Сцена злому Scream можлива, але ви, ймовірно, в порядку.

Два елементи поєднали цю статтю. Перший був, що жовтень був Місяць поінформованості про кібербезпеку. По-друге, смак-даб в середині місяця, перший трейлер новинки Кричати фільм випав. Там була сцена, яка нас трохи стурбувала. Подивіться, чи зможете ви це помітити.

Очевидно, ми говоримо про сцену розумних замків. Усі ваші замки у вашому домі відчиняються, тож ви виймаєте свій смартфон і знову заблокуйте їх, щоб знову побачити, як вони всі розблоковані. Мається на увазі, що пан Страшний вбивця зламав обліковий запис розумного дому своєї жертви та може контролювати всі пристрої вдома. ой

Як людина, яка не носить ключі від свого будинку через усе розумні замки, я трохи нервував. Тому я вирішив поговорити з кимось про це. Я звернувся до Джона Шиєра, старшого радника з безпеки в Sophos Home щоб поговорити про це. Він повідомив мені хороші та погані новини. Почну з поганих новин.

Так, це можливо. Хороша новина полягає в тому, що це досить важко зробити, і краща новина полягає в тому, що шанси, що це трапиться з вами, нескінченно малі, якщо, звичайно, у вас також є хтось, хто дійсно хоче завдати вам шкоди. Але чесна правда полягає в тому, що існує велика ймовірність того, що ваших даних достатньо, щоб зробити щось подібне можливим.

LOLwut?

Є дві речі, які роблять це можливим: соціальна інженерія та витік даних. Окремо будь-який із них може отримати зловмиснику достатньо інформації зламати ваш розумний дім. Разом це стає ще можливим. Але ви повинні розуміти, коли ми говоримо це можливо, ми повинні швидко застереження, сказавши, що це не дуже ймовірно.

Якщо прийняти ідею фільму про те, що там багато планування та попереднього обдумування, то це стає набагато легше, тобто правдоподібніше. Справа в тому, що витоки даних трапляються часто, а люди часто повторно використовувати адреси електронної пошти та паролі для кількох послуг. Ваш пароль, наданий компанією XYZ (ми тут не ганьбимо за витік даних), цілком може бути тим самим іменем користувача та паролем, які ви використовуєте для своїх розумних замків. Навіть якщо пароль інший, адреса електронної пошти є ключовою інформацією щодо інших способів злому.

Перш ніж ви запитаєте, ні, ми не перетворюємо це на підручник «зламати собі шлях до дому ваших друзів і родини». Але достатньо сказати, що будь-яка інформація про вас, яка була розкрита в результаті одного з цих порушень даних, наближає потенційного злочинця до отримання доступу до ваших облікових записів. Це може статися через соціальна інженерія або за допомогою даних, виявлених під час порушень. Ні те, ні інше не є тривіальним. «Я думаю, що коли ми говоримо про безпеку IoT в цілому, це, ймовірно, одні з найбільших ризиків, коли справа доходить до того, що пристрої випадають з-під вашого контролю», — пояснив Шаєр.

Соціальна інженерія спирається на хитрощі, які можуть спрацювати, а можуть і ні. Якщо хтось вирішив піти цим шляхом, він повинен бути в такому положенні, де він може обдурити користувача, щоб він відмовився від облікових даних. Саме на цьому етапі моєї розмови з Шаєром я дізнався кілька дивовижних способів легкого створення фішингового сайту для цієї мети. Знову ж таки, це не підручник, тому я не буду повторювати це тут, але досить сказати, що іноді Інтернет просто відстой.

Інший шлях передбачав би перегляд мільйонів наборів облікових даних і пошук цілі, яку, залежно від злому, не можна ідентифікувати за назвою. Ціль може мати ім’я Джон Доу, але його адреса електронної пошти може бути [email protected], і може не бути способу пов’язати ці дві неймовірно різнорідні частини інформації.

Сайти, як haveIbeenpwned.com можуть повідомити вам, чи була ваша адреса електронної пошти частиною витоку даних, але вони також мають зворотний ефект. Зловмисник може отримати адресу електронної пошти потенційної жертви та використати цей сайт, щоб дізнатися, у яких витоках даних він брав участь. Звідти ви можете завантажити дані про злами та спробувати ввести імена користувачів і паролі. Тобто нічого з того, що зловмисник отримує доступ до електронної адреси потенційної жертви та просто надсилає скидання пароля.

«Вас швидше монетизують, ніж переслідують. [Злочинці], швидше за все, захочуть отримати ваші банківські облікові дані та вашу особисту інформацію [для] шахрайства з особистими даними, ніж для того, щоб поратися з вашими ліхтарями та дверними замками», — сказав Шаєр.

Суть усього цього полягає в тому, що це дуже можливо, і дані для цього є, але ймовірність того, що це станеться з випадковою людиною іншим випадковим хакером, дуже мала. Доводиться багато працювати, щоб зламати чиїсь облікові дані для їх розумного будинку. Але набагато більш імовірно, що будь-які дані, втрачені під час витоку даних, будуть використані для монетизації, чи то продаж даних, чи використання даних для крадіжки особистих даних.

Надзвичайно малоймовірно, що кінцевим результатом злому хакера в компанію стане сцена з фільму жахів. Але, мабуть, я повинен визнати, що це не нуль. Я також маю зазначити, що шахрайство з особистими даними – це сцена з набагато більш занудного фільму жахів, але це також дуже жахливо, якщо це станеться з вами.

Будьте попереду гри

З огляду на це, є речі, які ви можете зробити, щоб захистити свої дані та захистити свій розумний дім. Шаєр говорить про гігієну ідентифікації, наприклад, використання різних адрес електронної пошти та паролів для кожного сайту. Якщо ваші дані вийдуть, збиток буде мінімальним. Використовуючи один із найкращі менеджери паролів це чудова ідея, як і ввімкнення двофакторної автентифікації, де це можливо.

Ще одна річ, на яку вказує Шаєр, — переконатися, що будь-які облікові записи за замовчуванням або паролі, які могли постачатися з вашим розумним домашнім пристроєм, видалені або змінені. Деякі пристрої постачаються з ім’ям користувача та паролем за замовчуванням «admin/admin», а іноді користувачі створюють власний обліковий запис, не видаляючи значення за умовчанням. Так само вони створять власний новий пароль, не видаливши вбудований пароль. Хакери можуть легко дізнатися, які ці паролі за умовчанням, і спробувати зламати цю інформацію.

Дотримуйтесь іменних брендів. Компанії, що не належать до торгових марок, і/або менші компанії мають тенденцію з’являтися і йти, і можуть не вважати впровадження оновлень програмного забезпечення таким критичним, як деякі з більш відомих і надійних брендів. Якщо у вас є пристрій, який давно не оновлювався, зверніться до служби підтримки клієнтів і дізнайтеся, що з цим. Розробка програмного забезпечення є постійним процесом.

Якщо говорити про це, переконайтеся, що ваші розумні домашні пристрої оновлюються. Непогано періодично перевіряти наявність оновлень програмного забезпечення. Час від часу можуть виникати вразливості системи безпеки, і найчастіше їх швидко усувають. Але це допоможе, лише якщо ви дійсно завантажите та встановите оновлення.

Отже, хороша новина полягає в тому, що якщо ви не розлютили когось по-справжньому, ви можете й надалі залишати ключі від дому вдома. Давайте будемо чесними, якщо ви так розлютили їх, звичайний засув, мабуть, не дуже допоможе. Але це не означає, що ви можете повністю розгубити свою пильність. Обов’язково регулярно перевіряйте наявність оновлень у технології розумного дому, використовуйте менеджери паролів і 2FA, і, найголовніше, ніколи, ніколи не кажіть: «Я зараз повернуся».

Рекомендації редакції

• У 2024 році уряд США запустить нову програму кібербезпеки для розумних домашніх пристроїв
• 6 розумних домашніх пристроїв, які можуть заощаджувати сотні на рік
• Розумні будинки без Wi-Fi: величезні можливості чи перешкоди?
• Цей південнокорейський «розумний дім» — ще одна причина, чому вам варто захистити свій дім
• Південнокорейський «розумний дім» — це кошмари