Attack av smarta hemenheter

Det går inte att förneka att Internet of Things (IoT) har blivit en het produktkategori, vilket framgår av det stora utbudet av IoT-erbjudanden vid den senaste CES – från TV-apparater, högtalare och hemautomationsprodukter som kameror och termostater till kylskåp och, tror det eller inte, speglar. Om du redan äger en smart enhet eller till och med funderar på att köpa en (eller flera), var medveten om att var och en av dem för med sig integritets- och säkerhetshot, enligt säkerhetsbranschens experter.

Denna oro underströks nyligen när WikiLeaks släppte dokument online som hävdade att CIA hackade smarta enheter, inklusive Samsungs smarta TV-apparater. Hackningen av dessa TV-apparater bekräftade de värsta farhågorna hos alla som redan var nervösa för de inbyggda mikrofonerna som används för att förstå människors röstkommandon. Alla som får kontroll över dessa TV-apparater kan tydligen höra allt vi säger när de är i närheten.

Samsung gav för sin del detta uttalande: "Att skydda konsumenternas integritet och säkerheten för våra enheter är en högsta prioritet hos Samsung. Vi är medvetna om rapporten i fråga och undersöker omgående saken." Företaget sa att den "skadliga" programvaran som beskrivs av WikiLeaks installerades via en fysiskt ansluten USB-enhet som gällde firmware på TV-apparater som såldes 2012 och 2013, "varav de flesta redan har patchats genom en firmwareuppdatering." Det tillade det på Samsung, "vi övervakar kontinuerligt för eventuella säkerhetsrisker" över dess smarta TV-plattform och "om vi hittar en, åtgärdar vi det omgående." Alla som är oroliga för att använda Samsungs smarta TV-apparater kan vidta åtgärder för att bli säkrare, sade den, och förklarade: "Den bästa åtgärden som konsumenter kan vidta för att säkerställa säkerheten för alla enheter är att alltid hålla sin mjukvara och applikationer uppdaterade hela tiden."

Ett ökande antal konsumenter experimenterar med konceptet att styra AV- och hemautomationsenheter genom ett smart nav av något slag – vare sig det är Samsungs SmartThings eller Amazon Echo, en av den senaste semestersäsongens mest sålda produkter. När allt kommer omkring är det bekvämt och ganska snyggt att styra allt från soffan medan du tittar på en film eller en fotbollsmatch. När allt kommer omkring, varför skulle vi behöva stå upp och gå tvärs över rummet för att vrida termostaten upp eller ner när vi inte behöver en öl till eller måste ta en paus i badrummet?

Oavsett om du använder sådana enheter i ditt hemmabiosystem eller någon annanstans i huset, finns det flera sätt att skydda dig mot integritet och säkerhetshot.

Fara, Will Robinson (eller vad du nu heter)! Fara!
Enligt Bryce Boland, Chief Technology Officer för Asien och Stillahavsområdet på cybersäkerhetsföretaget FireEye, "Konsumenter måste sätta ett mycket högre värde på sin cybersäkerhet än de gör idag" eftersom "enheterna du sätter i ett hemnätverk potentiellt kan exponera alla enheter och data på nätverket till brottslingar."

"Dessa brottslingar kan utnyttja denna åtkomst för att komma till ditt bankkonto, försöka utpressa dig, utnyttja dina enheter för att utföra attacker mot andra mål eller orsaka skada på andra sätt", sa han och tillade: "Konsumenter måste vara medvetna om dessa utvecklande risker för om de inte är det kommer de att utnyttjas."

Personlig cybersäkerhet är en "stor fråga" idag, och den "kommer bara att bli viktigare under de kommande åren", förutspådde han. De flesta av oss tenderar att tänka mycket mer på säkerheten i våra hem än säkerheten för våra enheter och information. Men "att bryta sig in i hem är inte särskilt vanligt på de flesta platser eftersom det är en relativt högriskaktivitet – tjuvar som fångas åtalas ofta", sa Boland.

Cyberattacker, å andra sidan, är "ganska låg risk och åtalas ofta inte på grund av brottets karaktär och dess internationella karaktär." Det finns helt enkelt inte "bra lösningar på marknaden idag", fortsatte han med att förklara. På företagsarenan tenderar företag att föredra att prenumerera på säkerhetserbjudanden som "hjälper till att täppa till säkerhetsklyftan och hantera risker", men "Vi är långt ifrån att se en utbredd användning av effektiva personliga säkerhetsprodukter på marknaden idag."

De smarta enheterna som tillverkarna skickar "bör vara säkrade som standard, ur lådan" eftersom "om konsumenten inte behöver göra något för att enheten ska fungera, ska de inte behöva göra något för att enheten ska fungera säkert ", sa han och tillade: "Detta betyder att enhetstillverkare inte bör använda hårdkodade eller standardlösenord."

Boland fortsatte med att säga att enhetstillverkare också bör "se till att de enheter de skickar lätt kan underhållas och uppdateras." Tillverkare måste använda denna förmåga för att "åtgärda nyligen upptäckta sårbarheter och nya hot." Tyvärr använder de flesta av dem externa kodbibliotek idag. Vad det betyder är att "även om deras egen kod är helt säker, kan deras kunder exponeras för sårbarheter som upptäcks i dessa externa bibliotek", förklarade han.

Även om enhetstillverkare "inte kan tillhandahålla perfekt säkerhet" är vad de kan göra "investera i ett team som säkerställer att deras enheter är så säkra som möjligt som standard, och de kan övervaka och svara på den pågående säkerheten" för deras produkt. Varje tillverkare måste ha ett team av människor som hanterar säkerheten för sina tidigare, nuvarande och kommande produkter under deras produkters livscykel. "Om tillverkarna inte gör det, bör de anta att deras produkter kommer att äventyras av angripare förr snarare än senare", sa Boland.

De flesta tillverkare idag har inte ens "effektiva, dedikerade säkerhetsteam" eftersom "ekonomin inte är gynnsam för säkerheten", så det är ofta bara en "marknadsexternalitet tills tillsynsmyndigheter engagerar sig", sa han. Han förutspådde att "regeringar kommer att behöva intensifiera sin reglering av enhetstillverkare innan vi ser omfattande förbättringar."

Under tiden, sa han, finns det några saker som konsumenter kan göra för att skydda sig mot intrång:
1 Se till att dina enheter kör den senaste firmware.
2 Använd starka, unika lösenord på alla dina enheter och konton, inklusive ditt Wi-Fi.
3 Inaktivera nätverksåtkomst på enheter där det inte behövs. Om din stereo till exempel inte behöver vara online, anslut den inte.
4 Se till att din hemrouter kommer från en ansedd leverantör och kör en aktuell version av sin programvara utan kända sårbarheter.
5 Använd ett separat nätverk för dina mobila enheter och datorer än för dina IoT-enheter. Vissa routrar har en gästnätverksfunktion som kan användas för enheter som behöver internetåtkomst men som inte behöver åtkomst till ditt hemnätverk.
6 Använd endast enheter från välrenommerade tillverkare som utfärdar uppdateringar.
7 Överväg att inaktivera molnstödet/kontona på enheter där det inte behövs.
8 Dagens hemnätverk är nästan lika komplext som nätverket för småföretag för 10 år sedan. Om du vill anstränga dig extra kan du installera en router för småföretag i ditt hemnätverk och använda virtuella LAN (VLAN) för att segmentera varje enhet i sitt eget nätverk och sedan styra vad varje enhet kan göra. Detta kan förbättra både prestanda och säkerhet … men det kommer med en mycket mer komplicerad initial installation.

Var försiktig med den apparaten, Eugene (eller vem du än är)
Shagorika Dixit, senior manager för Norton Consumer IoT Security på Symantec, höll med om att konsumenter verkligen borde vara bekymrade över säkerhets- och integritetsfrågor när det kommer till smarta hemenheter. Faktum är att Symantec i tester "hittade sårbarheter i 50 olika typer av uppkopplade hemenheter, allt från smarta termostater till smarta hubbar", sa hon.

Hon tillade: "Konsumenter bör vara lika bekymrade över alla anslutna enheter." Det beror på att hackare kan få tillgång till en smart kamera, ett smart lås eller en mängd andra enheter. "Medan vissa risker kan verka mer skrämmande än andra, utgör de flesta uppkopplade enheter någon form av risk, oavsett om det är en cyberkriminell som får fysisk åtkomst till en enhet eller bryter personlig information", sa hon. Konsumenter bör därför vidta "försiktighetsåtgärder för att säkerställa att ALLA anslutna enheter är ordentligt skyddade, vilket är anledningen till att Norton föreslår att du skyddar enheter på nätverksnivå", sa hon till oss.

I takt med att fler och fler uppkopplade enheter fyller våra hem, ökar också mängden ingångspunkter för cyberkriminella att infiltrera våra prylar och stjäla känslig personlig information. Hackare har lärt sig att dra fördel av det faktum att många konsumenter inte ändrar standardinställningarna och lösenorden på sina smarta hemenheter, och många anslutna enheter är ännu inte tillverkade med säkerhet i åtanke, sa Dixit.

"Oroa dig inte. Situationen är under kontroll."
Tillverkarens representanter som vi kontaktade för den här historien medgav att det finns potentiella integritets- och säkerhetsproblem med smarta hemenheter, men de sa att konsumenter inte borde oroa sig för mycket när de använder sina företags produkter (naturligtvis).

Teknologier som LG:s Smart ThinQ och Deep ThinQ, tillsammans med tillverkarens Hub Robot, "kommer att ge nya nivåer av njutning, bekvämlighet och energibesparingar" för konsumenter, säger John Taylor, vice president för public affairs på LG Electronics USA. "Samtidigt är vi känsliga för integritets-/säkerhetsproblem", och LG är "stolta över sin meritlista när det gäller att skydda konsumenters personliga information på smart-TV-arenan – och samma åtagande går över till våra anslutna apparater, som väl", sa han.

Taylor berättade för oss att "state-of-the-art datasäkerhet och integritetsåtgärder är designade från början" med LG-produkter. "Som sagt, det här är ett hett ämne som, med rätta, kommer att få allt större uppmärksamhet över hela branschen när IoT-utrymmet fortsätter att utvecklas", sa han.

Han tillade: "Ett första steg är att utbilda konsumenter om de steg de kan vidta för att säkra sina enheter och hemnätverk." För det ändamålet, sade han, arbetar LG med Consumer Technology Association på en nationell public service-kampanj för att uppmuntra konsumenter att använda starka lösenord och ge råd om andra åtgärder de kan vidta för att öka säkerheten på sina nätverk och enheter. Taylor berättade att han inte var medveten om några säkerhetsintrång med LG:s smarta hemenheter.

"Konsumenter bör vara medvetna om men inte alltför oroliga för de mycket verkliga farorna som finns där ute, och det är vårt ansvar som bransch att förtjäna deras förtroende", säger Sol Hedaya, kategorichef på Merkury Innovations, tillverkare av den nya Geeni-linjen av smart hemprodukter som inkluderar en rad smarta glödlampor, kameror och strömlösningar.

"När vi vänjer oss vid att allt runt omkring oss är anslutet till internet, finns det stora vinster för vårt samhälle men också verkliga faror", medgav Hedaya. "De vanligaste problemen vi har sett i det smarta hemmet är för inkräktare som attackerar enheter (särskilt kameror) som har ett enkelt att gissa standardlösenord eller till och med inget lösenord alls." Han tillade: "Varje oskyddad enhet på Internet som helst kan snabbt bli utsnövad och utnyttjad, och blir ofta ett ovetande medel för ytterligare attacker på andra. Som sådan tar vi säkerheten på största allvar, inklusive militär-gradig AES-datakryptering, krypteringsalgoritmer under autentisering, HTTPS-krypterade kanaler och mer."

Företaget har bara haft begränsad distribution av den nya Geeni-linjen hittills, men "inga intrång har rapporterats i de enheter vi har där ute", sa han.

Andra tillverkare har inte haft sån tur. Symantecs Dixit pekade på den allmänt rapporterade DDoS-attacken (Distributed Denial of Service) som inträffade i oktober, där hackare kunde infektera ett nätverk av IoT-enheter för att ta ner flera webbplatser. Avbrott rapporterades initialt främst på USA:s östkust, men även europeiska platser påverkades. Webbplatser som var infekterade inkluderar Netflix och Twitter.

Därför, precis som i filmerna, om en enhetstillverkare säger åt dig att inte oroa dig eftersom de har situationen under kontroll, ta det med åtminstone en nypa salt. Och se till att du har vidtagit så många försiktighetsåtgärder som möjligt när du konfigurerar en smart hemenhet.