To elementer kombinert for å få denne artikkelen til å skje. Den første var at oktober var Måneden om bevissthet om cybersikkerhet. For det andre, smack-dab i midten av måneden, den første traileren for den nye Hyle filmen falt. Den inneholdt en scene som gjorde oss litt bekymret. Se om du kan få øye på det.
Innhold
- LOLwut?
- Hold deg i forkant av kampen
Skrik | Offisiell trailer (2022-film)
Det er klart at vi snakker om smartlås-scenen. Alle låsene dine i hjemmet låses opp, så du piskes ut smarttelefon og lås dem på nytt, bare for å se dem låse opp igjen. Implikasjonen her er at Mr. Scary Killer-personen har hacket seg inn på offerets smarthuskonto og kan kontrollere alle enhetene i hele hjemmet. Jepp.
Anbefalte videoer
Som en som ikke bærer nøkler til huset sitt på grunn av alle smarte låser, jeg ble litt nervøs. Så jeg bestemte meg for å snakke med noen om det. Jeg tok kontakt med John Shier, senior sikkerhetsrådgiver på Sophos Hjem å snakke om det. Han ga meg noen gode nyheter og noen dårlige nyheter. Jeg starter med de dårlige nyhetene.
Ja, dette er mulig. Den gode nyheten er at det er ganske vanskelig å gjøre, og de bedre nyhetene er at sjansen for at dette skjer med deg er uendelig liten med mindre du selvfølgelig også har noen som virkelig ønsker å skade deg. Men den ærlige sannheten er at det er en god sjanse for at nok av dataene dine er der ute som kan gjøre noe slikt mulig.
LOLwut?
Det er to ting som til sammen gjør dette mulig: Sosialteknikk og datainnbrudd. Hver for seg kan en av disse få en angriper nok informasjon til hacke smarthuset ditt. Sammen blir det enda mer mulig. Men du må forstå, når vi sier dette er mulig, må vi raskt ta forbehold om det ved å si at det ikke er veldig sannsynlig.
Hvis du aksepterer ideen med filmen om at det er mye planlegging og forutsetninger der, så blir dette mye enklere, det vil si at det er mer plausibelt. Faktum er at datainnbrudd skjer ofte og folk ofte gjenbruk e-postadresser og passord for flere tjenester. Passordet ditt avslørt fra XYZ-selskapet (vi er ikke datainnbruddsskam her) kan godt være det samme brukernavnet og passordet som du bruker for smartlåsene dine. Selv om passordet er annerledes, er e-postadressen en nøkkelinformasjon for andre måter å hacke deg inn på.
Før du spør, nei, vi gjør ikke dette til en "hack deg inn i dine venners og families hjem"-opplæring. Men det er nok å si at all informasjon om deg som har blitt avslørt av et av disse datainnbruddene, får en potensiell overtreder litt nærmere å få tilgang til kontoene dine. Det kan skje via sosial ingeniørkunst eller ved å bruke data avslørt i brudd. Ingen av disse er trivielle. "Jeg tror at når vi snakker om IoT-sikkerhet for øvrig, er det sannsynligvis noen av de største risikoene når det kommer til at enhetene faller utenfor din kontroll," forklarte Shier.
Sosial ingeniørkunst er avhengig av lureri som ærlig talt kan eller kanskje ikke fungerer. Hvis man bestemte seg for å gå denne veien, må de være i en posisjon der de kan lure en bruker til å gi opp legitimasjon. Det var på dette tidspunktet i samtalen min med Shier at jeg lærte noen overraskende måter man enkelt kan sette opp et phishing-nettsted for det formålet. Igjen, dette er ikke en opplæring, så jeg vil ikke gjenta det her, men det er nok å si, noen ganger suger Internett bare.
Den andre ruten ville innebære å sile gjennom millioner av sett med legitimasjon og finne et mål, som avhengig av bruddet kanskje ikke kan identifiseres med navn. Et mål kan ha navnet John Doe, men e-postadressen deres kan være [email protected], og det er kanskje ingen måte å assosiere disse to svært uensartede informasjonene.
Nettsteder som haveIbeenpwned.com kan gi deg beskjed om e-postadressen din har vært en del av et datainnbrudd hvor som helst, men de har også motsatt effekt. En angriper kan få e-postadressen til et potensielt offer og bruke dette nettstedet til å se hvilke datainnbrudd de har vært en del av. Derfra kan du laste ned dataene fra bruddene og prøve brukernavnene og passordene. Det vil si, ingenting av en angriper som får tilgang til et potensielt offers e-postadresse og bare sender tilbakestilling av passord.
«Det er mer sannsynlig at du blir tjent med penger enn forfulgt. Det er mer sannsynlig at [Kriminelle] ønsker å få banklegitimasjonen din og din personlige informasjon [for] identitetssvindel enn for å rote rundt med lysene og dørlåsene dine, sa Shier.
Poenget med alt dette er at det er veldig mulig, og dataene er der ute for å gjøre det, men sannsynligheten for at det skjer med en tilfeldig person av en annen tilfeldig hacker er liten. Det er mye arbeid som må gå til å bryte inn i noens legitimasjon for deres smarte hjem. Men det er langt mer sannsynlig at dataene som går tapt under et datainnbrudd, vil bli brukt til inntektsgenerering, enten det er å selge dataene eller bruke dataene til identitetstyveri.
Det er utrolig usannsynlig at sluttresultatet av en hacker som bryter seg inn i et selskap kommer til å være en scene fra en skrekkfilm. Men jeg må vel innrømme at det ikke er null. Jeg bør også nevne at identitetssvindel i seg selv er en scene fra en mye mer nerdete skrekkfilm, men det er også ganske forferdelig hvis det skjer med deg.
Hold deg i forkant av kampen
Når det er sagt, er det ting du kan gjøre for å beskytte dataene dine og holde smarthjemmet ditt sikkert. Shier snakker om identitetshygiene som å bruke forskjellige e-postadresser og passord fra alle nettsteder der ute. Hvis dataene dine kommer ut, vil skaden være minimal. Ved å bruke en av beste passordbehandlere er en god idé, og å aktivere tofaktorautentisering der det er mulig.
En annen ting som Shier påpeker var å være sikker på at eventuelle standardkontoer eller passord som kan ha blitt levert med smarthjemenheten din blir fjernet eller endret. Noen enheter leveres med en standard "admin/admin" som brukernavn og passord, og noen ganger vil brukere opprette sin egen konto uten å fjerne standarden. På samme måte vil de opprette et nytt passord uten å ha fjernet det innebygde passordet. Hackere kan enkelt finne ut hva disse standardpassordene er og forsøke å hacke med den informasjonen.
Hold deg til navnemerker. Off-brand og/eller mindre selskaper har en tendens til å komme og gå, og vurderer kanskje ikke å implementere programvareoppdateringer som er like kritiske som noen av de mer kjente og pålitelige merkene. Hvis du har en enhet som ikke har blitt oppdatert på en stund, bør du vurdere å kontakte kundestøtte og finne ut hva som skjer med det. Programvareutvikling er en pågående prosess.
Apropos det, sørg for å holde smarthjemenhetene dine oppdatert. Det er ikke en dårlig idé å se etter programvareoppdateringer med jevne mellomrom. Sikkerhetssårbarheter kan dukke opp fra tid til annen, og oftere enn ikke blir de raskt knust. Men det hjelper bare hvis du faktisk laster ned og installerer oppdateringen.
Så den gode nyheten er at med mindre du har gjort noen veldig, virkelig sinte, kan du fortsette å la husnøklene dine være hjemme. La oss være ærlige, hvis du har gjort dem så gale, ville en vanlig deadbolt sannsynligvis ikke vært mye hjelp uansett. Men det er ikke dermed sagt at du kan svikte deg fullstendig. Sørg for å regelmessig se etter oppdateringer med smarthjemteknologien din, bruk passordbehandlere og 2FA, og viktigst av alt, aldri si aldri, "Jeg kommer straks tilbake."
Redaktørenes anbefalinger
- Amerikanske myndigheter lanserer et nytt cybersikkerhetsprogram for smarthusenheter i 2024
- 6 smarte hjemmeenheter som kan spare deg for hundrevis i året
- Smarte hjem uten Wi-Fi: Enorme muligheter eller veisperringer?
- Dette sørkoreanske smarthus-hakket er enda en grunn til at du bør sikre hjemmet ditt
- Det sørkoreanske smarthus-hakket er marerittene
