3599 $ c'est beaucoup d'argent.
Il pourrait vous obtenir une voiture d'occasion décent, ou un iMac relativement trompé. Vous pouvez acheter 3599 hamburgers McChicken ou 2589 McDoubles. Ou il pourrait vous obtenir le Samsung RF28HMELBSR.
Ce frigo (nommé d'un nom) a tout. Il a quatre portes, un espace colossal de 28 pieds cubes et un écran tactile LCD intégré de 8 "qui vous permet de faire n'importe quoi, lire les nouvelles, contrôler à distance votre smartphone Android.
Si cela vous semble familier, c'est parce qu'il a déjà figuré sur ma liste des produits Smart Home les plus stupéfiants de tous les temps: Réfrigérateurs Tweeting et cuiseurs à riz contrôlés par le Web: 9 Stupidest Smart Home Appliances Réfrigérateurs et cuiseurs à riz contrôlés Web: 9 Stupidest Smart Home Appareils ménagers Il y a beaucoup d'appareils ménagers intelligents qui sont dignes de votre temps et de votre argent. mais il y a aussi des sortes qui ne devraient jamais voir la lumière du jour. Voici 9 des pires. Lire la suite . Et ai-je mentionné qu'il est livré avec une vulnérabilité de sécurité massive et béante?
Réfrigérateur intelligent, erreur stupide
Oui, pour toute sa sophistication, ce réfrigérateur est livré avec une faille de sécurité significative qui pourrait potentiellement voir un attaquant récolter subrepticement les informations de connexion Gmail.
La vulnérabilité a été signalée pour la première fois dans The Register le 24 août et découverte par Pen Test Parters, une firme d'infosec basée au Royaume-Uni, lors d'une récente conférence Defcon 23 sur le hacking Internet of Things (IoT).
L'écran tactile intégré sur ce réfrigérateur permet à l'utilisateur d'accéder à leur propre calendrier Google. Les connexions vers et depuis les serveurs de Google sont cryptées à l'aide du cryptage SSL. Qu'est-ce qu'un certificat SSL, et en avez-vous besoin? Qu'est-ce qu'un certificat SSL, et avez-vous besoin d'un? La navigation sur Internet peut être effrayante lorsque des informations personnelles sont impliquées. Lire la suite, mais l'implémentation de SSL de Samsung ne vérifie pas la validité des certificats.
Cela présente un sérieux problème de sécurité, puisque n'importe qui sur le réseau serait capable de lancer un «Homme au Milieu». Qu'est-ce qu'un Attaque du Milieu du Milieu? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire plus attaque, et intercepter les informations de connexion de l'utilisateur en transit. Un attaquant pourrait également les obtenir en usurpant un point d'accès, ou par le biais d'une attaque de désauthentification sans fil.
Samsung a dit qu'ils «enquêtent sur cette affaire le plus rapidement possible», et travaillent probablement à fond pour résoudre ce problème. Mais cet épisode présente une démonstration intéressante de la façon dont la sécurité peut mal tourner sur l'Internet des objets.
(En) la sécurité dans un monde en réseau de choses
Dans le passé, nous avons longuement parlé des risques posés par l'Internet des Objets, à la fois d'une vie privée Pourquoi l'Internet des Objets est le plus grand cauchemar de sécurité Pourquoi l'Internet des Objets est le plus grand cauchemar de sécurité Un jour, vous rentrez chez vous Travaillez pour découvrir que votre système de sécurité à la maison activé dans le cloud a été violé. Comment cela pourrait-il arriver? Avec Internet of Things (IoT), vous pouvez découvrir à la dure. Lire la suite et d'un point de vue sécurité et sociologique 7 Raisons pour lesquelles l'Internet des objets devrait vous effrayer 7 Raisons pour lesquelles l'Internet des objets devrait vous faire peur Les avantages potentiels de l'Internet des objets deviennent brillants, tandis que les dangers se cachent. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IoT. Lire la suite . Il est difficile de les aborder, car lorsqu'il s'agit de sécuriser Internet, on se heurte à quelques problèmes.
Tout d'abord, ces appareils ne sont pas des PC ou des téléphones, dans la mesure où ils sont uniformément faciles à mettre à jour (Windows 10 installera même des mises à jour en votre nom) Comment désactiver les mises à jour automatiques des applications dans Windows 10 Désactiver les mises à jour du système n'est pas conseillé, mais si nécessaire, voici comment vous le faites sur Windows 10. Lisez la suite), et les fournisseurs qui les suivent sont impliqués et publient régulièrement des mises à jour de logiciels et de sécurité. De nombreux produits de maison intelligente ne «mettent pas à jour» par radio, vous obligeant à utiliser des progiciels compliqués ou non fiables, un stockage amovible ou tout simplement ne vous permettant pas de mettre à jour le micrologiciel.
Comment, par exemple, mettre à jour une cafetière interconnectée ou un thermostat informatisé? Il n'y a pas de moyen facile et universel de le faire.
Il est également important de tenir compte du fait que bon nombre de ces appareils sont maintenant construits par des gens ordinaires dans leur propre maison. Arduino et Raspberry Pi nous ont permis d'introduire la connectivité réseau et la logique informatisée dans des endroits que nous n'aurions jamais cru possible, alors que des produits comme Windows 10 de Microsoft pour IoT Windows 10 - Venir à un Arduino près de chez vous? Windows 10 - Venir à un Arduino près de chez vous? Read More a facilité l'exposition de ces appareils à Internet, ouvrant simultanément un monde d'opportunités et de risques.
Alors que de nombreux développeurs chevronnés savent comment construire ces appareils de manière sécurisée, beaucoup trop de développeurs novices et amateurs ne le font pas.
Nous abordons ensuite le problème de la longévité. Encore une fois, ce problème est unique au monde Smart Home. Parce que pendant que votre PC et votre téléphone exécutent un logiciel conçu par des entreprises ayant de longs antécédents et des poches profondes, la plupart de vos appareils Smart Home n'en ont pas.
La très grande majorité de ces entreprises sont des startups de stade précoce à avancé, dont beaucoup sont à un stade préliminaire de leur développement. S'ils s'arrêtent, qu'arrive-t-il aux produits qu'ils ont déjà expédiés? Qui va écrire des mises à jour logicielles et des correctifs de sécurité?
Pourquoi les startups matérielles sont-elles dures? Pourquoi les startups matérielles sont-elles dures? Pourquoi les startups matérielles sont-elles dures: donner vie à ErgoDox Voici une opinion controversée pour vous: lancer un démarrage logiciel est facile. Matériel, d'autre part? Les démarrages matériels sont difficiles. Vraiment dur. Lire la suite . Déjà cette année, nous avons constaté d'importantes mises à pied chez Leeo et Wink, deux des plus importantes startups de Smart Home. Beaucoup d'autres - comme Lumos - n'ont pas réussi à décoller complètement.
Mais la menace la plus grande et la plus durable pour la sécurité de Smart Home et Internet of Things est peut-être simplement que ces appareils sont construits pour durer plus longtemps que leurs fabricants ne le souhaiteraient. Les systèmes embarqués et les produits Smart Home peuvent fonctionner, heureusement, pendant des années et des années. Beaucoup d'entre eux ne fonctionnent pas sur un service d'abonnement.
Devons-nous nous attendre à ce que Nest et Philips offrent des mises à jour aussi longtemps que Microsoft prend en charge Windows XP Qu'est-ce que Windows XPocalypse signifie pour Microsoft Windows XPocalypse Microsoft va tuer le support de Windows XP en avril 2014. Cela a de graves conséquences pour les entreprises et les consommateurs. Voici ce que vous devez savoir si vous utilisez Windows XP. Lire la suite ?
Hors du LAN, dans le feu
Ces problèmes de sécurité sont considérablement exacerbés par le fait que beaucoup de ces appareils sont connectés à l'Internet plus large et accessibles à distance, introduisant ainsi un assortiment de problèmes de sécurité.
Parce que lorsque vous connectez quelque chose à Internet, vous présentez un nouveau vecteur d'attaque à quiconque est aussi motivé. Au lieu d'avoir à se connecter à votre réseau domestique, quelqu'un pourrait tout simplement le compromettre à distance.
C'est plus facile que vous ne le pensez. Il y a même un moteur de recherche pour les systèmes embarqués, appelé Shodan. Avec seulement quelques frappes, vous pouvez trouver des systèmes qui ont été exposés à Internet dans le monde entier - des centrales électriques au Japon, aux webcams en Hollande, et les téléphones VoIP à New York.
La simple recherche de "Web Cam" expose des milliers de webcams accessibles à distance. Je n'en ai cependant pas eu, car cela me conduirait presque certainement à enfreindre la loi de 1990 sur l'utilisation abusive des ordinateurs: la loi qui criminalise le piratage au Royaume-Uni. La loi sur l'utilisation abusive des ordinateurs: la loi criminalisant le piratage au Royaume-Uni. Au Royaume-Uni, la Computer Misuse Act de 1990 traite des crimes de piratage. Cette législation controversée a été récemment mise à jour pour donner à l'organisation du renseignement britannique GCHQ le droit légal de pirater n'importe quel ordinateur. Même le vôtre. Lire la suite .
C'est effrayant. Nous avons commencé à présenter nos maisons à Internet, et il est trivialement facile de les trouver, et de lancer des attaques ciblées sur eux. Nous devrions être concernés.
Alors qu'est ce qui peut être fait?
Les failles de sécurité, comme celle du réfrigérateur Android de Samsung, seront toujours là. Tant qu'il est facile pour les fournisseurs d'émettre des correctifs, et qu'ils sont constamment mis à jour tout au long de la durée de vie des périphériques, ce n'est pas trop un problème.
Mais il est important que nous abordions les autres problèmes. Des efforts doivent être faits pour s'assurer que les développeurs de produits Smart Home et IoT savent comment développer des systèmes sécurisés. Cela pourrait être accompli par une plus grande sensibilisation avec la communauté de la sécurité.
Il y a un certain nombre de précédents pour cela. Le projet OWASP (Open Web Application Security Project) en est un qui vient immédiatement à l'esprit. Lancé en 2004, il a produit du matériel éducatif gratuit qui enseigne aux développeurs comment construire des sites Web sécurisés et comment les hackers testent correctement la sécurité des applications Web. .
Il n'y a aucune raison que quelque chose de similaire ne puisse pas être créé pour le monde de la maison intelligente, et pour les développeurs de l'Internet des Objets.
De plus, nous devons nous assurer que les systèmes Smart Home sont mis à jour et maintenus, même si les fournisseurs se replient. Cela peut être fait en exigeant que tout le monde libère son code dans un dépôt de code source, où le code est libéré si l'entreprise fait faillite, ou ne parvient pas à maintenir le logiciel d'une manière satisfaisante.
Et en tant que consommateurs, nous devrions commencer à exiger davantage des fournisseurs. Nous devrions exiger que les appareils que nous achetons soient supportés avec des correctifs de sécurité pour la durée de vie du produit. Nous devrions nous attendre à ce que tous les problèmes de sécurité soient résolus rapidement et de manière décisive. Nous devrions nous attendre à ce que les fournisseurs traitent les menaces de sécurité avec une transparence absolue. Et nous ne devrions pas fréquenter les vendeurs qui ne répondent pas à cette norme maigre.
Ce sont tous des changements relativement mineurs, mais il n'y a aucune raison de penser qu'ils n'aboutiraient pas à des dispositifs Smart Home plus sécurisés. Mais qu'est ce que tu penses?
Si vous avez des idées, ou avez des histoires d'horreur de l'insécurité de l'IoT, je veux en entendre parler. Faites-moi savoir dans les commentaires ci-dessous, et nous allons discuter.
Crédits photo: Kit d'expérimentation Arduino (Oomlout), IMG_5145 (JWalsh)