Ang Cui, Gründer der IoT-Analyse- und Sicherheitsfirma Red Balloon, gab bekannt, dass die intelligenten Klingeln von Amazons Ring die Überwachung in die Vororte bringen und in Gang setzen. "Wir haben jahrzehntelang darüber nachgedacht, Menschen den Remotezugriff auf Computer zu ermöglichen. Wenn wir also darauf bestehen, unsere Türklingeln zu Computern zu machen, die mit dem Internet verbunden sind, müssen wir diese Computer mit der gleichen Sorgfalt sichern."
Mach es an
Grundlegende Sicherheitsmaßnahmen wie eine gute Passworthygiene und die Aktivierung der Zwei-Faktor-Authentifizierung reichen aus, um die meisten Angriffe abzuwehren. Im Moment ist es der Benutzer, der letztendlich diese Schritte unternehmen muss. Es ist jedoch auch richtig, dass die Unternehmen, die diese Geräte herstellen und verkaufen, viel mehr tun können, um die Menschen über diese Methoden aufzuklären und sie zu ermutigen, dies zu tun.
"IoT-Anbieter betonen oft zu Recht, dass ihre Produkte die Lebensqualität verbessern, vernachlässigen jedoch häufig die Offenlegung des Risikos dieser Geräte gegenüber den Verbrauchern", sagt Jake Williams, Gründer des Sicherheitsunternehmens Rendition Infosec. "Die Verpflichtung, zu verstehen, wie sich ein IoT-Gerät auf die Sicherheit auswirken kann, sollte nicht nur beim Verbraucher liegen. Der Anbieter teilt diese Verantwortung."
Wenn es um so etwas wie eine Klingel oder eine Kamera geht, können die Geräte wirklich nützlich sein, aber sie generieren auch vertrauliche Daten, die für viele Parteien wertvoll sind - von Strafverfolgungsbehörden über Kriminelle bis hin zu Hackern, die Nationalstaaten sind. Umso wichtiger ist Sicherheit. Und während Ring Anweisungen zum Aktivieren der Zwei-Faktor-Authentifizierung enthält, benötigt Amazon diese nicht und aktiviert sie standardmäßig nicht. Wenn Sie ein Ring-Benutzer sind, sollten Sie es auf jeden Fall einschalten.
Um die Zwei-Faktor-Authentifizierung für Ihr Konto zu aktivieren, öffnen Sie die Ring-App, tippen Sie auf das dreizeilige Symbol in der oberen linken Ecke des Bildschirms und gehen Sie zu Konto> Sicherheit verbessern> Zwei-Faktor-Autorisierung> Zwei-Faktor-Aktivierung. Geben Sie dann Ihr Passwort und die Mobiltelefonnummer ein, unter der Sie die SMS-Nachrichten mit einmaligen Anmeldecodes erhalten. Geben Sie dann den ersten Testcode ein und klicken Sie auf Weiter. Denken Sie daran, dass Sie jedem "Shared" - und "Guest User" -Konto, das von einem Hauptkonto abzweigt, zwei Faktoren einzeln hinzufügen müssen.
Nicht ein IoTa
Ein Ring-Sprecher erklärte WIRED in einer Erklärung: „Unser Sicherheitsteam hat diesen Vorfall untersucht und wir haben keine Hinweise auf ein unbefugtes Eindringen oder einen unbefugten Eingriff in die Systeme oder das Netzwerk von Ring. … Als wir von dem Vorfall erfahren haben, haben wir geeignete Maßnahmen ergriffen, um schlechte Darsteller von bekannten betroffenen Ring-Konten sofort zu sperren, und betroffene Benutzer wurden kontaktiert. Verbraucher sollten immer auf gute Passworthygiene achten. Wir empfehlen Ring-Kunden, ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren. “
Wie bei fast allen Herstellern vernetzter Geräte scheint Amazon jedoch Bedenken zu haben, einen verbesserten Kontoschutz wie die Zwei-Faktor-Authentifizierung stark zu fördern, was zu Reibungsverlusten führen oder die Verwendung von Geräten in irgendeiner Weise etwas erschweren könnte. Auf einer Informationsseite zur Kontosicherheit schreibt Amazon: "Wird der Zugriff auf meine Geräte oder mein Konto nicht durch die Zwei-Faktor-Authentifizierung erschwert? Durch die Zwei-Faktor-Authentifizierung wird der Zugriff auf Geräte um einen zusätzlichen Schritt erweitert. Der zusätzliche Schritt lohnt sich jedoch, für die zusätzliche Sicherheit, die es bringt."
Seit Jahren weisen Kritiker darauf hin, dass die Entwicklung von IoT-Geräten weniger sicher und bedenkenlos ist, da Angreifer die Ausbeutung eingebetteter Geräte in großem Maßstab vorantreiben. Entwickler haben begonnen, die IoT-Sicherheit als Reaktion ernst zu nehmen, aber Forscher sagen, dass es entmutigend ist, selbst die größten Spieler zu sehen, die immer noch grundlegende Fehler machen. Ringkameras wiesen eine Reihe von Sicherheitslücken auf, und erst diese Woche veröffentlichte Amazon Korrekturen für eine Reihe von Sicherheitslücken in seinen Blink-Heimkameras, die Geräteentführungen hätten ermöglichen können. In Verbindung mit dem anhaltenden Mangel an Nachdruck bei White-Label-Unternehmen und Start-ups ist der Fortschritt in der Branche insgesamt noch langsam.
"Wir haben mit mehreren Anbietern zusammengearbeitet, die behaupten, dass sie nicht gleichzeitig Sicherheit implementieren und in einem frühen Stadium profitabel sein können", sagt Williams. "In vielen Fällen haben die Anbieter die Bedrohungsmodellierung nicht selbst durchgeführt."
Wenn Anbieter die Risiken nicht einschätzen, sind sie den Verbrauchern ausgesetzt. Theoretisch könnte die IoT-Sicherheit viel nuancierter und robuster sein, aber Forscher weisen darauf hin, dass es schwierig ist, tiefer zu gehen, bis die grundlegendsten IoT-Sicherheitsprobleme gelöst sind.
