Сцена взлома умного дома в Scream возможна, но с вами, вероятно, все в порядке

Дядя Влад

Два элемента объединились, чтобы сделать эту статью реальностью. Во-первых, октябрь был месяцем осведомленности о кибербезопасности . Во-вторых, в середине месяца выпал первый трейлер нового фильма « Крик ». В нем была сцена, которая нас немного обеспокоила. Посмотри, сможешь ли ты это заметить.

Очевидно, мы говорим о сцене умных замков. Все ваши замки в вашем доме разблокируются, поэтому вы вынимаете свой смартфон и повторно блокируете их, только чтобы увидеть, как они все снова разблокируются. Подразумевается, что мистер Страшный убийца взломал учетную запись умного дома своей жертвы и может контролировать все устройства по всему дому. Ой.

Как человек, который не носит ключи от своего дома из-за всех умных замков , я немного нервничал. Поэтому я решил поговорить с кем-нибудь об этом. Я обратился к Джону Шиеру, старшему советнику по безопасности в Sophos, чтобы поговорить об этом. Он сообщил мне хорошие и плохие новости. Начну с плохих новостей.

Да, это возможно. Хорошая новость в том, что это довольно сложно сделать, и лучшая новость в том, что вероятность того, что это произойдет с вами, бесконечно мала, если, конечно, у вас также есть кто-то, кто действительно хочет причинить вам вред. Но честно говоря, есть большая вероятность, что существует достаточно ваших данных, которые могут сделать что-то подобное возможным.

LOLwut?

Это стало возможным благодаря двум факторам: социальная инженерия и утечка данных. По отдельности любой из них может получить у злоумышленника достаточно информации, чтобы взломать ваш умный дом . Вместе это становится еще более возможным. Но вы должны понимать, когда мы говорим, что это возможно , мы должны сразу же предупредить об этом, заявив, что это маловероятно .

Если вы примете идею фильма о том, что в нем много планов и преднамеренных действий, тогда это станет намного проще, то есть более правдоподобным. Дело в том, что утечки данных случаются часто, и люди часто повторно используют адреса электронной почты и пароли для нескольких служб. Ваш пароль, предоставленный компанией XYZ (мы не стыдим за нарушение данных), вполне может быть тем же именем пользователя и паролем, которые вы используете для своих интеллектуальных замков. Даже если пароль другой, адрес электронной почты является ключевой информацией для других способов взлома.

Прежде чем вы спросите, нет, мы не превращаем это в учебное пособие «проложите себе путь в дома своих друзей и семьи». Но достаточно сказать, что любая информация о вас, которая была раскрыта в результате одной из этих утечек данных, немного приближает потенциального злоумышленника к тому, чтобы в конечном итоге получить доступ к вашим учетным записям. Это может произойти с помощью социальной инженерии или использования данных, обнаруженных в результате взлома. Ни то, ни другое нетривиально. «Я думаю, что когда мы говорим о безопасности Интернета вещей в целом, это, вероятно, одни из самых больших рисков, когда речь идет о выходе устройств из-под вашего контроля», – пояснил Шиер.

Социальная инженерия опирается на уловки, которые, честно говоря, могут сработать, а могут и не сработать. Если кто-то решил пойти по этому пути, он должен быть в состоянии обмануть пользователя, заставив его отказаться от учетных данных. Именно в этот момент моего разговора с Шиером я узнал несколько удивительных способов, с помощью которых можно легко создать фишинговый сайт для этой цели. Опять же, это не учебное пособие, поэтому я не буду повторять его здесь, но достаточно сказать, что иногда Интернет просто отстой.

Другой путь будет заключаться в просмотре миллионов наборов учетных данных и поиске цели, которая в зависимости от взлома может быть не идентифицирована по имени. У цели может быть имя Джон Доу, но ее адрес электронной почты может быть [email protected], и не может быть никакого способа связать эти два очень разрозненных фрагмента информации.

Руки печатают на клавиатуре ноутбука.
EThamPhoto / Getty Images

Такие сайты, как haveIbeenpwned.com, могут сообщить вам, был ли ваш адрес электронной почты частью утечки данных где-либо, но они также имеют обратный эффект. Злоумышленник может получить адрес электронной почты потенциальной жертвы и использовать этот сайт, чтобы узнать, к каким нарушениям данных они были причастны. Оттуда вы можете загрузить данные о взломах и попробовать имена пользователей и пароли. То есть ничего о злоумышленнике, получающем доступ к адресу электронной почты потенциальной жертвы и просто отправляющем сброс пароля.

«У вас больше шансов получить деньги, чем преследовать. [Преступники] с большей вероятностью захотят получить ваши банковские реквизиты и вашу личную информацию [для] мошенничества с личными данными, чем для того, чтобы возиться с вашими фарами и дверными замками », – сказал Спир.

Суть всего в том, что это очень возможно, и для этого есть данные, но вероятность того, что это произойдет со случайным человеком от другого случайного хакера, мала. Чтобы взломать чьи-то учетные данные для их умного дома, придется потрудиться. Но гораздо более вероятно, что любые данные, которые будут потеряны во время утечки данных, будут использоваться для монетизации, будь то продажа данных или использование данных для кражи личных данных.

Маловероятно, что конечным результатом взлома компании хакером станет сцена из фильма ужасов. Но полагаю, я должен признать, что это не ноль. Я также должен упомянуть, что подделка личных данных сама по себе является сценой из гораздо более занудного фильма ужасов, но это также довольно ужасно, если это случается с вами.

Будьте впереди всех

При этом есть вещи, которые вы можете сделать, чтобы защитить свои данные и обеспечить безопасность своего умного дома. Шайер говорит о гигиене личных данных, например об использовании разных адресов электронной почты и паролей с каждого сайта. Если ваши данные вылезут наружу, ущерб будет минимальным. Использование одного из лучших менеджеров паролей – отличная идея, так же как и включение двухфакторной аутентификации там, где это возможно.

Еще одна вещь, на которую указывает Спир, заключалась в том, чтобы быть уверенным, что любые учетные записи или пароли по умолчанию, которые могли поставляться с вашим умным домашним устройством, были удалены или изменены. Некоторые устройства поставляются с именем пользователя и паролем по умолчанию «admin / admin», а иногда пользователи создают свою собственную учетную запись, не удаляя значение по умолчанию. Точно так же они создадут собственный новый пароль, не удаляя встроенный пароль. Хакеры могут легко узнать, что это за пароли по умолчанию, и попытаться взломать эту информацию.

Придерживайтесь именных брендов. Нефрендовые и / или небольшие компании имеют тенденцию приходить и уходить и могут не рассматривать внедрение обновлений программного обеспечения так же критично, как некоторые из более известных и заслуживающих доверия брендов. Если у вас есть устройство, которое не обновлялось какое-то время, подумайте о том, чтобы обратиться в службу поддержки и узнать, что с ним не так. Разработка программного обеспечения – это непрерывный процесс.

Google Nest Hub наверху стола.

Кстати, обязательно обновляйте свои умные домашние устройства. Неплохо периодически проверять наличие обновлений программного обеспечения. Уязвимости в системе безопасности могут возникать время от времени, и чаще всего они быстро устраняются. Но это поможет только в том случае, если вы действительно загрузите и установите обновление.

Так что хорошая новость заключается в том, что если вы действительно кого-то не рассердили, вы можете продолжать оставлять ключи от дома дома. Давайте будем честными, если вы их так разозлили, обычный засов, вероятно, в любом случае не поможет. Но это не значит, что вы можете полностью ослабить бдительность. Обязательно регулярно проверяйте наличие обновлений для технологий вашего умного дома, используйте менеджеры паролей и 2FA, и, самое главное, никогда не говорите: «Я скоро вернусь».