Οι συσκευές έξυπνου σπιτιού μου με κατασκοπεύουν;

Μερικά, ναι — από σχέδιο. Τα έξυπνα ηχεία ακούν λέξεις αφύπνισης και στέλνουν δείγματα ήχου στο cloud όταν ενεργοποιούνται. Οι έξυπνες κάμερες μπορούν να μεταδίδουν βίντεο σε ροή στο cloud. Οι έλεγχοι απορρήτου διαφέρουν ανάλογα με τον προμηθευτή. Η Apple, η Amazon και η Google δημοσιεύουν λεπτομερείς πολιτικές απορρήτου, αλλά το ιστορικό εφαρμογής είναι ανομοιόμορφο. Ελέγξτε τις ρυθμίσεις της συσκευής και την πολιτική του προμηθευτή πριν την αγοράσετε.

Μπορεί η έξυπνη συσκευή μου να χρησιμοποιηθεί για επίθεση σε άλλους ιστότοπους;

Ναι, αν παραβιαστεί. Μια παραβιασμένη συσκευή IoT συμμετέχει σε ένα botnet που ενοικιάζεται για επιθέσεις DDoS. Δεν θα παρατηρούσατε τη δραστηριότητα εκτός από πιθανώς αργό Internet κατά τη διάρκεια των παραθύρων επίθεσης. Το μοτίβο Mirai συνεχίζει να λειτουργεί σήμερα ενάντια σε πολλές καταναλωτικές συσκευές.

Πρέπει να βάλω συσκευές IoT σε ξεχωριστό δίκτυο;

Ναί. Πολλοί δρομολογητές καταναλωτών προσφέρουν δίκτυα επισκεπτών που εμποδίζουν τις συσκευές IoT να φτάσουν σε άλλες συσκευές LAN. Μερικά υποστηρίζουν κατάλληλα VLAN ή αποκλειστικά τμήματα IoT. Η τμηματοποίηση δικτύου περιορίζει τη ζημιά σε περίπτωση παραβίασης μιας συσκευής — μπορεί να επιτεθεί στο Διαδίκτυο αλλά όχι στον φορητό υπολογιστή σας.

Πόσο καιρό θα πρέπει οι συσκευές IoT να λαμβάνουν ενημερώσεις ασφαλείας;

Η καλή πρακτική του κλάδου είναι τουλάχιστον η αναμενόμενη διάρκεια ζωής της συσκευής — 5+ χρόνια για προϊόντα όπως κάμερες, 7+ για δρομολογητές και μεγάλες συσκευές. Οι περισσότεροι πωλητές υπολείπονται αρκετά. Αναζητήστε μια γραπτή δέσμευση στις προδιαγραφές του προϊόντος. η απουσία δέσμευσης είναι μια κίτρινη σημαία.

Είναι πιο ασφαλές το υλικολογισμικό ανοιχτού κώδικα;

Μερικές φορές. Τα OpenWrt, Tasmota, Home Assistant ESPHome σάς προσφέρουν μακροπρόθεσμα υποστηριζόμενες εναλλακτικές για ορισμένες κατηγορίες συσκευών. Η ασφάλεια είναι περίπου τόσο καλή όσο οι συντηρητές upstream — γενικά καλύτερη από το υλικολογισμικό εγκαταλελειμμένου προμηθευτή, αλλά όχι μαγικό. Οι λίστες συμβατού υλικού σάς λένε ποιες συσκευές υποστηρίζουν υλικολογισμικό αντικατάστασης.

Επεξήγηση για την ασφάλεια του IoT: Γιατί η έξυπνη φωτογραφική μηχανή σας εντάχθηκε σε ένα Botnet

Οι συσκευές Internet of Things αποστέλλονται με προεπιλεγμένους κωδικούς πρόσβασης, δεν λαμβάνουν ποτέ ενημερώσεις υλικολογισμικού και παραμένουν σε δίκτυα για χρόνια αφού ο κατασκευαστής σταματήσει να ενδιαφέρεται. Σε συνδυασμό, αυτές οι ιδιότητες δημιούργησαν τους μεγαλύτερους στρατούς botnet που έχει δει ποτέ το Διαδίκτυο - Mirai, Mozi και οι διάδοχοί τους. Η ιστορία της ασφάλειας του IoT είναι η ιστορία του πώς η κλίμακα και η ασφάλεια δεν κατάφεραν να βρουν το ένα το άλλο.

Το πλήρες κείμενο του άρθρου παρέχεται στα Αγγλικά παρακάτω.

Η ασφάλεια

IoT (Διαδίκτυο των πραγμάτων) Το καλύπτει την προστασία συσκευών συνδεδεμένων στο δίκτυο που δεν είναι φορητοί υπολογιστές, τηλέφωνα ή παραδοσιακοί διακομιστές — κάμερες, δρομολογητές, έξυπνα ηχεία, θερμοστάτες, κουδούνια πόρτας, λαμπτήρες, οθόνες μωρών, βιομηχανικοί αισθητήρες. Η κατηγορία εξερράγη από μερικές εκατοντάδες εκατομμύρια συσκευές το 2015 σε περισσότερα από 25 δισεκατομμύρια το 2026 και η στάση ασφαλείας δεν συμβαδίζει. margins. Μια κάμερα IP $20 ανταγωνίζεται στην τιμή. ο κατασκευαστής δεν έχει προϋπολογισμό για μηχανική ασφάλειας ή μακροπρόθεσμη υποστήριξη.

Προεπιλεγμένα διαπιστευτήρια. Οι περισσότερες συσκευές αποστέλλονται με διαχειριστή/διαχειριστή, διαχειριστή/κωδικό πρόσβασης ή τεκμηριωμένη προεπιλογή ανά προμηθευτή. Πολλοί χρήστες δεν τα αλλάζουν ποτέ.

Λείπει ή είναι χαλασμένος ο μηχανισμός ενημέρωσης. Πολλές συσκευές δεν διαθέτουν αυτόματη ενημέρωση. Ορισμένες έχουν ενημερώσεις που απαιτούν μη αυτόματη λήψη και εγκατάσταση. Ορισμένες έχουν ενημερώσεις τις οποίες ο κατασκευαστής σταματά να κυκλοφορεί μετά από 1–2 χρόνια.

Συνδεδεμένο από προεπιλογή. Πολλές συσκευές IoT προσεγγίζουν τις υπηρεσίες cloud χωρίς προτροπή, απαιτώντας εισερχόμενες διαδρομές ή μόνιμες εξερχόμενες συνδέσεις που παρακάμπτουν το NAT. story
Το 2016 το botnet Mirai παραβίασε εκατοντάδες χιλιάδες συσκευές IoT — κυρίως DVR και κάμερες IP — και τις χρησιμοποίησε σε επιθέσεις DDoS που σημείωσαν ρεκόρ κατά του Krebs on Security, OVH και ο πάροχος DNS για τον καταναλωτή Dyn ώρες).
Η προσέγγιση του Mirai δεν ήταν πολύπλοκη: σαρώστε το Διαδίκτυο για telnet/SSH στη θύρα 23/22, δοκιμάστε μια μικρή λίστα από εργοστασιακά προεπιλεγμένα ζεύγη ονόματος χρήστη/κωδικού πρόσβασης, εγκαταστήστε το bot εάν είναι επιτυχές. Δεν υπήρχαν κατορθώματα, μηδενικές μέρες, έξυπνα κόλπα. Η ευπάθεια ήταν "η συσκευή αποστέλλεται με admin/admin και βρίσκεται στο δημόσιο Διαδίκτυο." Αυτό μόνο ήταν αρκετό για εκατοντάδες χιλιάδες μολύνσεις. Ο πηγαίος κώδικας του
Mirai διέρρευσε δημόσια στα τέλη του 2016. Ακολούθησαν δεκάδες παράγωγα — Hajime, Persirai, Reaper, Mozi, IZ1H9. Το ίδιο μοτίβο επίθεσης λειτουργεί και το 2026. μόνο οι στόχοι της συσκευής και οι λίστες διαπιστευτηρίων εξελίσσονται.
Οι κύριες κατηγορίες ευπάθειας IoT

Προεπιλεγμένα ή ενσωματωμένα διαπιστευτήρια. Εξακολουθεί να είναι η πιο κοινή.XPLZ32EXXPLZ4 Internet. Telnet, SSH, HTTP πάνελ διαχείρισης προσβάσιμα από οπουδήποτε. Ενσωματωμένος κώδικας C++ χωρίς σύγχρονους μετριασμούς (χωρίς ASLR, χωρίς καναρίνια στοίβας σε ορισμένες πλατφόρμες).
Ασφαλείς υπηρεσίες cloud. Εφαρμογές για κινητά που μιλάνε στο νέφος προμηθευτών μέσω API χωρίς έλεγχο ταυτότητας, εκθέτοντας τις συσκευές άλλων χρηστών. επιφάνειες. Κεφαλίδες εντοπισμού σφαλμάτων, JTAG, εκτεθειμένη σειριακή, μη κρυπτογραφημένη αποθήκευση flash. οποιαδήποτε)ΧPLZ70X
A ωφέλιμη διάρκεια ζωής 5–10 ετών στο δίκτυό σας
Δεν υπάρχει μηχανισμός που να σας ειδοποιεί όταν οι ενημερώσεις σταματούν

Μετά τη διακοπή των ενημερώσεων, η συσκευή συνεχίζει να λειτουργεί αλλά συγκεντρώνει μη επιδιορθωμένα τρωτά σημεία. Ο χρήστης δεν έχει σήμα ότι τίποτα δεν πάει καλά. Η συσκευή είναι ευτυχώς παραβιασμένη και είναι προσβάσιμη από το Διαδίκτυο για χρόνια.

Τι κάνουν οι ρυθμιστικές αρχές

Η απόκριση της πολιτικής έχει ξεκινήσει:

EU Νόμος για την ανθεκτικότητα στον κυβερνοχώρο (αποτελεσματικές απαιτήσεις)XPLZ8 δεσμεύσεις χειρισμού και ενημέρωσης ασφαλείας για συνδεδεμένα προϊόντα που πωλούνται στην ΕΕ.
UK Ο νόμος για την ασφάλεια προϊόντων και την υποδομή τηλεπικοινωνιών (2022) απαγορεύει τις προεπιλεγμένες συσκευές διαπιστευτηρίων και απαιτεί γνωστοποιημένες περιόδους υποστήριξης. απαιτεί "λογικά" χαρακτηριστικά ασφαλείας και μοναδικούς προεπιλεγμένους κωδικούς πρόσβασης.
FCC's Cyber Trust Mark (ΗΠΑ, κυκλοφορία 2024–2026) — εθελοντική επισήμανση για συμβατές συσκευές.

Netgear, Eufy) ξεκίνησαν να αποστέλλουν συσκευές με μοναδικούς τυχαίους αρχικούς κωδικούς πρόσβασης και τουλάχιστον ανακοινώθηκαν τα παράθυρα ενημέρωσης.
Τι μπορείτε να κάνετε ως χρήστης
Αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης. Βήμα ένα για κάθε συσκευή.
Απενεργοποιήστε την έκθεση στο Διαδίκτυο των διεπαφών διαχείρισης. Εάν η κάμερα δεν χρειάζεται να είναι προσβάσιμη από έξω προς τα έξω, it.
Τμηματοποιήστε το δίκτυο. Ένα ξεχωριστό VLAN/SSID για συσκευές IoT, απομονωμένο από τους φορητούς υπολογιστές και τα τηλέφωνά σας. Οι περισσότεροι δρομολογητές καταναλωτών υποστηρίζουν πλέον δίκτυα επισκεπτών. Ορισμένα υποστηρίζουν πλήρη τμηματοποίηση VLAN.
Ενημέρωση υλικολογισμικού. Ελέγχετε περιοδικά. πολλοί προμηθευτές δεν πιέζουν αυτόματα.
Προτιμήστε συσκευές με τεκμηριωμένες δεσμεύσεις ενημέρωσης. Οι επωνυμίες που δημοσιεύουν ένα χρονοδιάγραμμα υποστήριξης είναι πιο αξιόπιστες από αυτές που δεν το κάνουν. Προϊόν Eufy ή Ring. Όχι πάντα, αλλά κατά μέσο όρο.
Αντικατάσταση εγκαταλελειμμένων συσκευών. Όταν σταματήσουν οι ενημερώσεις, η συσκευή θα πρέπει να αποσυρθεί, όχι να συνεχίσει να λειτουργεί.

Συχνές ερωτήσεις

Οι συσκευές έξυπνου σπιτιού μου με κατασκοπεύουν;: Μερικά, ναι — από σχέδιο. Τα έξυπνα ηχεία ακούν λέξεις αφύπνισης και στέλνουν δείγματα ήχου στο cloud όταν ενεργοποιούνται. Οι έξυπνες κάμερες μπορούν να μεταδίδουν βίντεο σε ροή στο cloud. Οι έλεγχοι απορρήτου διαφέρουν ανάλογα με τον προμηθευτή. Η Apple, η Amazon και η Google δημοσιεύουν λεπτομερείς πολιτικές απορρήτου, αλλά το ιστορικό εφαρμογής είναι ανομοιόμορφο. Ελέγξτε τις ρυθμίσεις της συσκευής και την πολιτική του προμηθευτή πριν την αγοράσετε.
Μπορεί η έξυπνη συσκευή μου να χρησιμοποιηθεί για επίθεση σε άλλους ιστότοπους;: Ναι, αν παραβιαστεί. Μια παραβιασμένη συσκευή IoT συμμετέχει σε ένα botnet που ενοικιάζεται για επιθέσεις DDoS. Δεν θα παρατηρούσατε τη δραστηριότητα εκτός από πιθανώς αργό Internet κατά τη διάρκεια των παραθύρων επίθεσης. Το μοτίβο Mirai συνεχίζει να λειτουργεί σήμερα ενάντια σε πολλές καταναλωτικές συσκευές.
Πρέπει να βάλω συσκευές IoT σε ξεχωριστό δίκτυο;: Ναί. Πολλοί δρομολογητές καταναλωτών προσφέρουν δίκτυα επισκεπτών που εμποδίζουν τις συσκευές IoT να φτάσουν σε άλλες συσκευές LAN. Μερικά υποστηρίζουν κατάλληλα VLAN ή αποκλειστικά τμήματα IoT. Η τμηματοποίηση δικτύου περιορίζει τη ζημιά σε περίπτωση παραβίασης μιας συσκευής — μπορεί να επιτεθεί στο Διαδίκτυο αλλά όχι στον φορητό υπολογιστή σας.
Πόσο καιρό θα πρέπει οι συσκευές IoT να λαμβάνουν ενημερώσεις ασφαλείας;: Η καλή πρακτική του κλάδου είναι τουλάχιστον η αναμενόμενη διάρκεια ζωής της συσκευής — 5+ χρόνια για προϊόντα όπως κάμερες, 7+ για δρομολογητές και μεγάλες συσκευές. Οι περισσότεροι πωλητές υπολείπονται αρκετά. Αναζητήστε μια γραπτή δέσμευση στις προδιαγραφές του προϊόντος. η απουσία δέσμευσης είναι μια κίτρινη σημαία.
Είναι πιο ασφαλές το υλικολογισμικό ανοιχτού κώδικα;: Μερικές φορές. Τα OpenWrt, Tasmota, Home Assistant ESPHome σάς προσφέρουν μακροπρόθεσμα υποστηριζόμενες εναλλακτικές για ορισμένες κατηγορίες συσκευών. Η ασφάλεια είναι περίπου τόσο καλή όσο οι συντηρητές upstream — γενικά καλύτερη από το υλικολογισμικό εγκαταλελειμμένου προμηθευτή, αλλά όχι μαγικό. Οι λίστες συμβατού υλικού σάς λένε ποιες συσκευές υποστηρίζουν υλικολογισμικό αντικατάστασης.