Két elem kombinációjával készült ez a cikk. Az első az október volt A kiberbiztonsági tudatosság hónapja. Másodszor, a hónap közepén, az új első előzetese Sikoly film leesett. Olyan jelenetet tartalmazott, amely egy kicsit aggodalomra ad okot. Hátha észreveszi.
Tartalom
- Haha Mi?
- Maradjon a játék előtt
Scream | Hivatalos előzetes (2022-es film)
Nyilvánvalóan az intelligens zárak színteréről beszélünk. Otthonában minden zár kinyílik, így kinyílik okostelefon és zárja vissza őket, hogy újra lássa, hogy mindegyik feloldódik. Ebből az következik, hogy Mr. Scary Killer személy feltörte áldozata intelligens otthoni fiókját, és vezérelheti az otthon összes eszközét. Igen.
Ajánlott videók
Mint aki nem viszi magával a háza kulcsait minden miatt intelligens zárak, kicsit ideges lettem. Ezért úgy döntöttem, hogy beszélek valakivel erről. Megkerestem John Shier-t, a cég vezető biztonsági tanácsadóját Sophos Home beszélni róla. Jó és rossz hírekkel is szolgált. A rossz hírrel kezdem.
Igen, ez lehetséges. A jó hír az, hogy ezt meglehetősen nehéz megtenni, és a jobb hír az, hogy végtelenül kicsi az esélye, hogy ez megtörténjen veled, kivéve, ha természetesen van valakid, aki valóban ártani akar neked. De az őszinte igazság az, hogy jó esély van arra, hogy elegendő adata van kint, ami lehetővé teheti az ilyesmit.
Haha Mi?
Két dolog együttesen teszi ezt lehetővé: a szociális manipuláció és az adatszivárgás. Külön-külön ezek bármelyike elegendő információhoz juthat a támadó számára feltörni okosotthonát. Együtt ez még inkább lehetségessé válik. De meg kell értened, ha ezt mondjuk lehetséges, gyorsan figyelmeztetnünk kell, mondván, hogy nem nagyon valószínűleg.
Ha elfogadod a film gondolatát, hogy sok a tervezés és az előre megfontoltság, akkor ez sokkal könnyebbé válik, vagyis hihetőbb. Az a tény, hogy az adatszivárgás gyakran történik, és gyakran az emberek használja újra az e-mail címeket és jelszavakat több szolgáltatáshoz. Az XYZ cégtől nyilvánosságra hozott jelszava (itt nem szégyenlősködünk az adatszivárgás miatt) lehet, hogy ugyanaz a felhasználónév és jelszó, mint amit az intelligens zárakhoz használ. Még ha a jelszó eltérő is, az e-mail-cím kulcsfontosságú információ a behatolás egyéb módjairól.
Mielőtt megkérdezné, nem, nem tesszük ezt a „hackeld be a barátaid és a családod otthonába” oktatóanyagot. De elég annyit mondanunk, hogy minden Önről szóló információ, amely az adatvédelmi incidensek egyike során napvilágra került, egy kicsit közelebb viszi a potenciális jogsértőt ahhoz, hogy végül hozzáférjen a fiókjaihoz. Ez történhet keresztül szociális tervezés vagy a jogsértések során feltárt adatok felhasználásával. Egyik sem triviális. „Azt hiszem, ha az IoT biztonságáról beszélünk, akkor valószínűleg ezek jelentik a legnagyobb kockázatokat, ha az eszközök kiesnek az irányításunk alól” – magyarázta Shier.
A társadalmi tervezés trükkökre támaszkodik, ami őszintén szólva működhet, de lehet, hogy nem. Ha valaki úgy dönt, hogy ezt az utat választja, olyan helyzetben kell lennie, hogy be tudja téveszteni a felhasználót a hitelesítési adatok feladásával. Ezen a ponton a Shierrel folytatott beszélgetésem során megtudtam néhány meglepő módot, amelyek segítségével könnyen létrehozhatunk adathalász oldalt erre a célra. Ismétlem, ez nem egy oktatóanyag, ezért nem ismétlem meg itt, de elég annyit mondanom, hogy néha az internet szívás.
A másik út a hitelesítő adatok millióinak átvizsgálása és egy célpont megtalálása lenne, amely a jogsértéstől függően előfordulhat, hogy név szerint nem azonosítható. Lehet, hogy egy célpont neve John Doe, de az e-mail címük lehet [email protected], és előfordulhat, hogy nem lehet társítani ezt a két nagyon eltérő információt.
Olyan oldalak, mint haveIbeenpwned.com értesíthetik, ha az Ön e-mail címe valahol adatvédelmi incidens része volt, de ennek fordított hatása is van. A támadó megszerezheti egy potenciális áldozat e-mail-címét, és ezen a webhelyen megtudhatja, milyen adatvédelmi incidensnek volt része. Innen letöltheti a jogsértések adatait, és kipróbálhatja a felhasználóneveket és jelszavakat. Ez azt jelenti, hogy egy támadó hozzáfér a potenciális áldozat e-mail címéhez, és csak jelszó-visszaállítást küld.
„Valószínűbb, hogy bevételt szereznek, mintsem üldöznek. A [bûnözõk] nagyobb eséllyel akarják majd megszerezni a banki hitelesítési adataidat és személyes adataidat [azonosság-csalás miatt], mintsem azért, hogy a lámpáiddal és az ajtózáraiddal vacakoljanak” – mondta Shier.
Mindennek az a lényege, hogy ez nagyon is lehetséges, és az adatok rendelkezésre állnak, de kicsi annak a valószínűsége, hogy egy véletlenszerű emberrel egy másik véletlenszerű hacker megtörténjen. Rengeteg munka van annak érdekében, hogy valakinek az okosotthonához való jogosítványait feltörjék. De sokkal valószínűbb, hogy az adatszivárgás során elveszett adatokat bevételszerzésre használják fel, akár eladják az adatokat, akár személyazonosság-lopásra használják fel azokat.
Hihetetlenül valószínűtlen, hogy egy cégbe betörő hacker végeredménye egy horrorfilm jelenete lesz. De azt hiszem, el kell ismernem, hogy ez nem nulla. Azt is meg kell említenem, hogy a személyazonosság-csalás maga is egy jelenet egy sokkal durvább horrorfilmből, de az is elég szörnyű, ha veled történik meg.
Maradjon a játék előtt
Ennek ellenére vannak olyan dolgok, amelyekkel megvédheti adatait és megőrizheti okosotthona biztonságát. Shier az identitáshigiéniáról beszél, mint például a különböző e-mail címek és jelszavak használata minden webhelyről. Ha az adatok kikerülnek, a kár minimális lesz. Az egyik segítségével legjobb jelszókezelők nagyszerű ötlet, ahogyan lehetőség szerint lehetővé teszi a kéttényezős hitelesítést.
Egy másik dolog, amire Shier felhívta a figyelmet, az volt, hogy megbizonyosodjon arról, hogy az okosotthoni eszközhöz esetleg mellékelt alapértelmezett fiókokat vagy jelszavakat eltávolítják vagy módosítják. Egyes eszközöket alapértelmezett „admin/admin” névvel és jelszóval szállítanak, és néha a felhasználók saját fiókot hoznak létre az alapértelmezett eltávolítása nélkül. Hasonlóképpen új jelszót hoznak létre anélkül, hogy eltávolítanák a beépített jelszót. A hackerek könnyen megtudhatják, mik ezek az alapértelmezett jelszavak, és megkísérelhetik a hackertámadást ezekkel az információkkal.
Maradjon a neves márkáknál. A márkán kívüli és/vagy kisebb cégek hajlamosak jönni és menni, és előfordulhat, hogy a szoftverfrissítések bevezetése nem olyan kritikus, mint néhány ismertebb és megbízhatóbb márka. Ha olyan eszköze van, amelyet egy ideje nem frissítettek, vegye fel a kapcsolatot az ügyfélszolgálattal, és megtudja, mi a helyzet vele. A szoftverfejlesztés egy folyamatos folyamat.
Ennek apropóján ügyeljen arra, hogy okosotthoni eszközeit naprakészen tartsa. Nem rossz ötlet rendszeresen ellenőrizni a szoftverfrissítéseket. A biztonsági rések időről időre felbukkanhatnak, és leggyakrabban gyorsan összeomlanak. De ez csak akkor segít, ha ténylegesen letölti és telepíti a frissítést.
A jó hír tehát az, hogy ha valakit nem dühített meg igazán, akkor továbbra is otthon hagyhatja a kulcsait. Legyünk őszinték, ha ennyire megbolondítottad őket, egy rendes retesz valószínűleg amúgy sem sokat segítene. De ez nem azt jelenti, hogy teljesen leengedheti az őrségét. Ügyeljen arra, hogy rendszeresen ellenőrizze az intelligens otthoni technológiával kapcsolatos frissítéseket, használjon jelszókezelőket és 2FA-t, és ami a legfontosabb, soha ne mondja azt, hogy „Mindjárt visszajövök”.
Szerkesztői ajánlások
- Az Egyesült Államok kormánya 2024-ben új kiberbiztonsági programot indít az intelligens otthoni eszközök számára
- 6 okosotthoni eszköz, amellyel évente százakat takaríthat meg
- Okos otthonok Wi-Fi nélkül: hatalmas lehetőségek vagy akadályok?
- Ez a dél-koreai intelligens otthon feltörése még egy ok, amiért biztonságossá kell tenni otthonát
- A dél-koreai intelligens otthon feltörése a rémálmok cucca
