Dva elementa, združena v ta članek. Prvi je bil tisti oktober Mesec ozaveščanja o kibernetski varnosti. Drugič, smack-dab sredi meseca, prvi napovednik za novo Krik film je padel. Vseboval je prizor, ki nas je nekoliko skrbel. Poglej, če ga lahko opaziš.
Vsebina
- LOLwut?
- Ostanite v prednosti
Krik | Uradni napovednik (film iz leta 2022)
Očitno govorimo o sceni pametnih ključavnic. Vse vaše ključavnice v vašem domu se odklenejo, tako da izvlečete svojo pametni telefon in jih znova zakleniti, da bi videli, kako se vse znova odklenejo. Tukaj gre za to, da je oseba Mr. Scary Killer vdrla v račun pametnega doma svoje žrtve in lahko nadzoruje vse naprave po vsem domu. Joj.
Priporočeni videoposnetki
Kot nekdo, ki ne nosi ključev od svoje hiše zaradi vseh pametne ključavnice, postajal sem malo nervozen. Zato sem se odločil, da se z nekom pogovorim o tem. Obrnil sem se na Johna Shierja, višjega varnostnega svetovalca pri Sophos Home govoriti o tem. Povedal mi je nekaj dobrih in nekaj slabih novic. Začel bom s slabo novico.
Da, to je možno. Dobra novica je, da je to precej težko narediti, boljša novica pa je, da so možnosti, da se vam to zgodi, neskončno majhne, razen če seveda imate nekoga, ki vam res želi narediti škodo. Toda poštena resnica je, da obstaja velika verjetnost, da je dovolj vaših podatkov, da bi lahko kaj takega omogočili.
LOLwut?
Dve stvari omogočata to skupaj: socialni inženiring in kršitve podatkov. Vsak od teh lahko napadalcu ločeno pridobi dovolj informacij vdreti v vaš pametni dom. Skupaj postane še bolj mogoče. Vendar morate razumeti, ko rečemo, da je to mogoče, moramo hitro opozoriti, da ni zelo verjetno.
Če sprejmete idejo filma, da je tam veliko načrtovanja in premisleka, potem postane to veliko lažje, kar pomeni, da je bolj verjetno. Dejstvo je, da se kršitve podatkov dogajajo pogosto in ljudje pogosto ponovno uporabite e-poštne naslove in gesla za več storitev. Vaše geslo, ki ga je razkrilo podjetje XYZ (tukaj ne sramotimo kršitev podatkov), bi lahko bilo isto uporabniško ime in geslo, ki ju uporabljate za svoje pametne ključavnice. Tudi če je geslo drugačno, je e-poštni naslov ključna informacija za druge načine vdora.
Preden vprašate, ne, tega ne bomo spremenili v vadnico »vdreti v domove vaših prijateljev in družine«. Toda dovolj je reči, da vsaka informacija o vas, ki je bila razkrita zaradi ene od teh kršitev podatkov, morebitnega storilca napak nekoliko približa končnemu dostopu do vaših računov. To se lahko zgodi prek socialni inženiring ali z uporabo podatkov, ki so bili izpostavljeni v kršitvah. Nobeno od tega ni trivialno. "Ko govorimo o varnosti IoT na splošno, mislim, da so to verjetno nekatera največja tveganja, ko gre za to, da naprave uidejo izpod vašega nadzora," je pojasnil Shier.
Socialni inženiring se opira na zvijače, ki lahko resnično delujejo ali pa tudi ne. Če se nekdo odloči za to pot, mora biti v položaju, ko lahko preslepi uporabnika, da se odreče poverilnicam. Na tej točki mojega pogovora s Shierjem sem izvedel nekaj presenetljivih načinov, kako lahko preprosto vzpostavite spletno mesto za lažno predstavljanje v ta namen. Še enkrat, to ni vadnica, zato tega ne bom ponavljal tukaj, vendar je dovolj reči, da je včasih internet preprosto zanič.
Druga pot bi vključevala prebiranje milijonov nizov poverilnic in iskanje tarče, ki je glede na kršitev morda ne bo mogoče prepoznati po imenu. Cilj ima lahko ime John Doe, vendar je njihov e-poštni naslov lahko [email protected] in teh dveh zelo neverjetno različnih informacij morda ne bo mogoče povezati.
Spletna mesta, kot so haveIbeenpwned.com vas lahko obvestijo, če je bil vaš e-poštni naslov kjer koli del kršitve podatkov, vendar imajo tudi obraten učinek. Napadalec bi lahko pridobil e-poštni naslov morebitne žrtve in na tem spletnem mestu videl, pri katerih kršitvah podatkov je bil udeležen. Od tam lahko prenesete podatke o vdorih in preizkusite uporabniška imena in gesla. To pomeni, da napadalec ne pridobi dostopa do e-poštnega naslova morebitne žrtve in samo pošlje ponastavitev gesla.
»Večja je verjetnost, da vas bodo monetizirali kot zalezovali. [Kriminalci] bodo verjetneje želeli pridobiti vaše bančne poverilnice in vaše osebne podatke [za] goljufijo identitete, kot da bi se poigravali z vašimi lučmi in ključavnicami,« je dejal Shier.
Bistvo vsega tega je, da je zelo možno in da obstajajo podatki za to, vendar je verjetnost, da bi se to zgodilo naključni osebi s strani drugega naključnega hekerja, majhna. Pri vdoru v poverilnice nekoga za njegov pametni dom je treba vložiti veliko dela. Vendar je veliko bolj verjetno, da bodo kateri koli podatki, izgubljeni med kršitvijo podatkov, uporabljeni za monetizacijo, ne glede na to, ali gre za prodajo podatkov ali uporabo podatkov za krajo identitete.
Neverjetno malo verjetno je, da bo končni rezultat hekerskega vdora v podjetje prizor iz grozljivke. Ampak mislim, da moram priznati, da ni nič. Prav tako moram omeniti, da je goljufija identitete sama po sebi prizor iz veliko bolj piflarskih grozljivk, vendar je tudi precej grozno, če se zgodi vam.
Ostanite v prednosti
Kot rečeno, obstajajo stvari, ki jih lahko storite, da zaščitite svoje podatke in zagotovite varnost svojega pametnega doma. Shier govori o higieni identitete, kot je uporaba različnih e-poštnih naslovov in gesel z vseh spletnih mest. Če vaši podatki pridejo ven, bo škoda minimalna. Z uporabo enega od najboljši upravitelji gesel je odlična ideja, kot je omogočanje dvostopenjske avtentikacije, kjer je to mogoče.
Druga stvar, ki jo Shier poudarja, je bila zagotovitev, da so vsi privzeti računi ali gesla, ki so morda priloženi vaši napravi za pametni dom, odstranjeni ali spremenjeni. Nekatere naprave imajo privzeto uporabniško ime in geslo »admin/admin«, včasih pa bodo uporabniki ustvarili svoj račun, ne da bi odstranili privzeto. Podobno bodo ustvarili novo geslo, ne da bi odstranili vgrajeno geslo. Hekerji lahko zlahka ugotovijo, katera so ta privzeta gesla, in s temi informacijami poskusijo vdreti.
Držite se blagovnih znamk. Podjetja zunaj blagovne znamke in/ali manjša podjetja se nagibajo k temu, da prihajajo in gredo, in morda ne menijo, da so posodobitve programske opreme tako kritične kot nekatere bolj znane in zaupanja vredne blagovne znamke. Če imate napravo, ki že nekaj časa ni bila posodobljena, se obrnite na podporo strankam in ugotovite, kaj je s tem. Razvoj programske opreme je stalen proces.
Ko smo že pri tem, poskrbite, da bodo vaše naprave pametnega doma posodobljene. Ni slaba ideja, da redno preverjate, ali so na voljo posodobitve programske opreme. Varnostne ranljivosti se lahko občasno pojavijo in pogosteje se hitro odpravijo. Toda to pomaga le, če posodobitev dejansko prenesete in namestite.
Dobra novica je torej, da lahko ključe hiše še naprej puščate doma, razen če ste nekoga res, zelo razjezili. Bodimo iskreni, če ste jih tako razjezili, navaden zapah verjetno vseeno ne bi veliko pomagal. Vendar to ne pomeni, da lahko popolnoma popustiš. Bodite prepričani, da redno preverjate, ali so na voljo posodobitve za vašo tehnologijo pametnega doma, uporabljajte upravitelje gesel in 2FA, in kar je najpomembneje, nikoli, nikoli ne recite: "Takoj se vrnem."
Priporočila urednikov
- Vlada ZDA bo leta 2024 uvedla nov program kibernetske varnosti za pametne domače naprave
- 6 pametnih domačih naprav, ki vam lahko prihranijo na stotine na leto
- Pametni domovi brez Wi-Fi: ogromne možnosti ali ovire?
- Ta južnokorejski vdor v pametni dom je še en razlog več, zakaj bi morali zavarovati svoj dom
- Južnokorejski vdor v pametni dom je stvar nočne more
