در سپتامبر گذشته، صاحبان دوربینهای امنیتی Wyze در ایالات متحده، وقتی متوجه شدند که بهجای تماشای فیلمهای خانههایشان در فیدهای وبکم، در واقع به ویژگیهای دیگر صاحبان خانه نگاه میکنند، شوکه شدند.
یکی از کاربران گفت: “من رفتم دوربین هایم را بررسی کنم و قرار است همه آنها با یک دوربین جدید جایگزین شوند … و این مال من نیست.” Reddit. معلوم شد که این نیز یک حادثه مجزا نیست.
کمتر از شش ماه بعد باز هم همین اتفاق افتاداین بار، 13000 کاربر Wyze تصاویر کوچکی از دوربین دیگران دریافت کردند که به سایر کاربران اجازه می داد فیلم را از خانه خود مشاهده کنند. این شرکت در آن زمان گفت که “افزایش ناگهانی تقاضا باعث شد سیستم شناسههای دستگاه کاربر و نقشهبرداری شناسه کاربر را با هم ترکیب کند و در نتیجه حسابهای اشتباه را به دادههای خاصی مرتبط کند” – که برای کاربرانی که به طور طبیعی انتظار تصاویر را دارند، به سختی اطمینانبخش نیست. دوربین های امنیتی خصوصی بمانند
وایز تنها مقصر نیست. در سال 2018، پنج مشاور امنیتی اروپایی راهی برای دسترسی به فیلمهای ویدئویی از دوربینهای امنیتی تولید شده توسط شرکت سوان استرالیا به سادگی با وارد کردن شماره سریال محصول بدون نیاز به نام کاربری و رمز عبور. و در سال 2022، محقق امنیتی پل مور من متوجه شدم که فید دوربین دوبل Eufy’s Doorbell متعلق به Anker را می توان از طریق یک مرورگر وب به سادگی با دانستن URL صحیح و بدون نیاز به رمز عبور در دسترس قرار داد!
حمایت دولت
البته، به راحتی می توان از این حوادث مختلف نتیجه گرفت که داشتن یک سیستم امنیتی خانه به سادگی بیش از ارزش آن دردسر دارد. خبر خوب این است که به لطف قوانین جدید دولت و آگاهی بیشتر عمومی از اهمیت رمزهای عبور قوی، اوضاع در حال بهبود است.
در ماه آوریل، بریتانیا معرفی کرد قانون امنیت محصولات و زیرساخت های مخابراتی (PSTI). این بدان معنی است که همه تولید کنندگان دستگاه های اینترنت اشیا (از جمله دوربین های امنیتی، تلویزیون های هوشمند، یخچال های هوشمند و غیره) باید حداقل الزامات رمز عبور را رعایت کنند، استانداردهای امنیتی شناخته شده (ETSI EN 303 645 و ISO/IEC29147) را رعایت کنند و مصرف کنندگان را از حداقل دوره مطلع کنند. که طی آن به روز رسانی های امنیتی برای هر دستگاه ارائه می شود. عدم انجام این کار می تواند منجر به جریمه 10 میلیون پوندی یا 4 درصد از گردش مالی جهانی شود.
در همین حال، در ایالات متحده، اتحاد استانداردهای اتصال (گروه پشتیبان استاندارد خانه هوشمند Matter) اخیراً آن را معرفی کرده است مشخصات امنیتی دستگاه اینترنت اشیا برای دستگاه های مصرف کننده هوشمند از جمله لامپ ها، سوئیچ ها، ترموستات ها و دوربین ها. این مشخصات که توسط نزدیک به 200 شرکت عضو، از جمله Amazon، Google، Shneider Electric و Signify (Philips Hue و WiZ) توسعه یافته است، چندین الزام برای دستگاه های IoT از جمله شناسه منحصر به فرد، عدم رمز عبور پیش فرض کدگذاری شده در هارد دیسک، ذخیره ایمن داده های حساس را مشخص می کند. و به روز رسانی نرم افزار در طول دوره پشتیبانی محصول دستگاههایی که این الزامات را برآورده میکنند، میتوانند موارد جدید را حمل کنند ایمنی محصول تأیید شده (PSV) نام تجاری. سال گذشته، دولت آمریکا نیز خود را معرفی کرد علامت اعتماد سایبری برای محصولاتی که دارای استانداردهای ایمنی خاصی هستند که در گزارشی از موسسه ی ملی استانداردها و تکنولوژیعلم شناسی (NIST).
هنوز زود است و تنها تعداد انگشت شماری از دستگاهها تاکنون گواهینامه دریافت کردهاند، اما ایده این است که مصرفکنندگان در یک فروشگاه سختافزار میتوانند نام تجاری را بررسی کنند و همچنین یک کد QR روی دستگاه را اسکن کنند تا ببینند در چه آزمایشهایی موفق بودهاند.» کریس لاپر، مدیر ارشد فناوری CSA گفت. TechRadar. بهصورت آنلاین، امید این است که خردهفروشانی مانند آمازون بتوانند کادری را علامت بزنند تا فقط مواردی را فهرست کنند که استاندارد را رعایت میکنند.
انطباق را بهبود بخشید
البته قانونگذاری یک چیز است و کاربرد آن چیز دیگر. در بریتانیا، یک انجمن مصرف کننده کدوم اخیرا گزارش شده است بسیاری از تولیدکنندگان هنوز از قوانین جدید PSTI پیروی نمیکنند، بهویژه زمانی که نوبت به اطلاع رسانی به مشتریان در مورد مدت زمان بهروزرسانیهای امنیتی برای محصولات خریداریشده میرسد.
در ایالات متحده، آقای LaPré اعتراف می کند که اکوسیستم امنیت خانه هنوز مشکل ساز است، به ویژه (اما نه منحصراً، همانطور که در بالا دیدیم) وقتی صحبت از دوربین های ارزان قیمت چینی می شود. او می افزاید: «اگر به آمازون بروید و بگویید یک دوربین IP ارزان به من بدهید، آن را بخرید، وصل کنید و دستورالعمل ها را دنبال کنید، احتمالاً در عرض چند دقیقه هک خواهید شد. اندی ویلی، مدیر فنی ارشد شرکت امنیت سایبری نروژی پرومون، با این موضوع موافق است. «ما قبلاً دیدهایم که چگونه Anker سازنده لوازم الکترونیکی چینی نتوانست خوراک دوربین یکی از دستگاههای امنیتی خانه هوشمند خود را رمزگذاری کند. این سهل انگاری نمونه کاملی از مبادله بین دسترسی و امنیت است. »
به گفته ریچارد هیوز، رئیس بخش امنیت سایبری فنی در A&O Cyber، خرید از یک برند معتبر همیشه ایده خوبی است. «اگر محصولاتی را از شرکتی مانند ADT یا Amazon Ring Security خریداری میکنید، انتظار دارید که امنیت دستگاههای خود را در نظر گرفته باشند. اما اگر دستگاههایی را از یک برند ناشناخته خریداری میکنید، به احتمال زیاد آنها منابعی را برای اطمینان از محصولی عاری از آسیبپذیری اختصاص ندادهاند. »
و در حالی که ممکن است فکر کردن به آن طعنه آمیز باشد بهترین دوربین های امنیتی خانگی استیون فرنل، عضو ارشد IEEE و پروفسور امنیت سایبری در دانشگاه ناتینگهام، میگوید: «در واقع خطر امنیتی شما را افزایش میدهد، در وهله اول باید بهطور مناسب پیکربندی شوند، با رمزهای عبور قوی و در صورت وجود، احراز هویت چند عاملی برای کنترل دسترسی». . . حفاظت از دستگاههایی که برنامههای امنیتی خانگی را اجرا میکنند، از جمله تلفنهای همراه و لپتاپها بسیار مهم است.
بنابراین، آیا باید یک سیستم امنیتی خانه بخرید؟ البته بدون خطر نیست، اما ما شاهد یک تحول قطعی به سمت دستگاه های IoT هستیم که هستند “ایمن با طراحی”. همچنین چند مرحله ساده برای چگونه خانه هوشمند خود را ایمن کنیم که می تواند به ایجاد تفاوت کمک کند.
همزمان، دولت ها و نهادهای استاندارد در حال تلاش برای بهبود استانداردهای اساسی هستند. مصرفکنندگان همچنین میتوانند نقش خود را با استفاده از رمزهای عبور قوی و اطمینان از نصب آخرین بهروزرسانیهای امنیتی بر روی همه دستگاههای اینترنت اشیا، و همچنین انتخاب محصولات تأییدشدهای که آخرین گواهینامه را نمایش میدهند، ایفا کنند – پس از اینکه بهطور گسترده در دسترس قرار گرفتند.
شما همچنین ممکن است دوست داشته باشید
