Šiam straipsniui sukurti sujungti du elementai. Pirmasis buvo tas spalis Kibernetinio saugumo informavimo mėnuo. Antra, mėnesio viduryje – pirmasis naujojo anonsas Rėkti filmas nukrito. Jame buvo scena, kuri mums šiek tiek kėlė nerimą. Pažiūrėkite, ar galite tai pastebėti.
Turinys
- LOLwut?
- Būkite prieš žaidimą
Rėkti | Oficialus anonsas (2022 m. filmas)
Akivaizdu, kad kalbame apie išmaniųjų spynų sceną. Visos jūsų namų spynos atrakinamos, todėl jūs išsikraunate savo išmanusis telefonas ir vėl juos užrakinkite, kad pamatytumėte, kaip jie visi vėl atrakinami. Tai reiškia, kad B. Scary Killer asmuo įsilaužė į savo aukos išmaniųjų namų paskyrą ir gali valdyti visus įrenginius namuose. Taip.
Rekomenduojami vaizdo įrašai
Kaip žmogus, kuris dėl visko nesineša raktų nuo savo namų išmaniosios spynos, aš pradėjau šiek tiek nervintis. Taigi nusprendžiau su kuo nors apie tai pasikalbėti. Susisiekiau su Johnu Shieriu, vyresniuoju patarėju saugumo klausimais Sophos namai apie tai pasikalbėti. Jis man pranešė gerų ir blogų naujienų. Pradėsiu nuo blogų naujienų.
Taip, tai įmanoma. Geros naujienos yra tai, kad tai padaryti gana sunku, o geresnė žinia ta, kad tikimybė, kad tai nutiks jums, yra be galo maža, nebent, žinoma, taip pat turite ką nors, kuris tikrai nori jums pakenkti. Tačiau sąžininga tiesa yra ta, kad yra didelė tikimybė, kad yra pakankamai jūsų duomenų, kad kažkas panašaus būtų įmanoma.
LOLwut?
Yra du dalykai, dėl kurių tai įmanoma: socialinė inžinerija ir duomenų pažeidimai. Atskirai bet kuris iš jų gali gauti užpuolikui pakankamai informacijos nulaužti savo išmaniuosius namus. Kartu tai tampa dar labiau įmanoma. Bet jūs turite suprasti, kai sakome, kad taip yra galima, turime greitai perspėti, sakydami, kad tai nėra labai tikėtina.
Jei sutinkate su filmo mintimi, kad ten daug planavimo ir iš anksto apgalvotų, tai bus daug lengviau, vadinasi, labiau tikėtina. Faktas yra tas, kad duomenų pažeidimai įvyksta dažnai, o žmonės dažnai pakartotinai naudoti el. pašto adresus ir slaptažodžius kelioms paslaugoms. Jūsų slaptažodis, kurį atskleidė įmonė XYZ (čia nesigėdijame dėl duomenų pažeidimo), gali būti tas pats vartotojo vardas ir slaptažodis, kuriuos naudojate savo išmaniosioms spynoms. Net jei slaptažodis skiriasi, el. pašto adresas yra pagrindinė informacija, padedanti gauti kitus būdus, kaip įsilaužti.
Prieš klausdami, ne, mes to nepaverčiame pamoka „įsilaužti į savo draugų ir šeimos namus“. Tačiau užtenka pasakyti, kad bet kokia informacija apie jus, kuri buvo atskleista dėl vieno iš šių duomenų pažeidimų, potencialus pažeidėjas šiek tiek priartina prie prieigos prie jūsų paskyrų. Tai gali atsitikti per socialinė inžinerija arba naudojant pažeidimo metu atskleistus duomenis. Nė vienas iš jų nėra trivialus. „Manau, kad kai kalbame apie IoT saugumą apskritai, tai tikriausiai yra viena didžiausių pavojų, kai kalbama apie tai, kad įrenginiai taps nekontroliuojami“, – paaiškino Shier.
Socialinė inžinerija remiasi gudrybėmis, kurios nuoširdžiai gali veikti arba ne. Jei kas nors nusprendė eiti šiuo keliu, jis turi būti tokioje padėtyje, kad galėtų suklaidinti vartotoją atsisakydamas įgaliojimų. Būtent šiuo metu pokalbyje su Shier sužinojau keletą nuostabių būdų, kaip tam tikslui nesunkiai sukurti sukčiavimo svetainę. Vėlgi, tai nėra pamoka, todėl čia to nekartosiu, bet užtenka pasakyti, kad kartais internetas tiesiog užknisa.
Kitas būdas apimtų milijonų kredencialų rinkinių peržiūrą ir taikinio suradimą, kurio, atsižvelgiant į pažeidimą, gali nepavykti atpažinti pagal pavadinimą. Taikinys gali būti pavadintas John Doe, bet jų el. pašto adresas gali būti [email protected] ir gali būti, kad neįmanoma susieti šių dviejų labai skirtingų informacijos dalių.
Svetainės kaip haveIbeenpwned.com gali pranešti, ar jūsų el. pašto adresas buvo susijęs su duomenų saugumo pažeidimu, tačiau jie taip pat turi priešingą poveikį. Užpuolikas gali gauti potencialios aukos el. pašto adresą ir naudoti tą svetainę, kad pamatytų, kokių duomenų pažeidimų jis patyrė. Iš ten galite atsisiųsti duomenis apie pažeidimus ir išbandyti naudotojo vardus bei slaptažodžius. Tai reiškia, kad užpuolikas gauna prieigą prie potencialios aukos el. pašto adreso ir tiesiog siunčia slaptažodžio nustatymus iš naujo.
„Labiau tikėtina, kad gausite pinigų, nei persekiosite. Labiau tikėtina, kad [nusikaltėliai] norės gauti jūsų banko kredencialus ir asmeninę informaciją [dėl] tapatybės sukčiavimo, o ne tam, kad tyčiotųsi su jūsų šviesomis ir durų spynomis“, – sakė Shieris.
Viso to esmė ta, kad tai labai įmanoma, o tam reikia duomenų, tačiau tikimybė, kad atsitiktiniam asmeniui tai nutiks kitas atsitiktinis įsilaužėlis, yra menka. Norint įsilaužti į kieno nors išmaniuosius namus, reikia daug darbo. Tačiau daug labiau tikėtina, kad bet kokie duomenys, kurie bus prarasti duomenų pažeidimo metu, bus naudojami pajamų gavimui, nesvarbu, ar tai būtų duomenų pardavimas, ar duomenų naudojimas tapatybės vagystei.
Neįtikėtinai tikėtina, kad įsilaužėlio įsilaužimo į įmonę rezultatas bus siaubo filmo scena. Bet manau, kad turiu pripažinti, kad tai nėra nulis. Taip pat turėčiau paminėti, kad tapatybės sukčiavimas yra scena iš kur kas niūresnio siaubo filmo, bet taip pat gana baisu, jei taip nutiktų jums.
Būkite prieš žaidimą
Be to, yra dalykų, kuriuos galite padaryti, kad apsaugotumėte savo duomenis ir apsaugotumėte savo išmaniuosius namus. Shier kalba apie tapatybės higieną, pvz., skirtingų el. pašto adresų ir slaptažodžių naudojimą kiekvienoje svetainėje. Jei jūsų duomenys bus pašalinti, žala bus minimali. Naudojant vieną iš geriausi slaptažodžių tvarkytojai yra puiki idėja, kaip ir, jei įmanoma, įgalinti dviejų veiksnių autentifikavimą.
Kitas dalykas, kurį nurodo Shier, buvo įsitikinti, kad visos numatytosios paskyros ar slaptažodžiai, kurie galėjo būti išsiųsti kartu su jūsų išmaniųjų namų įrenginiu, būtų pašalinti arba pakeisti. Kai kurie įrenginiai pristatomi su numatytuoju vartotojo vardu ir slaptažodžiu „admin/admin“, o kartais vartotojai susikurs savo paskyrą nepašalinę numatytojo. Panašiai jie sukurs naują slaptažodį, nepašalindami integruoto slaptažodžio. Piratai gali lengvai sužinoti, kas yra tie numatytieji slaptažodžiai, ir pabandyti įsilaužti su ta informacija.
Laikykitės vardinių prekių ženklų. Be prekės ženklo ir (arba) mažesnės įmonės turi tendenciją ateiti ir išeiti, todėl programinės įrangos naujinimų diegimas gali būti ne toks svarbus kaip kai kurie žinomesni ir patikimesni prekių ženklai. Jei turite įrenginį, kuris kurį laiką nebuvo atnaujintas, apsvarstykite galimybę susisiekti su klientų palaikymo komanda ir sužinoti, kas su tuo susiję. Programinės įrangos kūrimas yra nuolatinis procesas.
Kalbant apie tai, būtinai atnaujinkite savo išmaniuosius namų įrenginius. Nebloga idėja periodiškai tikrinti, ar nėra programinės įrangos naujinių. Retkarčiais gali atsirasti saugumo spragų ir dažniausiai jos greitai ištrinamos. Bet tai padeda tik tuo atveju, jei iš tikrųjų atsisiunčiate ir įdiegiate naujinimą.
Taigi gera žinia ta, kad jei ko nors tikrai nesupykdėte, galite ir toliau palikti savo namų raktus namuose. Būkime atviri, jei juos taip supykdėte, įprastas užraktas tikriausiai vis tiek nepadėtų. Tačiau tai nereiškia, kad galite visiškai nusileisti. Reguliariai tikrinkite, ar nėra išmaniųjų namų technologijos atnaujinimų, naudokite slaptažodžių tvarkykles ir 2FA ir, svarbiausia, niekada nesakykite: „Tuoj grįšiu“.
Redaktorių rekomendacijos
- JAV vyriausybė 2024 metais pradės naują kibernetinio saugumo programą, skirtą išmaniųjų namų įrenginiams
- 6 išmaniųjų namų įrenginiai, kurie gali sutaupyti šimtus per metus
- Išmanieji namai be „Wi-Fi“: didžiulės galimybės ar kliūtys?
- Šis Pietų Korėjos išmaniųjų namų įsilaužimas yra dar viena priežastis, kodėl turėtumėte apsaugoti savo namus
- Pietų Korėjos išmaniųjų namų įsilaužimas yra košmarų dalykas
