Połączyły się dwa elementy, dzięki którym powstał ten artykuł. Po pierwsze, był październik Miesiąc świadomości cyberbezpieczeństwa. Po drugie, w połowie miesiąca pierwszy zwiastun nowego Krzyk film spadł. Zawierała scenę, która nas trochę zaniepokoiła. Sprawdź, czy potrafisz to dostrzec.
Zawartość
- LOL co?
- Bądź o krok przed grą
Krzyk | Oficjalny zwiastun (film z 2022 r.)
Oczywiście mówimy o scenie inteligentnych zamków. Odblokowują się wszystkie zamki w Twoim domu, więc możesz je wyjąć smartfon i zablokuj je ponownie, tylko po to, aby wszystkie ponownie się odblokowały. Sugeruje to, że Pan Straszny Zabójca włamał się na konto inteligentnego domu swojej ofiary i może kontrolować wszystkie urządzenia w domu. Tak.
Polecane filmy
Jako ktoś, kto ze wszystkich powodów nie nosi kluczy do swojego domu inteligentne zamki, trochę się zdenerwowałem. Dlatego postanowiłam z kimś o tym porozmawiać. Skontaktowałem się z Johnem Shierem, starszym doradcą ds. bezpieczeństwa w firmie Dom Sophosa porozmawiać o tym. Przekazał mi dobre i złe wieści. Zacznę od złych wiadomości.
Tak, jest to możliwe. Dobra wiadomość jest taka, że jest to raczej trudne, a lepsza jest taka, że ryzyko, że przydarzy się to Tobie, jest nieskończenie małe, chyba że oczywiście masz też kogoś, kto naprawdę chce Ci wyrządzić krzywdę. Ale szczera prawda jest taka, że istnieje duża szansa, że dostępnych jest wystarczająco dużo Twoich danych, aby coś takiego było możliwe.
LOL co?
Umożliwiają to dwie rzeczy: inżynieria społeczna i naruszenia bezpieczeństwa danych. Oddzielnie każdy z nich może uzyskać od atakującego wystarczające informacje zhakuj swój inteligentny dom. Razem staje się to jeszcze bardziej możliwe. Ale musisz zrozumieć, kiedy tak mówimy możliwy, musimy szybko temu zaradzić, stwierdzając, że nie jest to zbyt wiele prawdopodobnie.
Jeśli zaakceptujesz ideę filmu, że jest w nim dużo planowania i premedytacji, stanie się to o wiele łatwiejsze, to znaczy bardziej prawdopodobne. Faktem jest, że naruszenia danych zdarzają się często i często zdarzają się ludzie ponownie używaj adresów e-mail i haseł dla wielu usług. Twoje hasło ujawnione przez firmę XYZ (nie mamy tu na myśli zawstydzania danych) może być tą samą nazwą użytkownika i hasłem, których używasz w swoich inteligentnych zamkach. Nawet jeśli hasło jest inne, adres e-mail jest kluczową informacją pozwalającą na inne sposoby włamania się.
Zanim zapytasz, nie, nie zamieniamy tego w samouczek „włamać się do domów znajomych i rodziny”. Wystarczy jednak powiedzieć, że wszelkie informacje o Tobie ujawnione w wyniku jednego z tych naruszeń danych przybliżają potencjalnego sprawcę do ostatecznego uzyskania dostępu do Twoich kont. Może się to zdarzyć poprzez Inżynieria społeczna lub poprzez wykorzystanie danych ujawnionych w wyniku naruszeń. Ani jedno, ani drugie nie jest trywialne. „Myślę, że kiedy mówimy ogólnie o bezpieczeństwie IoT, są to prawdopodobnie jedne z największych zagrożeń, jeśli chodzi o utratę kontroli nad urządzeniami” – wyjaśnił Shier.
Inżynieria społeczna opiera się na oszustwie, które szczerze mówiąc może działać, ale nie musi. Jeśli ktoś zdecyduje się pójść tą drogą, musi być w stanie oszukać użytkownika, aby zrezygnował z danych uwierzytelniających. To właśnie w tym momencie rozmowy z Shierem dowiedziałem się o kilku zaskakujących sposobach łatwego skonfigurowania w tym celu witryny phishingowej. Powtarzam, to nie jest tutorial, więc nie będę tego tutaj powtarzał, ale wystarczy powiedzieć, że czasami Internet jest po prostu do niczego.
Druga metoda polegałaby na przejrzeniu milionów zestawów danych uwierzytelniających i znalezieniu celu, którego nazwa może nie być możliwa do zidentyfikowania w zależności od naruszenia. Cel może mieć imię John Doe, ale jego adres e-mail może brzmieć: [email protected] i może nie być możliwości powiązania tych dwóch niezwykle odmiennych informacji.
Witryny typu HaveIbeenpwned.com mogą poinformować Cię, jeśli Twój adres e-mail był gdziekolwiek przedmiotem naruszenia bezpieczeństwa danych, ale mają one również skutek odwrotny. Osoba atakująca może uzyskać adres e-mail potencjalnej ofiary i skorzystać z tej witryny, aby sprawdzić, w jakich naruszeniach danych brała udział. Stamtąd możesz pobrać dane z naruszeń i wypróbować nazwy użytkowników i hasła. Oznacza to, że nie ma mowy o tym, aby osoba atakująca uzyskała dostęp do adresu e-mail potencjalnej ofiary i po prostu wysłała reset hasła.
„Większe jest prawdopodobieństwo, że zarobisz na tym, niż będziesz prześladowany. [Przestępcy] chętniej będą chcieli zdobyć Twoje dane uwierzytelniające do konta bankowego i dane osobowe w celu oszustwa związanego z tożsamością, niż w celu grzebania w światłach i zamkach do drzwi” – stwierdził Shier.
Chodzi o to, że jest to bardzo możliwe i dostępne są odpowiednie dane, aby to zrobić, ale prawdopodobieństwo, że przydarzy się to przypadkowej osobie przez innego przypadkowego hakera, jest znikome. Włamanie się do czyichś danych uwierzytelniających w zakresie inteligentnego domu wymaga dużo pracy. Jednak znacznie bardziej prawdopodobne jest, że wszelkie dane utracone w wyniku naruszenia bezpieczeństwa danych zostaną wykorzystane do zarabiania, niezależnie od tego, czy będzie to sprzedaż danych, czy wykorzystanie danych do kradzieży tożsamości.
Jest niezwykle mało prawdopodobne, że efektem końcowym włamania się hakera do firmy będzie scena z horroru. Ale chyba muszę przyznać, że to nie jest zero. Powinienem również wspomnieć, że oszustwo tożsamości samo w sobie jest sceną z o wiele bardziej nerdowatego horroru, ale jest też dość straszne, jeśli przytrafia się tobie.
Bądź o krok przed grą
Biorąc to pod uwagę, możesz zrobić kilka rzeczy, aby chronić swoje dane i zapewnić bezpieczeństwo inteligentnego domu. Shier mówi o higienie tożsamości, takiej jak używanie różnych adresów e-mail i haseł z każdej witryny. Jeśli Twoje dane wyjdą na jaw, szkody będą minimalne. Korzystając z jednego z najlepsi menedżerowie haseł to świetny pomysł, podobnie jak umożliwienie uwierzytelniania dwuskładnikowego tam, gdzie to możliwe.
Kolejną rzeczą, na którą zwraca uwagę Shier, było upewnienie się, że wszystkie domyślne konta i hasła, które mogły zostać dostarczone z Twoim inteligentnym urządzeniem domowym, zostały usunięte lub zmienione. Niektóre urządzenia są dostarczane z domyślną nazwą użytkownika i hasłem „admin/admin”, a czasami użytkownicy utworzą własne konto bez usuwania ustawienia domyślnego. Podobnie utworzą własne nowe hasło bez usuwania wbudowanego hasła. Hakerzy mogą łatwo dowiedzieć się, jakie są te domyślne hasła i spróbować włamać się za pomocą tych informacji.
Trzymaj się znanych marek. Firmy niemarkowe i/lub mniejsze mają tendencję do pojawiania się i odchodzenia i mogą nie uważać wdrażania aktualizacji oprogramowania za tak istotne, jak w przypadku niektórych bardziej znanych i godnych zaufania marek. Jeśli masz urządzenie, które nie było aktualizowane od jakiegoś czasu, rozważ skontaktowanie się z obsługą klienta i dowiedz się, co się z nim dzieje. Tworzenie oprogramowania to proces ciągły.
A skoro już o tym mowa, pamiętaj o aktualizowaniu inteligentnych urządzeń domowych. Okresowe sprawdzanie dostępności aktualizacji oprogramowania nie jest złym pomysłem. Luki w zabezpieczeniach mogą pojawiać się od czasu do czasu i najczęściej są szybko eliminowane. Ale to pomaga tylko wtedy, gdy faktycznie pobierzesz i zainstalujesz aktualizację.
Dobra wiadomość jest taka, że jeśli kogoś naprawdę nie wkurzysz, możesz nadal zostawiać klucze do domu w domu. Bądźmy szczerzy, jeśli ich tak wkurzyłeś, zwykły rygiel prawdopodobnie i tak nie byłby zbyt pomocny. Ale to nie znaczy, że możesz całkowicie stracić czujność. Pamiętaj, aby regularnie sprawdzać dostępność aktualizacji technologii inteligentnego domu, korzystać z menedżerów haseł i 2FA, a co najważniejsze, nigdy, przenigdy nie mów: „Zaraz wracam”.
Zalecenia redaktorów
- Rząd USA uruchomi w 2024 r. nowy program cyberbezpieczeństwa dla inteligentnych urządzeń domowych
- 6 inteligentnych urządzeń domowych, które mogą zaoszczędzić setki rocznie
- Inteligentne domy bez Wi-Fi: ogromne możliwości czy przeszkody?
- Ten południowokoreański hack na inteligentny dom to kolejny powód, dla którego powinieneś zabezpieczyć swój dom
- Południowokoreański hack do inteligentnego domu to koszmar
