Securitywatch: der wahre Grund, warum ich keine Überwachungskamera habe

Mein Partner und ich haben vor kurzem einen Hund bekommen, was für Millenials ungefähr so ​​aussieht, als hätten wir ein Kind. Jetzt hatten und haben wir bereits andere Haustiere in unserem Haus. Unser Unheil an entzückenden, rosaroten Ratten mag unterschiedlich groß sein, aber es ist seit fast einem Jahrzehnt eine Konstante im Leben meines Partners und meiner selbst. Die Sache mit Ratten ist, dass sie mit ihren Rattenfreunden in einem Käfig genauso glücklich sind wie mit dir. Hunde hingegen sind nicht glücklich, wenn Sie fort sind, und deshalb sind Sie auch nicht glücklich. Als wir den Hund bekamen (dessen Name Lulu ist und der nach objektiven Maßstäben die beste Hündin ist ), schlug mein Partner vor, dass wir eine Webcam oder ein Video-Babyphone besorgen, damit wir unser Hundekind während der Arbeit überwachen können.

Ich gebe zu, ich war versucht. Wie ich bereits erwähnte, übernehmen unsere Haustiere für uns die Rolle von Kindern, und ich verbringe eine nicht unerhebliche Zeit damit, mir Sorgen um meine Tiere zu machen, wenn ich bei der Arbeit bin, insbesondere während der Sommer in New York, die die Hitze des Death Valley mit der Übelkeit verbinden Feuchtigkeit einer Achselhöhle. Trotz dieser Sorgen fühlte ich mich unwohl. Mein Partner ist sich meiner paranoischen Tendenzen sehr wohl bewusst, und nachdem wir darüber gesprochen haben, sind wir uns einig: Wir werden keine Überwachungskamera in unserem Haus haben.

Es ist nicht so, wie Sie vielleicht denken, weil ich Angst habe, dass Hacker meine intimen Momente beobachten oder Geheimdienste jedes einzelne Wort hören, obwohl dies echte Bedrohungen sind. Nein, ich befürchte, dass jedes internetfähige Gerät in meinem Netzwerk entführt und in eine Waffe der Online-Massenvernichtung verwandelt werden könnte.

Die gruseligen Hacks sind real, aber vermeidbar

Wir werden auf meine Ängste eingehen, aber zuerst muss ich zugeben, dass gruselige Dinge mit IoT-Geräten passieren und es sehr schlimm sein kann. Es ist für sich genommen ein triftiger Grund, sich Gedanken zu machen, bevor Sie eine mit dem Internet verbundene Kamera oder einen Babyphone kaufen.

Es gibt unzählige Geschichten, in denen Menschen die Stimmen von Creepern hören, die durch ihren Babyphone kommen, oder feststellen, dass jemand die Kamera in ihrem Computer verwendet hat, um peinliche Bilder aufzunehmen. Eine besonders heimtückische Praxis ist die sogenannte "Sextortion", bei der ein Angreifer damit droht, peinliche Fotos von einer entführten Webcam (die er möglicherweise tatsächlich hat oder auch nicht) freizugeben, es sei denn, das Opfer stellt sexuell eindeutiges Material zur Verfügung. Dies ist für sich genommen ekelhaft, und die Tatsache, dass junge Menschen häufig Ziel dieser Angriffe sind, ist bedauerlich.

Diese abscheulichen Angriffe sind in der Regel schwieriger durchzuführen, da sie auf eine bestimmte Person abzielen müssen. Der schlechte Sicherheitsstandard vieler Internet-of-Things-Geräte, einschließlich einiger Überwachungskameras und angeschlossener Babyphone, macht sie jedoch einfacher. Wenn Sie ein Ziel finden möchten, werfen Sie einen Blick auf Shodan - eine Suchmaschine für Geräte, die mit dem Internet verbunden sind. Wenn Sie eine bestimmte Person angreifen, müssen Sie wahrscheinlich physisch auf das Gerät zugreifen oder sorgfältig konstruierte Phishing-Angriffe ausführen. Shodan kann Sie jedoch möglicherweise mit einem ungewollten, wenn auch zufälligen Opfer in Verbindung bringen.

Diese groben, invasiven Angriffe sind eine echte Bedrohung, können aber auch ohne viel technisches Know-how gemildert werden. Ein einfaches Stück Klebeband über einer Linse oder einem trockenen Waschlappen über einem Gerät kann eine Kamera völlig blind machen. Babyphone können getrennt werden - oder noch besser, sie dürfen überhaupt nicht mit dem Internet verbunden sein. Ich kann das alleine machen.

Was mir wirklich Angst macht

Es gab eine Black Hat-Präsentation, die immer bei mir blieb. Darin zeigte der Moderator, wie er die Kontrolle über eine angeschlossene Überwachungskamera übernehmen kann. Das ist beängstigend, aber was mich veranlasste, war der Umstand, dass diese Kameras nur kleine Linux-Computer waren und dazu verwendet werden konnten, alles zu tun, was ein Angreifer wollte. Er behauptete auch, dass die überwiegende Mehrheit der Kameras auf dem Markt schwerwiegende Mängel aufwiesen.

Einige Jahre später kamen Smart-Home-Geräte in die Regale, und ich hörte immer wieder von Sicherheitsfirmen, dass sie wirklich besorgt waren. Sie hatten die gleiche Sorge wie der Moderator von Black Hat. dass es möglich sein könnte, ein intelligentes Gerät zu entführen und es für alle Arten von ruchlosen Zwecken zu verwenden.

Nicht lange danach wurden diese Ängste Realität und es war schlimmer als erwartet. Die Mirai-Malware durchsuchte das Internet automatisch nach verfügbaren Verbindungen und verwendete dann eine Reihe von Angriffen, um in das IOT-Gerät einzudringen, ohne dass Eingaben eines Menschen erforderlich waren. Mirai zielte auf Geräte ab, auf denen Embedded-Versionen von Linux ausgeführt wurden, von Fernsehgeräten bis hin zu Routern, und konnte ein beträchtliches Botnetz aufbauen. Es war groß genug, um einen DNS-Anbieter auszuschalten, was wiederum dazu führte, dass Websites wie GitHub, Netflix und Twitter nicht verfügbar waren.

Mirai war nur ein Beispiel, aber es ist immer wieder zurückgekommen. Laut Wikipedia wurden im letzten Jahr mehrmals Varianten der Mirai-Malware entdeckt, einige davon erst im Februar 2019.

Mirai war auf eine Handvoll Geräte beschränkt, aber immer noch äußerst effizient. Schlimmer wäre ein noch weiter fortgeschrittener Angriff - vielleicht weniger automatisiert, vielleicht nicht -, der von einer infizierten Glühbirne zu meinem Router und dann zu jedem Gerät im Netzwerk springen könnte. Dies würde das IoT-Gerät zu einem Brückenkopf oder Standbein machen, sodass der Angreifer oder die Malware in das wertvollere Netzwerk "eintauchen" könnten.

Zugegeben, es gab Verbesserungen bei angeschlossenen Kameras und Babyphonen sowie beim Internet der Dinge im Allgemeinen, aber die Industrie muss noch mehr tun. Unternehmen müssen sicherstellen, dass ihre Geräte eine Reihe von Tests überstanden haben, um nach Schwachstellen zu suchen, und mindestens einen Mechanismus zum Aktualisieren oder Ersetzen von Geräten einschließen, die als anfällig eingestuft werden. Anbieter müssen davon ausgehen, dass ihre Geräte angegriffen werden, Sicherheitsfunktionen eingebaut sind und sich daran erinnern, dass ihre Produkte nicht immer vom Benutzer gewartet werden können. Einige von ihnen haben keine Bildschirme oder keine Benutzeroberfläche.

Herdenimmunität

Auch für normale Menschen gibt es einige Vorsichtsmaßnahmen. Sie können IoT-Sicherheitsgeräte wie die Bitdefender Box oder Router mit integrierter Sicherheitssoftware erwerben. (Letzteres ist von Bedeutung, wenn Sie bedenken, dass ein Router wie ein IoT-Gerät nur ein Computer ist, der für böse Zwecke verwendet werden kann.) Sie können sicherstellen, dass Ihre Geräte mit den neuesten Software-Patches auf dem neuesten Stand sind und Änderungen vornehmen Standardkennwörter. Trotzdem geht das nur so weit. Es ist kaum zu erkennen, ob die darin enthaltene Überwachungskamera in ihren Updates signierten Code verwendet oder ob sie für den Benutzer unsichtbare, fest codierte Anmeldeinformationen und eine potenzielle Hintertür für Angreifer aufweist.

Es ist bemerkenswert, wie viel dieser Ratschläge und viel Sicherheit im Allgemeinen in der Idee der persönlichen Sicherheit und Verantwortung zum Ausdruck gebracht werden. Sie müssen Ihr Gerät und Ihre persönlichen Daten schützen. Wie bei Mirai kann ein erfolgreicher Angriff auf mich schnell zu einem Angriff auf meine Familie, meine Freunde, meine Gemeinde und Leute werden, die ich nie kennenlernen werde. Das wird nicht nur Probleme mit meinem ISP verursachen, sondern bedeutet auch, dass ich die Menschen um mich herum unwissentlich verletzt habe.

Dies erinnert mich an das Konzept der Herdenimmunität. Dann ist ein ausreichend hoher Prozentsatz einer Bevölkerung entweder immun oder gegen eine bestimmte Krankheit geimpft, an der niemand erkrankt. Die Bevölkerung schützt sich gegenseitig, indem sie die Ausbreitung von Ansteckungsgefahr verhindert. Die Installation einer Überwachungskamera in meinem Haus ist nicht nur ein Risiko für mich, sondern kann auch die Sicherheit anderer gefährden.

Lulu, der beste Hund, kämpft immer noch darum, sich alleine wohl zu fühlen. Wir haben ihr kürzlich eine Kistenabdeckung besorgt, weil Hunde offensichtlich von Natur aus in eine dunkle, sichere Höhle gezogen werden. Stattdessen zog sie die Decke durch die Stangen, ballte sie zusammen und schlief darauf. Ich kämpfe auch immer noch, aber ich weiß, dass die Lösung mehr Training für sie und für uns ist, nicht eine Kamera, die mir nur sagt, was ich bereits weiß.

• Hacking Hue: Forscher stürzen sich ins Internet der Dinge Hacking Hue: Forscher stürzen sich ins Internet der Dinge
• Nest: Schuld an schwachen Passwörtern, nicht wir für gruselige Kameraereignisse Nest: Schuld an schwachen Passwörtern, nicht wir für gruselige Kameraereignisse
• SecurityWatch: Machen Sie Unternehmen, nicht Kunden, leiden an Datenverletzungen SecurityWatch: Machen Sie Unternehmen, nicht Kunden, leiden an Datenverletzungen

Was auch immer eine Sicherheitskamera mir geben würde, ist es möglicherweise nicht wert, Teil eines verheerenden Angriffs zu sein. Es stellt meinen eigenen Seelenfrieden in den Vordergrund und das ist kein Handel, den ich machen möchte. Die IoT-Technologie verbessert sich und es gibt bessere Tools zum Schutz dieser Geräte, aber es reicht mir noch nicht aus, mich wohl zu fühlen. Ich begann, die Geräte in meinem Netzwerk als meine Verantwortung zu betrachten, meinetwegen und für andere, und für mich sind diese Geräte ein Risiko, das ich noch nicht eingehen möchte.