Bagaimana mencegah peretas dari perangkat pintar Anda

Bagaimana mencegah peretas dari perangkat pintar Anda

Hari-hari ini, kami harus memberikan konektivitas internet hal-hal yang bahkan tidak kami ketahui perlu tampil online . Dengan jaringan gizmos “pintar” yang berkembang pesat, dibutuhkan strategi yang berbeda untuk menjaga keamanan data dan informasi kita.



Namun, masalah keamanan dan privasi tidak selalu menjadi prioritas teratas untuk perusahaan yang memproduksi produk ini.

“Ini benar-benar sebuah renungan, jika itu hanya sebuah pemikiran,” kata Shaun Murphy , pakar keamanan siber selama 20 tahun dan CEO sndr , aplikasi komunikasi.



Dengan pemikiran tersebut, konsumen bertanggung jawab untuk mengambil perlindungan dengan tangannya sendiri — sambil menuntut perusahaan untuk mengambil langkah dalam melindungi data dan informasi pengguna. Menurut Murphy, konsumen memainkan peran paling penting dalam membentuk masa depan perangkat IoT dan keamanan yang mereka berikan — atau, dalam banyak kasus, tidak.

Untuk lebih memahami bagaimana mengisi peran itu, Murphy menjelaskannya untuk kita semua.

Bahaya yang lebih aneh

https://twitter.com/PrivateShaun/status/713373156845752321

Satu hal yang dijelaskan Murphy adalah, meskipun Anda tidak menggunakan perangkat IoT, Anda akan secara tidak sengaja terlibat dengannya — seperti media sosial.



'Anda selalu berada dalam jangkauan seseorang yang menggunakan media sosial,' kata Murphy. Jadi, meskipun Anda tidak menyimpan profil sendiri, ada kemungkinan seseorang dapat menemukan foto Anda secara online dan menggunakannya di profil mereka sendiri. “Sekarang tiba-tiba, Anda memiliki profil media sosial, Anda tidak dapat mengontrolnya,” katanya. “Hal yang sama berlaku untuk Internet of Things.”

Anda tersambung ke IoT meskipun Anda tidak menyadarinya. Dan jika Anda memiliki perangkat yang terhubung ke internet, seperti foto Anda, termostat smart Anda mungkin diculik saat sedang online.



Jadi itulah kenyataannya: Kita semua adalah bagian dari IoT. Masalahnya, ini adalah masalah kita semua.

Sepertinya Anda menjalankan jaringan Wi-Fi rumah Anda sendiri — artinya, Anda mungkin memiliki satu atau dua router Wi-Fi sebagai sambungan internet utama di rumah Anda. Penting untuk mengetahui perangkat yang terhubung dengannya, termasuk yang dimiliki oleh orang-orang yang secara sah mengetahui sandi jaringan.

Anda mungkin hanya memberikan kata sandi Anda kepada keluarga dan teman atau tamu (yaitu, bukan peretas jahat yang mencoba merusak seluruh sistem Anda), tetapi Anda tidak pernah tahu perangkat apa yang membawa worm berbahaya. Perangkat berkemampuan internet dapat disusupi kapan saja dan membawa vektor serangan tidak aktif yang dapat menyusup ke jaringan Anda untuk mencari perangkat yang dapat diinfeksi. Infiltrasi itu mungkin sesederhana mencatat informasi otorisasi Wi-Fi yang diperlukan untuk menyambung ke jaringan.

“Sekarang Anda memiliki apa yang kami sebut ancaman internal,” kata Murphy. Peneliti menunjukkan tingkat keparahan ancaman internal oleh meretas sistem pencahayaan pintar Philips Hue dalam presentasi di konferensi keamanan dunia maya Black Hat tahunan awal bulan ini. Ini sama saja dengan menyelinap di belakang garis musuh — setelah Anda melewati firewall, Anda memiliki akses ke apa saja dan segala sesuatu yang tidak terlindungi di jaringan itu.



Untuk membuat ancaman internal tidak efektif, Murphy memiliki perbaikan sederhana untuk semua orang: Isolasi AP. “Titik akses Wi-Fi baru menyediakan mode isolasi di mana satu perangkat terhubung ke internet, tetapi tidak benar-benar terhubung ke perangkat lain di jaringan Anda,” jelasnya. Pada dasarnya, saat menggunakan AP Isolation, perangkat tidak dapat berbicara atau melihat satu sama lain dalam jaringan. “Itu benar-benar membatasi kerusakan yang dapat dilakukan perangkat hanya pada perangkat itu,” kata Murphy.

Isolasi AP dapat digunakan dengan kebijaksanaan, terutama jika Anda perlu menggunakan komunikasi perangkat-ke-perangkat, seperti menghubungkan komputer Anda ke printer nirkabel Anda. Salah satu cara untuk mengatasinya adalah dengan menyiapkan jaringan tamu yang menggunakan AP Isolation dan tinggalkan jaringan utama untuk Anda sendiri dan perangkat tepercaya Anda sendiri. Namun, meskipun begitu, perangkat Anda dapat terinfeksi, dan Anda akan memiliki masalah yang sama.

Membuka seluruh kaleng cacing

Sejauh ini, kita hanya membahas masalah dengan jaringan Wi-Fi rumah — satu lapisan dari teka-teki keamanan IoT. Tetapi bagaimana jika Anda tertarik untuk memasang beberapa perangkat pintar Anda sendiri? Hal-hal seperti termostat cerdas dan kamera keamanan adalah pilihan umum konsumen untuk terjun ke dunia IoT, kata Murphy. Haruskah Anda berhati-hati?

Nasihat paling dasar yang disarankan Murphy adalah mempertimbangkan kebutuhan. “Apakah Anda membutuhkan perangkat ini untuk dihubungkan ke internet?” dia bertanya. Jika ya, pertimbangkan jenis keamanan yang akan Anda dapatkan dengan perangkat yang Anda pilih. Dengan kata lain, lakukan riset, didik diri Anda sendiri, dan sesuaikan apa yang Anda lakukan berdasarkan informasi baru.

'[Itu] selalu sulit untuk memberi tahu orang-orang, 'cobalah untuk mengubah perilaku Anda,'' kata Murphy. “Daripada hanya masuk dan membeli produk yang Anda inginkan atau yang terlihat keren, mundurlah dan lihat dokumentasinya.” Saat melihat suatu produk, periksa untuk melihat apakah perusahaan telah menerbitkan atau mengungkapkan informasi tentang cara kerja produk dan cara menjaga data Anda.

Lihat juga kebijakan privasi perusahaan — ini akan memberi Anda gambaran yang cukup cepat tentang komitmen keamanan perusahaan (atau ketiadaan). 'Jika Anda melihat kebijakan privasi mereka dan sepertinya 1.000 halaman, dan Anda tidak dapat memahaminya, dan mereka menggunakan kata 'ganti rugi' di mana-mana, kemungkinan besar mereka memiliki lebih banyak pengacara daripada petugas keamanan,' saran Murphy.

Selain itu, Murphy mengatakan ada cara yang lebih sederhana untuk mengetahui seberapa baik kinerja perangkat IoT di bidang keamanan. 'Cukup lakukan penelusuran Google: 'nama produk', lalu tambahkan 'keamanan' padanya,' katanya. Kemungkinannya adalah, jika itu adalah produk yang lebih baru, ada makalah penelitian atau artikel yang diterbitkan tentang itu. Dan jika ada kesalahan keamanan besar, tautan tersebut akan kembali ke antrean teratas.

Pertimbangkan juga beberapa opsi, dan lakukan perbandingan produk. Lihat situs web produk untuk bagian khusus yang menjelaskan bagaimana produk tetap aman dan melindungi informasi Anda. Jika laman seperti itu tidak ada, kemungkinan besar produk tersebut tidak terlalu aman sama sekali, saran Murphy. 'Sebagai pedoman umum, jika Anda tidak dapat menemukan informasi itu, perangkat itu mungkin tidak aman secara default,' katanya.

Mata di langit

Terakhir, tapi mungkin yang paling penting, Murphy mendesak semua orang untuk mempertanyakan apakah informasi mereka akan disimpan di cloud. Penyimpanan cloud adalah salah satu pertimbangan terpenting, terutama dalam hal kamera dan perangkat pengawasan.

Menggunakan kamera keamanan sebagai contoh, anggaplah itu menyimpan semua rekaman di server cloud. Anda melihat video dan mengontrol perangkat melalui aplikasi, dan Anda dapat membiarkannya menyala sepanjang hari. Ini berfungsi dengan baik, jadi bagus, bukan?

Kurang tepat, kata Murphy.

Mari kita dekonstruksi semua yang salah di sini. Bendera merah terbesar adalah bahwa rekaman Anda disimpan di server orang lain — itu saja awannya — dan inilah masalahnya: Mungkin dienkripsi atau tidak. Jika tidak (yang tampaknya lebih mungkin), itu berarti bahwa siapa pun yang mendapatkan akses ke server tersebut dapat melihat informasi Anda — termasuk orang yang bekerja untuk perusahaan tersebut. “Mereka bisa duduk di sana sambil menonton webcam Anda sepanjang hari, dan Anda tidak akan tahu,” kata Murphy. Seberapa besar kemungkinannya, kami tidak tahu, tetapi tidak ada cara untuk benar-benar membuktikan bahwa seseorang sedang atau tidak menonton Anda tanpa, katakanlah, rekaman itu secara misterius berakhir di YouTube, kata Murphy. Bagaimanapun, peluang itu ada.

Terkadang perangkat telah mengaturnya sehingga Anda dapat melihat informasi Anda secara online atau melalui halaman web pribadi. 'Itu harus dihindari dengan segala cara,' kata Murphy. “Karena, jika Anda dapat melihatnya di halaman web, itu berarti orang lain bisa.”

Selain itu, komunikasi yang diperlukan untuk perangkat ini berarti bahwa informasi tersebut dikirim melalui banyak jalur, menyentuh basis di beberapa mesin yang berbeda. Jalur tak terlindungi menyebabkan masalah. Mereka pada dasarnya rentan, dan munculnya Shodan mengekspos kerentanan itu secara besar-besaran . Shodan adalah mesin pencari yang memanfaatkan feed yang tidak dilindungi dan menampilkannya di situsnya, di mana hampir semua orang dapat mencarinya.

https://www.youtube.com/watch?v=XB-vjRCwa9E

Untuk hal-hal semacam ini, enkripsi ujung ke ujung adalah nilai jual, menurut Murphy. Ini berarti perangkat yang berkomunikasi satu sama lain harus melakukannya sedemikian rupa sehingga perangkat pengirim mengemas informasi dengan cara yang hanya dapat dibuka oleh perangkat penerima. Aplikasi seperti iMessage dan Whatsapp sudah menggunakan teknologi ini, dan itu adalah sesuatu yang diharapkan konsumen dari perusahaan, kata Murphy.

Terakhir, Anda dapat dengan mudah mengabaikan perangkat seperti kamera yang berjalan di latar belakang 24/7. Murphy menyarankan pengguna untuk tidak melupakannya dan secara aktif mencari pembaruan perangkat lunak dan firmware. Untuk menggambarkan hal tersebut, ia mengutip bagaimana Nest Protect, alarm asap pintar, yang memiliki fitur yang salah itu menyebabkan perangkat berhenti berfungsi kembali pada tahun 2014 . 'Kecuali jika Anda secara aktif mencari diskusi, Anda tidak akan pernah tahu itu,' kata Murphy.

Uang berhenti di tempat lain

Meskipun semua tindakan pencegahan ini dapat mengarah pada pengalaman yang lebih aman dalam menggunakan produk Internet of Things ini, faktanya tetap bahwa konsumen harus meminta lebih baik dari perusahaan. 'Kecuali jika konsumen menuntut [keamanan yang lebih baik], tidak akan ada alasan bagi perusahaan untuk menghabiskan waktu dan tenaga untuk memperbaikinya,' kata Murphy.

Cara apa yang lebih baik untuk menarik perhatian perusahaan selain dengan uang? “Cara tercepat untuk melakukan perubahan adalah dengan tidak membeli produk yang tidak aman dan [dari perusahaan yang] tidak membahas keamanan, dan membeli yang aman… [dari perusahaan yang] secara aktif membicarakannya,” Murphy kata. Selain itu, manfaatkan bagian komentar dan ulasan untuk menyuarakan kekhawatiran Anda tentang kurangnya dokumentasi keamanan atau potensi celah keamanan. “Perusahaan memperhatikan itu.”

Untuk memperbaiki Internet of Things bukanlah tugas yang mudah dengan cara apa pun, dan masih memiliki jarak jauh dalam hal privasi sebelum kami dapat mempercayainya. Dengan keadaan saat ini, risikonya signifikan — bayangkan saja menemukan umpan video langsung dari anak Anda yang sedang tidur tersedia untuk siapa saja di internet. Ini akan membutuhkan upaya dari konsumen dan perusahaan, tetapi potensi perubahan tetap ada. Dengan menggunakan tip-tip ini, jaga diskusi tetap hidup dan secara aktif mencari perlindungan dari peretas dan kebocoran informasi pribadi di jaring yang dalam dan gelap.