Diqee 360: Рецепты - ХЛЕБОПЕЧКА.РУ - домашние хлебопечки и мультиварки. Рецепты, отзывы, инструкции, форум.

  • Home
  • Diqee 360: Рецепты - ХЛЕБОПЕЧКА.РУ - домашние хлебопечки и мультиварки. Рецепты, отзывы, инструкции, форум.

Diqee 360: Рецепты — ХЛЕБОПЕЧКА.РУ — домашние хлебопечки и мультиварки. Рецепты, отзывы, инструкции, форум.

Можно ли взломать робот пылесос?

Покупая робот-пылесос, его владельцу нужно понимать, с чем придется иметь дело. Такие устройства обычно имеют встроенную веб-камеру, которая используется для построения карты помещения, также они управляются через смартфон, соответственно, они подключаются к интернету. Теоретически, злоумышленник может подключиться к устройству дистанционно, и наблюдать за происходящем в квартире. Как он воспользуется этой информацией, вопрос другой, главное, что в теории такая вероятность есть. 

Насколько это реально

В интернете есть много информации на этот счет. Например, есть информация об уязвимости пылесосов Diqee 360. У них присутствовала уязвимость в прошивке, позволяющая выполнить атаку на пылесос, по итогам которой управление роботов перейдет в руки этого мошенника. Так как пылесос считается IoT-устройством, теоретически он может стать частью ботнета для выполнения DDOS-атаки на сторонние сервера. Для некоторых видов уязвимостей не нужно даже находиться в непосредственной близости у пылесоса, для других уязвимостей нужно иметь непосредственный доступ к роботу — это уже сложнее.

Если говорить не о компаниях, которые могут использовать роботизированную технику, а о частных лицах, то тут переживать нет смысла. Производители пылесосов не отрицают, что для нормальной работы устройства необходимо выполнить идентификации, в процессе которой аккаунт пользователя будет привязан и к личной почте, и к смартфону. Чтобы получить возможность управлять пылесосом на расстоянии, придется взломать слишком много аккаунтов – даже если это и можно сделать, то специалисты попросят за услугу слишком много средств, поэтому это будет просто невыгодно для мошенников.

Также никто не отрицает, что роботы-пылесосы вынуждены собирать определенную информацию. Различные разоблачающие статьи про то, что производители скрывают данный факт, рассчитаны на наивных людей. Роботы собирают информацию об интернет сети, данные про расположение предметов в доме, что нужно для построения карты, информацию о заданном режиме уборки по графику. Передача всех указанных данных передается по защищенному каналу.

Уровень защиты этого канала можно сравнить с защитой банковский транзакций. Там используются точно такие же методы шифрования, справиться с которым простой злоумышленник точно не сможет, а профессионалы вряд ли будут так стараться ради ограбления рядового пользователя. Также важно учитывать, что далеко не все устройства, особенно если им уже много лет, в принципе наделены функцией подключения к сети.

Пользователей роботов-пылесосов интересует вопрос о взломе хранилища, где размещены приватные данные. Регулярные процедуры между смартфоном пользователя и непосредственно самим пылесосом выполняются через данные, хранимые на облачных серверах компании. Как сказано выше, взлом таких серверов явно не под силу обычным мошенникам.

Успокоить пользователей может тот факт, что даже теоретический взлом робота-пылесоса не принесет никакой опасности. Можно разобрать отдельные факторы опасности по пунктам:

  1. Что будет, если мошенник получит доступ к камере робота-пылесоса? В теории он сможет получить трансляцию того, как пылесос проходит по помещению в процессе уборки. Что он может из этого извлечь? Он увидит расположение мебели, поймет, есть ли в доме хозяева, живут ли животные, которые могут защитить дом при вторжении. Есть опасность в том, что таким образом можно оценить, насколько семья богата, но чтобы попасть в квартиру, нужно получить доступ к домофону, взломать замки и при этом сделать это в правильное время.
  2. Что будет, если мошенник сможет управлять пылесосом? Он сможет начать уборку или остановить ее, может изменить режим работы. Насколько серьёзно такое вредительство ударит по дому — каждый решает сам.
  3. Могут ли они взломать другие устройства или обрушить домашнюю сеть? Несмотря на то, что зафиксирован случай заражения компьютера через кофе-машину, это был случай атаки на серьёзную компанию. Работали над взломом профессионалы, и цели у них были более амбициозные, чем ограбление дома.

Специалисты считают, что полученную информацию злоумышленники никак использовать не могут. Они могут в теории извлечь схематичную карту помещения, но понять, где какой предмет находится, сможет только хозяин квартиры. Если преступник заранее не будет знать, в какой именно квартире находится пылесос, где лежат деньги и прячут ключи от сейфа, риск ограбления после такой разведки минимален.

Как защитить устройство от взлома?

Само устройство особенно защищать не нужно – меры, которые приняли для этого разработчики, в полной мере обеспечивают безопасность устройства. Из основных рекомендаций: можно придумать более сложный пароль для электронной почты и домашнего интернета, периодически менять его и хранить в строгом секрете, давая только домочадцам и проверенным друзьям.

Всерьез переживать о том, что кто-то может взломать робот-пылесос и тем более воспользоваться этим, не нужно. Уровень защиты у современных роботов-пылесосов является достаточным для того, чтобы пользователи не переживали за сохранность своей приватности. Сама процедура взлома слишком сложная, а потенциально полученные данные не так ценны, как это может казаться.

запись цифровых сертификатов в микросхемы на этапе производства / Хабр


Программатор G-Shield (GPW-01)

GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip).

Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства.


Платформа G-Shield

включает в себя сервер регистрации (Enroll Server) и программатор чипов GPW-01. Он работает автоматически, выполняя задачи, поступающие сервера.

Технические характеристики

  • Параллельная работа множества программаторов со взаимным подключением.
  • Размер: 310×115×35 мм
  • ЖК-экран: 3,5 дюйма, разрешение 320×480 пикселей
  • Процессор и память: ARM V8 четырёхъядерный Cortex A53 1,2 ГГц, 1 ГБ SDRAM
  • Питание: AC 100 В − 240 В 50/60 ГЦ
  • ОС: Linux 3.x
  • Порты: четыре порта I2C
  • Разъёмы для чипов: четыре

Для обслуживания сертификатов используется платформа

IoT Identity Platform

от GlobalSign с программными интерфейсами RESTful API. Это гибкая и масштабируемая платформа на инфраструктуре открытых ключей (PKI), способная обрабатывать запросы от миллиардов устройств IoT.

Физическая интеграция сертификатов особенно актуальна для устройств Интернета вещей. Big Good собирается внедрять эти крипточипы в собственные устройства для умного дома, но также предлагает крипточипы другим производителям.

Первым внедрит систему в свой производственный цикл Realtek Semiconductor — известный производитель микросхем для телекоммуникационного оборудования, компьютерной периферии и мультимедийных приложений. Микросхемы Realtek используются во многих компьютерах, ноутбуках и планшетах: это сетевые контроллеры, микросхемы PHY, контроллеры доступа к сети, контроллеры мультимедийного шлюза, беспроводных LAN, а также кодеки High Definition Audio, контроллеры кард-ридеров, генераторы синхроимпульсов и контроллеров LCD.

Сейчас Realtek Semiconductor вместе с Big Good и GlobalSign изучают, как лучше всего интегрировать технологию на конвейер.

Физическое внедрение цифровых сертификатов на этапе производства — логичное решение для защиты устройств IoT в условиях, когда злоумышленник способен не только перехватить и подменить трафик, но и получить физический доступ к этим устройствам.

Слабая защита IoT — одна из самых больших проблем в индустрии. Достаточно посмотреть новости:

Всего этого можно было избежать за счёт грамотной реализации шифрования, в том числе запрограммировав крипточип с цифровым сертификатом на этапе производства.


Криптографический модуль HVCA от Big Good со встроенным цифровым сертификатом

Характеристики криптомодуля IoT

  • Алгоритмы PKI: ECDSA (FIPS186-3), ECDH (FIPS SP800-56A)
  • Стандарт эллиптических кривых NIST P-256
  • Алгоритм хеширования SHA-256 с опцией HMAC
  • Длина ключа 256 бит
  • Хранение до 16 ключей
  • Уникальный 72-битный серийный номер
  • Встроенный генератор случайных чисел
  • 10 КБ EEPROM для хранения ключей, сертификатов и данных
  • Опции журналирования, защита от внешнего вмешательства
  • Один пин GPIO
  • Стандартный интерфейс I2C 1 МГц
  • Питание от 2,0V до 5,5V Supply Voltage Range
  • Энергопотребление в спящем режиме менее 150 нА

Очевидно, что в защите нуждаются не только гаджеты для умного дома, но и медицинские импланты, промышленные приборы и другие устройства Интернета вещей.

Платформа управления цифровыми сертификатами GlobalSign с аппаратной поддержкой крипточипа Big Good поддерживает полный жизненный цикл идентификации устройства, от начальной подготовки сертификатов (которые прошиваются во время производства или локально при деплое) до управления жизненным циклом сертификатов с окончательным завершением их действия, включая вывод из эксплуатации или передачу права собственности.

Если у каждого устройства или конечной точки есть уникальный идентификатор, то при выходе в интернет они проходят аутентификацию, а затем на протяжении всей своей жизни доказывают свою целостность и могут безопасно общаться с другими устройствами, службами и пользователями.

Служба IoT Edge Enroll предоставляет гибкий и масштабируемый способ развёртывания этой системы и её поддержания с дополнительными функциями, такими как Registration Authority (RA) и расширенная поддержка протоколов. GlobalSign выдаёт сертификаты со скоростью более 3000 в секунду, что является рекордом среди регистрационных центров.


Безопасность по дизайну

— принцип разработки программного обеспечения, которое с самого начала проектируется так, чтобы обеспечить максимальную безопасность. Этот принцип можно расширить и на разработку оборудования.

Таким образом, сегодня цифровые сертификаты используются не только для для защиты веб-сайтов и подписи компьютерных программ, но и для обеспечения аутентичности физических устройств. Прошивка выполняется непосредственно на конвейере производителя микросхем.

«По мере развития технологий IoT важно, чтобы безопасность частью дизайна с самого начала, — говорит Роджер Ву, главный исполнительный директор Big Good Intelligent Systems. — Безопасность должна начинаться на уровне компонентов (чипов) и поддерживаться сильной, стабильной и безопасной инфраструктурой PKI на уровне устройств, шлюзов и облаков».


10 вещей, которые, вы не поверите, могут шпионить за вами (и делают это): bdsmn — LiveJournal

#слежка, #шпионаж, #большой_брат, #технологии, #гаджеты

Когда мы думаем о методах, которые правительства и крупные корпорации используют для слежки за нами, мы часто думаем о компьютерах, смартфонах и, возможно, камерах наблюдения. Как вы поймёте, это едва ли единственные вещи, которые можно использовать, чтобы следить за нами.

На первый взгляд безобидные предметы, такие как зубные щетки, наушники и детские игрушки, можно превратить в мощные шпионские устройства. Это не должно быть сюрпризом, учитывая, что каждый производитель хочет подключить свои продукты к Интернету в наши дни. Большой Брат (или, по крайней мере, большой бизнес) следит за вами.

10. Робот-пылесос

Робот-пылесос может быть довольно удобным, но он также может шпионить за вами. Например, Roomba iRobot i7+ был пойман на шпионаже, как и Dongguan Diqee 360.

IRobot i7+ способен создать карту вашего дома, когда он убирается. Roomba говорят, что пылесос должен создать карту вашего дома, чтобы он мог ориентироваться. Карта также может быть полезна, если вы хотите заказать пылесосу уборку определённой комнаты. Однако Roomba сообщили, что iRobot i7+ также делится картой вашего дома с другими интеллектуальными устройствами. Почему пылесосу нужно делиться картой вашего дома?

Ну, Roomba не объяснили, но вы можете догадаться, почему, учитывая, что пылесос был разработан совместно с Google, королём шпионажа. Хотя Google настаивают на том, что совместное использование просто позволяет роботу интегрироваться со своим цифровым помощником Google, трудно представить, что они каким-то образом не зарабатывают на этом.

Один робот-пылесос, который явно шпионит за нами – это изготовленный в Китае Dongguan Diqee 360. В пылесосе есть Wi-Fi и камеры ночного видения с возможностью поворота на 360 градусов. Хуже того, хакеры могут взломать камеры Diqee 360, чтобы шпионить за вами, когда Dongguan сам не делает этого.

9. Автомобили

Наши машины шпионят за нами, и мы говорим не только об умных, самостоятельных моделях; мы имеем в виду обычные автомобили. Они могут быть не умными, но и не глупыми.

Почти каждое произведённое сегодня транспортное средство содержит регистратор данных о событиях (EDR). EDR записывает информацию о транспортном средстве, включая его местоположение, среднюю скорость, состояние дороги и предпочтительный маршрут его владельца. Эта информация автоматически отправляется обратно автопроизводителю.

Автопроизводители говорят, что они используют эти данные для изучения поведения своих транспортных средств во время аварий и предлагают улучшения. Эта информация также передаётся правоохранительным органам для выявления причин несчастных случаев. Однако это не означает, что автопроизводители не будут использовать эту информацию для других целей.

С одной стороны, мы даже не знаем, сколько автопроизводителей собирают информацию об автомобилях. Мы также не знаем, кому принадлежит информация. Это владелец машины или производитель? Кроме того, большинство владельцев автомобилей даже не знают, что их отслеживают. Автопроизводители и продавцы тоже не очень заинтересованы в раскрытии этой информации. Так что шпионаж продолжается.

8. Наушники

Вам может быть интересно, как наушники могут шпионить за нами. Ну, это в основном микрофоны. Наушники и микрофоны работают одинаково. Просто наушники преобразуют электрические сигналы в звук, а микрофоны преобразуют звук в электрические сигналы.

Интересно, что они могут быть легко преобразованы, чтобы работать наоборот. Наушники можно превратить в микрофоны, просто подключив их к специальному разъёму для микрофона на вашем компьютере или к одному разъёму для наушников и микрофона в телефонах и ноутбуках. Поговорите с ними, и они станут микрофонами.

Эта технология может быть использована для превращения наушников в шпионские микрофоны, если какая-либо корпорация, правоохранительные органы или правительственное шпионское агентство ещё этого не делают. Исследователи из Университета Бен-Гуриона в Израиле даже создали вредоносное ПО, превращающее наушники в микрофоны, чтобы шпионить за людьми.

Вредоносное ПО, которое они назвали Speake(a)r, работает путём преобразования выходных разъёмов компьютера во входные разъёмы. Наушники можно использовать для прослушивания разговора человека, когда они подключены к компьютеру.

7. Зубные щётки

Зубные щётки медленно переходят от тупых пластиковых стержней с мягкой щетиной к гаджетам. И, как и в случае с другими гаджетами в наши дни, они подключены к Интернету, чтобы шпионить за нами. В 2014 году Oral B выпустили интеллектуальную зубную щётку, которая подключается к специализированным приложениям для Android и iOS через Bluetooth.

Зубная щётка записывает каждый ход щётки и представляет его пользователю в конце каждого сеанса чистки. Зубная щётка предлагает советы о том, как пользователь может улучшить свои привычки чистки и даже может отправить информацию стоматологу. Говоря о стоматологах, они также могут использовать эту информацию для создания программ чистки для своих пациентов.

Примерно в то же время Kolibree выпустили аналогичную зубную щётку. Они утверждали, что она поможет пользователям «перехитрить своего дантиста». Они также добавили, что пользователи могут делиться своей информацией о чистке с «дантистами и семьёй». Почему мы должны делиться своей информацией о чистке с нашей семьёй? Кроме того, были опасения, что зубная щётка может быть использована для отправки информации рекламодателям стоматологической продукции.

6. Alexa

Цифровой помощник Amazon, Alexa, шпионит за вами. Возможно, вы этого не знаете, но в настоящее время Amazon использует тысячи людей для просмотра голосовых команд, которые пользователи сообщают Alexa. Рецензенты работают по девять часов в день, в течение которых они анализируют более 1000 звуковых команд каждый.

Эти рецензенты слушали голосовые команды, которые пользователи никогда не думали, что Alexa или даже другой человек могут услышать. Они слушали банковские реквизиты, частные разговоры, которые явно не были адресованы Alexa, и, по крайней мере, один раз, женщину, поющую в душе.

Два рецензента однажды прослушали то, что, по их мнению, было сексуальным насилием, и сообщили об этом Amazon. Высокопоставленные лица отметили, что вмешиваться не было их обязанностью. Некоторые из этих записей происходили, когда Alexa была выключена, указывая на то, что Alexa либо включалась сама, либо когда слышала что-то, похожее на приказ о включении. Всё это создало опасения по поводу конфиденциальности и шпионажа со стороны Alexa.

Однако Amazon не называют это шпионажем. Они говорят, что рассматривают голосовые команды только для улучшения Alexa. Amazon пояснили: «Мы используем ваши запросы к Alexa для обучения наших систем распознавания речи и понимания естественного языка». Однако компания никогда не упоминала, что люди – а не какой-то искусственный интеллект – были вовлечены в обучение Alexa.

Хотя Amazon утверждают, что команды анализируются анонимно, мы знаем, что это не всегда так. Проверенные записи часто содержат имя пользователя, номер учётной записи и серийный номер продукта, которых может быть достаточно для идентификации личности.

5. Светодиодные фонари

Хотите верьте, хотите нет, 171 единица светодиодного освещения в терминале B международного аэропорта Ньюарк Либерти в Нью-Джерси – больше, чем просто освещение. Они оснащены датчиками и подключены к восьми видеокамерам для наблюдения за людьми внутри и вокруг терминала.

Терминал обслуживается Портовым управлением Нью-Йорка и Нью-Джерси. Они говорят, что камеры используются только для распознавания длинных очередей в аэропорту, номерных знаков транспортных средств и подозрительной активности. Тем не менее, мы все знаем, что система может быть использована для большего. Дирекция порта хранит любую информацию, собранную фонарями, и может передать её полиции по запросу.

4. Домашние камеры безопасности

Камеры безопасности должны ловить людей, пытающихся ограбить наши дома. Однако мы обнаружили, что они могут – и действительно делают – шпионить за нами. Опасения, что за ними будут наблюдать камеры видеонаблюдения, вызвали обеспокоенность в отношении конфиденциальности среди владельцев и потенциальных владельцев таких устройств. Пользователи стали настолько параноидально смотреть на камеры слежения, что появился стартап на камеру, которая поворачивается лицом к стене, когда вы дома.

Были высказаны опасения по поводу шпионажа, потому что камеры безопасности могут тайно снимать видео, изображения и аудио, которые загружаются в облако. Аудио-возможности наиболее известны, поскольку эти камеры могут записывать разговоры, которые должны быть приватными и конфиденциальными.

Есть также недостаток в способе обработки загруженных данных, потому что один из супругов может использовать их, чтобы шпионить за своей второй половинкой, находясь вдали от дома. Правоохранительные органы также могут приказать поставщику облачных услуг передать записи без вашего согласия.

На данный момент мы поймали Ring, производителя камер безопасности и дверных звонков и дочернюю компанию Amazon, которые шпионили за людьми с помощью своих камер. Ring говорят, что они не шпионят за пользователями, а используют только записанные видео для улучшения распознавания объектов – то, что Amazon говорили об Alexa. Тем не менее, их рецензенты видели частные видео людей, целующихся, крадущих и стреляющих из оружия.

3. Игрушки

Дети часто разговаривают со своими игрушками, как будто они люди, и в процессе могут раскрыть личную информацию. Это постепенно становится проблемой с появлением умных игрушек, оснащённых камерами и микрофонами. Эти камеры и микрофоны иногда отправляют информацию на серверы, которыми управляет производитель игрушек.

Genesis, производитель игрушек в Гонконге и Лос-Анджелесе, был пойман на том, что шпионил за детьми с помощью куклы My Friend Cayla. Кукла транскрибировала разговор с текстом и отправляла его третьим лицам. Любопытно, что когда дети спрашивали игрушку: «Ты умеешь хранить секреты?», она всегда отвечала: «Я обещаю никому не говорить; это только между нами».

Хакеры также могут взломать эти игрушки, чтобы шпионить за детьми, красть фотографии, видео- и аудиозаписи или определять координаты GPS, которые могут выявить местонахождение ребёнка. The Smart Toy Bear от Fisher-Price (дочерняя компания Mattel) также оказался уязвимым для хакеров после того, как исследователи из Университета Индианы обнаружили уязвимость в системе безопасности, которая позволила им получить доступ к камере.

2. Компьютерные мыши

Все знают, что их компьютер шпионит за ними, но большинство людей, похоже, игнорируют шпионские возможности периферийных устройств, таких как клавиатура и мышь. Да, эта безобидно выглядящая мышь может быть использована для того, чтобы следить за вами. Это случилось в Сингапуре.

В 2012 году сообщалось, что сингапурские работодатели шпионили за своими работниками с помощью различных устройств, в том числе калькуляторов, будильников и компьютерных мышей. Мыши-шпионы выглядели и работали как обычные мыши, за исключением того, что они были оснащены микрофонами и встроенной SIM-картой. Работодатель звонит мышке по телефону и начинает запись любого разговора в пределах 10 метров.

1. Умные часы и фитнес-трекеры

Умные часы, фитнес-трекеры и аналогичные умные носимые устройства – это ещё одна категория шпионских гаджетов, которые постепенно появляются. Эти гаджеты настолько умны, что могут использовать несколько источников информации для идентификации владельца. Они также могут определить, идёт ли владелец, бежит или просто садится в машину, поезд или автобус.

Это совсем не удивительно, когда вы понимаете, что эти носимые устройства могут также отслеживать движения рук пользователя, чтобы определить, вводят ли они конфиденциальную информацию, такую как пин-коды или пароли. Носимые устройства могут правильно определить номер или шаблон пин-кода, используемые для разблокировки сотового телефона в 64% случаев, PIN-код банкомата в 87% случаев и пароли от компьютеров в 96% случаев.

Специально для читателей моего блога Muz4in.Net
http://muz4in.net/news/10_veshhej_kotorye_vy_ne_poverite_mogut_shpionit_za_vami_i_delajut_ehto/2019-05-02-48945

запись цифровых сертификатов в микросхемы на этапе производства

Программатор чипов G-Shield: запись цифровых сертификатов в микросхемы на этапе производства

27 мая 2019, 11:07

Программатор G-Shield (GPW-01) GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip). Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства. Платформа G-Shield включает в себя сервер регистрации (Enroll Server) и программатор чипов GPW-01. Он работает автоматически, выполняя задачи, поступающие сервера.
Технические характеристики
  • Параллельная работа множества программаторов со взаимным подключением.
  • Размер: 310×115×35 мм
  • ЖК-экран: 3,5 дюйма, разрешение 320×480 пикселей
  • Процессор и память: ARM V8 четырёхъядерный Cortex A53 1,2 ГГц, 1 ГБ SDRAM
  • Питание: AC 100 В − 240 В 50/60 ГЦ
  • ОС: Linux 3.x
  • Порты: четыре порта I2C
  • Разъёмы для чипов: четыре
Для обслуживания сертификатов используется платформа IoT Identity Platform от GlobalSign с программными интерфейсами RESTful API. Это гибкая и масштабируемая платформа на инфраструктуре открытых ключей (PKI), способная обрабатывать запросы от миллиардов устройств IoT. Физическая интеграция сертификатов особенно актуальна для устройств Интернета вещей. Big Good собирается внедрять эти крипточипы в собственные устройства для умного дома, но также предлагает крипточипы другим производителям. Первым внедрит систему в свой производственный цикл Realtek Semiconductor — известный производитель микросхем для телекоммуникационного оборудования, компьютерной периферии и мультимедийных приложений. Микросхемы Realtek используются во многих компьютерах, ноутбуках и планшетах: это сетевые контроллеры, микросхемы PHY, контроллеры доступа к сети, контроллеры мультимедийного шлюза, беспроводных LAN, а также кодеки High Definition Audio, контроллеры кард-ридеров, генераторы синхроимпульсов и контроллеров LCD. Сейчас Realtek Semiconductor вместе с Big Good и GlobalSign изучают, как лучше всего интегрировать технологию на конвейер. Физическое внедрение цифровых сертификатов на этапе производства — логичное решение для защиты устройств IoT в условиях, когда злоумышленник способен не только перехватить и подменить трафик, но и получить физический доступ к этим устройствам. Слабая защита IoT — одна из самых больших проблем в индустрии. Достаточно посмотреть новости: Всего этого можно было избежать за счёт грамотной реализации шифрования, в том числе запрограммировав крипточип с цифровым сертификатом на этапе производства. Криптографический модуль HVCA от Big Good со встроенным цифровым сертификатом
Характеристики криптомодуля IoT
  • Алгоритмы PKI: ECDSA (FIPS186-3), ECDH (FIPS SP800-56A)
  • Стандарт эллиптических кривых NIST P-256
  • Алгоритм хеширования SHA-256 с опцией HMAC
  • Длина ключа 256 бит
  • Хранение до 16 ключей
  • Уникальный 72-битный серийный номер
  • Встроенный генератор случайных чисел
  • 10 КБ EEPROM для хранения ключей, сертификатов и данных
  • Опции журналирования, защита от внешнего вмешательства
  • Один пин GPIO
  • Стандартный интерфейс I2C 1 МГц
  • Питание от 2,0V до 5,5V Supply Voltage Range
  • Энергопотребление в спящем режиме менее 150 нА
Очевидно, что в защите нуждаются не только гаджеты для умного дома, но и медицинские импланты, промышленные приборы и другие устройства Интернета вещей. Платформа управления цифровыми сертификатами GlobalSign с аппаратной поддержкой крипточипа Big Good поддерживает полный жизненный цикл идентификации устройства, от начальной подготовки сертификатов (которые прошиваются во время производства или локально при деплое) до управления жизненным циклом сертификатов с окончательным завершением их действия, включая вывод из эксплуатации или передачу права собственности. Если у каждого устройства или конечной точки есть уникальный идентификатор, то при выходе в интернет они проходят аутентификацию, а затем на протяжении всей своей жизни доказывают свою целостность и могут безопасно общаться с другими устройствами, службами и пользователями. Служба IoT Edge Enroll предоставляет гибкий и масштабируемый способ развёртывания этой системы и её поддержания с дополнительными функциями, такими как Registration Authority (RA) и расширенная поддержка протоколов. GlobalSign выдаёт сертификаты со скоростью более 3000 в секунду, что является рекордом среди регистрационных центров. Безопасность по дизайну — принцип разработки программного обеспечения, которое с самого начала проектируется так, чтобы обеспечить максимальную безопасность. Этот принцип можно расширить и на разработку оборудования. Таким образом, сегодня цифровые сертификаты используются не только для для защиты веб-сайтов и подписи компьютерных программ, но и для обеспечения аутентичности физических устройств. Прошивка выполняется непосредственно на конвейере производителя микросхем. «По мере развития технологий IoT важно, чтобы безопасность частью дизайна с самого начала, — говорит Роджер Ву, главный исполнительный директор Big Good Intelligent Systems. — Безопасность должна начинаться на уровне компонентов (чипов) и поддерживаться сильной, стабильной и безопасной инфраструктурой PKI на уровне устройств, шлюзов и облаков».

10 устройств, которые, как ни трудно в это поверить, шпионят за вами

Мы живём в антиутопии.

Мы живём в мире продвинутых технологий, где дома и даже автомобили становятся всё более автономными, самостоятельно принимая решения и адаптируясь к условиям.

Но знаете ли вы, что некоторые устройства за нами шпионят? Не только смартфоны и смарт-часы, но даже и пылесосы могут узнавать о нас кое-какую информацию и делиться ею с другими девайсами.

Вот 10 шпионящих устройств, о которых вы не догадывались:

1. Алекса.

Всё больше людей держат дома смарт-колонки — Amazon Echo, Google Home и т. д. Нам кажется, что все разговоры с такими устройствами остаются приватными, но это не вполне так.

Amazon содержит по всему миру тысячи сотрудников, чья основная задача — слушать разговоры и голосовые команды, записанные Алексой, голосовым помощником системы Amazon Echo. Они слушают записи из домов, офисов и общественных мест, затем транскрибируют их, анализируют и используют для «устранения недостатков ПО».

Хотя сами записи анонимны, они привязаны к номеру аккаунта или девайса, так что теоретически пользователя можно вычислить. А ещё сотрудники слышат много странных вещей: пение в душе и даже крики о помощи (!). Политика Amazon запрещает вмешиваться в происходящее.

2. Роботы-пылесосы.

Роботы-пылесосы очень удобны тем, что самостоятельно ездят по дому и собирают пыль. Но и эти полезные устройства могут нарушать нашу конфиденциальность.

Например, Google совместно с iRobot создаёт трёхмерную карту вашего жилища, которой робот потом делится с другими смарт-устройствами. Производители говорят, что эти данные надёжно защищены, но можно ли им доверять?

А китайский робот-пылесос Dongguan Diqee 360 оснащён Wi-Fi и встроенной камерой ночного видения на 360 градусов. Хотя сама компания не собирает никаких данных о жилище пользователя, если хакер взломает такой пылесос, он узнает всю планировку дома.

3. Автомобили.

Большинство современных машин оснащены регистратором — аналогом «чёрного ящика» в самолёте. Это модуль, который постоянно записывает различные параметры работы автомобиля: число оборотов двигателя, скорость машины, процент от полной мощности, торможение, дорожные условия, предпочитаемый маршрут и т. д. Регистратор также записывает последние секунды перед столкновением, чтобы впоследствии производитель мог определить степень вины водителя.

Все эти данные используются автопроизводителями для анализа ДТП и поведения водителей. В случае аварии производители могут предоставить информацию о вашем вождении властям, что будет использовано против вас в суде. По оценкам специалистов, около 64% всех моделей начиная с 2005 года оснащены регистратором.

4. Игрушки.

Многие современные игрушки содержат микрочипы, которые отслеживают поведение пользователя для дальнейшего усовершенствования товара. Но больше всего тревожит то, что некоторые игрушки оснащены блютус-девайсами, которые подключаются к серверу и отправляют туда данные о взаимодействии с пользователем.

Именно так было с говорящей куклой My Friend Cayla, что вызвало скандал в Германии в 2017 году. Производитель утверждал, что держит все собранные данные под контролем, хотя «абсолютную безопасность» гарантировать невозможно. При этом оказалось, что любое блютус-устройство можно подключить к кукле с расстояния до 10 метров и подслушивать пользователя, который с ней играет.

5. Веб-камеры.

Да, веб-камера — очень распространённый способ сбора персональных данных, но зато от неё довольно легко защититься. Заклеивайте веб-камеру кусочком непрозрачного скотча или пластыря, когда она не используется. Так делает, например, бывший директор ФБР Джемс Коми.

Хакеры, получившие доступ к веб-камере, снимают пользователя на видео без его ведома. Эти видео могут потом использоваться для шантажа.

6. Смарт-часы и фитнес-браслеты.

В мае 2018 года Лаборатория Касперского предупредила пользователей об опасности смарт-часов и фитнес-браслетов. По данным российской компании, эти девайсы составляют «поведенческий профиль» пользователя, позволяющий выделить его из миллионов других. Уникальный профиль составляется на основе данных акселерометра и гироскопа.

Если эти данные попадут в руки злоумышленников, они смогут с точностью 80–90% вычислить такую личную информацию, как ПИН-коды, пароли и защитные фразы. Поскольку каждый человек движется индивидуально, по показаниям акселерометра и гироскопа можно вычислить движения пальцев при наборе пароля. Так что носите смарт-часы не на той руке, которой набираете!

7. Зубные щётки.

Многие современные зубные щётки подключаются к мобильным устройствам, чтобы вести учёт ваших гигиенических процедур. Но смарт-щётка Oral B идёт ещё дальше, позволяя вашему стоматологу шпионить за вами!

Новая щётка Oral B Bluetooth 4.0, управляемая приложением, не только следит, чтобы вы как следует чистили зубы, но и отправляет информацию стоматологу. Каждое движение щётки записывается и отправляется дантисту, который в реальном времени даёт вам советы. Жутковато, да?

8. Наушники.

Группа израильских учёных разработала код, который позволяет записывать звук, даже если устройство не оснащено микрофоном. Этот код превращает наушник в микрофон: динамики реагируют на колебания воздуха, преображая их в электромагнитный сигнал.

Этот код, названный SPEAKE(a)R, гарантирует, что даже при выключенном микрофоне разговоры пользователя всё равно можно будет записать.

9. Домашние камеры видеонаблюдения.

Люди устанавливают у себя дома камеры для большей безопасности. Когда вы можете увидеть, что происходит снаружи, не выходя из комнаты, это утешает. Однако доступ к камерам могут получить и хакеры.

Например, в январе в Америке случилась громкая история: хакер взломал систему безопасности Nest и через неё вёл разговоры с ребёнком в доме. Он также мог менять температуру в доме и наблюдать за семьёй несколько месяцев, пока не был раскрыт.

Эксперты советуют использовать двухфакторную аутентификацию, чтобы всякий раз, когда кто-то пытается войти в систему, вам приходило сообщение на телефон или почту.

10. Светодиодные лампы.

Да, технический прогресс дошёл до того, что власти могут подсматривать за нами через обычные светодиодные лампы!

Новая система наблюдения в терминале B международного аэропорта Ньюарк состоит из 171 светодиодной лампы, группы датчиков и восьми видеокамер, которые собирают данные по всему терминалу и отправляют их в специальную программу. Программа анализирует время ожидания в очередях, распознаёт автомобильные номера и даже выявляет подозрительную деятельность. А дирекция аэропорта может использовать эту информацию для профилактики преступности и даже передавать её властям.

А вы пользуетесь какими-нибудь смарт-устройствами?

недостатков умных пылесосов Diqee 360 ​​позволяют хакерам шпионить за их владельцами

Исследователи безопасности из Positive Technologies опубликовали подробности о двух уязвимостях, затрагивающих умные пылесосы Dongguan Diqee 360.

Две уязвимости позволяют злоумышленнику запустить вредоносный код на устройстве с правами суперпользователя и эффективно захватить вакуум.

«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть объединены в бот-сеть для DDoS-атак», — сказала Ли-Энн Галлоуэй, руководитель направления устойчивости к кибербезопасности в Positive Technologies.

«Но это даже не худший сценарий, по крайней мере, для владельцев», — добавляет она. «Поскольку в пылесосе есть Wi-Fi, веб-камера с ночным видением и навигация, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем».

Технические подробности опубликованы сегодня

Две уязвимости: CVE-2018-10987 и CVE-2018-10988. Первый можно эксплуатировать удаленно, а второму нужен физический доступ к устройству.

Первую ошибку может использовать только аутентифицированный злоумышленник, но Positive Technologies сообщает, что все устройства Diqee 360 ​​поставляются с паролем по умолчанию 888888 для учетной записи администратора, который меняют очень немногие пользователи и который злоумышленники могут включить в свою цепочку эксплойтов.

Злоумышленник, прошедший проверку подлинности, может отправить специально созданный UDP-пакет и выполнять команды на пылесосе от имени пользователя root. Ошибка в функции REQUEST_SET_WIFIPASSWD (UDP-команда 153). Созданный UDP-пакет запускает «/mnt/skyeye/mode_switch.sh %s», а злоумышленник контролирует переменную %s.

Вторая уязвимость, требующая физического доступа, может быть использована для замены прошивки устройства вредоносной версией и требует только установки карты microSD в пылесос.

Процесс обновления прошивки, встроенный в прошивку, запускается при загрузке и пытается найти папку обновления на карте microSD. Он выполняет код без цифровой подписи от имени пользователя root по пути /mnt/sdcard/$PRO_NAME/upgrade.sh или /sdcard/upgrage_360/upgrade.sh.

Обнаружение двух уязвимостей принадлежит исследователям Positive Tehcnologies Леониду Кролле и Георгию Зайцеву.

Positive Technologies предупреждает, что эти две уязвимости могут затронуть и другие устройства Dongguan, использующие тот же уязвимый код.Это могут быть видеорегистраторы, камеры наблюдения и умные дверные звонки, продаваемые одной и той же компанией.

Нет информации о патчах

«Positive Technologies следовала практике ответственного раскрытия информации и предупредила компанию об этих уязвимостях, что дало время для исправления недостатков», — сообщил сегодня представитель Bleeping Computer в электронном письме.

«Positive Technologies также официально представила информацию об уязвимостях (см. CVE-2018-10987 и CVE-2018-10987) и обсудила результаты на своем форуме безопасности PHDays в мае 2018 года», — добавил представитель.«У Positive Technologies нет информации о том, устранены ли уязвимости на сегодняшний день».

Представитель Dongguan не ответил на запрос о комментариях до публикации этой статьи относительно наличия каких-либо исправлений.

Это уже второй раз, когда исследователи безопасности обнаруживают ошибку в микропрограмме интеллектуального пылесоса, которая позволяет злоумышленнику завладеть устройством и шпионить за его владельцем. Исследователи Check Point обнаружили аналогичную ошибку, затрагивающую умную бытовую технику LG.В видео, опубликованном в прошлом году, Check Point продемонстрировала ошибку и показала, как они использовали ее, чтобы захватить умный пылесос с камерой и шпионить за его владельцем.