차례:
비디오: ë¶í© ì ë¤ë¤ ê°ìí~ê°ìí ëëì²´ ë길ë (십월 2024)
사물 인터넷 (IoT) 산업이 필립스 Hue 조명기 및 "스마트 한"클라우드 기반 포스 파워와 함께 제다이 주문 인 경우, Shit의 인기있는 트위터 계정 Internet은 Sith Lord입니다. 기술 산업이 모든 것에 칩을 넣고 싶어하는 순간, 결과가 훼손 될 때, Shit의 인터넷은 새로운 쓸모없는 전자 제품의 문제에 이름을 붙이고 이러한 제품 중 일부는 우리가 생각하는 것보다 부드럽 지 않을 수 있음을 강조합니다.
Shit의 Twitter 계정 인터넷은 틈새 시장과 대중에 중점을 둡니다. 예를 들어, 스마트 물병을 사용하여 식사 비용을 지불하는 경우, 유틸리티에 의문을 제기합니다. "스마트"제품이 펌웨어 업데이트를 수신 한 후에는 사용할 수없는 조명 및 열과 같은 기본 필수품을 기다려야하는 부조리를 강조합니다.
새로운 가제트가 나올 때마다 나에게 pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 2017 년 1 월 23 일
아시다시피, Shit의 인터넷은 그 산업이 그 중심에 가깝기 때문에 그것이 조롱하는 산업을 효과적으로 보여줄 수 있습니다. "이것은 자연스럽게 일어났다"고 IOS는 말했다. "Kickstarter에서 많은 시간을 보냈고 사물 인터넷의 출현을 목격했습니다. 매일 일상적인 물건에 칩이 들어간 것처럼 보였지만 미디어조차도 아무도 없었습니다. "와우, 우리는 마침내 인터넷을 우산에 넣을 수 있습니다."
IOS는 자신을 소비자 문화에 대한 악마의 옹호자 또는 집단적 양심의 것으로 간주합니다. 그의 눈에 트위터 계정은 실리콘 밸리의 가짜 낙관론에 대한 필요성을 확인하는 데 필요합니다. "우리가 너무 멀리 갈 때 사람들이 잊어 버리는 중요한 질문 기술은: 누가 실제로 이것을 필요로 하는가? 인터넷없이 제대로 요리 할 수없는 오븐? 사람들이 왜 이런 것들을 더 잘 설계하지 않는가?"
그러나 IOS의 주요 관심사는 열악한 설계 및 유틸리티의 클레임보다 개인 정보 보호 및 궁극적으로는 개인 보안의 문제입니다. "IoT는 본질적으로 위험하다고 생각합니다. 그러나 이러한 회사가 내 데이터를 유출하지 않도록 신뢰하지는 않습니다. 앞으로 심하게 해킹 될 것입니다."
IOS는 트위터 계정의 초기에 작성된 중간 게시물에서 회사가 사람들의 집에서 수집 한 데이터로 수익을 창출하는 방법을 찾기 시작할 것이라고 걱정했다. 그 이야기에서: "네스트가 수익을 늘리고 싶다면 집에 환경 데이터를 광고주에게 판매 할 수 있습니다. 너무 차갑거나 담요에 아마존 광고. 너무 뜨겁습니다. 에어컨에 대한 배너 광고.
iOS는 여전히 이러한 우려에 부응하고 있습니다. "IoT가 제조업체에게 매력적인 이유는 그들이 당신의 삶에 현명한 기능을 추가하는 것이 아니라 부산물 일뿐"이라고 그는 썼다. "이를 통해 얼마나 자주, 가장 많이 사용하는 기능 및 그와 함께 제공되는 모든 데이터와 같은 장치 사용 방식에 대한 전례없는 통찰력을 얻을 수 있습니다."
IOS에 따르면 IoT 회사는 데이터 수집 정책에 대해 훨씬 앞서 있어야하며 이러한 장치에서 수집 할 수있는 정보에 액세스 할 수있는 사람이 필요합니다. "우리 모두가 결정해야 할 문제는 이러한 회사에 데이터를 교환 할 의사가있는 액세스 수준과 그에 대한 신뢰가 핵심이라는 것입니다."
2016 년 크리스마스에 IOS는 트위터에서 핸들을 언급 할 때마다 조명이 깜박이도록했습니다. 결과는 격렬하고 간음이며 짧았으며 아마도 IOS가 사물 인터넷에 대해 싫어하는 모든 것을 보여줍니다.
불안의 인터넷
그러나 쓸모없는 IoT 장치가 소비자 지갑에 미치는 영향보다 훨씬 나쁜 것은 개인 보안에 미치는 영향입니다. IoT 기기로 수집 한 사용자 데이터 시장에 대한 IOS의 두려움은 그리 멀지 않으며 (무료 앱과 무료 인터넷 뉴스 회사는 어떻게 돈을 벌고 있다고 생각합니까?) 이미 다른 실제 위협이 있습니다.
Black Hat 2016 컨퍼런스 참석자들은 보안 연구원 Eyal Ronen의 영상으로 처리되었습니다. 그의 연구를 통해 그는 사무실 건물 밖으로 무인 항공기에서 필립스 색조 조명을 제어 할 수있었습니다. 이 공격은 극적인 결과와 드론 사용뿐만 아니라 건물이 유명한 보안 회사의 본거지로 유명했습니다.
Ronen은 최고급 IoT 장치 라인에 대한 공격이 가능하다는 것을 보여 주려고 노력하고 있다고 설명했습니다. "실제 보안이없는 저가형 기기를 목표로하는 IoT 해킹이 많이 있습니다. 우리는 안전해야하는 제품의 보안을 테스트하고 싶었습니다." 그는 또한 유명한 회사를 공격하고 필립스에 정착하기를 원했습니다. Ronen은 처음에 생각했던 것보다 크랙하기가 어렵다고 말했지만 그와 그의 팀은 여러 IoT 회사에서 사용하고 성숙하고 안전한 시스템으로 간주되는 타사 통신 프로토콜 인 ZigBee Light Link 소프트웨어에서 버그를 발견하고 악용했습니다.
Ronen은 "고급 암호화 프리미티브를 사용하며 강력한 보안 주장을하고있다"고 말했다. Ronen은“그러나 결국에는 약 1, 000 달러 정도의 매우 저렴한 하드웨어로 비교적 짧은 시간에이를 깨뜨릴 수있었습니다.
Ronen의 공격 비디오 (위)는 호버링 드론을 통해 원격으로 전송 된 그의 명령에 따라 건물의 불빛이 순서대로 깜박임을 보여줍니다. 이것이 당신에게 일어난다면, 그것은 귀찮을 것입니다. 아마도 IOS가 트위터 계정에서 강조하는 시나리오보다 더 성 가시지 않을 것입니다. 그러나 보안 전문가들은 IoT 보안에 훨씬 더 큰 결과가 있다고 주장합니다.
Ronen은 "이전 연구에서는 조명을 사용하여 에어 갭 네트워크에서 데이터를 유출하고 간질 발작을 일으키는 방법을 보여 주었고이 작업에서는 조명을 사용하여 전기 그리드를 공격하고 Wi-Fi를 방해하는 방법을 보여주었습니다"라고 Ronen은 말했습니다. 나를. "IoT는 우리 삶의 모든 부분에 적용되고 있으며 보안은 의료 기기에서 자동차 및 가정에 이르기까지 모든 것에 영향을 줄 수 있습니다."
표준 부족
Ronen의 공격은 근접성을 이용했지만 Bitdefender의 수석 보안 연구원 Alexandru Balan은 일부 IoT 장치에 발생하는 다른 많은 보안 결함을 설명했습니다. 하드 코딩 된 암호는 개방형 인터넷에서 액세스 할 수 있도록 구성된 장치와 마찬가지로 특히 문제가 있다고 그는 말했다.
Mirai 봇넷이 Netflix 및 Hulu와 같은 주요 서비스를 오프라인으로 가져 오거나 사용할 수 없을 정도로 느리게 만든 2016 년 10 월에 인터넷 액세스 기능과 간단한 기본 암호의 조합이었습니다. 몇 주 후, 미라이의 변종은 라이베리아 전역에서 인터넷 액세스를 제한했습니다.
Mirai에 대한 소식이 전해지 자마자 나는이 시나리오를보고 잘못된 인증 및 불필요한 온라인 액세스 가능성에 대한 경고를 무시한 것으로 IoT 업계를 비난했습니다. 그러나 발란은 이러한 결함을 명백하게 부르기까지는 가지 않았다. "자격 증명을 추출하려면 펌웨어에서 리버스 엔지니어링을 수행해야하지만, 장치에서 하드 코딩 된 자격 증명을 찾는 경우가 종종 있습니다. 그 이유는 많은 경우 표준이 없기 때문입니다. IoT 보안."
IoT 회사는 보편적으로 인정되는 표준이나 보안 전문 지식없이 자체적으로 운영되기 때문에 이와 같은 취약점이 발생합니다. "이런 식으로 만드는 것이 더 쉽다. 그리고 그들이 모서리를 깎고 있다고 말할 수 있지만, 가장 중요한 문제는 안전한 방식으로 제대로 만드는 법을 찾지 않는다는 것이다. 그들은 단지 그것을 만들려고 노력하고있다. 잘 작동하다."
회사에서 Ronen이 발견 한 것과 같은 공격에 대한 수정 프로그램을 개발하더라도 일부 IoT 장치는 자동 업데이트를 적용 할 수 없습니다. 이로 인해 소비자는 패치 자체를 찾아서 적용해야하는데, 이는 특히 서비스를 제공하지 않는 장치에서는 어려울 수 있습니다.
그러나 쉽게 업데이트 할 수있는 장치라도 여전히 취약점이 존재합니다. 일부 연구자들은 모든 IoT 개발자가 암호화 서명으로 업데이트에 서명하는 것은 아니라고 밝혔다. 서명 된 소프트웨어는 개발자가 소유 한 비대칭 암호화 키의 개인 절반으로 암호화됩니다. 업데이트를받는 장치에는 공개 키의 절반이 있으며이 키는 업데이트를 해독하는 데 사용됩니다. 악의적 인 업데이트에 서명하거나 소프트웨어 업데이트를 수정하면 개발자의 비밀 키가 필요하기 때문에 업데이트가 공식적이고 훼손되지 않았습니다. Balan은 "업데이트에 디지털 서명을하지 않으면 납치 될 수 있으며 변조 될 수 있으며 코드를 해당 업데이트에 삽입 할 수있다"고 말했다.
Balan은 단순히 조명을 켜고 끄는 것 외에도 감염된 IoT 장치를 Mirai에서 보듯이 봇넷의 일부로 사용하거나 훨씬 더 교활한 목적으로 사용할 수 있다고 말했습니다. "Wi-Fi 자격 증명을 추출 할 수 있습니다. 분명히 Wi-Fi 네트워크에 연결하고 Linux 상자처럼 사용하기 때문에 무선 네트워크 내에서 공격을 시작하고 시작하는 데 사용할 수 있습니다.
Balan은 "자신의 LAN 네트워크의 프라이버시 내에서 인증 메커니즘이 부족하다"고 말했다. "LAN의 문제점은 일단 개인 네트워크에 들어가면 그곳에서 발생하는 거의 모든 것에 액세스 할 수 있다는 것입니다." 사실상, 손상된 IoT는 네트워크 연결 스토리지 또는 개인용 컴퓨터와 같은 동일한 네트워크에서 더 가치있는 장치에 대한 공격의 교두보가됩니다.
아마도 보안 산업이 IoT를 면밀히 검토하기 시작했다는 말일 것입니다. 지난 몇 년 동안 IoT 장치를 공격으로부터 보호하기 위해 여러 제품이 시장에 출시되었습니다. 나는 그러한 여러 제품에 대해 보거나 읽었으며 Bitdefender의 제안을 검토했습니다. Bitdefender Box라고하는이 장치는 기존 네트워크에 연결되며 네트워크의 모든 장치에 바이러스 백신 보호 기능을 제공합니다. 또한 잠재적 인 약점에 대해 장치를 검사합니다. Bitdefender는 올해 Box 장치의 두 번째 버전을 출시 할 예정입니다. 노턴은 심층 패킷 검사를 자랑하는 자체 제품 (아래)에 들어가고 F-Secure는 하드웨어 장치도 발표했다.
최초의 시장 중 하나 인 Bitdefender는 소프트웨어 보안에 대한 배경 지식을 보유하고 있으며 아마도 완벽한 보안을 갖춘 소비자 하드웨어를 설계하는 고유 한 위치에 있습니다. 그 경험은 어땠습니까? 발란은“매우 힘들었습니다.
Bitdefender에는 버그 현상금 프로그램 (웹 사이트 또는 응용 프로그램의 버그를 찾아서 솔루션을 제공하는 프로그래머에게 제공되는 금전적 보상)이 있으며 Balan은 Box의 개발에 도움을주었습니다. "회사가 모든 버그를 스스로 찾을 수 있다고 생각할 정도로 거만해서는 안된다. 이것이 버그 현상금 프로그램이 존재하는 이유이지만 하드웨어의 문제는 실제 칩 내에 백도어가있을 수 있다는 것이다."
"우리는 무엇을 찾고 무엇을보아야하는지 알고 있으며 실제로 해당 보드의 각 구성 요소를 분리하여 조사 할 수있는 하드웨어 팀을 보유하고 있습니다. 고맙게도 그 보드는 크지 않습니다."
이건 다 젠장
최악의 행위자에 기초하여 전체 산업을 쉽게 할인 할 수 있으며 사물 인터넷도 마찬가지입니다. 그러나 필립스 조명의 홈 시스템 기술 책임자 인 George Yianni는이 견해가 특히 실망 스럽다는 것을 알게되었습니다.
"우리는 처음부터 매우 진지하게 받아 들였습니다. 이것은 새로운 범주입니다. 우리는 신뢰를 쌓아야합니다. 그리고 이것들은 실제로 신뢰를 손상시킵니다. 그리고 그런 이유로 저는 그 일을 잘 수행하지 못한 제품의 가장 큰 수치는 그것이 "모든 제품은 나쁘게 만들 수 있습니다. 전체 산업에 대한 비판은 아닙니다."
보안의 경우와 마찬가지로 회사가 공격 자체에 미치는 영향보다 공격에 대응하는 방법이 더 중요합니다. 필립스 장치에 대한 무인 항공기 공격의 경우 Yianni는 Ronen이 회사의 기존 책임 공개 프로그램을 통해 조사 결과를 제출했다고 설명했습니다. 이러한 절차는 회사가 보안 연구원의 발견을 공개하기 전에 발견 할 수 있도록하는 절차입니다. 그렇게하면 소비자는 자신이 안전하고 연구원이 영광을 얻게된다는 것을 확신 할 수 있습니다.
Ronanni는 타사 소프트웨어 스택에서 버그를 발견했다고 Yianni는 말했습니다. 특히 ZigBee 표준의 일부는 2 미터 이내의 장치로의 통신을 제한합니다. Ronen의 작업은 기억 하겠지만 표준 안테나로 40 미터, 부스트 안테나로 100 미터 떨어진 거리에서 제어 할 수있었습니다. Yianni는 책임있는 공개 프로그램 덕분에 필립스는 Ronen이 전 세계에 공격에 대해 알리기 전에 현장 조명에 패치를 설치할 수 있다고 말했다.
많은 회사가 공공 보안 위반 또는 보안 연구원의 작업 결과로 인해 어려움을 겪는 것을 보았을 때 Yianni와 Philips의 반응은 실제적인 백 패팅처럼 들릴 수 있지만 실제로는 성공했습니다. Yianni는 "우리의 모든 제품은 소프트웨어 업데이트가 가능하므로 문제를 해결할 수있다"고 말했다. "또 다른 것은 보안 위험 평가, 보안 감사, 모든 제품에 대한 침투 테스트를 수행하는 것입니다. 그러나 이러한 책임있는 공개 프로세스도 실행하여 문제가 발생하면 미리 찾아서 수정할 수 있습니다. 매우 빠르게.
"우리는 전체 클라우드에서 소프트웨어 업데이트를 푸시 다운하여 모든 조명에 배포 할 수있는 전체 프로세스를 보유하고 있습니다. 공간이 너무 빠르게 이동하고 15 년 동안 지속될 제품이기 때문에 매우 중요합니다. 또한 기능면에서 여전히 관련성을 유지하고 최신 공격에 대해 충분히 안전하려면이를 확보해야합니다."
Ronen은 저와의 커뮤니케이션에서 필립스가 Hue 조명 시스템을 보호하는 훌륭한 작업을 수행했음을 확인했습니다. Ronen은“필립스는 조명을 확보하는 데 놀라운 노력을 기울였습니다. "그러나 불행히도, 기본 Atmel의 칩 보안 구현에 의존하는 일부 기본 보안 가정은 잘못되었습니다." Balan이 Bitdefender의 Box 작업을 지적하면서 IoT 장치의 모든 측면이 공격받을 수 있습니다.
필립스는 또한 개방형 인터넷에서 액세스 할 수 없도록 필립스 IoT 제품의 네트워크를 조정하는 데 필요한 장치 인 중앙 허브를 설계했습니다. "인터넷에 대한 모든 연결은 장치에서 시작됩니다. 라우터의 포트를 열거 나 인터넷의 장치가 직접와 통신 할 수 있도록 포트를 만들지 않습니다"라고 Yianni는 설명했습니다. 대신 허브는 필립스의 클라우드 인프라로 요청을 보내며 다른 방식 대신 요청에 응답합니다. 또한 필립스는 집에 닿거나 변경하지 않고도 소비자 기기를 보호하기 위해 추가 레이어를 추가 할 수 있습니다. "추가 클라우드 및 보안 계층을 구축 할 수있는이 클라우드를 통해 라우팅되지 않으면 허브 외부에서 통신 할 수 없습니다."
Yianni는 이것이 Hue 조명 시스템을 확보하기 위해 필립스가 취한 다층 접근 방식의 일부라고 설명했습니다. 시스템은 전구 내부의 하드웨어에서 Hue Hub의 소프트웨어 및 하드웨어, 사용자의 전화 내 앱에 이르기까지 여러 가지로 구성되어 있기 때문에 모든 수준에서 다른 조치를 취해야했습니다. Yianni는 "이들 모두는 보안을 유지하기 위해 서로 다른 보안 조치가 필요하다. 모두 다른 수준의 위험과 취약성을 가지고있다. 따라서 우리는이 모든 부분에 대해 다른 조치를 취한다"고 말했다.
여기에는 침투 테스트뿐만 아니라 공격자를 막기위한 상향식 디자인도 포함되었습니다. Yianni는“이 Mirai 봇넷에 사용 된 것과 같은 글로벌 암호는 없습니다. Mirai 악성 코드에는 IoT 장치를 인수하기 위해 사용할 수있는 기본 암호가 수십 개있었습니다. "모두 펌웨어를 확인하기 위해 고유하고 비대칭으로 서명 된 키가 있습니다. 하드웨어를 수정 한 장치 하나만으로도 글로벌 위험은 없습니다."
이는 IoT 장치의 가치에도 적용됩니다. "이러한 제품 중 다수는 연결을 위해 연결되는 경향이 있습니다." "집안의 모든 것을 자동화해야 할 필요성은 많은 소비자가 가진 문제가 아니며, 머리를 숙이고있는 것은 매우 어렵습니다. 우리는 좋은 제품은 소비자에게 이해하기 쉬운 제품이라고 생각합니다."
저항 할 수없는 사물 인터넷
IoT에 대한 위험을 알고, 사소한 일을 인정하더라도 필립스 Hue와 같은 스마트 조명, Google Home이나 Amazon Echo와 같은 홈 어시스턴트, 스마트 물병 등의 스마트 조명 구매를 막지 못했습니다. Shit의 인터넷 운영자조차도 거대한 IoT 팬입니다.
IOS는 "Shit의 인터넷 뒤에있는 아이러니 한 점은 내가이 장치들에 빠는 것"이라고 말했다. "저는 얼리 어답터이고 기술 분야에서 일하기 때문에 많은 시간을 할애 할 수 없습니다." IOS는 필립스 커넥 티드 라이트, 타도 서모 스탯, 센스 슬립 트래커, 스마트 스피커, 카나리아 카메라, Wi-Fi 커넥 티드 플러그를 미래의 가정 용품 중 하나로 선정했습니다.
"우연히 계정이 상상했던 것보다 훨씬 더 커졌다는 것을 알고 있으며 사람들이 기술에 참여하지 못하도록하고 싶지 않습니다. 바보 같은 아이디어를 실험하는 것은 훌륭한 아이디어가 탄생 할 수있는 방법이라고 생각합니다. Simone Giertz는 저에게 조금 가르쳐주었습니다. "라고 IOS는 말했습니다.
불합리한 로봇 학자이자 YouTuber 인 Giertz는 Shitty Robots의 핵심입니다. 그녀의 작품에는 이발을 주거나 드물게하는 드론과 선글라스를 얼굴에 극적으로 두는 거대한 모자가 포함됩니다. 실리콘 밸리 냉소의 건강한 복용량을 가진 Rube Goldberg로 생각하십시오.
IOS의 배후에있는 사람은 요즘 얼리 어답터 본능을 고수하려한다고보고합니다. "전등을 켜기 위해 전구 펌웨어를 업데이트해야했던 순간이 저에게는 약간의 실현이라고 생각합니다."
Bitdefender의 Balan은 Wi-Fi 중계기의 두 배인 전구를 사용한다고 말했습니다. 이 장치는 조명과 Wi-Fi를 모두 집 구석 구석까지 확장합니다. 그러나 취약한 기본 암호를 포함하여 그가 위임 한 많은 취약점이 포함되어 있습니다. IoT와 관련하여 그는 여전히 위태 롭지 않습니다.
"그것은 섹스와 같다"고 말했다. "당신은 콘돔 없이는 그것을하지 않을 것입니다. 우리는 섹스를 좋아하고, 섹스는 굉장합니다. 우리는 위험하기 때문에 섹스를 포기하지 않을 것입니다. 그러나 우리는 그것을 할 때 보호 기능을 사용할 것입니다." 그는 편집증에 빠지는 대신 소비자는 보안 회사와 교육받은 친구에게 버그 바운티와 안전하고 빈번한 업데이트 도구로 보안을 중요하게 생각하는 회사를 찾아야한다고 생각합니다.
그리고 드론 조종 해커 Ronen은 IoT를 사용합니까? "현재는 아닙니다."그가 말했다. "개인 정보 보호 및 보안에 미치는 영향이 두렵습니다. 혜택이 내 요구에 충분히 높지 않습니다."
연기 감지기와 색이 바뀌는 조명의 사이렌 노래에 오랫동안 저항 해 온 겸손한 저자조차도 무너지기 시작했습니다. 최근에 휴가를 위해 사무실을 꾸미기 위해 세 가지 별도의 스마트 조명을 설치했습니다. 결과는 끔찍하고 아름답습니다.
한편, 새로운 필립스 색조 조명이 아마존 쇼핑 바구니에 앉아 있습니다. 언젠가 버튼을 누르면됩니다.
