У чому уразливі системи розумного будинку
Інформаційна безпека - тема, актуальна не тільки для комп'ютерів, звичних нам мобільних пристроїв і побутової техніки, а й для так званих розумних будинків. І якщо у ноутбуків і смартфонів з безпекою все більш-менш непогано, то ось із специфічними системами для комп'ютеризації житла ситуація дещо інша.
Розумний будинок, або смарт-будинок, якщо завгодно, являє собою саме те, про що і говорить його назва (як, наприклад, в разі смартфона або смарт-телевізора ): Житло, в якому вся інфраструктура - опалення, електрику, кліматичні установки, замки та інші елементи - пов'язана в одну мережу, управляється центральним сервером і може бути тим чи іншим чином приєднана до Інтернету. Останнє дає можливість господарям керувати всім цим добром або просто спостерігати за ним за допомогою смартфона, планшета або комп'ютера, в тому числі і перебуваючи далеко за межами самого будинку. Експерти в області інфобезпеки вивчають подібні системи практично стільки ж, скільки ці системи існують. І результати їх досліджень , Відверто кажучи, не обнадіюють. Зокрема, не так давно фахівці компанії AV-Test.org провели тестування семи комплектів обладнання типу «розумний дім» і з'ясували, що чотири з них мали серйозні проблеми з безпекою.
Сім піддослідних - це, звичайно, не дуже багато, з огляду на величезну кількість подібних пропозицій на ринку від безлічі різних виробників. Проте результати виявилися дуже цікавими: виявлені в компонентах систем уразливості дозволяють з відносною легкістю проводити серйозні атаки як на домашню мережу і підключені до неї пристрої, так і на компоненти самого будинку. Причому в деяких випадках робити це можна не тільки зсередини системи, а й ззовні.
AV-Test проаналізував наступні набори: eSaver iConnect, EUROiSTYLE tapHome, REV Ritter iComfort, Hama XAVAX MAX, Gigaset Elements, Deutsche Telecom QIVICON і RWE Smart Home. Серед них стійкими до хакерської атаки і несанкціонованого доступу виявилися лише останні три. Набори iComfort і tapHome містили уразливості, доступні зловмисникові, якщо той перебуває всередині домашньої мережі, до якої підключена система. Два продукту, як виявилося, допускають несанкціонований доступ не тільки за умови атаки всередині мережі, а й навіть якщо хакер перебуває за її межами.
Кожен продукт пропонує різний набір можливостей, але в цілому всі вони дозволяють централізовано керувати в будинку електропостачанням, опаленням, безпекою, а також дверима і вікнами. Таким чином, атакуючий за умови проникнення в систему зможе маніпулювати будь-який з цих частин загальної інфраструктури і заподіяти якоїсь шкоди. Наприклад, відключити опалення в холодну пору року і спровокувати таким чином розрив трубопроводу.
Атаки можуть проводитися для отримання доступу до будь-яких зберігаються на комп'ютерних пристроях цінних даними, спостереження за мешканцями або взагалі забезпечення фізичного доступу в будинок.
Втім, більшість зловмисників переслідують мета не нашкодив, а вкрасти гроші мешканців будинку . Тому з найбільшою ймовірністю атаки на слабкі місця системи будуть проводитися для того, щоб отримати доступ до будь-яких зберігаються на комп'ютерних пристроях цінних даними, провести спостереження за мешканцями або взагалі забезпечити собі фізичний доступ в будинок. Останнє стає не такою вже й складним завданням, якщо замки в дверях також підкоряються вразливою системі розумного будинку. Більш того, в цьому випадку у зловмисників з'являється можливість заблокувати всі входи і виходи з житла і вимагати у мешканців гроші за розблокування. Чи не найприємніша версія класичного комп'ютерного блокера-вимагача , треба сказати.
Також фахівці з AV-Test перевірили системи на предмет шифрування переданих даних, активного захисту аутентифікації (наприклад, встановлені за замовчуванням паролі на доступ) і сприйнятливості до віддалених атак. Набори виробництва Gigaset, RWE і Deutsche Telecom в цьому сенсі не підвели, а ось набір iConnect, наприклад, мав системою шифрування, яку можна без особливих зусиль обійти. Решта учасників тестування, втім, зовсім ніяк не шифрується трафік. Це означає, що вся передана всередині системи інформація може бути перехоплена і, що куди важливіше, без проблем прочитана зловмисником. Злочинець, таким чином, може як мінімум відстежувати активність своїх жертв і обчислювати періоди, протягом яких будинок виявляється порожній.
До речі, iComfort відрізняється ще однією неприємною особливістю: для доступу до веб-сервісів системи за умовчанням не потрібно ніяких паролів. XAVAX MAX і iConnect, в свою чергу, хоч і не пускають в веб-адмінку кого попало, запитуючи пароль, абсолютно безсилі перед несанкціонованим доступом до фізичним елементам централізованого управління. Ще один учасник тесту, система tapHome, пароль запитує, однак, за словами експертів, при відсутності шифрування даних, що передаються цей захід безпеки виявляється малоефективною. Зате Gigaset Elements, RWE Smart Home і QIVICON не підвели: і трафік шифрують, і без пароля не пускають.
Як бачите, цілком довіряти свій будинок комп'ютерних систем поки можна лише в окремих випадках. Втім, якщо виробники подібних наборів перенаправляють хоча б частину своїх зусиль з маркетингу на доведення продуктів до розуму по частині безпеки, то створити якісну, захищену від зловмисників систему не складе ніяких проблем. А поки запам'ятайте: справжній розумний будинок - це не той, який дозволяє відкрити двері через Інтернет, а той, який не дасть цього зробити кому попало.