To elementer kombineret for at få denne artikel til at ske. Den første var, at oktober var Cybersikkerhedsbevidsthedsmåned. For det andet, smæk-dab i midten af måneden, den første trailer til den nye Skrige filmen faldt. Den indeholdt en scene, der gjorde os lidt bekymrede. Se om du kan få øje på det.
Indhold
- LOLwut?
- Vær på forkant med spillet
Skrig | Officiel trailer (2022-film)
Det er klart, vi taler om smartlåsescenen. Alle dine låse i dit hjem låses op, så du slår dine låse ud smartphone og lås dem igen, kun for at se dem alle låse op igen. Implikationen her er, at Mr. Scary Killer-personen har hacket sig ind på deres ofres smarte hjemmekonto og kan kontrollere alle enheder i hele hjemmet. Yikes.
Anbefalede videoer
Som en, der ikke bærer nøgler til sit hus på grund af alt det smarte låse, jeg blev lidt nervøs. Så jeg besluttede at tale med nogen om det. Jeg kontaktede John Shier, senior sikkerhedsrådgiver på Sophos hjem at tale om det. Han gav mig nogle gode nyheder og nogle dårlige nyheder. Jeg starter med de dårlige nyheder.
Ja, det er muligt. Den gode nyhed er, at det er ret svært at gøre, og de bedre nyheder er, at chancerne for at dette sker for dig er uendelige, medmindre du selvfølgelig også har nogen, der virkelig vil gøre dig skade. Men den ærlige sandhed er, at der er en god chance for, at nok af dine data er derude, som kunne gøre noget som dette muligt.
LOLwut?
Der er to ting, der tilsammen gør dette muligt: Social engineering og databrud. Hver for sig kan hver af disse få en angriber nok information til hack dit smarte hjem. Sammen bliver det endnu mere muligt. Men du er nødt til at forstå, når vi siger, det er muligt, vi må hurtigt advare det ved at sige, at det ikke er meget sandsynligt.
Hvis du accepterer filmens idé om, at der er en masse planlægning og overlæg der, så bliver dette meget nemmere, hvilket vil sige, at det er mere plausibelt. Faktum er, at databrud forekommer ofte og mennesker ofte genbruge e-mailadresser og adgangskoder for flere tjenester. Din adgangskode, der er afsløret fra XYZ-virksomheden (vi er ikke databrudsskam her) kan godt være det samme brugernavn og kodeord, som du bruger til dine smarte låse. Selvom adgangskoden er anderledes, er e-mail-adressen en vigtig information til andre måder at hacke dig ind på.
Før du spørger, nej, vi gør ikke dette til en "hack dig ind i dine venners og families hjem" tutorial. Men det er tilstrækkeligt at sige, at enhver information om dig, der er blevet afsløret ved et af disse databrud, får en potentiel forbryder en lille smule tættere på i sidste ende at få adgang til dine konti. Det kan ske via social ingeniørkunst eller ved at bruge data, der er afsløret i brud. Ingen af dem er trivielle. "Jeg tror, at når vi taler om IoT-sikkerhed generelt, er det nok nogle af de største risici, når det kommer til at få enhederne uden for din kontrol," forklarede Shier.
Social engineering er afhængig af tricks, som ærligt talt kan eller måske ikke virker. Hvis man beslutter sig for at gå denne vej, skal de være i en position, hvor de kan narre en bruger til at opgive legitimationsoplysninger. Det var på dette tidspunkt i min samtale med Shier, at jeg lærte nogle overraskende måder, hvorpå man nemt kan oprette et phishing-site til det formål. Igen, dette er ikke en tutorial, så jeg vil ikke gentage det her, men det er nok at sige, nogle gange er internettet bare sgu.
Den anden rute ville indebære at gennemsøge millioner af sæt legitimationsoplysninger og finde et mål, som afhængigt af bruddet muligvis ikke kan identificeres ved navn. Et mål kan have navnet John Doe, men deres e-mailadresse kunne være [email protected], og der er muligvis ingen måde at forbinde disse to meget uensartede oplysninger.
Sites som haveIbeenpwned.com kan fortælle dig, om din e-mailadresse har været en del af et databrud nogen steder, men de har også den omvendte effekt. En angriber kan få e-mail-adressen på et potentielt offer og bruge dette websted til at se, hvilke databrud de har været en del af. Derfra kan du downloade data fra brudene og prøve brugernavne og adgangskoder. Det vil sige, at der ikke er noget om, at en angriber får adgang til et potentielt offers e-mailadresse og blot sender nulstilling af adgangskode.
"Du er mere tilbøjelig til at blive tjent med penge end at blive forfulgt. [Kriminelle] er mere tilbøjelige til at ønske at få dine bankoplysninger og dine personlige oplysninger [for] identitetssvindel end for at rode rundt med dine lys og dine dørlåse," sagde Shier.
Pointen med alt dette er, at det er meget muligt, og dataene er derude for at gøre det, men sandsynligheden for, at det sker med en tilfældig person af en anden tilfældig hacker, er fjern. Der er meget arbejde, der skal gå til at bryde ind i nogens legitimationsoplysninger til deres smarte hjem. Men det er langt mere sandsynligt, at alle data, der går tabt under et databrud, vil blive brugt til indtægtsgenerering, uanset om det er at sælge dataene eller bruge dataene til identitetstyveri.
Det er utroligt usandsynligt, at slutresultatet af en hacker, der bryder ind i en virksomhed, bliver en scene fra en gyserfilm. Men jeg må nok indrømme, at det ikke er nul. Jeg skal også nævne, at identitetssvindel i sig selv er en scene fra en meget mere nørdet gyserfilm, men det er også ret forfærdeligt, hvis det sker for dig.
Vær på forkant med spillet
Når det er sagt, er der ting, du kan gøre for at hjælpe med at beskytte dine data og holde dit smarte hjem sikkert. Shier taler om identitetshygiejne, såsom at bruge forskellige e-mailadresser og adgangskoder fra alle websteder derude. Hvis dine data kommer ud, vil skaden være minimal. Ved at bruge en af bedste adgangskodeadministratorer er en god idé, ligesom det er at aktivere to-faktor-godkendelse, hvor det er muligt.
En anden ting, som Shier påpeger, var at være sikker på, at alle standardkonti eller adgangskoder, der kunne være leveret med din smarte hjemmeenhed, fjernes eller ændres. Nogle enheder leveres med en standard "admin/admin" som brugernavn og adgangskode, og nogle gange vil brugere oprette deres egen konto uden at fjerne standarden. På samme måde vil de oprette en ny adgangskode uden at have fjernet den indbyggede adgangskode. Hackere kan nemt finde ud af, hvad disse standardadgangskoder er og forsøge at hacke med disse oplysninger.
Hold dig til navnemærker. Off-brand og/eller mindre virksomheder har en tendens til at komme og gå og overvejer måske ikke at implementere softwareopdateringer så kritiske som nogle af de mere kendte og troværdige brands. Hvis du har en enhed, der ikke er blevet opdateret i et stykke tid, kan du overveje at kontakte kundesupport og finde ud af, hvad der sker med det. Softwareudvikling er en løbende proces.
Apropos det, så sørg for at holde dine smarte hjemmeenheder opdateret. Det er ikke en dårlig idé at tjekke for softwareopdateringer med jævne mellemrum. Sikkerhedssårbarheder kan dukke op fra tid til anden, og oftere end ikke bliver de hurtigt knust. Men det hjælper kun, hvis du rent faktisk downloader og installerer opdateringen.
Så den gode nyhed er, medmindre du har gjort nogen rigtig, rigtig sur, kan du fortsætte med at efterlade dine husnøgler derhjemme. Lad os være ærlige, hvis du har gjort dem så gale, ville en almindelig deadbolt sandsynligvis ikke være megen hjælp alligevel. Men dermed ikke sagt, at du helt kan svigte din vagt. Sørg for regelmæssigt at tjekke for opdateringer med din smart home-teknologi, brug adgangskodeadministratorer og 2FA, og vigtigst af alt, sig aldrig, aldrig, "Jeg kommer straks tilbage."
Redaktørens anbefalinger
- Den amerikanske regering vil lancere et nyt cybersikkerhedsprogram for smarte hjemmeenheder i 2024
- 6 smarte hjemmeenheder, der kan spare dig hundredvis om året
- Smarte hjem uden Wi-Fi: Enorme muligheder eller vejspærringer?
- Dette sydkoreanske smart home hack er endnu en grund til, at du bør sikre dit hjem
- Det sydkoreanske smart-hjem-hack er mareridtsstoffet
