目次:
ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (10月 2024)
モノのインターネット(IoT)業界がJediの注文であり、Philips Hueライトセーバーと「スマートな」クラウドベースのForceの場合、人気のあるTwitterアカウントInternet of Shitはシスロードです。 テクノロジー業界があらゆるものにチップを搭載することを切望しているとき、結果はとてつもないものであり、Internet of Shitは新しい役に立たない電子機器の問題に名前を付け、これらの製品のいくつかは私たちが考えているほど良性ではないかもしれないことを強調しています。
Internet of ShitのTwitterアカウントは、ニッチと人気に焦点を当てています。 たとえば、スマートウォーターボトルを使用して食事の代金を支払う場合、ユーティリティに当然疑問が生じます。 それは、「スマート」製品がファームウェアの更新を受け取った後に利用できない、光や熱などの基本的な必需品を待たなければならない不条理を強調しています。
新しいガジェットが出てくるたびに私pic.twitter.com/khHKAOcLbv
- Internet of Shit(@internetofshit)2017年1月23日
ご想像のとおり、たわごとのインターネットは、その業界がその中心に近いため、非常に効果的にモックしている業界を破壊することができます。 「それは自然に起こりました」とIOSは言いました。 「以前はKickstarterに多くの時間を費やし、そこでInternet of Thingsの台頭を目にしました。1日おきに、ある種の物体にチップが押し込まれているように見えましたが、誰も(メディアであっても) 「すごい、やっとインターネットを傘に収めることができる」と言うだけでしょう」
IOSは、自分を消費者文化に対する悪魔の擁護者または集団的良心のようなものと見なしています。 彼の目では、Twitterアカウントは、シリコンバレーの偽楽観的な実行に対する非常に必要な健全性チェックです。 「私たちが行き過ぎると、テクノロジーの人々が忘れがちな重要な質問は、誰が実際にこれを必要とするのか、インターネットなしでは適切に調理できないオーブンか、これらの物をより良く設計しないのはなぜですか?」
しかし、IOSの主な関心事は、デザインが貧弱で実用性が高いという主張よりも、プライバシーと最終的に個人のセキュリティの1つです。「IoTには本質的にリスクがあると考えています。これらの企業がデータを漏らさないかどうかは信用していません将来、ひどくハッキングされます。」
IOSは、Twitterアカウントの人生の初期に書かれた中規模の投稿で、企業が人々の家から収集したデータを収益化する方法を模索し始めることを心配していると述べました。 その物語から:「Nestが利益を増やしたいなら、あなたの家の環境データを広告主に売ることができます。寒すぎますか?毛布のAmazon広告。暑すぎますか?エアコンのバナー広告。湿度が高すぎますか?
IOSはまだこれらの懸念事項に対応しています。 「IoTがメーカーにとって非常に魅力的である理由は、彼らがあなたの生活にスマートな機能を追加しているからではなく、それは単なる副産物です」と彼は書いています。 「そうすることで、頻度、使用する機能、それに付属するすべてのデータなど、デバイスの使用方法に関する前例のない洞察が得られます。」
IOSによると、IoT企業はデータ収集ポリシーについてはるかに先行する必要があり、誰がこれらのデバイスによって収集される可能性のある情報にアクセスできるのか。 「私たち全員が決定する必要があるのは、取得したデータと引き換えにこれらの企業にどのレベルのアクセスを提供するか、そして誰がそれを信頼するかが重要です。」
2016年のクリスマスの日、IOSはハンドルがTwitterで言及されるたびにライトが点滅するようにしました。 その結果は、IOSがモノのインターネットに対して嫌悪感を抱いていることを示す、強烈で反気候的で簡潔なものでした。
不安定なインターネット
しかし、役に立たないIoTデバイスが消費者の財布に与える影響よりもはるかに悪いのは、個人のセキュリティに及ぼす影響です。 IoTデバイスによって収集されたユーザーデータのマーケットプレイスに対するIOSの懸念は、それほど高くはありません(無料のアプリや無料のインターネットニュース会社がお金を稼ぐとはどう思いますか)。また、他にも非常に現実的な脅威があります。
Black Hat 2016カンファレンスの参加者は、セキュリティ研究者のEyal Ronenからの映像を扱いました。 彼の研究を使用して、彼はオフィスビルの外でホバリングしている無人機からフィリップス色相ライトの制御をつかむことができました。 この攻撃は、その劇的な結果とドローンの使用だけでなく、有名なセキュリティ会社の本拠地でもあったため注目に値しました。
Ronenは、IoTデバイスの最上層のラインに対する攻撃が可能であることを実証しようとしていると説明しました。 「本当のセキュリティを持たないローエンドデバイスを狙ったIoTハックがたくさんあります。安全であると思われる製品のセキュリティをテストしたかったのです」と彼は言いました。 彼はまた、有名な会社を攻撃することに熱心で、フィリップスに落ち着きました。 Ronenは、当初考えていたよりもクラックするのは難しいと述べましたが、彼と彼のチームは、いくつかのIoT企業で使用され、成熟した安全なシステムと見なされているサードパーティの通信プロトコルであるZigBee Light Linkソフトウェアのバグを発見し、悪用しました。
「高度な暗号化プリミティブを使用し、強力なセキュリティ主張を持っています」とRonen氏は述べています。 「しかし、最終的には、1, 000ドル程度の非常に低コストのハードウェアで比較的短い時間で、それを破ることができました」とRonen氏は述べています。
Ronenの攻撃のビデオ(上記)は、ホバリングドローンを介してリモートから送信された彼のコマンドに従って、建物のライトが順番に点滅することを示しています。 もしこれがあなたに起こるとしたら、それは迷惑なことでしょう。おそらく、IOSが彼のTwitterアカウントで強調しているどのシナリオよりも迷惑ではないでしょう。 しかし、セキュリティの専門家は、IoTセキュリティにははるかに大きな影響があると主張しています。
「以前の作品では、ライトを使用してエアギャップネットワークからデータを抽出し、てんかん発作を引き起こす方法を示しました。この作品では、ライトを使用して送電網を攻撃し、Wi-Fiを妨害する方法を示しました」私。 「IoTは私たちの生活のあらゆる部分に浸透しており、そのセキュリティは医療機器から車や家庭に至るすべてに影響を与える可能性があります。」
標準の欠如
Ronenの攻撃は近接性を利用しましたが、Bitdefenderのセキュリティ研究主任であるAlexandru Balanは、一部のIoTデバイスに焼き付くその他の多くのセキュリティ障害について概説しました。 ハードコード化されたパスワードは、オープンインターネットからアクセスできるように構成されたデバイスと同様、特に問題があると彼は言いました。
2016年10月にMiraiボットネットがNetflixやHuluなどの主要なサービスをオフラインにしたり、使用できないほど遅くしたため、インターネットアクセスとシンプルなデフォルトパスワードの組み合わせが大混乱を引き起こしました。 数週間後、ミライの亜種がリベリア全土でインターネットアクセスを抑制しました。
みらいのニュースが壊れて間もなく、私はこのシナリオを見て、IoT業界が認証の悪さや不必要なオンラインアクセシビリティに関する警告を無視したことを非難しました。 しかし、バランはこれらの欠陥を明らかにするほどには行きません。 これらの認証情報を抽出するためにファームウェアでリバースエンジニアリングを行う必要がありますが、デバイスでハードコードされた認証情報を見つけることがよくあります。その理由は、多くの場合、標準化されていないことですIoTセキュリティ。」
このような脆弱性は、Balanを仮定して発生します。なぜなら、IoT企業は、広く受け入れられている標準やセキュリティの専門知識がなくても、独自に運営しているからです。 「このように構築する方が簡単です。そして、彼らは角を切っていると言えますが、主な問題は、安全な方法で適切に構築する方法を検討していないことです。正しく機能します。"
Ronenが発見したような攻撃に対する修正を企業が開発した場合でも、一部のIoTデバイスは自動更新を適用できません。 これにより、消費者はパッチ自体を見つけて適用する責任を負いますが、これはサービス対象外のデバイスでは特に困難な場合があります。
しかし、簡単に更新できるデバイスであっても、脆弱性は依然として存在します。 一部の研究者は、すべてのIoT開発者が更新を暗号署名で署名するわけではないことを示しています。 署名されたソフトウェアは、開発者が所有する非対称暗号鍵の秘密の半分で暗号化されます。 更新を受信するデバイスには公開の半分のキーがあり、更新の解読に使用されます。 これにより、更新プログラムが公式であり、改ざんされていないことが保証されます。悪意のある更新プログラムへの署名またはソフトウェア更新プログラムの変更には、開発者の秘密キーが必要になるためです。 「アップデートにデジタル署名しない場合、ハイジャックされたり、改ざんされたりする可能性があります。これらのアップデートにコードを挿入できます」とBalan氏は述べています。
明かりを単に点滅させるだけでなく、Baraiは、感染したIoTデバイスをボットネットの一部として、Miraiで見られるように、またははるかにsidな目的で使用できると述べました。 「Wi-Fi資格情報を抽出できます。明らかに、Wi-Fiネットワークに接続していて、Linuxボックスのようになっているので、ワイヤレスネットワーク内でピボットして攻撃を開始できます。
「独自のLANネットワークのプライバシーの範囲内で、認証メカニズムは緩いものです」とBalanは続けました。 「LANの問題は、私があなたのプライベートネットワークに入ったら、そこで起こっているほとんどすべてにアクセスできることです。」 実際、破損したIoTは、ネットワーク接続ストレージやパーソナルコンピューターなど、同じネットワーク上のより価値のあるデバイスに対する攻撃の前兆となります。
おそらく、セキュリティ業界がIoTに注目し始めていることを物語っています。 過去数年間で、IoTデバイスを攻撃から保護すると主張するいくつかの製品が市場に参入しました。 私はそのような製品のいくつかを見たり読んだりして、Bitdefenderの製品をレビューしました。 Bitdefender Boxと呼ばれるこのデバイスは、既存のネットワークに接続し、ネットワーク上のすべてのデバイスにウイルス対策保護を提供します。 潜在的な弱点についてもデバイスをプローブします。 Bitdefenderは今年、Boxデバイスの第2バージョンを発売します。 ノートンは独自のサービス(下記)を開始し、詳細なパケット検査を行いますが、F-Secureはハードウェアデバイスも発表しました。
市場に先駆けて開発された最初の製品の1つとして、Bitdefenderは、ソフトウェアセキュリティのバックグラウンドを持つというユニークな立場にあります。 その経験はどうでしたか? 「とても大変でした」とバランは答えました。
Bitdefenderには、バグバウンティプログラム(Webサイトまたはアプリケーションのバグを発見して解決策を提供するプログラマーに提供される金銭的報酬)があり、BalanがBoxの開発を支援したことを確認しました。 「すべてのバグを自分で見つけることができると信じるほど慢な会社はありません。これがバグ報奨金プログラムが存在する理由です。しかし、ハードウェアの課題は、実際のチップ内にバックドアがあることです。」
「私たちは何を探し、何を見るべきかを知っています。実際、そのボード上の各コンポーネントを分解して調べることができるハードウェアチームがあります。ありがたいことに、そのボードはそれほど大きくありません。」
それはすべてのたわごとではありません
最悪のアクターに基づいて業界全体を割り引くことは簡単であり、同じことがモノのインターネットにも当てはまります。 しかし、フィリップスライティングのホームシステムテクノロジーヘッドであるGeorge Yianni氏は、この見解が特に苛立たしいと感じています。
「私たちは最初から非常に真剣に考えていました。これは新しいカテゴリです。信頼を構築する必要があり、実際に信頼を傷つけます。それが、このような良い仕事をしていない製品の最大の恥はカテゴリ全体への信頼を損ないます。どんな製品もひどく作られる可能性があります。それは業界全体に対する批判ではありません。」
セキュリティの場合によくあることですが、攻撃に対する企業の対応は、攻撃自体の影響よりも重要な場合がよくあります。 フィリップスのデバイスに対するドローン攻撃の場合、Yianniは、Ronenが会社の既存の責任開示プログラムを通じて彼の調査結果を提出したと説明しました。 これらは、公開される前に企業がセキュリティ研究者の発見に対応する時間を与えるために設けられている手順です。 そうすれば、消費者は彼らが安全であり、研究者が栄光を得ることが保証されます。
Yonni氏によると、Ronenはサードパーティのソフトウェアスタックにバグを発見したという。 具体的には、2メートル以内のデバイスへの通信を制限するZigBee標準の一部でした。 覚えているように、Ronenの仕事は、標準アンテナで40メートル、ブーストアンテナで100メートルの距離から制御することができました。 責任ある開示プログラムのおかげで、Yianni氏は、フィリップスがフィールドのライトにパッチを展開してから、Ronenが攻撃について世界に語ったと述べました。
多くの企業が公共のセキュリティ侵害やセキュリティ研究者の仕事の結果に取り組んでいるのを見て、YianniとPhilipsの対応は事後バックパッティングのように聞こえるかもしれませんが、それは本当に成功でした。 「すべての製品はソフトウェアで更新できるため、問題を修正できます」とYianni氏は語りました。 「セキュリティリスク評価、セキュリティ監査、すべての製品の侵入テストを行っています。しかし、これらの責任ある開示プロセスも実行しているため、何か問題が発生した場合、事前に見つけて修正することができます。非常に迅速に。
「ソフトウェアの更新をクラウド全体からすべてのライトにプッシュして配布できるプロセス全体があります。スペースは非常に速く移動しており、これらは15年続く製品ですから、それは非常に重要です。そして、それらが機能性に関してまだ関連性があり、最新の攻撃に対して十分に安全であることを確認しようとするなら、それが必要です。」
私との通信で、Ronenは、PhilipsがHue照明システムを保護する見事な仕事を実際に行ったことを確認しました。 「フィリップスは、照明を保護するために驚くほどの努力をしました」と、ローネンは私に言いました。 「しかし、残念ながら、基礎となるAtmelのチップセキュリティ実装に依存する基本的なセキュリティの前提のいくつかは間違っていました。」 BalanがBitdefenderのBoxでの作業で指摘したように、IoTデバイスのあらゆる側面が攻撃の対象となります。
また、フィリップスは、フィリップスIoT製品のネットワークを調整するために必要なデバイスである中央ハブを、オープンインターネットからアクセスできないように設計しました。 「インターネットへのすべての接続はデバイスから開始されます。ルーターのポートを開いたり、インターネット上のデバイスが直接通信できるようにしたりすることはありません」とYianni氏は説明します。 代わりに、ハブはフィリップスのクラウドインフラストラクチャにリクエストを送信し、フィリップスのクラウドインフラストラクチャはリクエストを他の方法ではなくリクエストに応答します。 これにより、フィリップスは消費者のデバイスを保護するための追加のレイヤーを追加して、自宅にアクセスして変更を加える必要がなくなります。 「セキュリティと監視の追加レイヤーを構築できるこのクラウドを経由しない限り、ハブの外部から通信することはできません。」
Yianniは、これはすべてフィリップスがHue照明システムを保護するために採用した多層アプローチの一部であると説明しました。 システムは、電球内部のハードウェアからHue Hubのソフトウェアとハードウェア、ユーザーの電話内のアプリまで、いくつかの異なる部分で構成されているため、すべてのレベルで異なる対策を講じる必要がありました。 「それらのすべては、それらを安全に保つために異なるセキュリティ対策が必要です。それらはすべて異なるレベルのリスクと脆弱性を持っています。したがって、我々はこれらの異なる部分のすべてに対して異なる対策を行います」とYianniは言いました。
これには、侵入テストだけでなく、攻撃者を阻止するためのボトムアップ設計も含まれていました。 「このMiraiボットネットで使用されていたようなグローバルパスワードはありません」とYianni氏は述べています。 Miraiマルウェアには、IoTデバイスを乗っ取るために使用するデフォルトのパスコードが多数ありました。 「すべてに、ファームウェアを検証するための一意の非対称署名されたキーがあります。ハードウェアが変更された1つのデバイスで、グローバルなリスクはありません」と彼は説明した。
これは、IoTデバイスの価値にも当てはまります。 「これらの製品の多くは、接続性のために接続性を持つ傾向があります」と彼は言いました。 「家の中のすべてを自動化する必要性は、多くの消費者が抱えている問題ではありません。頭を悩ませるのは非常に困難です。うまく機能する製品は、消費者にわかりやすい価値を提供するものだと思います」
魅力的なモノのインターネット
IoTのリスクを知っていて、その軽薄さを認めたとしても、フィリップスHueなどのスマート照明、Google HomeやAmazon Echoなどのホームアシスタントを常に聴いている人々、そしてもちろんスマートウォーターボトルを購入することを人々が止めたわけではありません。 Internet of Shitの運営者でさえも、巨大なIoTファンです。
「たわごとのインターネットの本当の皮肉は、私がこれらのデバイスを吸っているということです」とIOSは言いました。 「私は初期の採用者であり、テクノロジーの仕事をしているため、多くの場合、これらのことに抵抗することはできません。」 IOSは、フィリップスの接続ライト、Tadoサーモスタット、Senseスリープトラッカー、スマートスピーカー、Canaryカメラ、Wi-Fi接続プラグを、彼の未来的なホームアメニティの中にリストしています。
「アカウントが予想以上に大きくなってしまったことは承知しており、人々がテクノロジーを使うことを思いとどまらせたくはありません。愚かなアイデアを試すことが、素晴らしいアイデアを生み出す方法だと思います。シモーネ・ギーツが私に少し教えてくれた」とIOSは言った。
不条理なロボット工学者でありYouTuberでもあるGiertzは、Shitty Robotsの背後にある心です。 彼女の作品には、散髪をする(または失敗する)ドローンと、顔にサングラスを劇的に配置する巨大な帽子が含まれています。 シリコンバレーのシニシズムを十分に備えたルーブ・ゴールドバーグと考えてください。
IOSの背後にいる人は、彼が最近の初期の本能を抑えようとしていると報告しています。 「電球のファームウェアを更新して電源を入れる必要があった瞬間は、少し気づいたことだと思います…」
BitdefenderのBalanは、Wi-Fiリピーターを兼ねる電球を使用すると述べました。 これらのデバイスは、光とWi-Fiの両方を自宅の隅々まで広げます。 ただし、脆弱なデフォルトパスワードなど、彼がheした多くの脆弱性もロードされています。 しかし、IoTに関しては、彼はdaしないままです。
「それはセックスのようなものです」と彼は私に言った。 「あなたはコンドームなしではそれをしないでしょう。私たちはセックスが好きです。セックスはすごいです。セックスが危険だからといってあきらめません。しかし、それをしているときは保護を使います。」 妄想に陥る代わりに、彼は消費者がセキュリティ企業に頼るべきであり、バグの報奨金と安全で頻繁な更新ツールでセキュリティを真剣に考えている企業を特定できる教育を受けた友人に頼るべきだと考えています。
そして、ドローン操縦ハッカーRonenはIoTを使用していますか? 「現在、いや」と彼は言った。 「自分のプライバシーとセキュリティに与える影響を恐れています。また、私のニーズに十分なメリットがありません。」
煙探知器の話や色を変える照明のサイレンの歌に長年抵抗してきた謙虚な著者でさえ、崩れ始めました。 最近、休日のためにオフィスを整える努力の中で、私は3つの別々のスマートライトを設置することに気づきました。 結果は、恐ろしく、魅力的に美しいものでした。
その間、真新しいPhilips Hueライトが私の買い物かごの中に座っています。 いつかすぐに、ボタンを押します。
