Takvimleri yönetmek, sarf malzemeleri sipariş etmek, toplantı odalarını rezerve etmek gibi tüm bu sıradan ofis görevlerini Amazon'un sesle etkinleştirilen sanal asistanı Alexa'ya dış kaynak sağladığını hayal edin. Amazon'un yeni Alexa for Business ile bu fantezi gerçekleşebilir, ancak potansiyel olarak, bazı siber güvenlik araştırmacılarının ciddi güvenlik riskleri pahasına olduğunu söylüyor. Düşünün, kurumsal casusluk ve hack'ler.
Perşembe günü Amazon, Amazon'un İnternet özellikli konuşmacısı Echo ile çalışan popüler sanal asistanı Alexa'nın yeni kurumsal versiyonunu piyasaya sürdü. Alexa for Business, telefon görüşmelerinden havaalanına ne zaman gitmeniz gerektiğini anlamaya kadar her şeyi yapabilir.
Ancak beyaz şapkalı hacker William Caput, Alexa for Business'ın şirketler için potansiyel bir güvenlik riski olduğu konusunda uyarıyor. Şirketler üzerinde sızma testleri yapan Caput, her zaman dinleyen cihazlar olduğunu söylüyor. akıllı televizyonlar ve sanal asistanlar, veri madenciliği gibi şeyler için kullanılmak üzere verileri bir ürünün ana şirketine geri iletir.
Caput, 'Belirli türde veri iletiminin gerçekleşmeyeceğini belirten açık bir kullanım politikası olmadıkça, bir işletmenin böyle bir şeyi kullanmayı düşünmesi çok safça görünüyor' diyor. 'Kullanmadan önce, sıkı bir bilgisayar korsanlığı testi yapmak ve neyin dinlendiğini ve neyin gönderildiğini anlamak istersiniz.'
Amazon Dinleme
Alexa, telefonlar ve takvimler gibi BT varlıklarınızla entegre olabildiğinden, Fidelis Security'den Tim Roddy, bazı verilerin Alexa'nın altyapısında depolanacağını söylüyor. Bu, bazı şirket verilerinin Amazon tarafından depolandığı veya Amazon'a iletildiği anlamına gelebilir.
Caput, özellikle Amazon'un daha sonra hedefli pazarlamada kullanılabilecek anahtar kelimeleri dinlemeye ve toplamaya teşvik ettiğini söylüyor. Wall Street Günlüğü Amazon'un Echo konuşmacısının, kullanıcılar cihazı 'Alexa' adını kullanarak 'uyandırmadığı' sürece buluta veri göndermediğini iddia ettiğini bildiriyorum. Ancak Caput, Alexa for Business'ın güvenlik topluluğu tarafından henüz kapsamlı bir şekilde test edilmediğini ve potansiyel risklerin, güvenlik açıklarının ve güvenlik açıklarının bilinmediğini söylüyor.
Kurumsal Casusluk
Şirketler, anlaşmalara ayak uydurmak veya teknolojik gelişmelerde üstünlük sağlamak için kurumsal casusluk yaparlar. Uber-Waymo kendi kendine giden araba ticari sır davası. Caput, bağlı cihazların minimum güvenlik protokollerine sahip olması nedeniyle kablosuz cihazların bu amaç için ideal araçlar olduğunu söylüyor. Caput, 'Bir rakip cihazı hackleyebilir' diyor. 'Bir bilgisayarın kontrolünü ele geçirebilir ve genel kullanıma açık araçlarla web kamerasına veya kablosuz hoparlörüne erişebilirim.'
Hükümet Hackleme
Hükümetin gözetlemesi de bir risktir. Caput, 'Ulusal Güvenlik Teşkilatının sizi dinlemesini sağlayabilirsiniz,' diyor. 'Ed Snowden'ın ortaya çıkardığı tüm güvenlik aparatına sahipsiniz - garantisiz cihazlara dokunmak.'
Bir siber araştırmacı olarak bu riskler kulağa paranoyak gibi gelse de Caput, bağlı cihazların bir şirketin güvenlik protokollerini ihlal etmenin tercih edilen bir yolu olduğunu söylüyor. 'Bu bir komplo teorisi değil' diyor. 'Bu tür hack'ler gördüm ya da nesnelerin interneti cihazlarıyla kendim yaptım.'
Rick McElroy, şirketlerin Alexa for Business gibi yeni bir teknolojiyi devreye sokmaya değip değmeyeceği konusunda kendi risk analizlerini yapmalarını öneriyor. Bir siber güvenlik firması olan Carbon Black'te güvenlik stratejisti olan McElroy, 'Bu teknolojinin değeri riskten daha mı ağır basıyor yoksa bu riski dengeliyor mu?' diyor. 'Cevap 'evet' ise, güncellemeler mevcut olduğunda sürekli olarak yama yapmak ve çalışanları siber güvenlik en iyi uygulamaları konusunda eğitmek için ortak bir çaba gösterilmelidir.'
