Vieną naktį, maždaug prieš 20 metų, naršydamas internete savo šeimos „Gateway 2000“, „Netscape Navigator“ sulėtėjo iki nuskaitymo. Pelė nustojo reaguoti. Net Ctrl-Alt-Delete nieko nepadarė.
Turinys
- Žiedo problema
- „Ring“ ir jo konkurentai turi sutelkti dėmesį į saugumą
- Įsilaužimai greičiausiai taps sunkesni
Tada pasirodė „Windows“ įspėjimas. Atrodė… negerai. Po akimirkos ekranas užgeso, atsidarė CD-ROM dėklas ir pasirodė pokalbių langelis.
Rekomenduojami vaizdo įrašai
Buvau išsigandusi, bet žinojau, kas vyksta. Buvau nulaužtas.
Per pokalbių dėžutę mano įsilaužėlis paaiškino, kas atsitiko. Tapau Trojos arklys, kuris leido įsilaužėliui pasiekti mano kompiuterį ir jį valdyti. Vienintelis būdas ištaisyti žalą buvo iš naujo suformatuoti kompiuterio standųjį diską.
Susijęs
- „SimpliSafe“ dabar siūlo tiesioginį namų stebėjimą su nauja „Smart Alarm Wireless Indoor Security Camera“.
- Roku dabar užsiima namų apsaugos verslu
- Pavasario valymo metu nepamirškite išmaniojo namų saugumo
Trojos arklys, kuris mane užkrėtė,
Sub7, buvo ankstyvas kenkėjiškų programų, kurias užprogramavo kažkas žinomo kaip „mafiozas. Niekada nesužinojau įsilaužėlio, kuris man atsiuntė Sub7, tapatybės, tačiau Trojos arklys kūrėjas dabar dirba saugumo ekspertu. Susisiekiau su juo, kad išsiaiškinčiau, kodėl kažkas gali atsitiktinai įsilaužti į nepažįstamo žmogaus gyvenimą – reiškinį, kuris tapo nerimą keliančiu dažnu šiuolaikinėse išmaniųjų namų kamerose.Žiedo problema
Žiedui tikrai nepasisekė geriausiai. Su visais naujausi įsilaužimai Pastarosiose žiniose neturėtų būti šokiruoti, kad žmonės yra susirūpinę. Piratai būriais taikėsi į Ringo kameras, todėl iki šiurpios istorijos įsilaužėlių, šnipinėjančių ir net tyčiojančių iš savo aukų.
Bet kodėl? Ką gauna įsilaužėliai, šnipinėdami išmaniųjų namų kameras? Tai sunku užduoti ir atsakyti, ypač kai įsilaužėliai retai sugaunami arba randami.
Tai paskatino mane užuosti atsakymą iš paties „mafijos“, kuris taip pat žinomas kaip Gregory Hanis.
Dabar Hanis savo įgūdžius nukreipia į profesionalų interneto saugumą. Šiuo metu jis yra vyriausiasis technologijų pareigūnas Viperline sprendimai, Alabamos IT saugumo sprendimų įmonė. Paklausiau jo, kodėl įsilaužėliai nori nulaužti apsaugos kameras. Jo atsakymas buvo paprastas, nors ir ne itin guodžiantis. Dažnai tai tik pramoga.
Manau, kad šiuo metu žmonės tai daro dėl spyrių ir kikenimo.
Hanis Trojos arklys Sub7 galėtų prisijungti prie aukos prijungtos internetinės kameros. Jis gali žiūrėti vaizdo įrašą realiuoju laiku arba klausytis per mikrofoną. Sub7 klestėjo 90-ųjų pabaigoje ir 2000-ųjų pradžioje, kai dauguma kompiuterių savininkų nebuvo įdiegę tinkamos antivirusinės apsaugos. Jos aukos buvo lengvi taikiniai, tačiau tie, kurie naudojo Sub7, dažnai tai darydavo tik norėdami išjuokti ar išgąsdinti aukas.
„Manau, kad šiuo metu žmonės tai daro dėl spyrių ir kikenimo, ir taikosi tik į vieną. Jie nesudaro didelio verslo sandorio ir net nesikreipia į ką nors“, - sakė Hanis.
Neatrodo, kad Ring kameros buvo pažeistos dėl sudėtingo patronuojančios bendrovės „Amazon“ serverių įsilaužimo. Vietoj to, prisijungimo duomenys greičiausiai buvo gauti ištyrus įsilaužtus kredencialus iš kitų šaltinių, atspėjus slaptažodžius arba per socialinė inžinerija. Dviejų veiksnių autentifikavimas gali sustabdyti šiuos įsilaužimus, tačiau, kaip ir kompiuterių savininkai dešimtojo dešimtmečio pabaigoje, žmonės, turintys išmaniųjų namų kameras, dažnai nesirūpina saugumu.
Paklaustas apie įsilaužėlis, kuris pasiekė „Ring“ kamerą pasikalbėti su maža mergaite, Hanis nebuvo sužavėtas. „Pažiūrėjau, atrodo, kad „YouTube“ yra vaizdo įrašų apie žmones, nenoriu sakyti, kad įsilaužėliai, tiesa? Noriu pasakyti, dingdongai, nusikaltėliai ar bet kas, įeinantys į kokio nors mažo vaiko kambarį.
„Ring“ ir jo konkurentai turi sutelkti dėmesį į saugumą
Hanisas mano, kad Ring turėtų padaryti daugiau, kad įsilaužėliai nepasiektų kamerų. „Manau, kad jie sakė, kad turi daugiafaktorinį autentifikavimą. Nežinau, kodėl žmonės to neįjungia. [Ring] turėjo jį įjungti pagal numatytuosius nustatymus, pavyzdžiui, kai kuriate paskyrą.
Ring galiausiai rekomenduojami naudotojai įsijungia dviejų veiksnių autentifikavimas, bet tik po to, kai naujienos pasiekė įsilaužimus. Dabar su nauju Valdymo centras, „Ring“ pagrindiniame programos prietaisų skydelyje pabrėžia privatumo ir saugos nustatymus. Šiuo metu dviejų veiksnių autentifikavimas yra atsisakymo parinktis kuriant naujas paskyras, tačiau netrukus jos bus galima atsisakyti ir nustatant naujus įrenginius esamose paskyrose.
Iškelti ieškiniai Kalifornijoje ieškovai teigia, kad „Ring“ nepasiūlė pagrindinių saugumo priemonių, kad būtų išvengta šių įsilaužimų. Vienu atveju porai buvo grasinama „nutraukti“, nebent jie įsilaužėliui sumokės 50 bitkoinų (apie 436 000 USD).
Sukūręs Sub7 ir dabar būdamas kitų su saugumu susijusių projektų vadovas, Hanis mano, kad Ring problemos kyla dėl to, kad trūksta dėmesio programuoti saugos funkcijas, kurios sprendžia probleminius scenarijus.
„Esu 100% tikras, kad kai jie ketina kurti šiuos produktus ir dar daugiau, jie to nedaro. Jie negalvoja apie visus „kas būtų, jei“, – sakė Hanis. „Štai kodėl mes turėsime šias problemas, ir mes vis dar turėsime šias problemas. Kol nėra kažko, kas tai užtikrina, arba tam tikros atskaitomybės, tai nesvarbu.
Įsilaužėliai gali lengvai pažeisti įtaisus, kurių saugumas prastai išvystytas, todėl įmonės yra atsakingos už tai, kad jos būtų prioritetinės nuo pat pradžių, o ne vėliau. Kaip pabrėžė Hanisas, „Ring“ galėjo išvengti problemų, jei pradinio sąrankos metu būtų pasiūlytas dviejų veiksnių autentifikavimas.
Įsilaužimai greičiausiai taps sunkesni
Nors kai kurie pavieniai incidentai buvo susiję su nusikalstama veikla, pavyzdžiui, grasinimais ar bandymais prievartauti, jie yra reti. Masinės atakos, vykstančios per el. laiškus, trumpąsias žinutes ir socialinę žiniasklaidą, nepasiekė kamerų. Dar.
Nemačiau, kad kas nors būtų apvogtas, nes kartais gali žinoti, kada jie yra namuose. Tai būtinai ten pateks.
„Aš nemačiau tiek daug piktybiškumo. Nemačiau, kad kas nors būtų apvogtas, nes kartais gali žinoti, kada jie yra namuose“, – sakė Hanis. Tačiau jis mano, kad „tai būtinai pasieks“.
Jo įspėjimas yra blaivus ir, greičiausiai, teisingas. Įsilaužėliai bandys rasti naujų būdų ir kurti įrankius, kaip nuotoliniu būdu pasiekti kameras be savininkų žinios.
Būtent tokią evoliuciją rodo Trojos arklys ir kitos kenkėjiškos programos. Ankstyvieji pavyzdžiai, tokie kaip Hanis's Sub7, gali būti kenkėjiški, bet dažnai labiau erzino, o ne rimta problema. Tačiau grėsmė sparčiai vystėsi. Įsilaužėliai pradėjo peržengti esamų Trojos arklių galimybių ribas, tada sukūrė naują kenkėjišką programinę įrangą ir panaudojo naujus metodus jai diegti. Tik dešimtmetis skiria ankstyvuosius Trojos arklys, pvz., Sub7, ir ginkluotą kenkėjiškų programų naudojimą Irano branduolinė programa.
„Ring“ ir kitos įmonės, parduodančios išmaniąsias apsaugos kameras, turi užtikrinti, kad būtų įdiegtos tinkamos apsaugos priemonės. Nuo vartotojų švietimo iki nuolatinių priminimų siuntimo nustatyti dviejų veiksnių autentifikavimą ar net davimą žmonių istoriją apie tai, kokie įrenginiai yra prijungti prie paskyros, šie metodai didina supratimą, kuris būtų naudingas Visi. Priešingu atveju savininkai taps įsilaužėlių aukomis.
Redaktorių rekomendacijos
- JAV vyriausybė 2024 metais pradės naują kibernetinio saugumo programą, skirtą išmaniųjų namų įrenginiams
- „Wyze Cam Floodlight Pro“ yra aukščiausios kokybės lauko kamera su daugybe dirbtinio intelekto funkcijų
- Naujojoje „Ring“ patalpų kameroje yra įmontuotas privatumo užraktas
- „Google“ bendradarbiauja su ADT, kad pristatytų naują išmaniųjų namų apsaugos sistemą
- „Arlo“ pratęsia senų fotoaparatų ir durų skambučių palaikymą eksploatavimo pabaigoje
