Gosip ngeunaan ngetok alat pinter parantos beredar mangtaun-taun. Teu ragu, anjeun geus ngadéngé atawa dua carita ngeunaan kumaha batur dibahas, sebutkeun, mesin kopi anyar di gawe, lajeng ieu bombarded ku advertisements online pikeun, enya, mesin kopi. Kami parantos nguji hipotésis ieu, sareng nyimpulkeunana advertisers teu eavesdrop – aranjeunna gaduh seueur cara anu kirang dramatis tapi langkung efektif pikeun nargétkeun iklan. Tapi meureun jaman anu robih? News nembe peupeus (di dieu jeung di dieu) ngeunaan dua pausahaan pamasaran disangka bragging ngeunaan maturan iklan sasaran dumasar solely on maranéhanana intercepts. Mémang, duanana pausahaan engké leumpang deui kecap maranéhanana sarta dipiceun pernyataan relevan tina situs web maranéhanana. Nanging, urang mutuskeun pikeun ningali kaayaan ieu ku cara anu énggal.

Naon klaim pausahaan

Dina telepon sareng klien, podcast, sareng blog, CMG sareng Mindshift nyarioskeun carita anu sami – sanaos tanpa detil téknis: smartphone sareng TV pinter disangka ngabantosan aranjeunna ngenal kecap konci anu tos ditangtukeun dina paguneman masarakat, anu teras dianggo pikeun nyiptakeun pamiarsa khusus. Pamirsa ieu, dina bentuk daptar anonim tina nomer telepon, alamat email, sareng KTP iklan, tiasa diunggah kana sababaraha platform (tina YouTube sareng Facebook ka Google AdWords sareng Microsoft Advertising) sareng dianggo pikeun nargétkeun iklan ka pangguna.

Lamun bagian kadua ngeunaan unggah audiences custom disada cukup lumrah, teras bagian kahiji leuwih ti samar. Henteu jelas pisan tina pernyataan perusahaan naon aplikasi sareng téknologi anu aranjeunna anggo pikeun ngumpulkeun inpormasi. Tapi dina tulisan blog anu panjang (ayeuna dihapus), petikan non-teknis di handap ieu paling menonjol: “Kami terang naon anu anjeun pikirkeun. Naha ieu sah? Éta sah pikeun telepon sareng alat ngadangukeun anjeun. Nalika unduhan atanapi pembaruan aplikasi énggal nyorong konsumén nganggo istilah multi-halaman ngeunaan perjanjian pamakean dina citak anu saé, Dengekeun Aktif sering kalebet.

Saatos diganggu ku wartawan, CMG ngahapus tulisan éta tina blogna sareng ngaluarkeun hapunten / klarifikasi, nambahan yén teu aya pihak anu ngalaksanakeun panyadapan, sareng data nargetkeun “sumberna tina média sosial sareng aplikasi anu sanés.”

A parusahaan kadua, Mindshift, quietly dipiceun sagala pesen pamasaran ngeunaan formulir ieu iklan tina ramatloka na.

Iraha aranjeunna ngabohong?

Jelas, marketers “misspoke” ka klien maranéhanana dina ngajangjikeun iklan sora-diaktipkeun, atawa media. Paling dipikaresep anu dimaksud nyaéta urut; ieu sababna:

  • Sistem operasi modern jelas nunjukkeun nalika mikropon dianggo ku aplikasi anu sah. Sareng upami, sebutkeun, sababaraha aplikasi cuaca terus ngupingkeun mikropon, ngantosan, sebutkeun, kecap “mesin kopi” kabur tina biwir anjeun, ikon mikropon bakal terang dina panel béwara sadaya sistem operasi anu pang populerna.
  • Dina telepon sélulér sareng alat sélulér sanés, ngetok terus-terusan bakal nyéépkeun batré sareng nganggo data. Ieu bakal perhatikeun sarta ngabalukarkeun gelombang hatred.
  • Terus-terusan nganalisa aliran audio tina jutaan pangguna bakal meryogikeun kakuatan komputasi anu ageung sareng janten kabodoan kauangan – sabab kauntungan pariwara henteu tiasa nutupan biaya operasi nargetkeun sapertos kitu.

Sabalikna sareng kapercayaan umum, pendapatan taunan platform iklan per pangguna rada leutik: kirang ti $4 di Afrika, rata-rata sakitar $10 di sakuliah dunya, sareng dugi ka $60 di AS. duit keur eavesdropping. Jalma anu ragu diondang pikeun diajar, contona, harga pangakuan ucapan Google Cloud: bahkan dina harga grosir anu paling diskon (dua juta+ menit ngarékam audio per bulan), pidato kana konversi téks ngarugikeun 0,3 cents per menit. Anggap minimum tilu jam pangakuan sora per poé, klien bakal kudu méakkeun ngeunaan $200 per taun pikeun tiap pamaké – teuing malah pikeun parusahaan iklan AS.

Kumaha upami asisten sora?

Sanajan kitu, alesan di luhur bisa jadi teu dilarapkeun ka alat eta geus ngadéngé pikeun paréntah sora dumasar kana sifat tujuan ahirna. Anu pangheulana sareng anu paling penting nyaéta spiker pinter, ogé smartphone sareng asisten sora aktip sacara permanén. Alat anu kirang jelas kalebet TV pinter anu ogé ngabales paréntah sora.

Numutkeun kana Amazon, Alexa salawasna ngadangukeun kecap hudang, tapi ngan ukur ngarékam sareng ngirim data sora ka awan saatos ngupingkeunana, sareng lirén pas interaksi sareng pangguna parantos réngsé. Pausahaan teu mungkir yén data Alexa dipaké pikeun targeting ad, sarta panalungtikan bebas confirms ieu. Sababaraha pangguna nganggap prakték sapertos kitu haram, tapi gugatan anu aranjeunna diajukeun ngalawan Amazon masih lumangsung. Samentawis éta, tindakan sanés anu diajukeun ngalawan Amazon ku Komisi Komunikasi Federal AS nyababkeun pakampungan $ 30 juta anu sederhana. Buta e-commerce ieu maréntahkeun pikeun mayar karuksakan alatan gagal ngahapus data barudak dikumpulkeun ku Alexa, dina palanggaran langsung tina Act Protection Privasi Online Barudak AS (COPPA). Pausahaan ogé dilarang ngagunakeun data anu dipanén sacara ilegal ieu pikeun kaperluan bisnis – khususna algoritma latihan.

Sareng kanyaho umum yén padagang asisten sora anu sanés ogé ngumpulkeun data interaksi pangguna: ieu anu panganyarna dina Apple sareng Google. Sakapeung, rekaman ieu didangukeun ku jalma hirup – pikeun ngajawab masalah téknis, ngalatih algoritma anyar, sareng sajabana. Tapi aranjeunna biasa nargétkeun iklan? Sababaraha panilitian mastikeun prakték anu sami ku Google sareng Amazon, sanaos ieu langkung seueur ngeunaan pamakean milarian sora atanapi sajarah pameseran tibatan ngetok kontinyu. Sedengkeun pikeun Apple, teu aya hubungan antara iklan sareng Siri dina pangajaran naon waé.

Kami henteu mendakan panalungtikan anu dikhususkeun pikeun paréntah sora TV pinter, tapi parantos lami dipikanyaho yén TV pinter ngumpulkeun inpormasi anu lengkep ngeunaan naon anu ditingali ku pangguna – kalebet data pidéo tina sumber éksternal (pamuter Disc Blue-ray, komputer, sareng sajabana). Teu tiasa dipungkir yén interaksi sora sareng asisten anu diwangun ogé dianggo langkung seueur tibatan anu disangka.

Kasus husus: spyware

Tangtosna, ngetok dina smartphone ogé kajantenan, tapi anu dimaksud di dieu sanés panjagaan massa pikeun tujuan pariwara, tapi spionase korban khusus. Aya seueur kasus panjagaan anu didokumentasikeun – palaku anu tiasa janten pasangan timburu, pesaing bisnis sareng bahkan agénsi intelijen anu bonafide. Tapi jenis ieu eavesdropping merlukeun pamasangan malware dina smartphone korban – sarta mindeng, “hatur nuhun” ka vulnerabilities, ieu bisa lumangsung tanpa aksi wae dina bagian tina target. Sakali smartphone katépaan, pilihan panyerang henteu terbatas. Simkuring boga runtuyan tulisan dedicated ka kasus sapertos: baca ngeunaan stalkers, mods utusan kainféksi, sarta, tangtosna, carita epik tina kapanggihna Triangulation urang, nu sugan Trojan paling canggih pikeun alat Apple kantos. Dina nyanghareupan ancaman sapertos kitu, ati-ati waé henteu cekap – ukuran anu disasarkeun diperyogikeun pikeun ngajaga smartphone anjeun aman, kalebet masang solusi panyalindungan anu dipercaya.

Kumaha carana nyegah wiretapping

  • Nonaktipkeun idin mikropon dina smartphone sareng tablet pikeun sadaya aplikasi anu henteu ngabutuhkeunana. Dina vérsi modéren sistem operasi sélulér, di tempat anu sami dina pangaturan idin sareng privasi, anjeun tiasa ningali aplikasi mana anu nganggo mikropon telepon anjeun (sareng sénsor anu sanés) sareng nalika. Pastikeun teu aya anu curiga atanapi anu teu kaduga dina daptar ieu.
  • Kontrol aplikasi mana anu gaduh aksés kana mikropon dina komputer Anjeun – setelan idin dina versi panganyarna tina Windows jeung macOS ampir sarua jeung dina smartphone. Tur masang panyalindungan dipercaya dina komputer Anjeun pikeun nyegah malware snooping.
  • Pertimbangkeun mareuman asisten sora. Sanaos anjeun henteu terus-terusan ngadangukeun, sababaraha snippét anu teu dihoyongkeun tiasa mendakan jalan kana paguneman anu dirékam anjeun sareng aranjeunna. Upami anjeun hariwang ngeunaan sora babaturan, kulawarga, atanapi batur sapagawean nuju ka server perusahaan global, paké kibor, beurit, sareng layar rampa.
  • Pareuman kadali sora dina TV anjeun. Pikeun ngagampangkeun nuliskeun ngaran, sambungkeun kibor nirkabel kompak ka TV pinter anjeun.
  • Ucapkeun pamit ka speaker pinter. Pikeun anu resep maén musik ngalangkungan spiker bari mariksa resep sareng motong sayuran, ieu mangrupikeun tip anu paling hese nuturkeun. Tapi speaker pinter hijina gadget sanggup eavesdropping on anjeun sarta ngalakukeun eta sadaya waktu. Janten anjeun kedah nampi kanyataan éta – atanapi hurungkeun ngan ukur nalika anjeun motong sayuran.


#Naha #smartphone #sareng #asisten #pinter #tiasa #nguping #paguneman #anjeun

Serangan Internét anyar-anyar ieu nyababkeun sababaraha situs populér teu tiasa dihontal. Ieu kalebet Twitter, Etsy, Spotify, Airbnb, Github, sareng The New York Times. Kajadian ieu nyorot ancaman anyar pikeun jasa online: botnets Powered by the Internet of Things (IoT). Serangan denial of service (DDoS) anu disebarkeun parantos aya salami langkung ti dasawarsa sareng, sabagéan ageung, parantos kajawab ku jasa kaamanan panyadia jaringan. Sanajan kitu, bentang robah.

Strategi utama dina serangan ieu nyaéta ngadalikeun sajumlah alat anu teras-terasan ngabahekeun tujuan kalayan pamundut jaringan. Target janten overloaded sarta requests valid teu bisa diolah. Saringan jaringan tradisional biasana nanganan ieu ku cara ngenal sareng meungpeuk sistem anu nunjukkeun kabiasaan jahat ieu. Nanging, nalika rébuan sistem ngalaksanakeun serangan, saringan tradisional ieu gagal ngabédakeun antara lalu lintas anu sah sareng jahat, nyababkeun kasadiaan sistem turun.

Cybercriminals, Hacker jeung IoT

Cybercriminals sareng peretas parantos mendakan senjata anyar dina perang ieu: IoT. Milyaran alat IoT aya, mimitian dina ukuran tina perhiasan ka traktor. Sadaya alat ieu gaduh hiji hal anu umum: aranjeunna nyambung ka internét. Sanaos sambungan ieu nawiskeun kauntungan anu saé, sapertos ngamungkinkeun para pangguna ngawaskeun bumi jarak jauh atanapi pariksa eusi kulkas, aranjeunna ogé nyababkeun résiko anu ageung. Pikeun peretas, unggal alat IoT ngagambarkeun anggota poténsial tentara bot na.

Serangan panganyarna ngalawan panyadia DNS utama masihan terang kana kerentanan ieu. Botnet anu ngandung puluhan atanapi ratusan rébu alat IoT anu dibajak berpotensi ngancurkeun sabagian ageung internét. Dina sababaraha bulan anu bakal datang, urang sigana bakal terang kumaha ageung ancaman anu ditimbulkeun ku alat ieu. Pikeun ayeuna, hayu urang ngagali kana aspék utama serangan IoT DDoS panganyarna.

5 Poin Penting pikeun Ngartos

Proliferasi tina Internet of Things (IoT) alat geus ushered dina era anyar genah digital, tapi ogé geus muka panto pikeun rupa-rupa masalah cybersecurity. Pikeun napigasi pajeulitna bentang digital ieu, hal anu penting pikeun ngarti lima titik konci:

1. Alat IoT anu teu aman nyababkeun résiko anyar pikeun sadayana

Unggal alat nu bisa hacked boga potensi pikeun jadi tentara botnets, nu bisa dipaké pikeun ngaruksak bagian kritis internét. Serangan sapertos kitu tiasa ngaganggu situs karesep anjeun pikeun streaming, sosialisasi, balanja, kasehatan, pendidikan, perbankan, sareng seueur deui. Hal-hal ieu berpotensi ngaleuleuskeun pondasi masarakat digital urang. Ieu negeskeun kabutuhan ukuran proaktif pikeun ngajagaan cara hirup digital urang sareng mastikeun kasadiaan terus-terusan jasa penting anu parantos janten bagian integral tina kahirupan modern.

Ngagali leuwih jero: Kumaha Berhargana Data Kaséhatan Anjeun?

2. Alat IoT sasaran ku hacker

Peretas bakal tarung pikeun ngajaga kadali aranjeunna. Sanaos malware anu dianggo dina botnet Mirai saderhana, éta bakal mekar gancang-gancang pikeun panyerang ngajaga kontrol. Alat IoT henteu ternilai pikeun peretas sabab tiasa ngalaksanakeun serangan DDoS anu dahsyat kalayan sakedik usaha. Nalika urang nangkeup genah IoT, urang ogé kedah nanggung tanggung jawab pikeun ngamankeun alat-alat ieu pikeun ngajaga integritas sareng daya tahan cara hirup urang anu beuki digital.

3. Serangan DDoS ti Alat IoT Anu Sesah sareng Hese Dilawan

Ngidentipikasi sareng ngirangan serangan tina sababaraha sistem tiasa diurus. Nanging, nalika puluhan atanapi ratusan rébu alat aub, ieu janten ampir teu mungkin. Sumberdaya anu diperyogikeun pikeun ngabela serangan sapertos kitu ageung sareng mahal. Salaku conto, serangan anyar anu ditujukeun pikeun ngaleungitkeun situs ngalaporkeun kaamanan Brian Krebs nyababkeun Wakil Présidén Kaamanan Wéb Akamai nyatakeun yén upami serangan sapertos kitu diteruskeun, éta bakal gampang ngarugikeun jasa cybersecurity jutaan dolar pikeun ngajaga situs éta sayogi. Panyerang sigana moal ngantepkeun alat-alat anu sok disambungkeun ieu, anu idéal pikeun ngabentuk botnet DDoS anu kuat.

Aya spekulasi yén nagara-nagara aya di tukangeun sababaraha serangan ieu, tapi ieu henteu mungkin. Panulis Mirai, botnet anu kasohor, sacara sukarela ngarilis kodeu ka masarakat, hal anu ampir pasti moal dilakukeun ku organisasi pamaréntah. Sanajan kitu, eta nangtung pikeun alesan yén sanggeus observasi kakuatan IoT botnets, nagara anu ngamekarkeun sarupa strategi-strategi kalawan kamampuhan leuwih maju. Tapi dina jangka pondok, cybercriminals jeung hacker bakal terus jadi panggerak utama serangan ieu.

Ngagali leuwih jero: Mirai Botnet Nyiptakeun Tentara IoT Orcs

4. Cybercriminals jeung Hacker Nyaeta Culprits Utama

Dina sababaraha bulan ka hareup, penjahat diharepkeun pikeun manggihan cara pikeun untung tina serangan ieu, kayaning ngaliwatan extortion. Panulis Mirai sacara sukarela ngaluarkeun kodeu ka masarakat — tindakan anu mustahil pikeun tim anu didukung pamaréntah. Nanging, éféktivitas botnet IoT henteu kapendak, sareng kamungkinan yén nagara-nagara parantos ngalaksanakeun strategi anu sami tapi kalayan kamampuan anu langkung maju.

Salaku waktu ngalir, diperkirakeun yén cybercriminals jeung hacker bakal tetep palaku utama balik serangan ieu. Dina mangsa nu bakal datang, grup ieu bakal neruskeun mangpaatkeun alat IoT teu aman pikeun ngalakukeun serangan DDoS dahsyat, sarta terus mekar métode maranéhna pikeun tetep dina forefront pertahanan.

Ngagali leuwih jero: Peretas Ngahurungkeun Phishing Pikeun Ngabiayaan Perjuanganna

5. Kamungkinan bakal parah sateuacan janten langkung saé

Hanjakalna, kalolobaan alat IoT kakurangan pertahanan kaamanan anu kuat. Alat anu ayeuna disasarkeun nyaéta anu paling rentan, seueur anu ngagaduhan kecap konci standar anu gampang diakses online. Iwal nu boga ngarobah sandi standar, hacker bisa gancang sarta gampang meunang kadali alat ieu. Kalawan unggal alat aranjeunna kompromi, aranjeunna mangtaun prajurit sejen pikeun botnet maranéhanana.

Pikeun ngalereskeun kaayaan ieu, sababaraha faktor kedah dipertimbangkeun. Alat kudu dirarancang kalayan merhatikeun kaamanan; aranjeunna kedah dikonpigurasi leres sareng dikokolakeun terus-terusan pikeun ngajaga kaamananna. Ieu ngabutuhkeun kamajuan téknis sareng parobihan paripolah pikeun ngiringan taktik hacker anu ngembang.

Tip McAfee Pro: Pembaruan parangkat lunak henteu ngan ukur ningkatkeun kaamanan tapi ogé nyayogikeun fitur anyar, kasaluyuan anu langkung saé, perbaikan stabilitas, sareng panyabutan fitur. Sanaos panginget apdet sering tiasa ngaganggu, aranjeunna pamustunganana ningkatkeun pangalaman pangguna, mastikeun yén anjeun tiasa maksimalkeun téknologi anjeun. Nyaho langkung seueur ngeunaan pentingna apdet software.

Pikiran Pamungkas

Ngamankeun alat IoT ayeuna mangrupikeun masalah anu penting pikeun sadayana. Sajumlah ageung alat IoT, ditambah ku kerentananna, nyayogikeun penjahat cyber sareng peretas kalayan sumber daya anu cukup pikeun ngadorong kampanye DDoS anu kuat. Kami nembé mimiti ningali serangan sareng masalah ngeunaan kaamanan IoT. Dugi ka palaksanaan kontrol komprehensif sareng paripolah tanggung jawab janten norma, urang bakal teras-terasan nyanghareupan tantangan ieu. Ku ngartos masalah ieu, urang nyandak léngkah munggaran nuju masa depan anu langkung aman.

Candak langkung léngkah sareng McAfee pikeun ngamankeun masa depan digital anjeun. Jelajahi solusi kaamanan kami atanapi baca blog sareng laporan cybersecurity kami.


#Hal #Penting #Anu #Perlu #Dipikanyaho #Ngeunaan #Serangan #IoT #Panganyarna

Godaan pikeun ngahémat artos nalika ngagaleuh alat anu mahal nyaéta pikabitaeun — gadget ti merek anu teu dipikanyaho tiasa nawiskeun spésifikasi anu sami pikeun fraksi harga merek anu langkung populér, bari gaduh set-top box Android atanapi Android TV tiasa. nyimpen duit. waragad dina rupa langganan.

Hanjakalna, alat-alat anu murah – sapertos tuang siang gratis – sering gaduh pitfalls, janten penting pikeun ngalakukeun panalungtikan anjeun sateuacan mésér.

Reuwas bahaya

“Kado” anu paling teu dihoyongkeun anu kadang-kadang dipendakan dina alat Android anu murah sareng henteu namina nyaéta malware anu tos dipasang. Ieu teu sagemblengna jelas naha aktor jahat dipasang eta langsung di pabrik, naha éta lumangsung dina jalan ka toko, atawa naha produsén haphazardly dipaké trojanized firmware pihak katilu, tapi pas anjeun muka kotak jeung ngahurungkeun alat anyar. , malware nu mana kana aksi. Jenis inféksi ieu bahaya pisan.

  • Trojan ieu hese dideteksi sareng ampir teu mungkin dihapus. Éta terpadu langsung kana firmware alat sareng gaduh hak istimewa sistem. Pangetahuan sareng parangkat lunak khusus diperyogikeun pikeun milarian sareng ngahapus aranjeunna, tapi teu aya jaminan yén malware bakal musna salamina sareng moal aktip deui.
  • Panyerang boga aksés pinuh ka alat jeung data. Tanpa meryogikeun idin atanapi pamundut, aranjeunna tiasa maok inpormasi, nyegat kodeu auténtikasi, masang program tambahan, sareng sajabana.

Penjahat siber ngadamel artos tina alat anu tos katépa ku sababaraha cara, anu sadayana ngarugikeun pembeli.

  • Penipuan pariwara. Alat mintonkeun iklan – mindeng discreetly dina jandela halimunan. Salaku bagian tina panipuan, software tambahan bisa dipasang dina alat nu simulates lampah pamaké katarik advertisements tangtu. Pikeun nu boga alat, ieu ngakibatkeun operasi slow sarta clutters memori smartphone anyar maranéhanana atawa set-top box.
  • Maling data sareng ngabajak akun. Cybercriminals teu boga masalah intercepting kecap akses, pesen, nomer kartu bank, kode auténtikasi, data geolocation atawa informasi mangpaat séjén ngaliwatan hiji alat kainféksi. Sababaraha ieu dipaké pikeun “marketing” (i.e., Iklan sasaran), sarta sababaraha dipaké pikeun schemes curang lianna.
  • Ngajalankeun proxy. Penjahat siber tiasa ngaktipkeun server proxy dina alat anu kainféksi, ngamungkinkeun urang luar ngaksés internét ku pura-pura janten korban, sareng nyumputkeun lagu sareng alamat IP anu nyata. Hasilna, nu boga alat bisa ngalaman lag internét parna, nepi ka sagala rupa daptar mungkir, komo narik perhatian agénsi penegak hukum.
  • Jieun akun online, sapertos dina WhatsApp atanapi Gmail. Akun-akun ieu teras dianggo pikeun ngirim spam, sareng nu gaduh alat tiasa mendakan larangan anti-spam sareng blokir anu ditumpukeun ku jasa ieu dina alat atanapi sadaya jaringan asal.

Hanjakal, skenario di luhur teu ilahar. Dina kasus pang anyarna taun ieu, sakitar 200 modél alat Android kapanggih katépaan ku skéma panipuan Badbox. Seuseueurna mangrupikeun kotak set-top TV murah tina sagala rupa merek anu dijual online atanapi di hypermarket éléktronik, tapi aya ogé tablet sareng smartphone, kalebet gadget anu dibeli pikeun sakola. Para ahli ngadeteksi Trojan Triada dina sakabéh éta. Malware Android ieu munggaran dipendakan ku analis Kaspersky dina taun 2016, sareng éta didadarkeun salaku salah sahiji anu paling canggih dina platform Android. Tangtosna, pamekar henteu cicingeun salami mangtaun-taun. Badbox nganggo alat anu kainféksi pikeun panipuan iklan sareng ngajalankeun proxy.

Taun ka tukang, Lemon Group kapanggih kalibet dina panipuan iklan – 50 merek béda alat Android katépa ku Trojan Guerilla. Taun 2019, Google nyorot kasus anu sami, tapi tanpa nyebatkeun pabrik khusus atanapi jumlah modél alat anu katépaan. Samentara éta, kajadian pangbadagna jenis ieu lumangsung dina 2016 sarta mangaruhan 700 juta smartphone anu dipaké pikeun maling data sarta panipuan iklan.

Fakta metot: fungsi Trojan malah nyieun kana telepon belet. Ancaman palaku “ngalatih” aranjeunna pikeun ngirim téks dumasar kana paréntah ti server sentral (contona, pikeun ngalanggan ladenan nu mayar) jeung neraskeun téks asup ka server sorangan, sahingga bisa ngagunakeun nomer telepon push-tombol pikeun ngadaptar. pikeun layanan anu merlukeun konfirmasi via téks.

spésifikasi palsu

Masalah kadua sareng alat Android anu murah ti pabrik anu teu dipikanyaho nyaéta bédana antara spésifikasi anu dinyatakeun sareng “ngeusian” anu saleresna. Kadang-kadang ieu lumangsung alatan kasalahan desain hardware. Contona, adaptor Wi-Fi-speed tinggi bisa disambungkeun ka USB 2.0 beus slow sahingga laju mindahkeun data dinyatakeun sacara fisik unattainable; atawa, alatan bug firmware, jangji mode HDR video teu jalan.

Sareng kadang-kadang ieu mangrupikeun kasus palsu, sapertos nalika alat anu ngajanjikeun 4GB RAM sareng resolusi 4K kanyataanna ngan ukur tiasa dianggo sareng 2GB sareng henteu nawiskeun kualitas gambar HD tapi 720p.

Masalah dukungan sareng ancaman kaamanan

Sanaos alat Android tingkat katilu henteu langsung kainfeksi malware, résiko kaamananna langkung ageung tibatan merek anu terkenal. Android salawasna perlu diropéa, sarta Google ngalereskeun kerentanan sarta ngaleupaskeun patch unggal bulan, tapi patch ieu ngan dilarapkeun ka alat Android murni (AOSP) jeung Google Pixel. Pikeun sakabéh versi sejen tina sistem operasi, apdet tanggung jawab produsén alat husus, sarta loba geus slow update firmware – lamun sagala. Kukituna, bahkan dina gadget énggal anjeun tiasa mendakan Android 10 anu luntur, sareng ngan saatos sababaraha taun dianggo, sadaya parangkat lunak anu dipasang dina éta bakal angkat ka musium.

Kumaha ngagabungkeun ékonomi jeung kaamanan

Kami henteu mamatahan pangguna ngan saukur mésér gadget anu mahal — henteu sadayana hoyong atanapi mampuh ngalakukeun ieu. Tapi nalika milih alat anggaran, éta hadé pikeun nyandak pancegahan tambahan:

  • Pilih merek anu parantos lami sareng aktip dijual di seueur nagara — sanaos éta henteu kawéntar.
  • Upami anjeun teu acan kantos nguping produsén khusus, entong nyéépkeun waktos anjeun maca online ngeunaan set-top box, TV atanapi modél telepon khusus – tapi ngeunaan perusahaan éta sorangan.
  • Diajar situs wéb perusahaan sareng pariksa yén bagian dukungan ngagaduhan detil kontak, inpormasi jasa, sareng – anu paling penting – apdet firmware sareng petunjuk unduh.
  • Baca ulasan pembeli dina forum khusus – sanés dina pasar atanapi situs wéb toko. Perhatosan khusus kana korelasi antara spésifikasi nyata sareng nyata, kasadiaan apdet, sareng paripolah alat anu anéh atanapi curiga.
  • Upami anjeun gaduh kasempetan ningali alat dina aksi langsung di toko, lakukeun. Di dinya, buka setélan sareng tingali upami aya pilihan pikeun masang apdet. Sareng pariksa ogé sabaraha lami Android anu dipasang. Naon waé anu aya di handap vérsi 12 tiasa dianggap katinggaleun jaman.
  • Bandingkeun harga alat anu anjeun pikahoyong sareng merek Cina top sapertos Huawei atanapi Xiaomi. Alat anu kirang dikenal tapi kualitas luhur kalayan spésifikasi anu sami tiasa satengah harga merek Cina anu “kawentar” – tapi bédana tina sababaraha pesenan ageungna curiga.
  • Pas anjeun ngagaleuh alatna, kenalkeun diri anjeun sareng setélanna, ngapdet firmware ka versi anu pang anyarna, teras cabut atanapi mareuman sadaya aplikasi anu sigana ngaleuwihan sarat dina setélan.
  • Pikeun alat anu ngamungkinkeun pamasangan aplikasi, pasang panyalindungan Android lengkep langsung saatos ngagaleuh sareng aktivasina.


#Malware #spésifikasi #palsu #sareng #masalah #sanésna #dina #alat #Android #anu #murah

Over the first 23 years of this century, the Linux operating system has become as ubiquitous as Windows. Although only 3% of people use it on their laptops and PCs, Linux dominates the Internet of Things, and is also the most popular server OS. You almost certainly have at least one Linux device at home — your Wi-Fi router. But it’s highly likely there are actually many more: Linux is often used in smart doorbells, security cameras, baby monitors, network-attached storage (NAS), TVs, and so on.

At the same time, Linux has always had a reputation of being a “trouble-free” OS that requires no special maintenance and is of no interest to hackers. Unfortunately, neither of these things is true of Linux anymore. So what are the threats faced by home Linux devices? Let’s consider three practical examples.

Router botnet

By running malware on a router, security camera, or some other device that’s always on and connected to the internet, attackers can exploit it for various cyberattacks. The use of such bots is very popular in DDoS attacks. A textbook case was the Mirai botnet, used to launch the largest DDoS attacks of the past decade.

Another popular use of infected routers is running a proxy server on them. Through such a proxy, criminals can access the internet using the victim’s IP address and cover their tracks.

Both of these services are constantly in demand in the cybercrime world, so botnet operators resell them to other cybercriminals.

NAS ransomware

Major cyberattacks on large companies with subsequent ransom demands — that is, ransomware attacks, have made us almost forget that this underground industry started with very small threats to individual users. Encrypting your computer and demanding a hundred dollars for decryption — remember that? In a slightly modified form, this threat re-emerged in 2021 and evolved in 2022 — but now hackers are targeting not laptops and desktops, but home file servers and NAS. At least twice, malware has attacked owners of QNAP NAS devices (Qlocker, Deadbolt). Devices from Synology, LG, and ZyXEL faced attacks as well. The scenario is the same in all cases: attackers hack publicly accessible network storage via the internet by brute-forcing passwords or exploiting vulnerabilities in its software. Then they run Linux malware that encrypts all the data and presents a ransom demand.

Spying on desktops

Owners of desktop or laptop computers running Ubuntu, Mint, or other Linux distributions should also be wary. “Desktop” malware for Linux has been around for a long time, and now you can even encounter it on official websites. Just recently, we discovered an attack in which some users of the Linux version of Free Download Manager (FDM) were being redirected to a malicious repository, where they downloaded a trojanized version of FDM onto their computers.

To pull off this trick, the attackers hacked into the FDM website and injected a script that randomly redirected some visitors to the official, “clean” version of FDM, and others to the infected one. The trojanized version deployed malware on the computer, stealing passwords and other sensitive information. There have been similar incidents in the past, for example, with Linux Mint images.

It’s important to note that vulnerabilities in Linux and popular Linux applications are regularly discovered (here’s a list just for the Linux kernel). Therefore, even correctly configured OS tools and access roles don’t provide complete protection against such attacks.

Basically, it’s no longer advisable to rely on widespread beliefs such as “Linux is less popular and not targeted”, “I don’t visit suspicious websites”, or “just don’t work as a root user”. Protection for Linux-based workstations must be as thorough as for Windows and MacOS ones.

How to protect Linux systems at home

Set a strong administrator password for your router, NAS, baby monitor, and home computers. The passwords for these devices must be unique. Brute forcing passwords and trying default factory passwords remain popular methods of attacking home Linux. It’s a good idea to store strong (long and complex) passwords in a password manager so you don’t have to type them in manually each time.

Update the firmware of your router, NAS, and other devices regularly. Look for an automatic update feature in the settings — that’s very handy here. These updates will protect against common attacks that exploit vulnerabilities in Linux devices.

Disable Web access to the control panel. Most routers and NAS devices allow you to restrict access to their control panel. Ensure your devices cannot be accessed from the internet and are only available from the home network.

Minimize unnecessary services. NAS devices, routers, and even smart doorbells function as miniature servers. They often include additional features like media hosting, FTP file access, printer connections for any home computer, and command-line control over SSH. Keep only the functions you actually use enabled.

Consider limiting cloud functionality. If you don’t use the cloud functions of your NAS (such as WD My Cloud) or can do without them, it’s best to disable them entirely and access your NAS only over your local home network. Not only will this prevent many cyberattacks, but it will also safeguard you against incidents on the manufacturer’s side.

Use specialized security tools. Depending on the device, the names and functions of available tools may vary. For Linux PCs and laptops, as well as some NAS devices, antivirus solutions are available, including regularly updated open-source options like ClamAV. There are also tools for more specific tasks, such as rootkit detection.

For desktop computers, consider switching to the Qubes operating system. It’s built entirely on the principles of containerization, allowing you to completely isolate applications from each other. Qubes containers are based on Fedora and Debian.


#Linux #home #protect #Linux #devices #hacking

When you throw away or sell an old computer or phone, you probably remember to delete photos, messages and other personal stuff. But there’s another kind of personal data that (almost) no one thinks about — and it needs to be erased not only from phones, but also from watches, printers and other smart devices — even your fridge. These are the settings for connecting to your Wi-Fi network.

The danger of leaky Wi-Fi access

Accessing someone else’s Wi-Fi network has commercial value. The simplest and most innocent (albeit naughty) form is using a neighbor’s connection. Far less innocent is data theft: in a home or office network, devices usually trust each other, so connecting to someone else’s Wi-Fi makes it easy to steal photos and documents from other network devices.

Even worse is when a Wi-Fi network is infiltrated for illegal activity, such as spamming or DDoS attacks. Exploiting a discovered Wi-Fi network just once, an attacker can hack a device on it (the router itself, home network-attached storage (NAS), a video surveillance camera, or any other easily hackable devices) — and then use it as a proxy server, without further recourse to Wi-Fi “services”. Such proxies operating from home networks are in steady demand from cybercriminals. Of course, the owner of the hacked device bears the brunt: their internet is slower; their IP address lands in various denylists; and, in rare cases, they might get blocked by the ISP or even get a police visit.

As for printers, cameras and other devices on an office network, their Wi-Fi settings can be used to attack the company in question. This attack vector is great for hackers, because in many companies cybersecurity is set up to protect against threats from the internet, while office devices — especially printers — are paid little attention. By connecting to the Wi-Fi network, attackers can easily carry out data theft and/or ransomware attacks.

How Wi-Fi settings get stolen

Most devices store Wi-Fi network information in unprotected form, making it child’s play to retrieve it from a discarded or sold-on gadget. It’s also not hard to find out who previously owned it:

  • If you sold it, the buyer knows it came from you;
  • If you decided to recycle the device, it’s possible you left your contact details when turning it in;
  • If you threw it away, most likely it was somewhere very close to where you used the device.

A bad factory reset also leaves behind many clues: the device name often points to the owner (Alex’s iPhone 8), and the Wi-Fi network name — to their address or employer (TheBensonsHouse, Volcano_Coffee_staff).

Such pointers make your Wi-Fi network easy to locate, and the password for it is right there in the device memory. For added credibility, attackers can connect to your network by spoofing the MAC address of the discarded device.

How to guard against Wi-Fi leaks

Reset and wipe. The most obvious security measure is to wipe the settings from all devices before parting with them. For laptops and computers, it’s recommended to physically format the drive; for other equipment, we advise a full factory reset with deletion of all data. After resetting, go to the network settings and make sure that everything’s really gone — then do another reset to make doubly sure. Unfortunately, the quality of factory resets varies depending on the device and the manufacturer, and there’s no cast-iron guarantee that a reset really does delete everything. For example, Canon recently reported an issue in 200 printer models in which the reset failed to clear the Wi-Fi settings. Canon’s advisory explains that a double reset is required, but for many other devices there’s simply no reliable way to clear the network settings.

Changing the Wi-Fi settings. This method is fiddly, but reliable and not too difficult technically. After getting rid of a device, change your Wi-Fi network password and update the settings on all your other devices. The fewer devices you have, the less trouble, of course. Always use strong, long passwords. And when you change one, generate a password randomly rather than just adding a number or letter at the end. Kaspersky Password Manager, included in a Kaspersky Premium subscription, will help you do this. In the Wi-Fi settings, select WPA2 or WPA3 encryption.

Strict access control. Every Wi-Fi-connected device has its own network access rights. For office and well-configured home networks, managing Wi-Fi access rights at the device level will help — your Wi-Fi router must support these settings. Configure your router so that any unknown or newly connected device is completely isolated and prohibited from accessing the internet or any device on your home network until you explicitly allow it to do so. When discarding or selling a device, be sure to isolate it in the router settings — not just remove it from the list. Then, even if attackers try to connect to the router through stolen credentials, no access will be granted.

A simple option for Wi-Fi access control. For those who find the previous method a bit too complicated, we recommend our smart home security guide, which takes a detailed look at how to properly configure home Wi-Fi and segment it for different categories of devices: computers, smartphones, smart home gadgets, and guest devices. To protect your home Wi-Fi from outsiders, we recommend the Devices on My Network feature in Kaspersky Premium. At first launch, the feature automatically maps your home network and identifies the name and type of each device, after which it continuously monitors the network for the appearance of “strangers” and warns you if a new unknown device pops up. If something in the list looks out of place, you can investigate and take action: from changing your Wi-Fi password to disabling unknown devices. And Kaspersky Premium will guide you through the process.


#WiFi #hacking #recycled #printers #computers #smarthome #equipment

Kabéh boga piaraan cinta piaraan maranéhanana. Sareng naon anu dipikacinta ku pets di luhur sadayana? TLC jeung kadaharan, tangtu. Atawa sabalikna: dahareun munggaran, burih-gosok kadua.

Pakan pinter ayeuna dirancang pikeun mastikeun piaraan anjeun henteu kalaparan atanapi bosen nalika anjeun jauh. Tapi naon skor cybersecurity? Henteu saé…

feeder pinter pikeun babaturan furry

Pakan pinter janten pilihan populér pikeun pamilik piaraan anu henteu tiasa cicing di bumi sadinten. Hésé ngajelaskeun ka ucing atanapi anjing naha anjeun kedah ngantunkeun bumi unggal isuk tibatan cicing di bumi pikeun tuang sareng leumpang / maén sareng aranjeunna, tapi sahenteuna kalayan pakan anu pinter – aranjeunna henteu lapar.

Pakan pinter pangheubeulna nyaéta alat anu dikawasa ku waktu offline anu ngan ukur ngukur porsi tuangeun. Sanajan kitu, salaku sistem home pinter geus mekar, feeder geus jadi leuwih kompleks jeung kaala fitur tambahan. Ayeuna, anjeun henteu ngan ukur tiasa nyetél jadwal tuang, tapi ogé ngawas sareng komunikasi jarak jauh sareng piaraan anjeun nganggo mikropon, spiker sareng kaméra anu diwangun; loba ogé ngarojong kadali sora via alat éksternal kayaning Amazon Alexa. Pikeun ieu, aranjeunna nyambung ka Wi-Fi asal anjeun sareng diurus ku aplikasi dina telepon anjeun.

Sakumaha anjeun tiasa nebak, upami alat bumi pinter gaduh kaméra, mikropon sareng aksés internét, éta pikaresepeun pisan pikeun peretas. Lamun datang ka kaamanan kaméra IP (atawa kakuranganana), kami geus spent loba tinta digital; hacker bisa ngabajak monitor orok online pikeun ngaganggu babysitters jeung nyingsieunan barudak; a robot vacuum cleaner bisa bocor poto jorang nu boga atawa tata perenah imahna; komo bohlam lampu pinter (!) geus dipaké pikeun nyerang jaringan asal.

Ayeuna giliran feeder pinter.

Mangkok bocor

Ahli kami ngulik feeder pinter Dogness anu populer sareng mendakan seueur kerentanan di jerona anu tiasa ngamungkinkeun panyerang ngarobih jadwal pakan – berpotensi ngabahayakeun kaséhatan piaraan anjeun, atanapi bahkan ngarobih feeder janten alat spionase. Sababaraha masalah kaamanan frustrating kaasup pamakéan credentials hard-disandi, komunikasi jeung awan dina cleartext, sarta prosés update firmware teu aman. Kerentanan ieu tiasa dieksploitasi pikeun kéngingkeun aksés anu teu sah kana feeder pinter sareng dianggo salaku pad peluncuran pikeun nyerang alat-alat sanés dina jaringan asal. Pikeun detil ngeunaan metodologi panalungtikan, tingali laporan kami dina Securelist. Di dieu, kumaha oge, urang ngan bakal noél dina naon liang kapanggih jeung resiko ieu diperlukeun.

Akar tina masalah

Kerentanan utama dina feeder pinter Dogness mangrupakeun server Telnet ngamungkinkeun aksés root jauh ngaliwatan port standar. Dina waktos anu sami, sandi superuser disandi keras dina firmware sareng teu tiasa dirobih, hartosna panyerang anu nimba firmware tiasa gampang pulih kecap konci sareng kéngingkeun aksés pinuh kana alat – sareng kanyataanna. unggal alat nu model sarua, sabab kabeh boga sandi root sarua. Sadaya anu aranjeunna kedah laksanakeun nyaéta mésér modél feeder anu sami sareng tinker sareng éta.

Ku logging in jarak jauh via Telnet (pikeun ieu hacker kudu nyambung ka Wi-Fi Anjeun) jeung aksés root, intruders bisa ngaéksekusi kode nu mana wae nu dina alat, ngarobah setelan, jeung maok data sénsitip, kaasup footage video ditransfer ti kaméra feeder ka awan.. Ku kituna, feeder bisa gampang dirobah jadi alat panjagaan ku kaméra sudut lega alus tur mikropon.

Énkripsi saha?

Salian kecap akses root anu dipasang dina firmware sareng umum pikeun sadaya alat, kami mendakan kerentanan anu sami: feeder komunikasi sareng awan tanpa énkripsi. Data auténtikasi ogé dikirimkeun dina formulir unencrypted, hartina aktor goréng malah teu ganggu scraping kecap akses root ti firmware nu: saukur intercepting lalulintas antara feeder jeung awan, meunang aksés ka alat, lajeng nyerang alat sejen dina jaringan nu sami ngaliwatan. eta – nu endangers sakabéh infrastruktur imah.

Alexa, heureuy!

Tapi sanajan liang, mangkuk masih pinuh ku kejutan. Dogness Feeder tiasa nyambung ka Amazon Alexa pikeun kontrol sora. Mangpaat, henteu? Ngan sebutkeun “Eupan éta!” ka Alexa. Anjeun malah henteu kedah nyandak telepon anjeun.

Deui, anjeun tiasa ngabayangkeun, kaamanan lax dina bagian tina pamekar boga konsekuensi. Alatna nampi paréntah ti Alexa via MQTT (Pesen Antrian Telemétri Angkutan), sareng kredensial login ditulis deui dina téks anu jelas langsung dina file anu tiasa dieksekusi. Anu deui hartosna aranjeunna sami pikeun sadaya alat anu aya di pasar – nyaéta, saatos anjeun nyambungkeun feeder anjeun ka Alexa pikeun kontrol sora, éta henteu tiasa dianggo. milik anjeun feeder deui.

Cybercriminals bakal tiasa ngirim paréntah pikeun ngarobah jadwal dahar jeung jumlah diukur dahareun (masihan piaraan Anjeun salametan pas pikeun raja atawa gancang kawas Yesus). Épék samping sanésna nyaéta, ku nyegat kadali, hacker tiasa meungpeuk kadali sora feeder.

Streaming – naha anjeun hoyong atanapi henteu

Nalika pangajaran maju, kejutan énggal ngantosan urang ngeunaan unggah pidéo ka méga, dimana anjeun tiasa ngalirkeunana deui kana sélulér anjeun. Sanaos aplikasi sélulér nyambung ka server nganggo protokol HTTPS anu aman, tétéla yén feeder nyalira ngirim data ka méga kalayan henteu aya énkripsi – ngalangkungan HTTP lami anu goréng. Sumawona, parameter sapertos ID alat sareng konci boot ogé keras disandi dina firmware sareng dikirim ka server dina téks anu jelas.

Nunjukkeun yén kaméra feeder dirancang pikeun terus-terusan ngarekam sareng ngirimkeun pidéo ka server, kerentanan ieu ngamungkinkeun panyerang ningali sareng nguping sadaya anu kajantenan dina sawangan kaméra.

Teu alat pisan kuat

Panungtungan, icing on jajan; gantina – krim ucing meunang: prosés update firmware – sarana pikeun ngalereskeun masalah di luhur – teu aman di na sorangan! Pikeun ngapdet, feeder ngundeur file arsip jeung firmware anyar ti server update via HTTP teu aman. Leres, arsipna dijagi ku sandi, tapi, sakumaha anu anjeun duga, kecap konci ieu ditulis dina téks anu jelas dina salah sahiji skrip pembaruan. Jeung URL mana undeuran versi firmware panganyarna dihasilkeun dumasar kana respon nampi ti server update, nu alamatna bener, dihijikeun kana firmware aya.

Teu aya tanda tangan digital, sareng teu aya metode anu sanés pikeun pariksa firmware: alat ngaunduh arsip sareng firmware énggal dina saluran anu teu énkripsi, unzip nganggo kecap akses anu dipasang (sareng umum pikeun sadaya alat), sareng langsung nyelapkeun. Ieu hartosna panyerang berpotensi tiasa ngarobih firmware sareng unggah naon waé anu dipikahoyong ka alat – nambihan fitur anu teu kaduga sareng teu dihoyongkeun.

Kumaha tetep aman?

Dina dunya idéal, sakabéh flaws kaamanan ieu bakal dibereskeun ku pabrik feeder ngaliwatan apdet firmware timely – saméméh hacker manggihan. Deui ka alam nyata, kami geus sababaraha kali dilaporkeun cacad ka produsén, tapi teu nampi respon – saprak Oktober 2022. Samentara éta, sagala kerentanan kami geus kapanggih masih aya dina feeder Dogness pinter anu dijual ka umum. Sareng ieu nyababkeun ancaman serius pikeun karaharjaan piaraan sareng privasi juragan.

Kami nyarankeun maca pituduh lengkep kami pikeun nyetél kaamanan bumi pinter. Kalolobaan nasehat aya manglaku sarua jeung masalah feeder pinter ditétélakeun di luhur. Atoh, ieu sababaraha tip saderhana khususna pikeun pamilik Dogness feeder:

  • Pariksa rutin pikeun apdet firmware.
  • Entong nganggo Amazon Alexa pikeun ngontrol feeder Dogness anjeun.
  • Pareuman streaming video ka awan, atawa posisi feeder di imah anjeun jadi kaméra teu bisa ngarekam nanaon pribadi.
  • Nyetél sambungan VPN anu aman pikeun ngaksés internét nganggo router anu ngadukung jaringan asal anjeun — ieu ngirangan résiko serangan liwat protokol HTTP anu teu aman.
  • Upami router anjeun henteu gaduh dukungan VPN, jieun jaringan Wi-Fi tamu sareng sambungkeun feeder (sareng alat home pinter anu henteu aman) ka dinya. Ieu bakal nyegah serangan dina bagian séjén jaringan asal anjeun upami alat pinter anu teu aman diretas.
  • Anggo solusi kaamanan anu dipercaya dina sadaya alat di bumi anjeun. Kami nyarankeun langganan Kaspersky Premium pikeun panyalindungan komprehensif sadaya alat di rumah tangga anjeun. Ngawengku aksés VPN-speed tinggi sareng rubakpita anu henteu terbatas, ditambah ngawaskeun parobahan kana jaringan asal anjeun pikeun ngadeteksi sareng nampik sambungan anu henteu sah.


#Studi #kasus #kerentanan #feeder #piaraan #pinter

Itu hanya bola lampu pintar. Mengapa ada orang yang ingin meretas itu?

Pertanyaan bagus. Karena itu sampai ke inti masalah keamanan untuk perangkat rumah pintar IoT Anda.

Perangkat Internet of Things (IoT) sudah pasti dibuat sendiri di rumah dalam beberapa tahun terakhir. Setelah hal baru, mereka menjadi jauh lebih biasa. Angka-angka menunjukkan hal itu. Penelitian terbaru menunjukkan bahwa rata-rata rumah tangga AS memiliki 20,2 perangkat yang terhubung. Eropa memiliki rata-rata 17,4, sementara Jepang tertinggal di 10,3.

Tentu saja, angka-angka itu sebagian besar berasal dari komputer, tablet, ponsel, dan smart TV yang terhubung ke internet. Namun penelitian tersebut menemukan lompatan yang cukup besar di hadapan perangkat pintar lainnya.

Membandingkan tahun 2022 hingga 2021, rumah pintar di seluruh dunia memiliki:

  • 55% lebih banyak kamera.
  • Bel pintu pintar 43% lebih banyak.
  • Hub rumah 38% lebih banyak.
  • 25% lebih banyak bola lampu pintar.
  • 23% lebih banyak colokan pintar.
  • Termostat pintar 19% lebih banyak.

Pertimbangkan bahwa perangkat yang terhubung di rumah hanya meningkat 10% secara global selama jangka waktu yang sama. Jelas bahwa kepemilikan perangkat rumah pintar IoT sedang meningkat. Namun apakah keamanan mengikuti semua pertumbuhan itu?

Keamanan buruk dan perangkat rumah pintar IoT konsumen

Pertanyaan keamanan itu membawa kita kembali ke bola lampu.

Pepatah dalam keamanan adalah ini: jika suatu perangkat terhubung, perangkat itu akan terlindungi. Dan perlindungan itu harus kuat karena jaringan hanya seaman tautan terlemahnya. Sayangnya, banyak perangkat IoT yang memang merupakan tautan keamanan terlemah di jaringan rumah.

Beberapa penelitian terbaru menyoroti apa yang dipertaruhkan. Tim keamanan siber di Florida Institute of Technology menemukan bahwa aplikasi pendamping untuk beberapa perangkat pintar bermerek besar memiliki kelemahan keamanan. Dari 20 aplikasi terkait ke bel pintu yang terhubung, kunci, sistem keamanan, televisi, dan kamera yang mereka pelajari, 16 memiliki “kelemahan kriptografi kritis” yang mungkin memungkinkan penyerang untuk mencegat dan memodifikasi lalu lintas mereka. kekurangan ini mungkin mengarah pada pencurian kredensial masuk dan mata-mata, penyusupan perangkat yang terhubung, atau penyusupan perangkat dan data lain di jaringan.

Selama bertahun-tahun, tim riset kami di McAfee Labs telah terungkap kerentanan keamanan serupa di perangkat IoT lainnya seperti pembuat kopi pintar Dan colokan dinding pintar.

Kerentanan seperti ini berpotensi membahayakan perangkat lain di jaringan.

Bayangkan bola lampu pintar dengan langkah-langkah keamanan yang buruk. Sebagai bagian dari jaringan rumah Anda, peretas yang termotivasi mungkin menargetkannya, mengkompromikannya, dan mendapatkan akses ke perangkat lain di jaringan Anda. Dengan cara itu, bola lampu dapat mengarah ke laptop Anda—dan semua file serta data di dalamnya.

Jadi ya, seseorang mungkin cukup tertarik untuk meretas bola lampu Anda.

Botnet: alasan lain mengapa peretas menargetkan perangkat pintar

Suatu Jumat pagi di tahun 2016, sebagian besar internet Amerika terhenti.

Situs web dan layanan utama menjadi tidak responsif karena layanan direktori internet dibanjiri jutaan dan jutaan permintaan jahat. Dengan demikian, jutaan dan jutaan orang terpengaruh, bersama dengan lembaga publik dan bisnis swasta. Di belakangnya, sebuah botnet. Pasukan drone internet dari perangkat IOT yang disusupi seperti perekam video digital dan kamera web.

Dikenal sebagai botnet Mirai, tujuan awalnya adalah untuk menargetkan server game Minecraft. Pada dasarnya untuk “mendukakan” pemain yang tidak bersalah. Namun kemudian menemukan jalan ke tangan lain. Dari sana, itu menjadi salah satu serangan botnet profil tinggi pertama di internet.

Serangan botnet bisa kecil dan terarah, seperti ketika aktor jahat ingin menargetkan bisnis tertentu (atau server game). Dan mereka bisa sebesar Mirai. Terlepas dari ukurannya, serangan ini bergantung pada perangkat yang disusupi. Perangkat IoT konsumen sering kali ditargetkan untuk tujuan tersebut karena alasan yang sama yang tercantum di atas. Mereka dapat kekurangan fitur keamanan yang kuat di luar kotak, membuatnya mudah untuk mendaftar di botnet.

Secara keseluruhan, ancaman botnet menjadi alasan kuat lainnya untuk mengamankan perangkat Anda.

Cara melindungi jaringan rumah pintar dan perangkat IoT Anda

Untuk menegaskannya, keamanan di rumah pintar Anda adalah keharusan mutlak. Dan Anda dapat membuat rumah pintar jauh lebih aman dengan beberapa langkah.

Raih perlindungan online untuk ponsel cerdas Anda.

Banyak perangkat rumah pintar menggunakan smartphone sebagai semacam kendali jarak jauh, dan untuk mengumpulkan, menyimpan, dan berbagi data. Jadi apakah Anda seorang pemilik Android atau sebuah iOS pemilik, melindungi ponsel cerdas Anda sehingga Anda dapat melindungi hal-hal yang diakses dan dikontrolnya—serta data yang disimpan di dalamnya juga.

Jangan gunakan default—Tetapkan sandi yang kuat dan unik.

Salah satu masalah dengan banyak perangkat IoT adalah sering kali mereka datang dengan nama pengguna dan kata sandi default. Ini dapat berarti bahwa perangkat Anda dan ribuan perangkat lain yang menyukainya memiliki kredensial yang sama. Itu memudahkan peretas untuk mengaksesnya karena nama pengguna dan kata sandi default tersebut sering dipublikasikan secara online.

Saat Anda membeli perangkat IoT apa pun, setel kata sandi baru menggunakan metode pembuatan kata sandi yang kuat. Demikian pula, buat juga nama pengguna yang benar-benar baru untuk perlindungan tambahan.

Gunakan autentikasi multifaktor.

Bank dan layanan online lainnya biasanya menawarkan otentikasi multi-faktor untuk membantu melindungi akun Anda. Selain menggunakan nama pengguna dan kata sandi untuk login, ini mengirimkan kode keamanan ke perangkat lain yang Anda miliki (biasanya ponsel). Itu melempar penghalang besar di jalan dari hacker yang mencoba memaksa masuk ke perangkat Anda dengan kombinasi kata sandi/nama pengguna. Jika perangkat IoT Anda mendukung autentikasi multi-faktor, pertimbangkan untuk menggunakannya juga.

Amankan router internet Anda juga.

Perangkat lain yang membutuhkan perlindungan kata sandi yang baik adalah router internet Anda. Pastikan Anda gunakan password yang kuat dan unik juga untuk membantu mencegah peretas membobol jaringan rumah Anda. Pertimbangkan juga untuk mengubah nama jaringan rumah Anda agar tidak mengidentifikasi Anda secara pribadi.

Alternatif menyenangkan untuk menggunakan nama atau alamat Anda mencakup semuanya, mulai dari baris film seperti “Semoga Wi-Fi menyertai Anda” hingga referensi komedi situasi lama seperti “Central Perk”. Periksa juga apakah router Anda menggunakan metode enkripsi, seperti WPA2 atau WPA3 yang lebih baru, yang akan menjaga keamanan sinyal Anda.

Tingkatkan ke router internet yang lebih baru.

Router yang lebih tua mungkin memiliki langkah-langkah keamanan usang, yang mungkin membuat mereka lebih rentan terhadap serangan. Jika Anda menyewa milik Anda dari penyedia internet Anda, hubungi mereka untuk upgrade. Jika Anda menggunakan milik Anda sendiri, kunjungi situs berita atau ulasan terkemuka seperti Laporan Konsumen untuk daftar router terbaik yang menggabungkan kecepatan, kapasitas, dan keamanan.

Perbarui aplikasi dan perangkat Anda secara teratur.

Selain memperbaiki bug aneh atau menambahkan fitur baru sesekali, sering-seringlah memperbarui memperbaiki celah keamanan. Aplikasi dan perangkat yang kedaluwarsa mungkin memiliki kekurangan yang dapat dieksploitasi oleh peretas, jadi perbarui secara berkala. Jika Anda dapat menyetel aplikasi dan perangkat smart home untuk menerima pembaruan otomatis, pilih opsi tersebut agar Anda selalu mendapatkan yang terbaru.

Siapkan jaringan tamu khusus untuk perangkat IoT Anda.

Sama seperti Anda dapat menawarkan tamu Anda akses aman yang terpisah dari perangkat Anda sendiri, Anda dapat membuat jaringan tambahan di router Anda yang memisahkan komputer dan ponsel cerdas Anda dari perangkat IoT. Dengan cara ini, jika perangkat IoT disusupi, peretas masih akan kesulitan mengakses perangkat Anda yang lain di jaringan utama yang menghosting komputer dan ponsel cerdas Anda.

Membeli perangkat rumah pintar IoT (dengan mempertimbangkan keamanan)

Anda dapat mengambil langkah keamanan yang kuat bahkan sebelum Anda membawa pulang perangkat pintar baru itu. Riset.

Sayangnya, hanya ada sedikit standar konsumen untuk perangkat pintar. Itu tidak seperti peralatan rumah tangga lainnya. Mereka harus mematuhi peraturan pemerintah, standar industri, dan standar ramah konsumen seperti peringkat Energy Star. Jadi, beberapa beban penelitian menjadi tanggungan pembeli saat harus membeli perangkat yang paling aman.

Berikut adalah beberapa langkah yang dapat membantu:

1) Lihat ulasan dan sumber tepercaya.

Peringkat pelanggan yang positif atau tinggi untuk perangkat pintar adalah titik awal yang baik, namun membeli perangkat yang lebih aman memerlukan lebih dari itu. Peninjau pihak ketiga yang tidak memihak seperti Consumer Reports akan menawarkan ulasan menyeluruh atas perangkat cerdas dan keamanannya, sebagai bagian dari langganan berbayar.

Demikian pula, cari sumber daya lain yang memperhitungkan perangkat dan keamanan data dalam penulisan mereka, seperti situs web “Privasi Tidak Termasuk”.. Dijalankan oleh organisasi nirlaba, ini meninjau banyak aplikasi dan perangkat pintar berdasarkan kekuatan tindakan keamanan dan privasi mereka.

2) Cari rekam jejak pabrikan.

Apakah Anda sedang melihat perangkat yang dibuat oleh perusahaan terkenal atau yang belum pernah Anda dengar sebelumnya, pencarian web dapat menunjukkan kepada Anda apakah mereka pernah melaporkan masalah privasi atau keamanan di masa lalu. Dan hanya karena kamu mungkin melihat nama merek populer tidak berarti Anda akan membuat diri Anda lebih pribadi atau aman dengan memilihnya. Perusahaan dari semua ukuran dan tahun beroperasi telah mengalami masalah dengan perangkat rumah pintar mereka.

Namun, yang harus Anda cari adalah seberapa cepat perusahaan menangani masalah apa pun dan apakah mereka secara konsisten bermasalah dengannya. Sekali lagi, Anda dapat beralih ke peninjau pihak ketiga atau sumber berita terkemuka untuk mendapatkan informasi yang dapat membantu menentukan keputusan Anda.

3) Perhatikan izin.

Beberapa perangkat pintar akan memberi Anda opsi seputar data apa yang mereka kumpulkan dan kemudian apa yang mereka lakukan dengannya setelah itu dikumpulkan. Hop online dan lihat apakah Anda dapat mengunduh beberapa petunjuk manual untuk perangkat yang Anda pertimbangkan. Mereka mungkin menjelaskan pengaturan dan izin yang dapat Anda aktifkan atau nonaktifkan.

4) Pastikan menggunakan otentikasi multi-faktor.

Seperti disebutkan di atas, autentikasi multifaktor memberikan lapisan perlindungan tambahan. Itu membuat segalanya lebih sulit bagi peretas atau aktor jahat untuk menyusupi perangkat Anda, bahkan jika mereka mengetahui kata sandi dan nama pengguna Anda. Beli perangkat yang menawarkan ini sebagai opsi. Ini garis pertahanan yang hebat.

5) Cari fitur privasi dan keamanan lebih lanjut.

Beberapa produsen lebih memikirkan keamanan dan privasi daripada yang lain. Carilah mereka. Anda mungkin lihat kamera yang memiliki rana fisik yang menutup lensa dan memblokir perekaman saat tidak digunakan. Anda mungkin temukan juga kamera bel pintu yang menyimpan video secara lokal, alih-alih mengunggahnya ke cloud tempat orang lain dapat mengaksesnya. Cari juga produsen yang menyebutkan penggunaan enkripsi mereka, yang selanjutnya dapat melindungi data Anda saat transit.

Jika suatu perangkat terhubung, perangkat itu akan terlindungi

Bahkan perangkat rumah pintar IoT terkecil pun dapat menyebabkan masalah besar jika tidak diamankan.

Hanya perlu satu perangkat yang tidak aman untuk mengkompromikan semua yang lain di jaringan yang aman. Dan dengan pabrikan yang terburu-buru memanfaatkan popularitas perangkat rumah pintar, terkadang keamanan mengambil tempat duduk belakang. Mereka mungkin tidak mendesain produk mereka secara menyeluruh untuk keamanan di awal, dan mereka mungkin tidak memperbaruinya secara teratur untuk keamanan dalam jangka panjang.

Sementara itu, pabrikan lain melakukan pekerjaan dengan baik. Dibutuhkan sedikit riset di pihak pembeli untuk mengetahui produsen mana yang paling baik menangani keamanan.

Selain penelitian, beberapa langkah mudah dapat menjaga keamanan perangkat pintar dan jaringan Anda. Sama seperti perangkat lain yang terhubung, kata sandi yang kuat, autentikasi multi-faktor, dan pembaruan rutin tetap menjadi langkah keamanan utama.

Untuk rumah pintar yang aman, ingat saja pepatah: jika perangkat tersambung, perangkat akan terlindungi.

Memperkenalkan McAfee+

Perlindungan pencurian identitas dan privasi untuk kehidupan digital Anda


#Jadikan #Rumah #Pintar #Anda #Juga #Rumah #yang #Aman #Mengamankan #Perangkat #Rumah #Pintar #IoT #Anda

Ku 2030, jumlah alat nu disambungkeun di dunya diperkirakeun ngahontal 24 milyar. Statistik ieu nyertakeun seueur sistem sareng asesoris rumah tangga: jam tangan pinter, pita kabugaran, spiker sareng asisten sora intelektual sareng sadaya alat anu dikontrol. Éta ogé kalebet ATM pinter, terminal POS, kaméra panjagaan pidéo sareng anu sanés. Ieu mangrupikeun sadaya alat anu biasa dipercanten ku pangguna sareng data sénsitipna tapi gaduh sakedik kontrol kana kaamananna. Dina waktos anu sami, alat-alat internet-of-things (IoT) janten target serangan anu langkung seueur. Sareng nalika padagang nyobian henteu negeskeun éta, masalah kaamanan IoT janten langkung relevan – khususna pikeun ékosistem sababaraha alat anu disambungkeun.

Salaku conto, dina taun 2020, peneliti Check Point ékspérimén sareng serangan dina jaringan nganggo bohlam pinter. Aranjeunna junun ngamuat firmware tweaked kana bohlam pinter jeung make eta pikeun masang malware dina alat nu ngatur sistem cahaya. Ti dinya, aranjeunna nembus jaringan lokal. Kerentanan langsung ditutup, tapi naon jaminan yén trik anu sami henteu tiasa dilakukeun nganggo celah kaamanan IoT anu sanés?

Conto sejen – kaayaan ngalibetkeun Koréa KeyWe kerentanan konci pinter – katingalina langkung parah. Salian kalemahan dina prosés manufaktur konci, peneliti manggihan sababaraha isu desain fundamental. Ieu ngagampangkeun panyerang pikeun nyegat sareng ngadekrip kecap akses konci. Salaku tambahan, tétéla teu mungkin pikeun ngapdet firmware sareng patch kaamanan – kerentanan ngan ukur tiasa ditambal dina konci énggal anu bébas tina cacad desain anu disebatkeun.

Conto anu terakhir nunjukkeun yén kerentanan kaamanan IoT tiasa asalna dina tingkat desain sistem. Pikeun ngahindarkeun masalah sapertos kitu, sajumlah padagang parantos dina taun-taun ayeuna ngalih ka sistem operasi berbasis microkernel. Dina arsitéktur microkernel, kernel ngandung kode sababaraha kali kirang ti kernel sistem tradisional, sarta ngan ngalakukeun fungsi nu kacida diperlukeun – sahingga leuwih dipercaya jeung lepat-tolerant.

Upami anjeun naroskeun ka pangguna komputer desktop pikeun namikeun sistem operasi anu pang populerna anu aranjeunna terang, anjeun pasti bakal ngadangu Windows salaku jawaban. Mémang, pangsa pasar OS globalna nyaéta 72% – upami anjeun ngitung jumlah komputer nganggo Windows onboard. Tapi saeutik pisan pamaké kantos mikir ngeunaan naon lumangsung deeper: di tingkat microchip jeung mikrokontroler firmware. Di dinya, sistem operasi anu paling seueur dianggo nyaéta MINIX, dumasar kana arsitéktur microkernel. Ieu mangrupikeun OS anu kalebet sareng firmware Intel ME 11. Dinten ayeuna aya dina sadaya desktop sareng laptop anu dilengkepan Intel CPUs, anu nyababkeun dua per tilu pasar CPU х86.

Aya gambar anu sami dina pasar mobile, portabel sareng dipasang. Di dieu favorit téh Android. Kitu deui, upami urang ngagali langkung jero, OS mikrokernel henteu langkung umum di pasar éta, sanaos aranjeunna tetep aya di latar tukang. Salah sahiji palaksanaan arsitéktur microkernel pangkolotna di pasar mobile nyaéta QNX. OS ieu muncul dina 1980s dina mesin industri kritis, lajeng dipaké dina stasiun radar angkatan laut. Versi anu langkung modern, QNX Neutrino, ayeuna tiasa dipendakan dina router Cisco sareng dina firmware ratusan juta kendaraan.

Antarbeungeut firmware kendaraan modern diusulkeun dina 2017

Antarbeungeut firmware kendaraan modern diusulkeun dina 2017

Tong hilap alat anu sanés nganggo firmware microkernel; contona, aya sistem dumasar kana kulawarga kernel L4, kaasup modem Qualcomm sarta sistem otomotif dumasar kana OKL4, popularitasnya mun puncak dina 2012.

MINIX sareng L4 pasti sanés aplikasi anu paling relevan di luar. Sababaraha malah bisa disebut vintage. Tapi évolusi microkernel OSes teu eureun di dinya: ngembangkeun maranéhanana dituluykeun ku sababaraha padagang ékosistem calakan modern:

  • OS microkernel codenamed Horizon ngabentuk tulang tonggong konsol game Nintendo Switch. Masarakat gaduh inpormasi terbatas ngeunaan OS sorangan sabab éta sistem proprietary.
  • Dina Januari 2023, wartawan 9to5google mendakan yén spiker Google Nest anu énggal sigana bakal dikirimkeun sareng Fuchsia – OS sareng mikrokernel Zircon dina inti na.
  • Dina Nopémber 2022, Huawei ngumumkeun yén 320 juta alatna dilengkepan ku HarmonyOS – sistem operasi mikrokernel berbasis kernel HongMeng pikeun anu tiasa dianggo sareng IoT. Nepi ka tungtun taun 2022, alat-alat anu dilengkepan HarmonyOS bakal 2% tina total penjualan smartphone sacara global. Sareng dina April 2023, versi HarmonyOS 3.1 énggal diluncurkeun. Numutkeun para pamekar, aranjeunna parantos ngalaksanakeun pisan dina ngaoptimalkeun sistem.

Naha padagang jadi aktip di wewengkon ieu? Di hiji sisi, éta kusabab pamekaran pasar IoT. Di sisi anu sanésna, ieu disababkeun ku krisis kapercayaan dina panyalindungan berlapis tradisional anu henteu cekap efektif dina dunya IoT.

Sakumaha anu urang tingali tina kasus pambajak bohlam pinter anu disebatkeun di luhur, ékosistem IoT sering didasarkeun kana sababaraha mikrokontroler sareng sénsor anu saling nyambungkeun. Panyerang condong sacara khusus nargétkeun alat tungtung anu teu dijagi pikeun dianggo salaku titik éntri pikeun teras ngontrol sadaya sistem ngalangkungan eskalasi hak husus. Ngalengkepan unggal alat leutik sareng mékanisme panyalindungan anu canggih henteu ekonomis. Kaayaan ieu nyababkeun dua masalah dasar:

  • Urang sadayana hoyong percanten kana panyalindungan anu diwangun dina sistem. Di IoT, urang nungkulan seueur elemen leutik anu teu tiasa dipercaya. Aya dua cara pikeun ngarengsekeun masalah ieu: cobian ngadamel masing-masing ditangtayungan sabisa, atanapi mimitian ku ngakuan watesanana sareng ngarékayasa sistem pikeun ngajagana aman – sanajan aya unsur-unsur sapertos kitu.
  • kontrol interaksi. Dina sistem anu ageung, biasana henteu aya elemen anu beroperasi dina vakum: aranjeunna “komunikasi” diantara aranjeunna sareng sering ngalakukeun hak husus pikeun ngalakukeun tindakan nu tangtu saling. Dina sistem dimana urang henteu tiasa percanten ka sadaya elemen, interaksi sareng hak istimewa ieu kedah dibatesan sareng diawaskeun ku sababaraha sarana kontrol.

Ieu kumaha carana ngabéréskeun masalah ieu sareng microkernel OS:

  1. OS microkernel ngabedakeun antara komponén dipercaya jeung untrusted. Arsitéktur maranéhanana diwangun sabudeureun sababaraha komponén terasing nu saling komunikasi, nu bisa gampang digolongkeun kana teu bisa dipercaya atawa dipercanten. Kernel mangrupikeun salah sahiji komponén anu paling dipercaya: éta ngan ukur ngalaksanakeun fungsi anu paling dipikabutuh sareng ngandung sakedik kode anu mungkin; sareng sadaya supir, sistem file sareng anu sanésna dipiceun pikeun misahkeun komponén di luar kernel. Hal ieu ngamungkinkeun ngawatesan elemen sistem anu disandi urang kapaksa percaya ka minimum perlu jeung cukup.

    Pangsaeutikna garis kode anu dipercaya dina sistem, langkung saé, sabab langkung saderhana sareng langkung gancang pikeun mariksa kasalahan dina kode éta. Ieu mangrupikeun alesan kunaon padagang nyobian ngadamel mikrokernel sakedik-gancang: éta nyederhanakeun validasi kapercayaan (langkung seueur ngeunaan éta engké).

  2. Microkernel OS ngasingkeun komponén anu paling istimewa sareng ngoperasikeunana dina modeu pangguna. Dina OS microkernel, kernel tanggung jawab pikeun isolasi komponén: masing-masing aya dina rohangan alamat sorangan. Mikrokernel nyadiakeun mékanisme pikeun tukeur pesen antara komponén, aliran perencanaan, jeung ngadalikeun memori, timers, sarta interrupts.

    Komponén anu dipercaya sareng teu dipercaya anu beroperasi dina modeu pangguna gaduh saloba hak istimewa anu diperyogikeun pikeun ngalaksanakeun fungsina.

  3. Mikrokernel OS gaduh kamampuan sareng alat tambahan pikeun kontrol interaksi. Dina OS microkernel, tindakan naon waé sami sareng ngirim pesen (komunikasi). Salaku disebutkeun tadi, microkernel ngadalikeun mékanisme olahtalatah utama. Salaku tambahan, OS mikrokernel sering ngagunakeun mékanisme “kamampuan obyék”, anu ngamungkinkeun, antara séjén, ngadalikeun kreasi saluran komunikasi anyar.

Hiji-hijina hal anu sadayana mékanisme ieu condong kakurangan nyaéta pilihan verifikasi amanah. Sababaraha komponén kedah dipercanten, éta leres; tapi kumaha upami “cobian heula teras percanten”? Kumaha urang migrasi tina “dipercaya” ka “dipercanten”?

Aya sababaraha cara pikeun mastikeun hiji unsur tiasa dipercaya: tés, metode analitik anu béda, spésifikasi formal sareng verifikasi. Sadaya metodeu ieu ngamungkinkeun palaksanaan kaamanan anu tiasa diverifikasi dimana urang ngadasarkeun kapercayaan urang sanés kana reputasi vendor tapi dina hasil verifikasi anu tiasa diulang. Ieu perenahna di jantung loba model kaamanan dipikawanoh, contona MILS, atawa standar assessment kaamanan sarta kriteria kayaning “kriteria umum”. Kami ngaduga yén metode sareng modél ieu bakal langkung seueur dianggo.

Dina mangsa nu bakal datang, generasi anyar microkernel OS bakal mantuan ngahontal kaamanan verifiable jeung Cyber ​​​​Immunity.

Saatos ulikan jangka panjang ngeunaan prakték panyalindungan pangsaéna, kami parantos ngagunakeun prinsip kaamanan anu tiasa diverifikasi pikeun ngembangkeun pendekatan Cyber ​​​​Imun urang sorangan, anu bakal kami anggo pikeun ngawangun sistem IT anu aman. Cyber ​​​​​Immunity mangrupikeun palaksanaan pendekatan Secure by Design, dimana kaamanan inpormasi mangrupikeun fokus dina unggal tahapan pangwangunan.

Dina sistem Cyber ​​​​​​Imun, sadaya interaksi dilambangkan sareng diverifikasi: khususna, monitor khusus ngatur sadaya komunikasi antarprosés. Modul ieu tiasa marios sadaya data anu ditukeurkeun antara prosés sareng tiasa dianggo nalika nyandak kaputusan anu aya hubunganana sareng kaamanan. Kapercayaan disahkeun ngaliwatan tés, analisis statik sareng dinamis, fuzzing, pentesting, sareng metode formal.

KasperskyOS basis Microkernel mangrupikeun sistem operasi munggaran anu ngadukung pendekatan ieu, janten platform pikeun ngawangun produk Cyber ​​​​Immune. Tapi sacara umum metodologi ngalebetkeun prinsip kaamanan anu pangsaéna sareng henteu gumantung pisan kana alat palaksanaan anu dianggo. Ku sabab kitu, kami ngarepkeun prinsip-prinsip ieu mendakan jalan kana aplikasi firmware alat microkernel anu sanés.


#Microkernel #ngalawan #ancaman #alat #pinter

Smart konci tiasa pisan mangpaat. Aya loba di antarana dina pasaran jeung loba tipena béda milih ti. Sababaraha tiasa ngadeteksi nalika anu gaduh (atanapi, langkung tepatna – smartphonena) ngadeukeutan, sareng muka konci éta tanpa konci. Batur dikawasa jarak jauh, ngamungkinkeun anjeun muka panto ka babaturan atanapi baraya tanpa aya di bumi. Anu sanésna ogé nyayogikeun panjagaan pidéo: aya anu ngirining bel panto, sareng anjeun langsung ningali dina smartphone anjeun saha éta.

Sanajan kitu, alat pinter mawa resiko nu pamaké konci offline tradisional teu kudu salempang ngeunaan. Panaliti anu ati-ati ngeunaan résiko ieu ngungkabkeun tilu alesan lengkep pikeun tetep nganggo cara anu lami. Hayu urang tingali aranjeunna…

Alesan kahiji: konci pinter sacara fisik leuwih rentan ti konci biasa

Masalahna di dieu nyaéta konci pinter ngagabungkeun dua konsép anu béda. Sacara tiori, konci ieu kedah gaduh komponén pinter anu tiasa dipercaya, sedengkeun dina waktos anu sami nyayogikeun panyalindungan anu kuat ngalawan gangguan fisik anu teu tiasa dibuka, sebutkeun, obeng atanapi péso. Ngagabungkeun dua konsép ieu teu salawasna jalan: hasilna biasana konci pinter flimsy, atawa konci beusi beurat-tugas jeung software rentan.

Kami parantos nyarioskeun sababaraha conto anu pikasieuneun ngeunaan konci anu henteu tiasa ngalaksanakeun tugasna dina tulisan anu sanés. Éta kalebet padlock anu keren sareng scanner sidik – dimana aya mékanisme pambukaan anu berpotensi tiasa diaksés ku saha waé (tuas). Ditambah konci pinter pikeun sapédah – anu tiasa dibongkar nganggo obeng.

Conto konci pinter anu rentan sacara fisik

Panel luhur kalayan scanner sidik gampang dipiceun ku péso. Mékanisme pambukaan tiasa diaksés handapeun panel. Sumber.

Alesan kadua: masalah sareng komponén “pinter”.

Nyieun komponén “pinter” cukup aman oge teu gampang. Penting pikeun émut yén pamekar alat sapertos kitu sering ngautamakeun fungsionalitas tibatan panyalindungan. Conto panganyarna nyaéta Akuvox E11, alat anu dirarancang sanés pikeun dianggo bumi, tapi pikeun kantor. Akuvox E11 mangrupikeun interkom pinter sareng terminal pikeun nampi aliran pidéo tina kaméra anu diwangun, ditambah tombol pikeun muka panto. Sareng, sabab éta mangrupikeun alat anu pinter, anjeun tiasa ngontrolana ngalangkungan aplikasi smartphone.

Akuvox E11 panganteur pinter

Konci Akuvox E11 gaduh sababaraha kerentanan, ngamungkinkeun aksés anu henteu sah ka tempat-tempat anu tangtu tanpa aya masalah. Sumber.

Parangkat lunak parantos dilaksanakeun supados sadayana tiasa nampi aksés kana pidéo sareng sora tina kaméra iraha waé. Sareng upami anjeun henteu mikirkeun ngasingkeun antarmuka wéb tina internét, saha waé tiasa ngontrol konci sareng muka panto. Ieu conto buku ajar ngeunaan ngembangkeun software teu aman: pamundut video skips otorisasina dipariksa; bagian tina panganteur web bisa diakses tanpa sandi; jeung sandi sorangan gampang rengat kusabab enkripsi jeung konci tetep sarua pikeun sakabéh alat.

Hoyong langkung seueur conto? Ieuh… Tulisan ieu nyarioskeun ngeunaan konci anu ngamungkinkeun para penceroboh caket dieu pikeun nahan kecap akses jaringan Wi-Fi anjeun. Di dieu, konci pinter ngajaga transfer data parah: panyerang tiasa nguping saluran radio sareng ngarebut kontrol. Sareng ieu mangrupikeun conto sanés tina antarmuka wéb anu teu aman.

Alesan katilu: parangkat lunak kedah diropéa sacara teratur

Smartphone biasa nampi apdet pikeun dua atanapi tilu taun saatos dileupaskeun. Sedengkeun pikeun alat IoT anggaran, rojongan bisa jadi ditahan awal. Ngamutahirkeun alat pinter liwat internét cukup gampang. Nanging, ngajaga dukungan pikeun alat-alat butuh sumber daya sareng artos ti vendor.

Ieu nyalira tiasa janten masalah, sapertos nalika vendor nganonaktipkeun infrastruktur awan sareng alat lirén damel. Tapi sanaos pungsionalitas konci-pinter dijaga, kerentanan anu henteu disadari ku vendor dina waktos dileupaskeun masih tiasa timbul.

Salaku conto, dina taun 2022, peneliti mendakan kerentanan dina protokol Bluetooth Low Energy, anu parantos diadopsi ku seueur perusahaan salaku standar pikeun auténtikasi tanpa kontak nalika muka konci sababaraha alat (kalebet konci pinter). Kerentanan ieu muka panto (sangkan bisa disebutkeun) pikeun nu disebut serangan relay, nu merlukeun panyerang kudu deukeut jeung nu boga konci pinter jeung ngagunakeun husus (tapi rélatif murah) pakakas. Bersenjata sareng hardware ieu, panyerang tiasa ngirimkeun sinyal antara smartphone korban sareng konci pinter. Ieu trik konci pinter kana pamikiran nu boga smartphone caket dieu (teu di puseur balanja tilu mil jauh), lajeng muka konci panto.

Conto konci pinter anu rentan ka serangan relay

Konci Kwikset rentan ka relay serangan ngagunakeun bug dina protokol Bluetooth Low Energy. Sumber.

Kusabab parangkat lunak konci-pinter rumit pisan, kamungkinan éta ngandung kerentanan anu serius henteu kantos nol. Lamun kapanggih, nu ngajual kudu geuwat ngaleupaskeun apdet sarta ngirimkeunana ka sadaya alat nu dijual. Tapi kumaha upami modél éta dileungitkeun atanapi henteu didukung deui?

Kalayan smartphone, urang ngajawab masalah ieu ku meuli alat anyar unggal dua nepi ka tilu taun. Sakumaha sering anjeun badé ngagentos konci panto anu nyambung ka internét? Biasana urang ngarepkeun alat sapertos kitu salami sababaraha dekade, sanés mangtaun-taun (dugi ka anu ngajual ngadukung atanapi bangkrut).

Janten, naon anu kedah dilakukeun?

Ieu kudu dipikaharti yén sakabéh konci (henteu ngan leuwih pinter) bisa hacked. Nanging, nalika mutuskeun masang alat pinter tibatan konci standar, pikir taliti: naha anjeun leres-leres kedah muka panto tina smartphone anjeun? Upami anjeun ngawaler enya kana patarosan ieu, sahenteuna perhatikeun ieu:

  • Tingali inpormasi ngeunaan alat khusus sateuacan ngagaleuh.
  • Baca henteu ngan ulasan ngeunaan genah sareng fitur konci pinter, tapi ogé ngalaporkeun ngeunaan masalah sareng résiko poténsial.
  • Anggo alat anu langkung énggal: sigana anu ngajual éta bakal ngadukung éta sakedik deui.
  • Saatos Anjeun meuli alat Anjeun, diajar fitur jaringan na pikir taliti ngeunaan naha anjeun peryogi eta; asup akal pikeun nganonaktipkeun naon waé anu tiasa ngabahayakeun.
  • Tong hilap ngajagi komputer anjeun, khususna upami éta dina jaringan anu sami sareng konci pinter. Éta éra upami inféksi malware dina komputer anjeun ogé nyababkeun panto bumi anjeun dibuka.


#Résiko #pakait #sareng #konci #pinter