Φανταστείτε να αναθέσετε σε εξωτερικούς συνεργάτες όλες αυτές τις συνήθεις εργασίες γραφείου - διαχείριση ημερολογίων, παραγγελία προμηθειών, κράτηση αιθουσών συσκέψεων - στην Alexa, τον εικονικό βοηθό του Amazon με φωνή. Με το νέο Alexa for Business της Amazon, αυτή η φαντασία μπορεί να γίνει πραγματικότητα, αλλά ενδεχομένως εις βάρος, λένε ορισμένοι ερευνητές ασφάλειας στον κυβερνοχώρο, για σοβαρούς κινδύνους ασφαλείας. Σκεφτείτε, εταιρική κατασκοπεία και παραβιάσεις.
Την Πέμπτη, η Amazon έκανε το ντεμπούτο της στη νέα εταιρική έκδοση του δημοφιλούς εικονικού βοηθού της Alexa, η οποία συνεργάζεται με το ηχείο με δυνατότητα Internet της Amazon, το Echo. Η Alexa for Business μπορεί να κάνει τα πάντα, από την πραγματοποίηση τηλεφωνικών κλήσεων μέχρι να καταλάβει πότε πρέπει να φύγετε για το αεροδρόμιο.
Ωστόσο, ο χάκερ λευκών καπέλων William Caput προειδοποιεί ότι η Alexa for Business είναι πιθανός κίνδυνος ασφάλειας για τις εταιρείες. Ο Caput, ο οποίος διεξάγει δοκιμές διείσδυσης σε εταιρείες, λέει συσκευές που ακούνε πάντα, όπως έξυπνες τηλεοράσεις και εικονικοί βοηθοί, μεταδίδουν δεδομένα πίσω στη μητρική εταιρεία ενός προϊόντος για χρήση σε πράγματα όπως η εξόρυξη δεδομένων.
«Φαίνεται πολύ αφελές για μια επιχείρηση να εξετάσει το ενδεχόμενο να χρησιμοποιήσει κάτι τέτοιο, εκτός εάν υπάρχει μια πολιτική ρητής χρήσης που δηλώνει ότι δεν θα πραγματοποιηθούν συγκεκριμένοι τύποι μετάδοσης δεδομένων», λέει ο Caput. «Πριν το χρησιμοποιήσετε, θα θέλατε να διεξαγάγετε αυστηρές δοκιμές πειρατείας και να μάθετε τι ακούγεται και τι αποστέλλεται».
Ακούγοντας το Amazon
Δεδομένου ότι η Alexa μπορεί να ενσωματωθεί σε στοιχεία πληροφορικής σας όπως τηλέφωνα και ημερολόγια, ο Tim Roddy της Fidelis Security λέει ότι ορισμένα δεδομένα θα αποθηκευτούν στην υποδομή της Alexa. Αυτό θα μπορούσε να σημαίνει ότι ορισμένα δεδομένα της εταιρείας αποθηκεύονται είτε μεταδίδονται στην Amazon.
Ο Caput λέει ότι η Amazon, ειδικότερα, έχει κίνητρο να ακούει και να συλλέγει λέξεις-κλειδιά που μπορούν στη συνέχεια να χρησιμοποιηθούν στο στοχευμένο μάρκετινγκ. ο Wall Street Journa Αναφέρω ότι η Amazon ισχυρίζεται ότι το ηχείο Echo δεν στέλνει δεδομένα στο cloud, εκτός εάν οι χρήστες ξυπνήσουν τη συσκευή χρησιμοποιώντας το όνομά της - «Alexa». Ωστόσο, ο Caput λέει ότι η Alexa for Business δεν έχει ακόμη δοκιμαστεί αυστηρά από την κοινότητα ασφαλείας και ότι οι πιθανοί κίνδυνοι, οι τρύπες ασφαλείας και τα τρωτά σημεία είναι άγνωστα.
Εταιρική κατασκοπεία
Οι εταιρείες διεξάγουν εταιρική κατασκοπεία για να πάρουν μια ώθηση στις συμφωνίες ή να ξεπεράσουν τις τεχνολογικές εξελίξεις, όπως το Ουμπερ-Γουέμο αυτο-οδηγημένη υπόθεση εμπορικού μυστικού αυτοκινήτου. Ο Caput λέει ότι οι ασύρματες συσκευές είναι ιδανικά εργαλεία για εκμετάλλευση για το σκοπό αυτό, καθώς οι συνδεδεμένες συσκευές έχουν ελάχιστα πρωτόκολλα ασφαλείας. «Ένας ανταγωνιστής θα μπορούσε να χαράξει τη συσκευή», λέει ο Caput. «Μπορώ να αναλάβω τον έλεγχο ενός υπολογιστή και να αποκτήσω πρόσβαση στο web cam ή σε ένα ασύρματο ηχείο με διαθέσιμα στο κοινό εργαλεία».
Κυβερνητική εισβολή
bethany joy lenz καθαρή αξία
Ο κυβερνητικός κατασκοπευτικός κίνδυνος είναι επίσης ένας κίνδυνος. «Μπορείτε να ακούσετε την Εθνική Υπηρεσία Ασφαλείας», λέει ο Caput. 'Έχετε ολόκληρη τη συσκευή ασφαλείας που αποκάλυψε ο Ed Snowden - το άχρηστο άγγιγμα συσκευών.'
Ενώ αυτοί οι κίνδυνοι μπορεί να ακούγονται παρανοϊκοί, ως ερευνητής στον κυβερνοχώρο, ο Caput λέει ότι οι συνδεδεμένες συσκευές είναι ένας ευνοημένος τρόπος παραβίασης των πρωτοκόλλων ασφαλείας μιας εταιρείας. «Δεν είναι θεωρία συνωμοσίας», λέει. «Έχω δει αυτά τα είδη hacks ή τα έκανα μόνοι μου με συσκευές internet-of-things».
Ο Rick McElroy προτείνει στις εταιρείες να πραγματοποιήσουν τη δική τους ανάλυση κινδύνων σχετικά με το αν αξίζει να φέρει μια νέα τεχνολογία όπως η Alexa for Business. «Μήπως η αξία αυτής της τεχνολογίας υπερτερεί ή αντισταθμίζει τον κίνδυνο;», λέει ο McElroy, στρατηγικός ασφαλείας της Carbon Black, μιας εταιρείας ασφάλειας στον κυβερνοχώρο. «Εάν η απάντηση είναι« ναι », τότε θα πρέπει να καταβληθεί συντονισμένη προσπάθεια για συνεχή ενημέρωση όταν υπάρχουν διαθέσιμες ενημερώσεις, καθώς και για την εκπαίδευση των εργαζομένων σχετικά με τις βέλτιστες πρακτικές στον κυβερνοασφάλεια.
