Die Smart-Home-Hacking-Szene in Scream ist möglich, aber wahrscheinlich geht es dir gut
Zwei Elemente kombiniert, um diesen Artikel zu verwirklichen. Der erste war, dass der Oktober der Cybersecurity Awareness Month war . Zweitens wurde Mitte des Monats der erste Trailer zum neuen Scream- Film veröffentlicht. Es enthielt eine Szene, die uns ein wenig beunruhigte. Sehen Sie, ob Sie es erkennen können.
Offensichtlich sprechen wir über die Smart-Locks-Szene. Alle Ihre Schlösser in Ihrem Zuhause werden entsperrt, also zücken Sie Ihr Smartphone und sperren sie erneut, nur um zu sehen, wie sich alle wieder entsperren. Die Implikation hier ist, dass die Person von Mr. Scary Killer sich in das Smart-Home-Konto ihres Opfers gehackt hat und alle Geräte im ganzen Haus steuern kann. Huch.
Als jemand, der wegen all der intelligenten Schlösser keine Schlüssel zu seinem Haus trägt, wurde ich etwas nervös. Also beschloss ich, mit jemandem darüber zu sprechen. Ich habe John Shier, Senior Security Advisor bei Sophos, kontaktiert, um darüber zu sprechen. Er hat mir gute und schlechte Nachrichten überbracht. Ich fange mit den schlechten Nachrichten an.
Ja, das ist möglich. Die gute Nachricht ist, dass es ziemlich schwierig ist, und die bessere Nachricht ist, dass die Wahrscheinlichkeit, dass Ihnen so etwas passiert, verschwindend gering ist, es sei denn, Sie haben natürlich auch jemanden, der Ihnen wirklich Schaden zufügen möchte. Aber die ehrliche Wahrheit ist, es besteht eine gute Chance, dass genug Ihrer Daten da draußen sind, um so etwas möglich zu machen.
Lol was?
Es gibt zwei Dinge, die dies möglich machen: Social Engineering und Datenschutzverletzungen. Unabhängig davon können beide einem Angreifer genügend Informationen liefern, um Ihr Smart Home zu hacken . Gemeinsam wird es noch mehr möglich. Aber Sie müssen verstehen, wenn wir sagen, dass dies möglich ist , müssen wir es schnell einschränken, indem wir sagen, dass es nicht sehr wahrscheinlich ist .
Wenn man die Idee des Films akzeptiert, dass dort viel geplant und geplant wird, dann wird dies viel einfacher, dh es ist plausibler. Tatsache ist, dass Datenschutzverletzungen häufig vorkommen und Menschen E-Mail-Adressen und Passwörter für mehrere Dienste häufig wiederverwenden . Ihr Passwort, das von der Firma XYZ veröffentlicht wurde (wir sind hier keine Schande von Datenverletzungen) könnte durchaus derselbe Benutzername und dasselbe Passwort sein, das Sie für Ihre intelligenten Schlösser verwenden. Auch wenn das Passwort unterschiedlich ist, ist die E-Mail-Adresse eine wichtige Information für andere Möglichkeiten, sich einzudringen.
Bevor Sie fragen, nein, wir machen dies nicht zu einem Tutorial "hacken Sie sich in die Häuser Ihrer Freunde und Familie ein". Es genügt jedoch zu sagen, dass alle Informationen über Sie, die durch eine dieser Datenschutzverletzungen preisgegeben wurden, einen potenziellen Übeltäter dem letztendlichen Zugriff auf Ihre Konten ein wenig näher bringen. Dies kann über Social Engineering oder durch die Verwendung von Daten geschehen, die bei Sicherheitsverletzungen offengelegt wurden. Beides ist nicht trivial. „Ich denke, wenn wir allgemein über IoT-Sicherheit sprechen, sind dies wahrscheinlich einige der größten Risiken, wenn es darum geht, dass die Geräte Ihrer Kontrolle entgehen“, erklärte Shier.
Social Engineering beruht auf Tricks, die ehrlich gesagt funktionieren können oder auch nicht. Wenn man sich für diesen Weg entschieden hat, muss man in der Lage sein, einen Benutzer dazu zu bringen, seine Zugangsdaten aufzugeben. An diesem Punkt in meinem Gespräch mit Shier lernte ich einige überraschende Möglichkeiten kennen, wie man leicht eine Phishing-Site für diesen Zweck einrichten kann. Auch dies ist kein Tutorial, daher werde ich das hier nicht wiederholen, aber es genügt zu sagen, dass das Internet manchmal einfach scheiße ist.
Der andere Weg besteht darin, Millionen von Anmeldeinformationen zu durchsuchen und ein Ziel zu finden, das je nach Verletzung möglicherweise nicht namentlich identifiziert werden kann. Ein Ziel könnte den Namen John Doe haben, aber seine E-Mail-Adresse könnte [email protected] lauten, und es gibt möglicherweise keine Möglichkeit, diese beiden sehr unterschiedlichen Informationen zuzuordnen.
Sites wie haveIbeenpwned.com können Sie darüber informieren, ob Ihre E-Mail-Adresse irgendwo Teil einer Datenschutzverletzung war, aber sie haben auch den umgekehrten Effekt. Ein Angreifer könnte die E-Mail-Adresse eines potenziellen Opfers erlangen und diese Website verwenden, um zu sehen, an welchen Datenschutzverletzungen er beteiligt war. Von dort aus können Sie die Daten der Sicherheitsverletzungen herunterladen und die Benutzernamen und Passwörter ausprobieren. Das heißt, nichts davon, dass sich ein Angreifer Zugang zur E-Mail-Adresse eines potenziellen Opfers verschafft und nur Passwort-Resets sendet.
„Du wirst eher monetarisiert als gestalkt. [Kriminelle] wollen eher Ihre Bankdaten und Ihre persönlichen Daten [für] Identitätsbetrug als für das Herumspielen mit Ihren Lichtern und Ihren Türschlössern“, sagte Spier.
Der Sinn von all dem ist, dass es sehr gut möglich ist und die Daten da draußen sind, um es zu tun, aber die Wahrscheinlichkeit, dass es einer zufälligen Person durch einen anderen zufälligen Hacker passiert, ist gering. Es ist eine Menge Arbeit erforderlich, um die Zugangsdaten von jemandem für sein Smart Home zu knacken. Es ist jedoch viel wahrscheinlicher, dass alle Daten, die während einer Datenschutzverletzung verloren gehen, zur Monetarisierung verwendet werden, sei es der Verkauf der Daten oder die Verwendung der Daten für Identitätsdiebstahl.
Es ist unglaublich unwahrscheinlich, dass das Endergebnis eines Hackers, der in ein Unternehmen einbricht, eine Szene aus einem Horrorfilm wird. Aber ich muss wohl zugeben, dass es nicht Null ist. Ich sollte auch erwähnen, dass Identitätsbetrug selbst eine Szene aus einem viel nerdigeren Horrorfilm ist, aber es ist auch ziemlich schrecklich, wenn es Ihnen passiert.
Bleiben Sie dem Spiel voraus
Allerdings gibt es Dinge, die Sie tun können, um Ihre Daten zu schützen und Ihr Smart Home sicher zu halten. Shier spricht von Identitätshygiene wie der Verwendung unterschiedlicher E-Mail-Adressen und Passwörter von jeder Site da draußen. Wenn Ihre Daten herauskommen, ist der Schaden minimal. Die Verwendung eines der besten Passwort-Manager ist eine großartige Idee, ebenso wie die Aktivierung der Zwei-Faktor-Authentifizierung, wenn möglich.
Eine andere Sache, auf die Spier hinweist, war, sicherzustellen, dass alle Standardkonten oder Passwörter, die möglicherweise mit Ihrem Smart Home-Gerät geliefert wurden, entfernt oder geändert werden. Einige Geräte werden mit einem Standard „admin/admin“ als Benutzername und Passwort ausgeliefert, und manchmal erstellen Benutzer ihr eigenes Konto, ohne die Standardeinstellung zu entfernen. Ebenso erstellen sie selbst ein neues Passwort, ohne das integrierte Passwort entfernt zu haben. Hacker können leicht herausfinden, was diese Standardpasswörter sind, und mit diesen Informationen Hackerversuche unternehmen.
Bleiben Sie bei bekannten Marken. Markenfremde und/oder kleinere Unternehmen neigen dazu, zu kommen und zu gehen, und halten die Implementierung von Software-Updates möglicherweise nicht für so wichtig wie einige der bekannteren und vertrauenswürdigeren Marken. Wenn Sie ein Gerät haben, das seit einiger Zeit nicht mehr aktualisiert wurde, sollten Sie sich an den Kundensupport wenden und herausfinden, was damit los ist. Softwareentwicklung ist ein fortlaufender Prozess.
Apropos: Halten Sie Ihre Smart-Home-Geräte auf dem neuesten Stand. Es ist keine schlechte Idee, regelmäßig nach Software-Updates zu suchen. Sicherheitslücken können von Zeit zu Zeit auftauchen und meistens werden sie schnell beseitigt. Das hilft aber nur, wenn man das Update tatsächlich herunterlädt und installiert.
Die gute Nachricht ist also, dass Sie Ihre Hausschlüssel weiterhin zu Hause lassen können, es sei denn, Sie haben jemanden wirklich, wirklich wütend gemacht. Seien wir ehrlich, wenn Sie sie so wütend gemacht haben, würde ein normaler Riegel wahrscheinlich sowieso nicht viel helfen. Aber das heißt nicht, dass Sie Ihre Wachsamkeit völlig fallen lassen können. Achten Sie darauf, regelmäßig nach Updates für Ihre Smart-Home-Technologie zu suchen, verwenden Sie Passwort-Manager und 2FA und sagen Sie vor allem niemals: „Ich bin gleich wieder da“.