A cena de hackers em casa inteligente no Scream é possível, mas você provavelmente está bem

Dois elementos combinados para fazer este artigo acontecer. O primeiro foi que outubro foi o Mês da Conscientização sobre Segurança Cibernética . Em segundo lugar, bem no meio do mês, o primeiro trailer do novo filme Pânico foi lançado. Continha uma cena que nos deixou um pouco preocupados. Veja se consegue descobrir.

Obviamente, estamos falando sobre a cena dos bloqueios inteligentes. Todas as fechaduras em sua casa são desbloqueadas, então você retira seu smartphone e bloqueia-as novamente, apenas para vê-las desbloquear novamente. A implicação aqui é que o Sr. Assassino Assustador invadiu a conta de casa inteligente da vítima e pode controlar todos os dispositivos da casa. Caramba.

Como alguém que não carrega as chaves de sua casa por causa de todas as fechaduras inteligentes , eu estava ficando um pouco nervoso. Então decidi conversar com alguém sobre isso. Procurei John Shier, consultor de segurança sênior da Sophos para falar sobre isso. Ele me deu boas e más notícias. Vou começar com as más notícias.

Sim, isso é possível. A boa notícia é que é bastante difícil de fazer e a melhor notícia é que as chances de isso acontecer com você são infinitesimais, a menos, é claro, que você também tenha alguém que realmente queira lhe fazer mal. Mas a verdade é que há uma boa chance de que dados suficientes estejam disponíveis para tornar algo assim possível.

LOLwut?

Existem duas coisas que se combinam para tornar isso possível: Engenharia social e violações de dados. Separadamente, qualquer um deles pode fornecer a um invasor informações suficientes para invadir sua casa inteligente . Juntos, isso se torna ainda mais possível. Mas você tem que entender, quando dizemos que isso é possível , temos que advertir rapidamente, dizendo que não é muito provável .

Se você aceitar a ideia do filme de que há muito planejamento e premeditação, então isso se torna muito mais fácil, o que quer dizer que é mais plausível. O fato é que violações de dados acontecem com frequência e as pessoas costumam reutilizar endereços de e-mail e senhas para vários serviços. Sua senha exposta da empresa XYZ (não estamos envergonhando a violação de dados aqui) pode muito bem ser o mesmo nome de usuário e senha que você usa para seus bloqueios inteligentes. Mesmo que a senha seja diferente, o endereço de e-mail é uma informação importante para outras formas de invadir sua entrada.

Antes que você pergunte, não, não estamos transformando isso em um tutorial “hackear seu caminho para a casa de seus amigos e familiares”. Mas basta dizer que qualquer informação sobre você que tenha sido exposta por uma dessas violações de dados deixa um infrator em potencial um pouco mais perto de finalmente obter acesso às suas contas. Isso pode acontecer por meio de engenharia social ou usando dados expostos em violações. Nenhum dos quais é trivial. “Acho que quando falamos sobre a segurança da IoT em geral, esses são provavelmente alguns dos maiores riscos quando se trata de ter os dispositivos fora de seu controle”, explicou Shier.

A engenharia social depende de truques que, honestamente, podem ou não funcionar. Se alguém decidir seguir esse caminho, ele deve estar em uma posição em que possa enganar o usuário para que ele forneça credenciais. Foi nesse ponto da minha conversa com Shier que aprendi algumas maneiras surpreendentes de configurar facilmente um site de phishing para esse propósito. Novamente, este não é um tutorial, então não vou repetir aqui, mas basta dizer, às vezes a Internet é uma merda.

A outra rota envolveria vasculhar milhões de conjuntos de credenciais e encontrar um alvo, que dependendo da violação pode não ser identificável pelo nome. Um destino pode ter o nome John Doe, mas seu endereço de e-mail pode ser [email protected] e pode não haver maneira de associar essas duas informações incrivelmente díspares.

Sites como o haveIbeenpwned.com podem informá-lo se o seu endereço de e-mail foi parte de uma violação de dados em qualquer lugar, mas também têm o efeito inverso. Um invasor pode obter o endereço de e-mail de uma vítima em potencial e usar esse site para ver de quais violações de dados ele fez parte. A partir daí, você pode baixar os dados das violações e tentar os nomes de usuário e as senhas. Ou seja, nada de um invasor obtendo acesso ao endereço de e-mail de uma vítima em potencial e apenas enviando redefinições de senha.

“É mais provável que você seja monetizado do que perseguido. É mais provável que [os criminosos] queiram obter suas credenciais bancárias e suas informações pessoais [por] fraude de identidade do que por mexer nas luzes e nas fechaduras das portas ”, disse Spier.

O ponto de tudo isso é que é muito possível e os dados estão lá para fazer isso, mas a probabilidade de isso acontecer a uma pessoa aleatória por um hacker aleatório diferente é remota. É necessário muito trabalho para quebrar as credenciais de alguém para sua casa inteligente. Mas é muito mais provável que quaisquer dados perdidos durante uma violação de dados sejam usados ​​para monetização, seja vendendo os dados ou usando os dados para roubo de identidade.

É extremamente improvável que o resultado final de um hacker invadindo uma empresa seja uma cena de um filme de terror. Mas suponho que devo admitir que não é zero. Também devo mencionar que a própria fraude de identidade é uma cena de um filme de terror muito mais nerd, mas também é muito terrível se acontecer com você.

Fique à frente do jogo

Dito isso, há coisas que você pode fazer para ajudar a proteger seus dados e manter sua casa inteligente segura. Shier fala de higiene de identidade, como o uso de diferentes endereços de e-mail e senhas de todos os sites. Se seus dados vazarem, o dano será mínimo. Usar um dos melhores gerenciadores de senha é uma ótima idéia, pois permite a autenticação de dois fatores sempre que possível.

Outra coisa que Spier aponta é ter certeza de que todas as contas ou senhas padrão que podem ter sido enviadas com o seu dispositivo de casa inteligente sejam removidas ou alteradas. Alguns dispositivos são fornecidos com um “admin / admin” padrão como nome de usuário e senha e, às vezes, os usuários criam suas próprias contas sem remover o padrão. Da mesma forma, eles criarão uma nova senha própria sem ter removido a senha embutida. Os hackers podem descobrir facilmente quais são essas senhas padrão e tentar algum tipo de hackeamento com essas informações.

Fique com marcas de nome. Empresas sem marca e / ou menores têm uma tendência de ir e vir e podem não considerar a implementação de atualizações de software tão críticas quanto algumas das marcas mais conhecidas e confiáveis. Se você tiver um dispositivo que não é atualizado há algum tempo, considere entrar em contato com o suporte ao cliente e descubra o que está acontecendo com ele. O desenvolvimento de software é um processo contínuo.

Falando nisso, certifique-se de manter seus dispositivos domésticos inteligentes atualizados. Não é uma má ideia verificar se há atualizações de software periodicamente. Vulnerabilidades de segurança podem surgir de vez em quando e, na maioria das vezes, são eliminadas rapidamente. Mas isso só ajuda se você realmente baixar e instalar a atualização.

Portanto, a boa notícia é que, a menos que você tenha deixado alguém realmente bravo, você pode continuar a deixar as chaves de sua casa em casa. Vamos ser honestos, se você os deixou tão furiosos, uma fechadura normal provavelmente não ajudaria muito. Mas isso não quer dizer que você possa baixar completamente a guarda. Certifique-se de verificar regularmente se há atualizações com sua tecnologia de casa inteligente, use gerenciadores de senha e 2FA e, o mais importante, nunca diga “Eu volto logo”.