En lektion i vigtigheden af IoT-trusselsanalyse og sikkerhedstest
Uanset om du er forbruger eller virksomhedsejer, bliver cybersikkerhed generelt og GPS-tracker-sikkerhed mere og mere vigtigt hver dag. Det er en stor bekymring. Faktisk sagde 70 % af forbrugerne i en national undersøgelse foretaget tidligere i år, at de var bekymrede over, at deres personlige data blev videregivet til de forkerte personer. Samtidig er de fleste eksisterende og snart nye køretøjsejere bekymrede for biltyveri - med rette, på grund af en opadgående tendens af stjålne biler og lastbiler i løbet af det seneste år (en stigning på 9.2 procent fra året før, ifølge FBI).
Bilforhandlere gør disse to bekymringer til forretningsmuligheder ved at levere løsninger, der muliggør hurtig inddrivelse af stjålne køretøjer for forbrugerne, mens de på samme tid administrerer deres partier mere effektivt med større synlighed af deres beholdning samt genererer trinvise indtægter til forhandleren gennem salg af disse enheder. Men ikke alle tyveri-gendannelsesløsninger tilbyder det samme niveau af beskyttelse med hensyn til forbrugerdata og privatliv.
Beskytter alle GPS-trackere forbrugernes privatliv?
Da vi undersøgte GPS-baserede sporingsløsninger, der almindeligvis bruges i den amerikanske bilindustri, og deres sikkerhedsfunktioner, fandt vi ud af, at nogle af dem er omhyggeligt designet til at beskytte enhederne og deres data mod hacking, mens andre har meget lidt eller slet ingen beskyttelse. Hvorfor betyder det noget? Med en dårligt beskyttet tracker kunne tyvene nemt finde en bils placering, så de kan finde ud af, hvor ejeren bor, hvor de arbejder, og endda hvor deres børn går i skole. Og bilforhandlere, der sælger usikre løsninger, risikerer at pådrage sig deres kunders vrede.
I et forsøg på at få indsigt i nogle af de almindelige sikkerhedsforanstaltninger, som en GPS-sporingsløsning kan have (eller i høj grad mangler), besluttede vi at se nærmere på to forskellige sporingsløsninger: den ene var en traditionel kablet-in-løsning, og den anden en næste generations, batteridrevet, trådløs løsning.
De dårlige nyheder: Løsning A, den fastkablede GPS
Løsning A installeres normalt af en forhandlertekniker, som forbinder den med køretøjets batteri. Da vi undersøgte denne løsning, opdagede vi nogle chokerende fund. Vi var let i stand til at bestemme det telefonnummer, som enheden brugte til at kommunikere med mobilnetværket. Vi kunne derfra få den til at give os dens nøjagtige placering ved blot at sende den en tekstbesked indeholdende kommandosætninger, vi fandt offentliggjort på internettet, som blev tolket som instruktioner. Dette i sig selv repræsenterer en krænkelse af forbrugernes privatliv og åbner folk op for farer som forfølgelse, tyveri og andre forbrydelser. Hvis systemet var designet med sikkerhed i tankerne, skulle vi ikke have været i stand til at få den information.
Vi opdagede også, at med yderligere manipulation er det muligt at få trackeren til at sende en falsk lokation. Man kunne endda deaktivere trackeren helt ved at fjernmanipulere med dens software.
Det betyder, at ejeren af køretøjet og politibetjente ikke ville have nogen mulighed for at spore bilen, når den blev stjålet. Eller endnu værre, tyve kan sende myndighederne til at lede i den forkerte retning.
For forbrugere, der bruger dårligt sikrede enheder, er problemerne forbundet med disse trusler indlysende. Hvis du er en bilforhandler, der sælger disse enheder til dine kunder, risikerer du dårlig PR, nedsat omsætning, tab af tillid og måske endda ansvarsproblemer, hvis en løsning, du har solgt, bliver kompromitteret.
Alle disse problemer kunne have været forhindret ved at arbejde med en upartisk tredjepartsekspert for at vurdere sikkerheden af enheden og end-to-end-løsningen for at identificere problemer, før produktet blev frigivet, hvilket beskytter den langsigtede indtjening og producentens og dens produkts omdømme.
Men der er heldigvis også gode nyheder!
Den gode nyhed: Løsning B, den trådløse sporingsenhed
Vores test af løsning B – en næste generations trådløs sporingsenhed – fandt INGEN af de samme svagheder. Det beskyttede med succes placeringsoplysninger fra hackere, hvilket kun gjorde det muligt for den faktiske ejer af enheden at få adgang til deres bils position ved hjælp af avanceret datakryptering. Denne enhed havde også stærke beskyttelser som f.eks. brugergodkendelse på plads for at sikre, at ingen eksternt kunne deaktivere eller manipulere med enheden ved hjælp af over-the-air downloads og kommandoer; dette sikrede, at den altid var tilgængelig til at rapportere køretøjets korrekte placering. For forbrugerne betyder det, at deres privatliv og sikkerhed er beskyttet. Det forbedrer også chancerne for, at de hurtigere kan få deres bil tilbage, hvis den bliver stjålet. For bilforhandlere betyder det tilfredse kunder og ingen ansvarsproblemer fra kompromitterede enheder.
Hvordan vælger man hvilket produkt man skal købe eller sælge?
Uanset om det er en GPS-enhed eller en hvilken som helst anden IoT-enhed, er der tre centrale spørgsmål, som enhver bør stille om enhver IoT-enhed, før de vælger at købe eller sælge den:
- Privacy: Er enheden designet med databeskyttelse i tankerne? Er lokationsdata beskyttet med krypteringsteknologi?
- Beskyttelse: Hvad er der blevet gjort for at beskytte enheden mod hackere, så den ikke kan manipuleres med eller deaktiveres? Er nye firmwaredownloads signeret og godkendt Er fjernkommandoer til enheden godkendt?
- Uafhængig verifikation: Bruger virksomheden, der har designet enheden, interne eller eksterne sikkerhedseksperter til at teste løsningens end-to-end-sikkerhed?
Har du brug for hjælp til at sikre, at din løsning er sikker?
Ikke alle virksomheder har kompetencerne internt til at opnå det niveau af IoT-sikkerhed, de kræver (eller endda identificere, hvilke trusler der er mest relevante for dem at beskytte sig imod). I så fald er det smarte at få hjælp fra en ekstern virksomhed med speciale i sikkerhed, som kan hjælpe med aktiviteter som trusselsvurdering, sikkerhedsarkitekturdesign og sikkerhedsvurdering af dit endelige produkt, før det går på markedet. At rette en sikkerhedsfejl efter lanceringen kan koste op til 80 gange mere end at fange den samme fejl, mens du stadig er i designfasen, og det kan betyde forskellen mellem succes eller fiasko for produktet og endda virksomheden.
Kilde: https://www.iotforall.com/gps-vehicle-trackers-security-and-consumer-privacy- &
- 9
- adgang
- aktiviteter
- Alle
- tillade
- analyse
- arkitektur
- Godkendelse
- automotive
- bilindustrien
- batteri
- virksomhed
- virksomhedsejer
- købe
- bil
- biler
- odds
- Fælles
- selskab
- forbruger
- forbrugernes privatliv
- Forbrugere
- indhold
- forbrydelser
- Kunder
- Cybersecurity
- data
- databeskyttelse
- dag
- Design
- Enheder
- opdaget
- kryptering
- eksperter
- Manglende
- FBI
- Funktionalitet
- fejl
- For forbrugere
- Generelt
- godt
- gps
- hackere
- hacking
- HTTPS
- identificere
- Forøg
- industrien
- oplysninger
- indsigt
- Internet
- opgørelse
- tingenes internet
- IoT-enhed
- spørgsmål
- IT
- Nøgle
- børn
- lancere
- Niveau
- ansvar
- placering
- Håndtering
- Fabrikant
- Marked
- netværk
- nyheder
- tilbyde
- åbner
- Muligheder
- ordrer
- Andet
- Andre
- ejer
- ejere
- Mennesker
- Personlig data
- sætninger
- Police
- pr
- Beskyttelse af personlige oplysninger
- Produkt
- beskytte
- beskyttelse
- køb
- opsving
- indberette
- indtægter
- Risiko
- Kør
- Sikkerhed
- salg
- Skole
- sikkerhed
- sælger
- færdigheder
- Smart
- So
- Software
- solgt
- Løsninger
- stjålet
- succes
- Kortlægge
- systemet
- Teknologier
- prøve
- Test
- tyveri
- trusler
- tid
- spor
- Sporing
- Lastbiler
- Stol
- os
- us
- køretøj
- Køretøjer
- Verifikation
- synlighed
- WHO
- trådløs
- Arbejde
- år
- youtube
