicionado. Muito úmido? Desumidificadores no seu Facebook".
O IOS ainda mantém essas preocupações. "A razão pela qual a IoT é tão atraente para os fabricantes não é que eles estão adicionando recursos inteligentes à sua vida - isso é apenas um subproduto", ele me escreveu. "É mais do que isso, pois eles obtêm informações sem precedentes sobre como esses dispositivos estão sendo usados, como com que frequência, quais recursos você mais utiliza e todos os dados que os acompanham".
O IOS diz que as empresas de IoT precisam ser muito mais abertas sobre suas políticas de coleta de dados e quem pode acessar as informações que podem ser coletadas por esses dispositivos. "A questão que todos precisamos decidir é qual o nível de acesso que estamos dispostos a dar a essas empresas em troca dos dados que obtêm - e em quem confiamos é fundamental".
No dia de Natal de 2016, o IOS permitia que suas luzes piscassem sempre que seu identificador fosse mencionado no Twitter. Os resultados foram intensos, anticlimáticos e breves, ilustrando talvez tudo o que o IOS detesta na Internet das Coisas.
Internet da insegurança
Muito pior do que o efeito que os dispositivos inúteis de IoT têm nas carteiras dos consumidores, porém, é o efeito que eles têm na segurança pessoal. O medo do IOS de um mercado para dados de usuários coletados por dispositivos da Internet das Coisas não é exagerado (como você acha que aplicativos gratuitos e empresas de notícias da Internet ganham dinheiro?), E já existem outras ameaças muito reais.
Os participantes da conferência Black Hat 2016 foram tratados com imagens do pesquisador de segurança Eyal Ronen. Usando sua pesquisa, ele conseguiu controlar as luzes da Philips Hue de um drone pairando do lado de fora de um prédio de escritórios. O ataque foi notável não apenas por seus resultados dramáticos e pelo uso de um drone, mas também porque o prédio abrigava várias empresas de segurança conhecidas.
Ronen me explicou que estava tentando demonstrar que era possível um ataque contra uma linha de primeira linha de dispositivos IoT. "Existem muitos hackers de IoT destinados a dispositivos de baixo custo que não têm segurança real. Queríamos testar a segurança de um produto que deveria ser seguro", afirmou ele. Ele também estava interessado em atacar uma empresa conhecida e se estabeleceu na Philips. Ronen disse que era mais difícil de decifrar do que ele pensava inicialmente, mas ele e sua equipe descobriram e exploraram um bug no software ZigBee Light Link, um protocolo de comunicação de terceiros usado por várias empresas de IoT e considerado um sistema maduro e seguro.
"Ele usa primitivas criptográficas avançadas e possui fortes reivindicações de segurança", disse Ronen. "Mas, no final, em um tempo relativamente curto, com hardware de baixo custo no valor de US $ 1.000, conseguimos quebrá-lo", disse Ronen.
O vídeo do ataque de Ronen (acima) mostra as luzes do prédio piscando em sequência, seguindo seus comandos enviados remotamente através de um drone pairando. Se isso acontecesse com você, seria irritante - talvez não mais irritante do que qualquer um dos cenários destacados pelo IOS em sua conta no Twitter. Mas os profissionais de segurança sustentam que há consequências muito maiores para a segurança da IoT.
"Em um trabalho anterior, mostramos como usar luzes para exfiltrar dados da rede com falta de ar e causar ataques epiléticos, e neste trabalho mostramos como podemos usar luzes para atacar a rede elétrica e bloquear o Wi-Fi", disse Ronen. mim. "A IoT está entrando em todas as partes de nossas vidas, e a segurança dela pode afetar tudo, desde dispositivos médicos a carros e casas".
Falta de padrões
O ataque de Ronen aproveitou a proximidade, mas o pesquisador-chefe de segurança Alexandru Balan, da Bitdefender, descreveu muitas outras falhas de segurança que ocorreram em alguns dispositivos de IoT. As senhas codificadas permanentemente, disse ele, são particularmente problemáticas, assim como os dispositivos configurados para serem acessíveis pela Internet aberta.
Foi essa combinação de acessibilidade à Internet e senhas padrão simples que causou estragos em outubro de 2016, quando a botnet Mirai levou grandes serviços como Netflix e Hulu para offline ou os tornou tão lentos que eram inutilizáveis. Algumas semanas depois, uma variante do Mirai limitou o acesso à Internet em todo o país da Libéria.
Pouco tempo depois que as notícias da Mirai surgiram, olhei para esse cenário e culpei o setor de IoT por ignorar os avisos sobre autenticação ruim e acessibilidade on-line desnecessária. Mas Balan não chegaria a ponto de chamar essas falhas de óbvias. "precisam fazer engenharia reversa no firmware para extrair essas credenciais, mas muitas vezes é o caso de encontrarem credenciais codificadas nos dispositivos. O motivo disso é que, em muitos casos, não há padrões quando se trata de Segurança da Internet das coisas ".
Vulnerabilidades como essas surgem, hipotetizadas Balan, porque as empresas de IoT operam por conta própria, sem padrões universalmente aceitos ou conhecimento de segurança. "É mais fácil construí-lo assim. E você pode dizer que eles estão cortando os cantos, mas o principal problema é que eles não estão estudando como construí-lo adequadamente de maneira segura. Eles estão apenas tentando fazê-lo trabalhe corretamente."
Mesmo quando as empresas desenvolvem correções para ataques como o que Ronen descobriu, alguns dispositivos de IoT não conseguem aplicar atualizações automáticas. Isso coloca o ônus dos consumidores em encontrar e aplicar as próprias correções, o que pode ser particularmente assustador em dispositivos que não devem ser reparados.
Mas mesmo com dispositivos que podem ser facilmente atualizados, ainda existem vulnerabilidades. Vários pesquisadores mostraram que nem todos os desenvolvedores de IoT assinam suas atualizações com uma assinatura criptográfica. O software assinado é criptografado com a metade privada de uma chave criptográfica assimétrica de propriedade do desenvolvedor. Os dispositivos que recebem a atualização possuem a metade pública da chave, usada para descriptografar a atualização. Isso garante que a atualização seja oficial e não tenha sido adulterada, pois a assinatura de uma atualização maliciosa ou a modificação da atualização de software exigiria a chave secreta do desenvolvedor. "Se eles não assinam digitalmente suas atualizações, podem ser invadidos, podem ser adulterados; código pode ser injetado nessas atualizações", disse Balan.
Além de simplesmente acender e apagar as luzes, Balan disse que os dispositivos IoT infectados podem ser usados como parte da botnet, como visto na Mirai, ou para propósitos muito mais insidiosos. "Posso extrair suas credenciais de Wi-Fi, porque você obviamente a conectou à sua rede Wi-Fi e, como é uma caixa do Linux, posso usá-la para girar e começar a lançar ataques na sua rede sem fio.
"Na privacidade da sua própria rede LAN, os mecanismos de autenticação são relaxados", continuou Balan. "O problema com a LAN é que, quando estou na sua rede privada, posso ter acesso a quase tudo o que está acontecendo lá". Com efeito, a IoT corrompida se torna uma cabeça de ponte para ataques a dispositivos mais valiosos na mesma rede, como armazenamento conectado à rede ou computadores pessoais.
Talvez esteja dizendo que o setor de segurança começou a olhar de perto a IoT. Nos últimos anos, vários produtos entraram no mercado alegando proteger dispositivos IoT de ataques. Eu já vi ou li sobre vários desses produtos e revi a oferta da Bitdefender. Chamado de Bitdefender Box, o dispositivo se conecta à sua rede existente e fornece proteção antivírus para todos os dispositivos da sua rede. Ele ainda investiga seus dispositivos em busca de possíveis pontos fracos. O Bitdefender lançará a segunda versão do seu dispositivo Box este ano. A Norton entrará em sua própria oferta (abaixo), com inspeção profunda de pacotes, enquanto a F-Secure também anunciou um dispositivo de hardware.
Como uma das primeiras a comercializar, a Bitdefender está na posição única de ter experiência em segurança de software - e então projetar hardware de consumidor que, presumivelmente, seria impecavelmente seguro. Como foi essa experiência? "Foi muito difícil", respondeu Balan.
O Bitdefender possui um programa de recompensas por bugs (uma recompensa monetária oferecida aos programadores que descobrem e fornecem uma solução para um bug em um site ou aplicativo), que Balan confirmou que ajudou no desenvolvimento do Box. "Nenhuma empresa deve ser arrogante o suficiente para acreditar que pode encontrar todos os bugs por conta própria. É por isso que existem programas de recompensas por bugs, mas o desafio com o hardware é que pode haver backdoors nos chips reais".
"Sabemos o que procurar e o que procurar, e na verdade temos uma equipe de hardware que pode desmontar e analisar cada um dos componentes dessa placa. Felizmente, essa placa não é tão grande".
Nem tudo é uma merda
É fácil descontar um setor inteiro com base em seus piores atores, e o mesmo se aplica à Internet das Coisas. George Yianni, chefe de tecnologia de sistemas domésticos da Philips Lighting, considera essa visão particularmente frustrante.
"Levamos muito a sério desde o início. Essa é uma nova categoria. Temos que criar confiança, e isso realmente prejudica a confiança. E é também por isso que acho que a maior vergonha dos produtos que não fizeram um bom trabalho é que erode a confiança na categoria geral. Qualquer produto pode ser mal fabricado. Não é uma crítica à indústria em geral ".
Como costuma ser o caso da segurança, a maneira como uma empresa responde a um ataque geralmente é mais importante do que os efeitos do próprio ataque. No caso do ataque de drones a dispositivos Philips, Yianni explicou que Ronen enviou suas descobertas através do programa de divulgação responsável da empresa. Esses procedimentos são implementados para permitir que as empresas tenham tempo para responder à descoberta de um pesquisador de segurança antes que ela seja tornada pública. Dessa forma, os consumidores podem ter certeza de que estão seguros e os pesquisadores obtêm a glória.
Ronen havia encontrado um bug em uma pilha de software de terceiros, disse Yianni. Especificamente, foi a parte do padrão ZigBee que limita a comunicação aos dispositivos em um raio de dois metros. O trabalho de Ronen, como você deve se lembrar, foi capaz de assumir o controle à distância - 40 metros com uma antena padrão e 100 metros com uma antena reforçada. Graças ao programa de divulgação responsável, Yianni disse que a Philips conseguiu lançar um adesivo nas luzes do campo antes de Ronen contar ao mundo sobre o ataque.
Tendo visto muitas empresas se depararem com uma violação de segurança pública ou o resultado do trabalho de um pesquisador de segurança, a resposta de Yianni e Philips pode parecer um tapinha após o fato - mas foi realmente um sucesso. "Todos os nossos produtos são atualizáveis por software, para que as coisas possam ser consertadas", disse-me Yianni. "A outra coisa que fazemos avaliação de risco de segurança, auditorias de segurança, testes de penetração em todos os nossos produtos. Mas também executamos esses processos de divulgação responsáveis, para que, se algo acontecer, possamos descobrir com antecedência e corrigir muito rapidamente.
"Temos todo um processo no qual podemos enviar atualizações de software de toda a nuvem para a distribuir para todas as luzes. Isso é super importante, porque o espaço está se movendo muito rápido e são produtos que durarão 15 anos E se quisermos garantir que eles ainda sejam relevantes em termos de funcionalidade e que sejam suficientemente seguros para os ataques mais recentes, precisamos disso."
Em sua correspondência comigo, Ronen confirmou que a Philips havia realmente feito um trabalho admirável ao proteger o sistema de iluminação Hue. "A Philips fez um esforço surpreendente para proteger as luzes", disse-me Ronen. "Mas, infelizmente, algumas das suposições básicas de segurança que dependiam da implementação de segurança de chip da Atmel estavam erradas". Como Balan apontou com o trabalho da Bitdefender na Caixa, todos os aspectos do dispositivo IoT estão sujeitos a ataque.
A Philips também projetou o Hub central - o dispositivo necessário para coordenar redes de produtos Philips IoT - para ser inacessível a partir da Internet aberta. "Todas as conexões à Internet são iniciadas a partir do dispositivo. Nós nunca abrimos portas nos roteadores ou fazemos isso para que um dispositivo na Internet possa conversar diretamente com o dispositivo", explicou Yianni. Em vez disso, o Hub envia solicitações à infraestrutura de nuvem da Philips, que responde à solicitação e não o contrário. Isso também permite que a Philips adicione camadas extras para proteger os dispositivos dos consumidores sem precisar entrar em casa e fazer alterações. "Não é possível que você seja comunicado de fora do Hub, a menos que você seja roteado por essa nuvem, onde podemos criar camadas adicionais de segurança e monitoramento".
Yianni explicou que tudo isso fazia parte de uma abordagem de várias camadas que a Philips adotou para proteger o sistema de iluminação Hue. Como o sistema é composto de várias partes diferentes - do hardware dentro das lâmpadas ao software e hardware no Hue Hub até o aplicativo nos telefones dos usuários - medidas diferentes tiveram que ser tomadas em todos os níveis. "Todos eles precisam de medidas de segurança diferentes para mantê-los seguros. Todos têm níveis diferentes de risco e vulnerabilidade. Portanto, fazemos medidas diferentes para todas essas partes diferentes", disse Yianni.
Isso incluiu testes de penetração, mas também um design de baixo para cima destinado a impedir invasores. "Não há senhas globais como as usadas nesta botnet Mirai", disse Yianni. O malware Mirai tinha dezenas de códigos de acesso padrão que seriam usados na tentativa de assumir o controle de dispositivos IoT. "Todos têm chaves únicas assinadas assimetricamente para verificar o firmware, tudo isso. Um dispositivo com seu hardware modificado, não há risco global disso", explicou.
Isso também se aplica ao valor dos dispositivos IoT. "Muitos desses produtos tendem a ser conectividade por uma questão de conectividade", disse ele. "A necessidade de automatizar tudo dentro de sua casa não é um problema que muitos consumidores têm, e isso é muito difícil de entender. Acreditamos que os produtos que se saem bem são aqueles que oferecem um valor mais fácil de entender para os consumidores".
A Internet irresistível das coisas
Conhecer os riscos sobre a IoT e até mesmo reconhecer sua frivolidade, certamente não impediu as pessoas de comprar iluminação inteligente, como a Philips Hue, assistentes domésticos sempre ouvindo, como o Google Home ou o Amazon Echo, e sim, garrafas de água inteligentes. Até o operador da Internet of Shit é um grande fã da IoT.
"A verdadeira ironia por trás da Internet de merda é que eu sou um otário por esses dispositivos", disse o IOS. "Sou um dos primeiros a adotar e trabalho com tecnologia, então muitas vezes não consigo resistir a essas coisas". O IOS lista as luzes conectadas da Philips, o termostato Tado, o rastreador de sono Sense, alto-falantes inteligentes, a câmera Canary e os plugues conectados por Wi-Fi entre suas comodidades domésticas futuristas.
"Estou ciente de que a conta ficou acidentalmente muito maior do que eu jamais imaginei, e nunca quero desencorajar as pessoas a entrarem em tecnologia - acho que experimentar experiências idiotas é como as grandes ideias podem nascer, o que é algo que Simone Giertz me ensinou um pouco ", disse IOS.
Giertz, um roboticista absurdo e YouTuber, é a mente por trás dos Shitty Robots. Suas criações incluem um drone que dá cortes de cabelo - ou melhor, falha - e um chapéu enorme que coloca óculos de sol dramaticamente em seu rosto. Pense nisso como Rube Goldberg com uma dose saudável de cinismo do Vale do Silício.
A pessoa por trás do IOS relata que ele está tentando controlar seus instintos de adoção nos dias de hoje. "Acho que o momento em que tive que atualizar o firmware das minhas lâmpadas para acendê-las foi um pouco para mim…"
Balan, da Bitdefender, disse que usa lâmpadas que funcionam como repetidores de Wi-Fi. Esses dispositivos estendem a luz e o Wi-Fi a todos os cantos de sua casa. Mas eles também estão carregados com muitas das vulnerabilidades que ele ridicularizou, incluindo senhas padrão fracas. No entanto, quando se trata da IoT, ele permanece destemido.
"É como sexo", ele me disse. "Você não faria isso sem camisinha. Nós gostamos de sexo, o sexo é incrível, não vamos desistir do sexo só porque é perigoso. Mas usaremos proteção quando o fizermos." Em vez de cair na paranóia, ele acredita que os consumidores devem confiar em empresas de segurança e amigos instruídos que possam identificar as empresas que levam a segurança a sério com recompensas de bugs e ferramentas de atualização frequentes e seguras.
E o hacker Ronen, piloto de drones, usa a Internet das coisas? "Atualmente não", disse ele. "Eu tenho medo do efeito que isso tem sobre minha privacidade e segurança. E os benefícios não são altos o suficiente para minhas necessidades".
Até seu humilde autor, que resistiu à música de sirene de detectores de fumaça e luzes que mudam de cor há anos, começou a desmoronar. Recentemente, em um esforço para melhorar o escritório durante as férias, me vi montando três luzes inteligentes separadas. O resultado foi assustadoramente bonito.
Enquanto isso, uma luz Philips Hue totalmente nova está no meu carrinho de compras da Amazon. Algum dia em breve, pressionarei o botão.
