IMWU-nlComo os hackers estão tornando sua casa inteligente mais segura
NotíciaDe PCs e telefones e carros conectados, aprendemos um fato imutável: se você puder acessar remotamente alguma coisa, mais cedo ou mais tarde alguém tentará hackear. Um dos nossos exemplos favoritos envolve os banheiros inteligentes Satis no Japão, cujas conexões Bluetooth podem ser seqüestradas para assediar e encharcar seus ocupantes.
Nós rimos, mas depois pensamos: e se esse fosse o nosso banheiro, e nós éramos os que estavam encharcados??
Diga olá para o lado negativo da tecnologia doméstica inteligente.
Mas acontece que algumas das pessoas com o poder de atacar sua inteligente e conectada morada são as mesmas pessoas que estão no portão, encontrando as façanhas antes que aqueles com más intenções violem as muralhas da fortaleza - eles são os hackers que protegem seus espertos casa.
Hacks já estão aqui
Você pode pensar que este problema não é algo para se preocupar agora, mas o hacking em casa inteligente não é uma ameaça futura..
Em 2013, a Trustwave descobriu que dois dos principais sistemas de automação residencial dos EUA - o MIOS e o Insteon Hub - tinham vulnerabilidades que podiam permitir a vigilância secreta, abrir portas e causar sérios danos aos ocupantes da casa..
Mais tarde, no mesmo ano, hackers da Black Hat demonstraram hacks bem-sucedidos em fechaduras domésticas inteligentes, tomadas de energia domésticas inteligentes, hubs domésticos inteligentes e até mesmo brinquedos domésticos inteligentes..
Hackear a Internet das Coisas se tornou uma característica comum dos eventos de hackers: no DEF CON 2015, 25 hackers descobriram 25 vulnerabilidades desconhecidas em dispositivos da Internet of Things, permitindo que manipulassem escalas inteligentes, comprometessem uma geladeira na Internet e controlassem câmeras, termostatos e monitores de bebê.
No ano seguinte, foi a vez de Nest, com um corte de 15 segundos transformando o termostato em um espião secreto e fornecendo um backdoor para a rede doméstica..
Essa exploração exigia acesso físico ao dispositivo, mas você saberia o que procurar se estivesse comprando um Nest do eBay ou um vendedor da Amazon de terceiros?
"Há muito mais a segurança em casa inteligente do que um dispositivo pode revelar sobre si mesmo e, portanto, sobre você", diz Paul Ducklin, tecnólogo sênior da empresa de segurança de TI Sophos. "Esse problema já é ruim o suficiente se o dispositivo for uma webcam, um monitor para bebês ou um rastreador de veículos, é claro, mas está longe da soma de todos os riscos.
"Também há o que o dispositivo pode revelar sobre a sua rede, como o iKettle, que não podia ferver a água quando você não esperava, mas abrir mão da sua senha Wi-Fi e permitir que um criminoso cibernético em toda a sua rede. "
Depois, há a segurança do aplicativo de smartphone obrigatório e dos dados que seus dispositivos coletam. Alguém poderia acessar o seu sistema de casa inteligente ou seus dados pessoais por hackear o site do provedor??
Como hackear uma casa inteligente
Ollie Whitehouse é diretor técnico da NCC Group, especialista em segurança cibernética. "À medida que nossas casas se tornam altamente conectadas, existem vários riscos introduzidos a partir de produtos 'inteligentes' inseguros", disse ele ao techradar..
"Os atacantes podem desativar os alarmes de intrusos, transformar os dispositivos inteligentes em dispositivos de rastreamento ou simplesmente usar os dispositivos inteligentes para acessar outros sistemas em sua rede doméstica. Infelizmente, o que começa como diversão ou travessura pode se transformar em algo mais sério."
Como Whitehouse ressalta, a maioria dos sistemas domésticos inteligentes se conecta a um portal baseado em nuvem que é bastante difícil de comprometer, mas a rede local é um alvo muito mais fácil.
"Seria relativamente fácil imaginar malware distribuído por meios tradicionais, como e-mail, phishing e sites comprometidos, que exploram a tecnologia inteligente local vulnerável..
"Já vimos o surgimento de exploits para dispositivos 'inteligentes' destinados ao lar, que são utilizáveis por pessoas tecnicamente experientes", acrescenta ele..
Whoa-Fi
O equivalente eletrônico de um ladrão que verifica se as portas e janelas estão trancadas é um possível hacker que está testando a sua casa Wi-Fi.
"Wi-Fi é o primeiro porto de escala para um ataque local", explica Whitehouse. "Se os atacantes puderem ter acesso a eles, poderão essencialmente atacar todos os dispositivos, ou pelo menos todos os dispositivos conectados a esse hub."
E você não precisa se preocupar apenas com alguém acessando seu Wi-Fi. Os bloqueadores de sinal podem bloquear transmissões de controles remotos, teclas ou aplicativos, tornando-os inúteis, ou os sinais podem ser clonados - algo que os ladrões de carros vêm fazendo com os controles remotos de carros há alguns anos.
O NCC Group hackou todos os tipos de coisas, incluindo roteadores, hubs, smart TVs e players de Blu-Ray conectados, e muitas vezes é muito fácil de fazer.
"A metodologia empregada é semelhante à usada contra empresas", diz Whitehouse. Os hackers podem verificar sinais sem fio em busca de segurança fraca, ou podem tentar convencer os usuários a entregar detalhes de login..
Uma vez que eles estão, eles têm as chaves para toda a casa inteligente. "Muitas vezes é trivial negar serviço ou comprometer outros dispositivos", acrescenta Whitehouse..
Você nem precisa ser um hacker habilidoso para isso. Já existe um equivalente em casa inteligente do script kiddie, alguém usando ferramentas prontas para realizar hacks. Paul Ducklin diz que uma dessas ferramentas, chamada Shodan, "tem sido tudo que alguns pesquisadores precisaram até agora".
OMG, OEMs
Uma crítica comum à tecnologia de residências inteligentes é que a segurança nem sempre é levada a sério pelos fabricantes, que usam plataformas inseguras ou não implementam a segurança adequadamente.
Isso abre a porta para ferramentas como o EZ-Wave, que pode penetrar nas redes domésticas Z-Wave. O Z-Wave é uma conexão sem fio de baixa potência para dispositivos domésticos inteligentes, como lâmpadas inteligentes, e o EZ-Wave pode destruir essas lâmpadas ao ligá-las e desligá-las em alta velocidade até que elas falhem.
Os criadores da ferramenta, Joseph Hall e Ben Ramsey, observam que também é possível desabilitar os alarmes de portas ou janelas e desligar os termostatos em climas congelantes para causar canos de ruptura..
Sua ferramenta não é projetada para tais atos - eles apontam que o EZ-Wave em si é apenas uma ferramenta de varredura - mas a ferramenta inclui tudo o que você pode precisar para explorar dispositivos Z-Wave que não usam criptografia..
O Z-Wave inclui criptografia que torna ferramentas como o EZ-Wave ineficaz - infelizmente alguns fabricantes não se preocuparam em usá-lo.
Como Ramsey e Hall disseram na conferência de segurança da SchmooCon em janeiro de 2016: "Suporte a criptografia já! Torne-o padrão; deixe-me decidir se não quero minhas coisas seguras".
O diretor executivo da Z-Wave Alliance, Mitchell Klein, disse em um comunicado que enquanto a empresa oferece criptografia AES em todos os produtos, "muitos fornecedores optaram por implementar segurança apenas em dispositivos de acesso, gateways e hubs, e não em outros dispositivos domésticos"..
No futuro, a Z-Wave disse que tornará tais medidas de segurança obrigatórias em tudo.
"Produtos seguros custam mais para serem desenvolvidos e os fornecedores no espaço do consumidor estão trabalhando em margens muito pequenas", diz Whitehouse. Ele dá o exemplo de uma fechadura digital: como o fabricante cortou os cantos na segurança, a NCC conseguiu cortá-lo e desbloqueá-lo com facilidade. "Os consumidores desses produtos não estão em condições de avaliar suas credenciais de segurança", acrescenta.
Hackers são, no entanto. A Z-Wave quer criar uma plataforma genuinamente à prova de hackers, e para isso é contratado hackers para testar as medidas de segurança em sua estrutura de segurança S2, que será lançada no verão de 2016 e que estará disponível para dispositivos Z-Wave existentes..
Raoul Wijgergangs é vice-presidente da Z-Wave na Sigma Designs. "Envolvemos hackers e especialistas em segurança externa na criação e revisão da especificação de segurança", disse ele ao techradar..
"A equipe queria que muitas fontes externas olhassem por cima de nossos ombros, para que tivéssemos novos olhos olhando para possíveis brechas e brechas para que pudéssemos abordar qualquer coisa possível."
A Z-Wave também está "planejando ativamente" hackathons, onde os hackers recebem carta branca para tentar quebrar a segurança, no final deste ano..
Mas nem todo mundo acha que contratar hackers é a abordagem correta. "É como insistir que os melhores bombeiros devem ter sido piromaníacos ou incendiários em sua juventude", diz Paul Ducklin, da Sophos..
"Ser um cibercriminoso simplesmente não lhe dá a habilidade e a disciplina necessárias para fazer pesquisas científicas de alta qualidade, legais, científicas, repetíveis e devidamente autorizadas."
Isso é verdade, mas como eventos como o DEF CON demonstram todos os anos, os hackers são muito bons em encontrar vulnerabilidades que os outros perderam.
Bloqueie seus roteadores
Os espertos entre nós não sonham em deixar um PC com Windows conectar-se à Internet sem algum tipo de software de segurança - mas muitos podem não pensar o mesmo sobre a proteção de um interruptor de luz porque, bem, é um interruptor de luz..
Como Ollie Whitehouse diz, "os consumidores vão adotar a tecnologia por causa dos recursos e benefícios que eles trazem, muitas vezes sem pensar nas implicações de segurança, e alguns OEMs levam a segurança mais a sério do que outros"..
Paul Ducklin concorda. "Parece ser mais sobre o fornecedor do que sobre a plataforma", explica ele, observando que embora seja um grande fã da casa inteligente - "é muito legal", ele diz - "a segurança geralmente ocupa o segundo ou terceiro lugar em dispositivos domésticos construídos". até um preço, então por que correr o risco? "
Para Ducklin, trata-se de atingir o equilíbrio certo entre risco e recompensa; a utilidade do dispositivo versus suas potenciais desvantagens.
E isso pode exigir alguns hacks de alto perfil para que os OEMs - e nós, seus clientes - prestem atenção.
Como Raoul Wijgergangs observa: "A mídia e os esforços de alto perfil para hackear dispositivos aumentarão o perfil e obrigarão os fabricantes e órgãos de normas a prestarem atenção". Agora, "nem todo mundo está pronto para se comprometer com um esforço para revisar suas plataformas".
Ollie Whitehouse concorda. "Podemos e devemos esperar explorações em massa como temos com os sistemas tradicionais de TI, móveis, de controle da indústria e carros conectados", diz ele..
"Os fornecedores têm que ser economicamente incentivados a investir em segurança, mas na maior parte dos dias de hoje há pouca ou nenhuma penalidade em termos de vendas ou regulamentação."
Isso mudará, porque é necessário - não apenas para as pessoas que estão investindo em tecnologia doméstica inteligente agora, mas para as milhões de pessoas que os fabricantes esperam alcançar no futuro. A tecnologia de casa inteligente precisa ser útil, confiável, segura e protegida. Se não for, então não é muito inteligente em tudo.