Smart Fridge de Samsung acaba de ser patentado. ¿Qué tal el resto de su casa inteligente?

Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la firma de informática Pen Test Parters, con sede en el Reino Unido. La implementación de Samsung de encriptación SSL no verifica la validez de los certificados.

Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la firma de informática Pen Test Parters, con sede en el Reino Unido.  La implementación de Samsung de encriptación SSL no verifica la validez de los certificados.
Anuncio

$ 3599 es mucho dinero.

Podría conseguirte un auto de segunda mano decente, o un iMac relativamente engañado. Podría comprar hamburguesas 3599 McChicken, o 2589 McDoubles. O podría conseguirte el Samsung RF28HMELBSR.

Esta nevera (con nombre de forma) tiene todo. Tiene cuatro puertas, un colosal espacio de 28 pies cúbicos, y una pantalla táctil LCD integrada de 8 "con capacidad WiFi que le permite hacer cualquier cosa, desde leer las noticias, para controlar de forma remota su teléfono inteligente Android.

Si suena familiar, es porque alguna vez apareció en mi lista de los productos más tontos de Smart Home Frigoríficos Tweeting y arroceras controladas por Internet: 9 de los electrodomésticos más elegantes de Stupidest frigoríficos Tweing y arroceras controladas por Internet: 9 de la casa inteligente más estúpida Electrodomésticos Hay muchos dispositivos domésticos inteligentes que son dignos de su tiempo y dinero. pero también hay tipos que nunca deberían ver la luz del día. Aquí hay 9 de los peores. Lee mas . ¿Y mencioné que viene con una enorme vulnerabilidad de seguridad?

Refrigerador inteligente, error estúpido

Sí, a pesar de toda su sofisticación, este frigorífico viene con un importante fallo de seguridad que podría permitir que un atacante recopile subrepticiamente las credenciales de inicio de sesión de Gmail.

La vulnerabilidad fue reportada por primera vez en The Register el 24 de agosto, y descubierta por la firma de informática Pen Test Parters del Reino Unido mientras participaba en un desafío de pirateo de Internet of Things (IoT) en la reciente conferencia Defcon 23.

La pantalla táctil incorporada en este refrigerador permite al usuario acceder a su propio Calendario de Google. Las conexiones hacia y desde los servidores de Google están encriptadas usando cifrado SSL ¿Qué es un certificado SSL y lo necesita? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lea más, pero la implementación de SSL de Samsung no verifica la validez de los certificados.

RF28HMELBSR

Esto presenta un serio problema de seguridad, ya que cualquier persona en la red podría lanzar un "Hombre en el Medio". ¿Qué es un ataque Man-in-the-Middle? Jerga de Seguridad Explicada ¿Qué es un ataque Man-in-the-Middle? Explicación de jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. Leer más atacar e interceptar las credenciales de inicio de sesión del usuario en tránsito. Un atacante también podría obtenerlos falsificando un punto de acceso, o mediante un ataque de desauthentication inalámbrico.

Samsung ha dicho que están "investigando sobre este asunto lo más rápido posible", y presumiblemente están trabajando a toda máquina para emitir una solución. Pero este episodio presenta una demostración interesante de lo mal que la seguridad puede salir mal en Internet of Things.

(In) Seguridad en un mundo interconectado de cosas

En el pasado, hemos hablado extensamente sobre los riesgos planteados por el Internet de las cosas, tanto desde una privacidad. Por qué el Internet de las cosas es la mayor pesadilla de seguridad. Por qué el Internet de las cosas es la mayor pesadilla de seguridad. Un día, llegas a casa desde trabaje para descubrir que su sistema de seguridad doméstica habilitado en la nube ha sido violado. ¿Cómo pudo pasar esto? Con Internet of Things (IoT), podrías descubrirlo de la manera más difícil. Lea más y desde una perspectiva sociológica y de seguridad 7 Razones por las cuales el Internet de las cosas debería asustarle 7 Razones por las cuales el Internet de las cosas debería asustarlo Los beneficios potenciales del Internet de las cosas se vuelven brillantes, mientras que los peligros se arrojan a las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete aterradoras promesas del IoT. Lee mas . Abordarlos es difícil, porque cuando se trata de asegurar el Internet de las cosas, nos encontramos con algunos problemas.

En primer lugar, estos dispositivos no son PC o teléfonos, en el sentido de que son uniformemente fáciles de actualizar (Windows 10 incluso instalará actualizaciones en su nombre Cómo desactivar las actualizaciones automáticas de aplicaciones en Windows 10 Cómo desactivar las actualizaciones automáticas de aplicaciones en Windows 10 No se recomienda la desactivación de las actualizaciones del sistema. Sin embargo, si es necesario, así es como lo hace en Windows 10. Lea más), y los proveedores detrás de ellos están involucrados y lanzan regularmente actualizaciones de software y seguridad. Muchos productos inteligentes para el hogar no se "actualizan" por aire, ya sea que requieran el uso de paquetes de software complicados o no confiables, almacenamiento extraíble o simplemente que no le permitan actualizar el firmware en absoluto.

¿Cómo puede, por ejemplo, actualizar una cafetera interconectada o un termostato computarizado? No hay una manera fácil y universal de hacer eso.

También es importante abordar el hecho de que muchos de estos dispositivos ahora los construyen personas normales en sus propios hogares. Arduino y Raspberry Pi nos han permitido introducir la conectividad de red y la lógica computarizada en lugares que nunca hubiéramos creído posible, mientras que productos como Windows 10 de Windows para IoT Windows 10 - ¿Venir a un Arduino cercano a ti? Windows 10 - ¿Venir a un Arduino cerca de ti? Leer más ha hecho que sea más fácil exponer estos dispositivos a una Internet más amplia, al mismo tiempo que se abre un mundo de oportunidades y riesgos.

samsung-experimentationkit

Mientras que muchos desarrolladores experimentados saben cómo construir estos dispositivos de una manera segura, demasiados desarrolladores novatos y aficionados no.

Luego abordamos el problema de la longevidad. Una vez más, este problema es endémico únicamente para el mundo de Smart Home. Porque mientras su PC y su teléfono ejecutan un software creado por compañías con una larga historia y amplios bolsillos, la mayoría de sus dispositivos Smart Home no.

La abrumadora mayoría de estas empresas son startups de etapa temprana o tardía, muchas de ellas están en una etapa tentativa en su desarrollo. Si se apagan, ¿qué ocurre con los productos que ya han enviado? ¿Quién escribirá actualizaciones de software y parches de seguridad?

Como hemos escrito en el pasado, los inicios de hardware son difíciles Por qué las Startups de hardware son difíciles: hacer que ErgoDox cobre vida. Por qué las Startups de hardware son difíciles: darle vida a ErgoDox. Aquí hay una opinión controvertida para usted: iniciar un software es fácil. Hardware, por otro lado? Las startups de hardware son difíciles. Realmente difícil. Lee mas . Ya este año, hemos visto despidos significativos en Leeo y Wink, dos de las startups de Smart Home más grandes. Muchos más, como Lumos, no han logrado despegar del todo.

Pero quizás la mayor y más duradera amenaza para la seguridad de Smart Home e Internet of Things es simplemente que estos dispositivos están diseñados para durar más de lo que sus fabricantes preferirían. Los sistemas embebidos y los productos de Smart Home pueden funcionar, muy felizmente, durante años y años. Muchos de estos no funcionan en un servicio de suscripción.

¿Vamos a esperar que Nest y Philips ofrezcan actualizaciones mientras Microsoft sea compatible con Windows XP? Lo que significa Windows XPocalypse para ti Lo que Windows XPocalypse significa para ti Microsoft va a matar el soporte para Windows XP en abril de 2014. Esto tiene serias consecuencias para tanto empresas como consumidores. Esto es lo que debe saber si todavía está ejecutando Windows XP. Lee mas ?

Fuera de la LAN, en el fuego

Estos problemas de seguridad se ven exacerbados significativamente por el hecho de que muchos de estos dispositivos están conectados a una Internet más amplia y son accesibles a distancia, lo que introduce una mezcla heterogénea de problemas de seguridad.

Porque cuando conectas algo a Internet, entonces introduces un nuevo vector de ataque para quien esté tan motivado. En lugar de tener que conectarse a su red doméstica, alguien podría simplemente comprometerlo remotamente.

Es más fácil de lo que piensas, también. Incluso hay un motor de búsqueda para sistemas integrados, llamado Shodan. Con solo unas pocas teclas, puede encontrar sistemas que han estado expuestos a Internet en todo el mundo, desde plantas de energía en Japón, cámaras web en Holanda y teléfonos VoIP en Nueva York.

samsung-shodan-iot

Simplemente buscar "Web Cam" expone miles de webcams de acceso remoto. Sin embargo, no accedí a ninguno, ya que eso casi seguramente me obligaría a incumplir la Ley de uso indebido de computadoras de 1990. La Ley de uso indebido de computadoras: la ley que penaliza el pirateo en el Reino Unido. La Ley de uso indebido de computadoras: la ley que penaliza el pirateo en el Reino Unido. Reino Unido, la Ley de uso indebido de computadoras de 1990 se ocupa de los delitos de piratería informática. Esta legislación polémica se ha actualizado recientemente para otorgarle a la organización de inteligencia del Reino Unido, GCHQ, el derecho legal de hackear cualquier computadora. Incluso el tuyo. Lee mas .

samsung-shodan-webcam

Da miedo. Hemos comenzado a introducir nuestros hogares en Internet, y es muy fácil encontrarlos y lanzar ataques dirigidos contra ellos. Deberíamos estar preocupados.

¿Entonces, qué puede hacerse?

Las fallas de seguridad, como la que se encuentra en el refrigerador Android de Samsung, siempre estarán ahí. Siempre y cuando sea fácil para los proveedores emitir correcciones, y se actualicen constantemente a lo largo de la vida útil de los dispositivos, eso no es un gran problema.

Pero es importante que abordemos los otros problemas. Se deben realizar esfuerzos para garantizar que los desarrolladores de productos Smart Home y IoT sepan cómo desarrollar sistemas seguros. Esto podría lograrse mediante un mayor alcance con la comunidad de seguridad.

Hay una serie de precedentes para esto. El proyecto OWASP (Proyecto de seguridad de aplicaciones web abiertas) es uno que viene inmediatamente a la mente. Lanzado en 2004, ha producido material educativo gratuito que enseña a los desarrolladores a construir sitios web seguros y hackers cómo probar adecuadamente la seguridad de las aplicaciones web. .

owasp-presentación

No hay ninguna razón para que no se pueda crear algo similar para el mundo de los hogares inteligentes y para los desarrolladores de Internet of Things.

Además, debemos asegurarnos de que los sistemas Smart Home se actualicen y mantengan, incluso si los proveedores se retiran. Esto se puede hacer ordenando a todos que publiquen su código en un código de depósito de reserva, donde el código se libera si la empresa se declara en quiebra, o de lo contrario no mantiene el software de una manera que sea satisfactoria.

Y como consumidores, deberíamos comenzar a exigir más a los proveedores. Deberíamos exigir que los dispositivos que compramos sean compatibles con parches de seguridad durante la vida útil del producto. Deberíamos esperar que cualquier problema de seguridad se resuelva rápida y decisivamente. Deberíamos esperar que los proveedores traten las amenazas de seguridad con absoluta transparencia. Y no deberíamos patrocinar a los vendedores que no cumplan con ese estándar escaso.

Todos estos son cambios relativamente pequeños, pero no hay razón para pensar que no resulten en dispositivos Smart Home más seguros. Pero ¿qué piensas?

Si tiene alguna idea o tiene alguna historia de terror sobre la inseguridad de la IoT, quiero escuchar sobre ellos. Déjame saber en los comentarios a continuación, y chatearemos.

Créditos de las fotos: Arduino Experimentation Kit (Oomlout), IMG_5145 (JWalsh)

In this article