Чем опасен умный дом

Опасный умный дом: взлом, экономическое наблюдение и другие возможные проблемы

Рано или поздно большая часть устройств в доме будет подключена к интернету. Технофобы продержатся чуть дольше, но с появлением недорогих предложений умные лампочки, кофеварки, щётки, сиденья для унитаза заполнят наши жилища. И тогда острой станет проблема защиты частной жизни. Раз смарт-приборы взаимодействуют с владельцами, значит они могут общаться и с другими людьми — например, с разработчиками или злоумышленниками (а иногда это одно и то же).

Возможный взлом

Одна их самых явных опасностей умных устройств, подключенных к интернету, — получение несанкционированного доступа третьими лицами. Например, домашние системы безопасности, умные замки и глазки используют камеры для выполнения заявленных функций. Однако в результате взлома они могут стать средством наблюдения за домовладельцами. Собранная с помощью камер информация может быть использована для шантажа или составления плана проникновения в дом.

Умные замки позволяют открывать двери без ключей, используя код или другие способы идентификации личности. Однако если приложения для разблокировки будут взломаны, то злоумышленники смогут не только попасть внутрь помещения, но и обойти систему уведомлений о состоянии замка. Вы будете уверены в том, что дверь закрыта до тех пор, пока не увидите обворованное жилище.

В 2016 году в Мичиганском университете проверили интеллектуальные системы управления домом, чтобы понять, какие в них есть уязвимости. Особое внимание было уделено решению от SmartThings. В ходе экспериментальных атак было обнаружено два типа уязвимости: чрезмерные привилегии и небезопасные сообщения.

Управление системой осуществляется с помощью приложений SmartApps, которые имеют привилегии для выполнения определённых действий. Это похоже на разрешения, которые запрашивают приложения при установке на телефон — например, доступ к камере, телефонной книге, памяти и т.д. Проблема в том, что у SmartApps привилегии группируются. В исследовании приводится пример с автоматическим замком на двери. Если вы даёте приложению привилегию на блокировку, то оно автоматически получает возможность проводить разблокировку. Исследователи сообщают, что больше половины приложений имеют доступ к большему количеству функций, чем им требуется для выполнения изначально заложенной в них задачи.

При взаимодействии с физическими устройствами SmartApps обменивается с ними сообщениями, в которых могут содержаться конфиденциальные данные — например, PIN-код для снятия блокировки. При этом объём информации не зависит от функции, достаточно самого факта обмена сообщениями. Поэтому, например, приложение для контроля над уровнем заряда автоматического замка знаёт PIN-код для его разблокировки.

Программы SmartApps также могут создавать сообщения, которые выглядят как реальные сигналы от физических устройств. Это позволяет злоумышленникам передавать пользователям недостоверную информацию — например, о том, что замок закрыт, хотя на самом деле дверь разблокирована.

Кроме того, дома будут продаваться вместе с большинством умных устройств. Выставляя на продажу телефон или ноутбук, мы очищаем его память от файлов и удаляем все учётные записи. В случае с переездом то же самое придётся делать с домом. С другой стороны, покупателям, возможно, нужно будет задумываться ещё и о том, что предыдущие хозяева могут оставить себе лазейки для доступа к смарт-приборам.

Чтобы обезопасить себя от взлома, необходимо полностью поменять своё отношение к устройствам, подключенным к интернету, даже если это самые банальные бытовые предметы. Кто мог подумать ещё несколько лет назад, что атака на систему начнётся с кофеварки или зубной щётки? Теперь же это реальная угроза, поэтому все приборы, подключенные к сети, должны быть защищены одинаково хорошо.

Экономическое наблюдение

Даже если ваш дом никогда не станет объектом злонамеренной атаки, существует другая проблема — передача конфиденциальной информации на серверы компаний, которые занимаются разработкой и поддержкой умных устройств. Этой проблеме было посвящено выступление на TED Talks, основанное на эксперименте Кашмиры Хилл (Kashmir Hill) и Сурии Матью (Surya Mattu).

Кашмир сделала из однокомнатной квартиры в Сан-Франциско умный дом, в котором было установлено 18 устройств, подключенных к интернету: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и т.д. Сурия создал специальный роутер, который отслеживал всю сетевую активность и регистрировал данные, поступающие в умный дом и покидающие его. Целью исследования было понимание того, какую информацию устройства передают производителям, и что могут узнавать интернет-провайдеры, которые обеспечивают доступ в интернет. Важно было понять и то, какие данные компании могут продать.

Эксперимент над домом Кашмиры и её мужа Тревора продолжался в течение двух месяцев. По словам исследователей, за эти 60 дней не было ни минуты цифровой тишины. С помощью роутера, регистрирующего все сигналы от умных устройств, Сурия узнавал, когда хозяева квартиры ложились спать и просыпались, чистили зубы, готовили кофе. Он мог посмотреть, когда они включали телевизор, сколько его смотрели и какие программы пользовались у них наибольшей популярностью.

Самым разговорчивым устройством в доме оказалась колонка Amazon Echo, которая отправляла запросы на сервер каждые три минуты вне зависимости от того, использовали её или нет. В целом, все приборы вели непрерывные разговоры, о которых хозяева даже не подозревали. При этом большая часть данных, которые поступали на серверы компаний, может быть использована в коммерческих целях.

В своём выступлении исследователи рассказали о том, как разработчики некоторых устройств применяют полученную от пользователей информацию.

  1. Компания Vizio, предоставляющая услуги телевидения, только в 2017 году заплатила 2,2 млн долларов правительству США за то, что собирала данные о том, как американцы смотрят телевизор, а затем продавала их рекламодателям.
  2. Стоматологическая страховая компания Beam следит за умными щётками своих клиентов с 2015 года и рассчитывает размер страховки, исходя из полученной информации.
  3. Производители секс-игрушки We-Vibe, которая с помощью синхронизации через интернет позволяет людям заниматься любовью на расстоянии, знают, когда и как долго её используют, а также какими настройками вибрации пользуются чаще всего. Эта информация используется в маркетинговых целях для увеличения продаж, при этом пользователи даже не подозревают, что их оргазмы анализируются, пусть и в виде мета-данных.

Исследователи отмечают ещё одну особенность умных устройств — даже если пользователи знают, что приборы за ними следят, они очень быстро забывают об этом. Например, муж Кашмиры Тревор был недоволен тем, что Сурия узнал о его пристрастии к одному сериалу, при том что он сам подключил телевизор к роутеру, который отслеживал сигналы. Возможно, первое время Тревор говорил себе, что не стоит слишком долго смотреть телевизор, пытался казаться чуть лучше, но затем забыл о постоянном наблюдении и показал все особенности своей жизни — хотя некоторые секреты он явно хотел бы сохранить при себе.

Читайте также:
Как отмыть руки от монтажной пены

Безопасность — общая проблема владельцев умных домов

Умных устройств в домах людей со временем будет становиться только больше. Уже сейчас эксперты по безопасности пытаются объяснить обычным пользователям, что установка таких приборов равносильна приглашению компаний, а иногда и злоумышленников, в места, которые всегда были максимально приватными: гостиную, спальню, ванную комнату. Чтобы снизить риск вторжения в частную жизнь, нужно следовать хотя бы минимальному набору правил безопасности.

  1. Убедитесь в том, что вам известна функциональность устройства: что оно делает, какие привилегии имеет, какую информацию получает и пересылает.
  2. Регулярно устанавливайте обновления. Часто уязвимости обнаруживаются после старта продаж. Разработчики устраняют их и отправляют пользователям апдейты с более высокими показателями безопасности. Нажимая «Установить позже», вы подвергаете систему рискам, которых можно было легко избежать.
  3. Помните о фишинге: относитесь с недоверием к сообщениям от незнакомых отправителей и ссылкам непонятного происхождения. Получив доступ к сети, злоумышленник сможет управлять всеми подключенными к ней устройствами.
  4. Выбирайте надёжные пароли и используйте двухфакторную аутентификацию.
  5. Используйте только официальные приложения от разработчиков интеллектуальных систем управления домом.
  6. Следите за тем, чтобы телефон, планшет или другое устройство, имеющее доступ к управлению умным домом, не попадало в чужие руки. При его потере необходимо полностью поменять настройки безопасности всей системы.

Чем больше умных устройств появляется в доме, тем выше вероятность взлома. Поэтому пользователям придётся заботиться о безопасности системы и изучать особенности её работы. В противном случае неприкосновенность частной жизни может оказаться под угрозой.

Сложности и риски Умного Дома

Производители систем УД отмечают, что количество людей, интересующихся, а впоследствии и устанавливающих «Умный дом», стабильно растет. Все они привлечены широкими возможностями, которые дает владельцу система. При этом они не всегда полностью осведомлены о рисках, связанных с установкой таких систем, а риски эти вполне реальны. С какими неприятными сюрпризами может столкнуться владелец УД? Будем разбираться.

Система объединяет множество устройств, которые собирают и обрабатывают информацию. Они обмениваются ею через сеть или напрямую, и этот обмен делает их уязвимыми. Злоумышленник, получивший доступ к управлению УД, легко сможет не только открыть входную дверь или окно, но и добраться до банковских счетов, проживающих в доме людей или вызвать сбой следящего за их здоровьем медицинского оборудования.

Проблемы с обеспечением безопасности

Эти проблемы свойственны большинству современных интеллектуальных систем. Наиболее часто встречаются такие:

  • Проблема с использованием конфиденциальной информации. Системы всех типов собирают какие-то виды персональных данных. Это могут быть имена, номера кредиток, телефонов, адреса. Угроза их кражи вполне реальна.
  • Невысокая надежность проверки подлинности. Электронные системы могут обладать мобильными или облачными интерфейсами, при этом они не требуют наличия достаточно сложного пароля и не блокируют подозрительную учетную запись даже после некоторого количества неудачных попыток его ввода. Получается, что пароль можно подобрать методом перебора.
  • При передаче информации шифрование отсутствует. В случаях, если оно используется, применяются простые шифровальные механизмы транспортного уровня типа SSL/TLS. В результате большая часть подключений к облаку уязвима для хакерских атак.
  • Системы УД используют видео, которое можно просматривать через разные интерфейсы. Конфиденциальность таких данных находится под угрозой.

Таким образом, злоумышленники достаточно легко могут получить доступ к системе УД, после чего детально изучить расписание и образ жизни своих потенциальных жертв. Помимо этого хакеры способны получить аудио и видеозаписи камер видеонаблюдения. Вся эта информация значительно облегчает задачу злоумышленникам. В результате проведенного исследования выяснилась очень любопытная информация.

Оказалось, что передавать данные способны не только системы УД. К примеру, телевизоры от Samsung, имеющие встроенную функцию голосового управления, занимаются прослушиванием всего, что происходит в помещении. Разработчики объясняют это тем, что иначе оборудование пропустит нужную команду и не отреагирует на нее. Эта особенность устройства оговаривается пользовательским соглашением прибора.

Там же указано, что вся записанная таким образом информация может быть передана «третьей стороне». В конкретном соглашении имеется в виду фирма-разработчик распознающего речь оборудования, но теоретически это может быть и еще кто-то. Или эта информация может быть попросту украдена хакерами, что, безусловно, крайне неприятно. Но надо понимать, что злоумышленники могут украсть не только информацию.

Взломав систему управления УД хакеры получают контроль над IoT-вещами, что может спровоцировать опасную для жизни ситуацию. К примеру, успешный взлом автомобиля дает злоумышленнику возможность в нужный момент отключить или наоборот включить любую систему, открыть двери или остановить машину. Крайне неприятна для владельца УД ситуация, когда хакеры получают возможность управления системами жизнеобеспечения.

В качестве примера можно рассмотреть вариант с утратой контроля над термостатом в результате внедрения в прибор трояна-вымогателя. Злоумышленники могут повышать или уменьшать температуру в любых помещениях, делая ее максимально некомфортной для жильцов. Эти действия совершаются с целью вымогательства крупных сумм за возвращение доступа к термостату. Если при этом владелец утратил еще и контроль над «умным» замком, появляется реальная угроза его жизни.

Разработчики обратили внимание на проблему безопасности системы и начали уделять ей больше внимания. Пока абсолютно надежного варианта нет, но уже появились принципиально новые протоколы связи, предполагающие шифрование информации, которой обмениваются устройства. К их числу относится, например, Thread, использующий сложные защитные шифры. Кроме того, эксперты постоянно ищут возможные уязвимости систем и ликвидируют их.

Зависимость системы от подачи электроэнергии

Еще один риск, которому подвергаются все без исключения владельцы «Умных домов» — полное отключение системы при прекращении подачи электроэнергии. УД энергозависим и других вариантов его функционирования нет. Ситуация может быть достаточно опасной, если отключение произошло в отсутствии хозяина, когда в доме находятся дети или пожилые люди. Есть только один вариант решения проблемы –монтаж дополнительного источника энергии.

Читайте также:
Так ли хороша и чем современная мебель

Речь идет даже не об установке источника бесперебойного питания или ИПБ, а о монтаже мини-электростанции любого типа. Чтобы устройство включалось автоматически можно дополнить его прибором АВР. А в идеале вместо генератора можно запустить электростанцию альтернативного типа, работающую на солнечной энергии или ветре.

Проблемы монтажа Умного Дома

К числу неприятностей, которые могут ждать владельца УД, нужно добавить и проблемы с монтажом. Систему оптимально устанавливать на этапе строительства, особенно если выбрана проводная схема. Ее установка предполагает прокладку большого количества кабелей, которые будут протянуты к каждому выключателю, лампочке, шторам, бытовым приборам и т.д. По сути, дом придется полностью «разобрать», а затем собрать заново.

Все это очень хлопотно и затратно. Поэтому если не планируется как минимум капитального ремонта, лучше на время забыть об установке «Умного дома». Как вариант можно рассмотреть монтаж беспроводного оборудования, но его нежелательно использовать в некоторых подсистемах, например, безопасности, по причине недостаточной защиты от взлома. Кроме того, большое количество источников излучения может негативно сказаться на состоянии здоровья. Ведь их безопасность для человека пока еще точно не доказана.

Smart home – весьма дорогостоящее решение.

Приобретая его, владелец рассчитывает на экономичность «умных» приборов и подсистем. Это действительно так, но надо понимать, что рассчитывать на быструю окупаемость вложений в УД не приходится. Система обязательно окупится, но не скоро. И еще один нюанс. Составляющее сеть оборудование очень сложное. К сожалению, не исключена возможность его поломки.

В самых неприятных случаях из строя могут выйти целые участки системы. Безусловно, потребуется ремонт, часто очень дорогостоящий. К этому тоже нужно быть готовым, собираясь монтировать «Умный дом».

Установка УД не только дает комфорт и безопасность, но и предполагает определенные риски. Каждый потенциальный владелец системы должен о них знать, чтобы его выбор был осознанным.

Ваши нюдсы в режиме LIVE. Как ломают умный дом, даже камеру и розетку

Умный дом – это модно и технологично. Система, которая сама включит отопление к вашему приходу или откроет дверь по отпечатку пальца! Просто мечта гика.

Но так ли безопасен умный дом? Одна неверная покупка, и всё: злоумышленники найдут доступ к вашим данным. А то и научат вашу лампочку вести DDoS-атаки на неугодные хакерам сайты.

Разберём, как обстоят дела с защищённостью гаджетов для умного дома. И что делать, чтобы розетка не украла ваш пароль от ВКонтакте.

В чем вообще проблема?

Умная бытовая техника – устройства узкоспециализированные. Умной розетке или термостату явно не нужен мощный процессор, а объем памяти обычно выражается в килобайтах.

Соответственно, антивирус на такой девайс не установишь. Да и файрволл или другие средства защиты именно на уровне устройств вряд ли реализуешь.

Вторая проблема – пароли. Многие IP-камеры и другие гаджеты поставляются со стандартным паролем. Производитель, конечно, просит его изменить. Думаете, многие меняют? Даже специалисты порой об этом элементарно забывают. Или им просто лень.

Наконец, взламывают центр управления. Его функции может выполнять смартфон, планшет, умный телевизор или холодильник (по сути, обычный холодильник + встроенный в него планшет). Соответственно, если получить доступ к центру управления, можно сливать любые данные из системы.

Насколько все плохо? Неужели любой умный гаджет опасен?


Любимый в народе Hikvision и его камеры взламываются на раз.

Минимальный ущерб от взлома умного дома – мошенники смогут бесплатно пользоваться вашим интернет-подключением. Дальше больше. Перехват данных из сети, в том числе логинов, паролей и так даее. Чувствительная информация, как правило, шифруется браузерами и смартфонами, но уязвимости есть везде.

Чем умнее дом, тем ближе последствия взлома к апокалипсису. Если умное у вас всё, от дверей и окон до термостатов, освещения и водонагревателей, то взлом может быть реально опасен для жизни.

Простой пример: Саманта и Ламонт Вестморлэнды из Милуоки, штат Висконсин, купили умный термостат, дверной звонок и камеру видеонаблюдения Google Nest. Хакеры взломали их домашнюю сеть и устроили паре настоящий ад. Они включили ужасную музыку через камеру и стали разговаривать с жертвами через гаджет, а затем подняли температуру в помещении до 32 градусов.

Сначала Вестморлэнды думали, что это какой-то сбой, но потом заподозрили неладное. Они сменили пароль, и это не помогло. Пришлось звонить провайдеру и устанавливать новый идентификатор сети.

Пара ещё легко отделалась. Если бы хакеры заблокировали умные окна и дверь, а затем подняли бы температуру, они смогли бы заняться вымогательством, в буквальном смысле угрожая жизни и здоровью владельцев умного дома. А так это просто мелкое хулиганство.

В Google ничего не предприняли. Дескать, сами виноваты. Установите двухфакторную авторизацию, и будет вам счастье.

Другая страшная угроза – умные авто. Если с повышением температуры в комнате обычно еще можно что-то сделать, то если взломать бортовой компьютер машины, несущейся на скорости, будет катастрофа.

Да и за разблокировку дверей могут вымогать деньги. Особенно если это сопоставимо с ценой нового стекла.

Как взламывают умные термостаты?

Эндрю Тирни и Кен Манро из компании Pen Test Partners разработали программу-шантажиста для умного термостата. Ее возможности продемонстрировали на конференции DefCon.

Исследователи пояснили: популярный термостат (марку не назвали) работает под управлением ОС на ядре Linux. И не проверяет, какие файлы запускает. Если владелец захочет изменить картинку на дисплее термостата, то вместо изображения может запустить заранее скопированное в память устройства вредоносное ПО.

В результате хакер может управлять температурой термостата или заблокировать устройство так, что владелец не сможет ничего сделать. Многим проще заплатить, чем бороться.

Умные замки тоже под угрозой

Умные замки обычно открываются разными способами:

  • распознают смартфон владельца, который подошел к двери, по Bluetooth,
  • удаленно –командой в приложении, отправленной через интернет,
  • голосовой командой,которую воспринимает голосовой ассистент в смартфоне и передает умному устройству.

Передаваемые данные шифруются, но этого недостаточно.

К примеру, если ваш iPad или iPhone лежит недалеко от запертой двери, ничего не мешает ворам в подъезде сказать: «Привет, Siri. ­Открой дверь!». Умный замок, зная, что владелец (точнее, его гаджет) рядом, без проблем впустит преступников.

Читайте также:
Плюсы и минусы современного деревянного фасада

Обычно голосовые команды воспринимает только разблокированное устройство. Но здесь, опять же, “горе от ума”: многие пользователи снимают блокировку с устройств, которые используют только дома.

Взломать умный замок можно, и если заразить смартфон или планшет вирусом. Вредонос способен перехватить управление замком и сымитировать действие для его открытия. Это проще, чем перехватывать зашифрованные пакеты данных и дешифровать их.

Еще один вариант – на некоторых моделях есть физическая кнопка, которая авторизует новое устройство. Если кто-то из ваших гостей использует этот прием, он заставит замок распознавать свой смартфон как доверенный. И когда ваша бдительность будет усыплена, проникнет в помещение.

Домашние интернет-камеры – вообще находка для преступников

Большая часть моделей IP-камер настраивается очень просто: достаточно подключить гаджет к домашней сети, а затем зайти в браузере на определенный IP-адрес или установить на смартфон приложение производителя.

Новые модели обычно используют зашифрованное https-соединение. Более старые и/или дешевые камеры обмениваются данными со смартфоном через облачный сервис.

При этом камеры отправляют незашифрованные запросы в облако. Извлечь идентификатор сессии, с помощью которого шифруется трафик, несложно. Особенно если хакер подключился к тому же Wi-Fi.

Куда опаснее другое: на многих камерах производитель устанавливает стандартный и/или неизменяемый пароль (root и т.д.). Зная IP, производителя и модель камеры, хакер может скачать ПО для нее с сайта производителя, найти этот пароль и получить полный доступ к гаджету.

Но есть и относительно хорошая новость. Вашу IP-камеру взломают скорее, не чтобы шпионить за вами, а чтобы DDoS-ить популярные ресурсы или майнить криптовалюту. Хотя если ваша камера начнет внезапно вытворять что-то вроде показанного на видео, не удивляйтесь:

Разгадка простая: женщина купила китайскую б/у камеру, чтобы следить за своим щенком, пока она на работе. Доступ к видеопотоку камеры был прямо на сайте производителя.

Еще один вариант – взлом через проброс портов. Часто пользователи открывают на роутере определенный порт, чтобы подключиться к домашней камере по интернету. Это открывает для хакеров окно возможностей.

В том же списке – эксплойты для доступа к панели управления камер. Они позволяют, в частности, извлечь нешифрованное видео с накопителей устройств.

Наконец, многие производители оставляют служебные входы к камерам. Они доступны через браузер. Например, у Foscam адрес имеет формат xxxxxx.myfoscam.org:88, в начале нужно подставить две буквы и четыре цифры.

Продолжая про опасность IP-камер. Оцените её прямо сейчас


Умные камеры, доступные в Интернете любым желающим с нехорошим умыслом.

В поисковике Shodan можно найти десятки тысяч камер, которые “доступны” для взлома. Запросы вроде netcam city:Moscow, netcam country:RU, webcamxp geo:55.45,37.37 в Shodan тоже покажут много интересного.

Искать можно и в Google. Примеры запросов:

  • inurl:«wvhttp-01»
  • inurl:«viewerframe?mode=»
  • inurl:«videostream.cgi»
  • inurl:«webcapture»
  • inurl:«snap.jpg»
  • inurl:«snapshot.jpg»
  • inurl:«video.mjpg»

В ZoomEye камеры показываются по запросам device:webcam или device:media device. Это специальный поисковик по интернету вещей.

Аналог: Censys. Запрос 80.http.get.body:”DVR Web Client” покажет список камер, подключенных к IP-видеорегистраторам. По запросу metadata.manufacturer:”axis” увидите камеры производства Axis.

И ведь владельцы этих камер ничего не знают. Но нет, что вы, продолжайте покупать классные видеоняни Hlaomi с Алиэкспресса по цене двух бигмаков.

Даже умные лампочки небезопасны

Белые хакеры Колин О’Флинн и Иял Роунен показательно взломали популярные умные лампы Hue от Philips. Они нашли уязвимость в мосте Hue Bridge, через который управляются лампы, и контролировали их с расстояния до 200 м.

Помигать чужими лампочками – что может быть лучше? Но это полбеды. Куда хуже, если хакеры будут перехватывать или подменять пакеты данных, которые внутри домашней сети рассылаются без защиты.

В эксперименте Роунен и О’Флинн заставили лампы мигать на частоте более 60 Гц. Человеческий глаз такое не улавливает, но телескоп со специальным световым сенсором, установленный напротив окна – вполне.

Конечно, данных получится передать немного – до 10 Кб в день. Но для воровства логинов и паролей этого вполне достаточно.

Внедрить в домашнюю систему вредонос через лампы тоже можно. Мост связывается с устройствами по закодированному беспроводному стандарту ZigBee. Хакеры уже давно выложили в интернет главный ключ от него. Так как устройства внутри сети не контролируют подпись переданных данных при обновлении прошивки, можно запустить поддельное обновление и вести DoS-атаки, например.

Philips уже закрыл уязвимость и выпустил патч для ПО моста и мобильного приложения. Но кто знает, сколько еще дыр в софте этого и других производителей?

Кстати, взламывать умные устройства можно и с помощью дрона. Это уже попахивает промышленным шпионажем.

Можно даже взломать почту через холодильник

Разработчики систем интернета вещей максимально все упрощают, чтобы экономить ресурсы и время. Результат – дыры то здесь, то там.

Выпуск умного холодильника Samsung RF28HMELBSR был большим прорывом. Но когда исследователи Pen Test Partners обнаружили, что он не проверяет SSL-сертификаты при установке SSL-соединения, забили тревогу.

Уязвимость позволяла проводить MITM-атаки (“человек посередине”). А так как на дисплее умного холодильника отображалась информация из “Календаря Google”, то злоумышленник, взломавший умное устройство и подключившийся к той же сети, мог украсть учетку от электронной почты и других сервисов.

Подключиться к сети, в которой находится холодильник, достаточно просто. Например, можно создать поддельную точку доступа Wi-Fi или организовать деаутентификацию реального пользователя.

Насколько массовы взломы устройств для умного дома?

Атак на IoT-системы все больше. В первой половине 2019 года умные дома и промышленные системы атаковали в среднем 20 тыс. раз за 15 минут.

Били в основном по службе TCP – через нее пытались достучаться до систем удаленного администрирования на основе Telnet и RDP, серверов и баз данных. Исследователи установили 50 ханипотов (точек, в которых специально оставили уязвимости, чтобы собрать данные по атакам). Они подсчитали, что с начала года эти точки атаковали 105 млн раз с 276 тыс. уникальных IP-адресов.

Основная волна атак шла из Китая – 30%. На втором месте оказалась Бразилия (19%), которая в прошлом году лидировала. Замыкают пятерку Египет (12%), Россия (11%) и США (8%).

Читайте также:
Эко-стиль в интерьере: правила оформления и детали

Вот статистика за первые полугодия 2018 и 2019-го:

Аналитики рассказали, что хакеры используют как перебор паролей, так и известные уязвимости. Самые популярные пары “логин/пароль” – support/support, admin/admin, default/default и root/vizxv (эта пара распространена в китайской умной технике).

Чаще всего взломанные устройства заражают зловредами семейства Mirai – его просто собрать под любую архитектуру “железа”. Mirai делает умный гаджет частью ботнента и, возможно, соучастником преступлений. Также заражают Hajime, NyaDrop и Gafgyt (он же Bashlite).

Как от этого всего защититься? Ну хоть немного?

Ни в коем случае не оставляйте на умных устройствах пароли по умолчанию. Установите сложный пароль для панели управления умным домом, а также домашней Wi-Fi-сети и самого маршрутизатора. Если вы управляете устройствами через браузер, используйте VPN – например, встроенный в браузер Opera.

Своевременно обновляйте ПО на смартфонах, планшетах и гаджетах “умного дома”.

Пользуйтесь двухфакторной аутентификацией там, где это возможно. И не делайте джейлбрейк iOS. Потенциально он позволит не только вам получить полный доступ к системе.

Используйте специализированные контроллеры (к примеру, на базе Raspberry Pi) для управления умным домом. Они меньше подвержены взломам и глубже настраиваются.

Не покупайте китайский ноунейм, особенно устройства для обеспечения безопасности: умные замки, IP-камеры и тому подобное. Конечно, такие гаджеты дешевле, но взломать их – раз плюнуть. Да и обновления прошивок обычно не дождешься.

Установите фильтрацию по региону для доступа в вашу домашнюю сеть. Диапазоны IP-адресов по городам доступны, например, здесь.

Наконец, шифруйте трафик внутри домашней сети. Активируйте на роутере WPA/WPA2 – Personal, используйте безопасное соединение.

Бонус: взломать могут даже случайно

Российская разработчица Анна Просветова нашла дыру в умных кормушках для животных Furrytail Pet Smart Feeder, которую продавали на платформе Xiaomi Youpin. Она изучала API системы и случайно поняла, как получить доступ ко всем таким кормушкам на планете.

И это реально опасно! Во-первых, дыра позволяет получить данные о Wi-Fi-сетях владельцев кормушек. И видеть, сколько в каждой кормушке еды.

Во-вторых, хакер может настроить расписание отдельной кормушки или запустить скрипт для всех кормушек сразу, чтобы как следует отсыпать еды всем собачкам и котикам. Или, наоборот, удалить расписание и лишить питомцев обеда. Так что некоторые коты и собаки могут не дождаться своих владельцев из долгих командировок…

Наконец, можно заставить кормушку скачать и установить прошивку-пустышку. После этого восстановить гаджет за 85 долларов можно будет только в заводских условиях. Гарантии на софт, как известно, нет нигде.

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак


Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по кибербезопасности и хакеры выходят на новую линию соприкосновения. И речь идёт о реальных и уже (относительно) массово применяемых устройствах, реальных уязвимостях в них и реальных, испытанных способах использовать эти уязвимости в недобрых целях. Вот зачем и как.

Пару лет назад в Мичиганском университете провели исследование модельного «умного» дома, ходе которого было установлено и подключено к интернету 18 разных устройств: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и прочее. Одной из главных целей исследования было выявление основных уязвимостей интеллектуальных систем управления домом. В частности, тестировали продукцию компании с говорящим названием SmartThings.
После проведения множества разнородных атак на устройства этого «умного» дома, специалисты зафиксировали два основных типа уязвимости: избыточные разрешения и небезопасные сообщения.

По части избыточных разрешений или прав выяснились довольно странные и недопустимые вещи: около половины установленных приложений обладают доступом к гораздо большему количеству данных и возможностей, чем это необходимо. Кроме того, при взаимодействии с физическими устройствами приложения обменивались сообщениями, в которых содержались конфиденциальные сведения.

Так, приложение для контроля уровня заряда автоматического замка получало ещё и PIN-код для его разблокировки. Программное обеспечение некоторых «умных» устройств генерировало сообщения, похожие на реальные сигналы от физических устройств. Такой подход давал злоумышленникам возможность передавать в сеть недостоверную информацию. В результате пользователь, например, мог быть уверен, что дверь заблокирована, а она на самом деле открыта.Такой подход давал злоумышленникам возможность передавать в сеть недостоверную информацию. В результате пользователь, например, мог быть уверен, что дверь заблокирована, а она на самом деле открыта.

Помимо избыточных разрешений и небезопасных сообщений, вскрылась ещё одна существенная проблема — передача конфиденциальной информации на серверы компаний, занимающихся технической поддержкой этих устройств. То есть гаджеты «следили» за своими хозяевами, ежеминутно отправляя информацию об их взаимодействиях с устройствами на сервер. Благодаря этой информации можно восстановить точный распорядок дня жильцов — когда они проснулись, почистили зубы, сколько и какие телевизионные каналы смотрели. За два месяца исследований того «умного» дома в цифровом эфире не было ни одной минуты тишины. Кстати, больше всего «фонила» передачей данных акустическая колонка Amazon Echo, что довольно символично.

Не обошлось и без классики в сфере информационной безопасности — бэкдоров. Часто разработчики оставляют для себя «чёрный ход», который позволяет получить полный доступ или контроль над устройством. Производители оправдываются необходимостью предоставлять техническую поддержку пользователям, однако такие создание таких намеренно созданных уязвимостей противоречат практикам защиты информации и являются самой настоящей уязвимостью. То, что практически все производители ПО этим грешат, подтверждается следующим фактом – на конференции Hope X эксперт по ИТ безопасности Джонатан Здзярски (Jonathan Zdziarski) сообщил о присутствии бэкдора в операционной системе iOS, существование которого признала и сама Apple, но назвала его «диагностическим инструментом».

Очевидно, что многие, если не все, производители и компонентов «умного» дома оставляют для себя «чёрный ход». Следовательно, это потенциальная дыра в безопасности всего «умного» дома, к любым устройствам которого злоумышленник имеет потенциальную возможность подключиться.

Как видим, уязвимостей на аппаратном уровне или на уровне программного обеспечения хватает. Теперь давайте рассмотрим, как страдают от рук хакеров его отдельные его компоненты.

Атаки на «умные» замки

Тот факт, что закрытую дверь можно открыть не только ключом, а, например, с помощью кода или Bluetooth-сигнала с телефона, уже не вызывает у нас удивления, и многие уже пользуются такой возможностью.

Читайте также:
В каких комнатах не стоит делать многоярусные потолки

Но так ли безопасны и способны противостоять вскрытию «умные» замки, как обещают их производители? Что произойдёт, когда за испытание их непроходимости возьмутся хакеры-профессионалы? А вот что: несколько лет назад на хакерской конференции DEF CON 24 исследователи Энтони Роуз (Anthony Rose) и Бен Рэмси (Ben Ramsey) из Merculite Security рассказали, как в рамках эксперимента проводили атаки на шестнадцать моделей смарт-замков. Результат оказался довольно неутешительным: только четыре смогли устоять перед взломом.

Замки одних вендоров передавали пароли доступа открыто, в незашифрованном виде. Так что злоумышленники могли легко их перехватить, используя Bluetooth-сниффер. Несколько замков попались на методе повторного воспроизведения: дверью можно было манипулировать при помощи заранее записанных сигналов соответствующих команд.

В свете распространения всевозможных голосовых помощников всё более актуальным становится и взлом умного замка через голосовые команды. Несколько лет назад выяснилось, к примеру, что если хозяйский гаджет лежит достаточно близко к закрытой двери, то достаточно громко произнеся через дверь «Привет, Сири, открой дверь», и вас могут впустить.

Распространённым сценарием взлома большинства «умных» замков является следующий: при получении посторонним лицом физического доступа к замку нажатием кнопок на нём можно произвести авторизацию любых гаджетов.

Другой интересный эксперимент исследователей из Pen Test Partners был посвящён проверке защищённости замков марки Tapplock. Как выяснилось, их можно разблокировать и без отпечатка пальца владельца. Дело в том, что коды разблокировки генерируются на основании MAC-адреса устройства в сети BLE. А поскольку адрес преобразуется с использованием устаревшего алгоритма MD5, то он легко может быть выяснен. Поскольку Bluetooth-замки имеют свойство разглашать свои MAC-адреса по BLE, то злоумышленник способен узнать адрес, «хакнуть» его с использованием уязвимости MD5 и получить хеш для разблокировки замка.

Замок Tapplock, открывающийся с помощью отпечатка пальца
Источник: Tapplock

Но на этом уязвимости Tapplock не заканчиваются. Выяснилось, что API-сервер компании разглашает конфиденциальные данные пользователей. Любой посторонний человек может узнать не только о местонахождении замка, но и разблокировать его. Сделать это довольно просто: нужно завести аккаунт на Tapplock, взять ID аккаунта жертвы, пройти аутентификацию и захватить управление устройством. При этом на уровне back-end производитель не использует HTTPS. И даже не потребуется никакого взлома или необходимости брутфорсить, потому что номера ID присваиваются аккаунтам по элементарной нарастающей схеме. И ягодка на торте — API не ограничивает количество обращений, поэтому можно бесконечно скачивать пользовательские данные с серверов. И эта проблема всё ещё не устранена.

Атаки на видеокамеры

Общественные пространства современных мегаполисов обвешаны камерами, как новогодняя ёлка игрушками в приличной семье. Причём всевидящее око не просто получает живую картинку, но и разбирается в том, что на ней. Даже у нас в стране на ЧМ-2018 система распознавания лиц безошибочно отлавливала фанатов, которым был запрещён доступ на стадион.

Пока таким образом наша жизнь лишается какой-либо приватности, остаётся дожидаться, когда злоумышленники подберут ключи к «глазам» видеонаблюдения. И банальный вуайеризм будет не единственной и не главной мотивация хакеров для взлома видеокамер. Часто их ломают с целью создания ботнетов, используемых при проведении DDoS-атак. По размерам такие сети часто не уступают, а то и превосходят ботнеты из «обычных» компьютеров.

Причин уязвимости у видеокамер несколько:

  • слишком простой или морально устаревший механизм защиты;
  • стандартные пароли, часто находящиеся в открытом доступе в интернете;
  • при подключении к камерам через «облако» клиентские приложения шлют данные в незашифрованном виде;
  • неизменяемый мастер-пароль от производителя.

Часто камеры атакуют методом man-in-the-middle, встраиваясь между клиентом и сервером. Таким способом можно не только читать и изменять сообщения, но и подменять видеопоток. Особенно в тех системах, где не поддерживается протокол HTTPS.

Так, например, линейка камер одного очень известного производителя имела прошивку, которая позволяет изменять настройки камеры с помощью обычных http-запросов без авторизации. У другого вендора прошивка IP-камер позволяла, также без авторизации, подключиться к камере и получать изображение в реальном времени.

Не стоит забывать и про широко известные уязвимости. Например CNVD-2017-02776, проникнув через которую в камеру, далее посредством EternalBlue можно получить доступ к компьютеру пользователя. Эксплоит EternalBlue, использующий уязвимости в протоколе SMB, знаком многим: именно он использовался для распространения шифровальщика WannaCry в 2017 году и в ходе атак зловреда Petya. А ещё EternalBlue был включен в состав Metasploit, его использовали разработчики криптовалютного майнера Adylkuzz, червя EternalRocks, шифровальщика Uiwix, трояна Nitol (он же Backdoor.Nitol), зловреда Gh0st RAT и т.п.

Атаки на розетки и лампочки

Бывает, что беда приходит оттуда, откуда её не ждёшь. Казалось бы, мелочь, лампочки и розетки, какая может быть выгода для злоумышленников? В качестве шутки отключить системный блок пока вы не нажали кнопку Save в любимой компьютерной игре? Или выключить свет в комнате, где находитесь вы вместе с «умным» ватерклозетом?

Однако одно то, что лампочки и розетки находятся в одной локальной сети с другими устройствами, даёт хакерам шанс поживиться довольно секретной информацией. Допустим, ваш дом освещают «умные» лампочки Philips Hue. Это достаточно распространённая модель. Однако в мосте Hue Bridge, через который лампочки общаются друг с другом, существовала брешь. И были случаи, когда через эту уязвимость злоумышленники могли дистанционно перехватить контроль над работой ламп.

Напомним, что Philips Hue имеют доступ в домашнюю сеть, где «гуляют» пакеты с различной конфиденциальной информацией. Но как её выудить наружу, если остальные компоненты нашей сети надёжно защищены?


ZigBee-контролируемые светодиодные лампы Philips Hue
Источник Sho Hashimoto / Wikimedia

Хакеры сделали это так. Они заставили лампочку мерцать с частотой свыше 60 Гц. Человек этого не замечает, а вот прибор снаружи здания способен распознать последовательности мерцаний. Конечно, таким способом много не «намерцаешь», но для передачи каких-нибудь паролей или айдишников вполне достаточно. В итоге, секретная информация была скопирована.

Помимо этого, в Philips не позаботились об усилении защиты при общении лампочек друг с другом в локальной сети, ограничившись только применением шифрованного беспроводного протокола. Из-за этого злоумышленники могли запустить в локальную сеть поддельное обновление софта, которое «разольётся» потом по всем лампам. Таким образом червь получит возможность подключать лампы к DDoS-атакам.

Читайте также:
О каких возможностях натяжного потолка знает не каждый

Атакам подвержены и «умные» розетки. Например, в модели SP-1101W компании Edimax для защиты страницы с настройками применялся только логин и пароль, причём производитель никак не предлагал поменять данные по умолчанию. Это наводит на подозрения, что одни и те же пароли использовались на подавляющем большинстве устройств этой компании (или используются по сей день). Добавьте к этому ещё и отсутствие шифрования при обмене данными между сервером производителя и клиентским приложением. Это может привести к тому, что злоумышленник сможет прочитать любые сообщения или даже перехватить управление устройством для, например, подключения к DDoS-атакам.

Атаки на смарт-ТВ

Ещё одна угроза сохранности наших персональных данных кроется в «умных» телевизорах. Они теперь стоят почти в каждом доме. Причём софт телевизора куда сложнее, чем у камер или замков. Следовательно, хакерам есть где разгуляться.

Допустим, на смарт-ТВ есть веб-камера, микрофон, а также веб-браузер, куда же без него? Как в таком случае могут навредить злоумышленники? Они могут воспользоваться банальным фишингом: встроенные в ТВ браузеры обычно слабо защищены, и можно подсунуть пользователю поддельные страницы, собирая пароли, информацию о банковских картах и прочие конфиденциальные данные.

Другой, в буквальном смысле, дыркой в безопасности является старый добрый USB. Качнули видео или приложение на компе, воткнули потом флешку в телевизор – вот вам и зараза.

Кому может понадобиться знать, какие передачи пользователь смотрит и какие сайты посещает? Много кому, на самом деле. Аналитикам крупных корпораций, консалтинговых и рекламных компаний, например. И эта информация стоит приличных денег, поэтому даже производители не брезгуют встраивать в свою продукцию приложения для сбора вашей статистики.

Угроза тут заключается в том, что данные пользователя могут уйти «налево» и попасть к злоумышленникам. Например, квартирный вор узнает, что с 9 утра до 18 вечера дома никого нет, так как у владельцев телевизора есть устойчивая привычка включать его, находясь дома. Соответственно, нужно отключить в настройках сбор лишней информации и прочее журналирование действий.

А такие закладки, как вы понимаете, это дополнительные бреши для проникновения. Известна история с телевизорами Samsung: пользователи жаловались на то, что встроенная система распознавания голоса позволяет следить за всеми их разговорами. Производитель даже указал в пользовательском соглашении, что слова, сказанные в присутствии телевизора, могут быть переданы третьей стороне.

Выводы и рекомендации по защите

Как можно видеть, при создании системы «умного» дома стоит быть предельно внимательным к компонентам и их уязвимостям. Все устройства, подключенные к системе, так или иначе подвержены риску взлома. Инсталляторам и администраторам, а также продвинутым пользователям таких систем можно посоветовать следующее:

  • внимательно изучите все возможности устройства: что оно делает, какие разрешения имеет, какую информацию получает и отправляет — отключите всё ненужное;
  • регулярно обновляйте прошивку и встроенное ПО;
  • используйте сложные пароли; везде, где можно, включайте двухфакторную аутентификацию;
  • для управления «умными» гаджетами и системами используйте только те решения, что предлагают сами вендоры — это не гарантирует отсутствия брешей, но хотя бы снижает вероятность их появления;
  • закрывайте все неиспользуемые сетевые порты, а открытые защищайте стандартными методами авторизации через стандартные настройки операционной системы; вход через пользовательский интерфейс, в том числе с веб-доступом, должен быть защищён с помощью SSL;
  • «умное» устройство должно быть защищено от физического доступа посторонних.

Пользователям менее опытным рекомендации такие:

  • не доверяйте чужим людям устройства, с помощью которых вы управляете «умным домом» — если потеряли смартфон или планшет, смените все логины-пароли-ID и прочие вещи, которые могут быть извлечены посредством утерянного гаджета;
  • фишинг не дремлет: как и в случае с электронной почтой и мессенджерами, поменьше доверяйте сообщениям от незнакомцев и непонятным ссылкам.

Чем опасен «умный дом»

Так ли уж безопасно на самом деле современное жилье

Модная волна разговоров об инновациях дошла и до нашего жилья в виде концепции «умного дома». Для многих это понятие является чем-то аморфным, как нанотехнологии и модернизация. Вроде бы, внедрять надо, но не ясно, для чего и каким образом. Однако российские девелоперы довольно активно пользуются этим термином, стремясь повысить продажи в том или ином жилом комплексе.

На первый взгляд, в этом нет ничего зазорного. Даже наоборот — свидетельствует, на первый взгляд, о высоком уровне развития строительной отрасли. Но каждая технология, помимо плюсов, таит в себе еще и новые риски. Именно их «СП» обсудила с генеральным директором компании «ОЦР Технологии» Владиславом Велицко, не один год занимающимся выявлением неочевидных критических уязвимостей в инфраструктуре отечественных городов и разработкой технологий их защиты.

Идея умного дома, по его мнению, сейчас столь же неконкретна для потребителей, как и несколько десятилетий назад понятие широкой информатизации, ожидание прихода ПК в каждый дом. И ранее пройденный персональными компьютерами путь от малофункциональных ПК типа «Спектрум» до интегрированных в сеть домашних мультимедийных центров, телевизора, ноутбуков, смартфонов и даже кухонной техники, обновляющей рецепты, программы стирки и заказывающей в онлайн-магазине недостающие продукты, еще только должен быть пройден системами, которые со временем превратятся в действительно умный дом.

— На пути к умному дому, помимо роста функциональности, удобства, безопасности и экономической эффективности жилья придётся преодолеть и новые риски, — уверяет он. — Кто мог представить в эпоху «спектрумов», что человек может быть обворован до нитки посредством какой-то электронной сети? Что через видеокамеру, установленную в умном телевизоре, можно получить доступ в его спальню? Что в его кармане, наконец, всегда будет лежать шпион, не только хранящий все контакты и переписку, но еще и отслеживающий маршрут передвижения? И то, что эти данные не может похитить только ленивый?

И хотя описанная выше часть насущных проблем, связанных с информатизацией нашей жизни, важна и известна, совокупная ценность представляемых возможностей значительно выше неизбежных минусов. Аналогично будет и с системами умного дома, развитие которых должно обеспечиваться рядом условий, и в их числе — безопасность, экономическая и экологическая эффективность дома, снижение потребности в сервисе и удобство проживания в нём.

Читайте также:
Паровая швабра – отличный помощник по дому

«СП»: — Скажите, в чем, по вашему мнению, заключаются основные угрозы «умного дома»?

— Давайте подумаем на примере широко разрабатываемых и планируемых к массовому внедрению систем автовождения автотранспорта. Совсем недавно в мире произошел ряд терактов с использованием грузовых и легковых машин, когда экстремист, в произвольном месте разгоняясь, врезается в толпу прохожих. При этом до момента рокового поворота руля террорист является полностью законопослушным человеком, использующим легальное устройство (автомобиль) и занимающимся легальной деятельностью (управление автотранспортом). А в результате — неотвратимая гибель десятков людей. Кто гарантирует, что часть террористов вместо руля грузовика не сядет за компьютер, взламывая автопилоты, и к ним не присоединятся сотрудники спецслужб и часть хулиганов?

На этом примере мы видим, что деструктивная деятельность активно развивается, появляется своеобразная «мода» на наиболее эффективные средства для нанесения наибольшего ущерба обществу с затратой минимальных усилий. Как бы жёстко это не звучало — налицо оптимизация технологического процесса террористической. Когда в этот круг будут вовлечена инфраструктура и, как её элемент — системы умного дома, вопрос только времени.

А ведь умный дом — это не только управляемые по СМС жалюзи, свет по хлопку или чиху и тёплый ужин в микроволновке к моменту возвращения с работы. Это еще и интеграция в сеть всех систем, появление бытовых роботов-пылесосов и помощников. И здесь широчайшее поле для деятельности таких лиц, которые совсем недавно рассылали детям сообщения, как стать «Голубой феей», всего лишь тихо открыв ночью газ. Зачем просить ребёнка, когда можно робота-помощника заставить перерезать трубу с газом, замкнуть электросеть или перезарядить аккумулятор робота-пылесоса в надежде, что аккумулятор взорвётся, вызвав пожар? А если роботы повредят газопроводы или перезарядят аккумуляторы синхронно в нескольких кварталах или по всему городу?

«СП»: — Ну послушайте, какие там роботы-помощники? Это же хорошо, если появится через десяток лет.

— Возможно, но вполне достаточно заразить вирусами игрушки, способные манипулировать пьезозажигалками.

«СП»: — Но игрушки не найдут, не распознают зажигалку и что ею поджигать.

— Пока — да. А через пару лет? И сколько ядер тогда будет содержать процессор, устанавливаемый в копеечного трансформера, управляемого чадом по Bluetooth?

Также отмечу, что в «умном доме» очень легко вызвать потоп или перегрузку снабжающей его трансформаторной подстанции, одновременно включив в сеть всех телеуправляемых потребителей электроэнергии. Вообще, проведённые исследования показали, что любой современный российский город абсолютно беззащитен перед современными технологиями и простыми, но оригинальными воздействиями, которые могут и будут использоваться злонамеренно.

«СП»: — Но разработчики систем «умного дома», наверное, учитывают все эти нюансы?

— Создатели этих систем пока недостаточно уделяют внимание вопросам именно физической, а не только программной безопасности и, как полагаю, недостаточно полно понимают саму концепцию «умного дома». Умным дом делают не только автоматизированная система управления, интегрированная в сеть бытовая техника или обучающие игрушки, но еще и умный жилец, понимающий, что использовать нужно не всё подряд из того, что ему пытаются сбыть создатели всевозможных гаджетов. Владелец дома должен оценивать, сколько вреда сможет принести устанавливаемая система, будет ли потенциальная польза от установки, не принесет ли это больше вреда его семье и окружающим жильцам.

«СП»: — Какие же тут существуют механизмы защиты?

— Во главу угла должна ставиться безопасность, устойчивость к удалённому взлому и даже к червям, распространяющимся без использования сетей. Например, к аналогам Stuxnet. Множественность вариантов систем управления компонентами «умного дома» парируется тем, что вредоносное ПО будет писаться для наиболее дешёвых, массовых контроллеров. А для его создания задействуют нейросети, способные не только бороться с вирусами, но и создавать их.

Исправить ситуацию, пожалуй, может только внедрение полностью изолированных от электронных сетей систем, работающих по собственному алгоритму. Или систем, использующих именно теоретически-устойчивые системы шифрования, обеспечивающие практически полное исключение фатального нарушения функциональности дома, его инфраструктуры. Это позволит получить более высокую совокупную пользу от преобразования дома в «умный», чем безусловный сопутствующий ущерб при внедрении имеющихся решений.

Немаловажно использование только отечественных электронных компонентов и операционных систем для снижения вероятности появления в аппаратно-программной части закладок, позволяющих удалённо синхронно нанести ущерб российским городам. Также ключевым требованием для подобных систем будет очень низкая цена, вплоть до бесплатной раздачи девелоперам и потребителям, чтобы потребитель мог брать отечественную систему, а не её конкурента с «закладкой», которые, даже будучи установленными в некоторой части квартир, смогут в час «X» привести жильцов к катастрофе.

«СП»: — Но, возможно, тогда уже «умный дом» будет выполнять совсем не те задачи, что сейчас?

— Нам надо, чтобы дом был малозатратен по ресурсам — потреблял тепло и электроэнергию в минимально нужном количестве, очищал, подготавливал и кондиционировал воздух в зависимости от числа жильцов и их активности. Надо, чтобы подавал хотя бы минимальное количество тепла и воды, когда в очередной раз за месяц зимой «погаснет» электросеть из-за действий стихии или террористов, случится блэкаут. Чтобы дом перерабатывал стоки и бытовые отходы (ТБО), был защищен от других рисков, которыми пронизан весь существующий жилой фонд.

А функциями удалённо включаемого тёплого пола, обновления рецептов в СВЧ-печи и программами стирок пока придётся пожертвовать, чтобы не стать жертвой злоумышленников. Фактически именно для условий России «умный дом» оптимально можно рассматривать как компонент системы, обеспечивающей повышенные экономичность и надёжность жизнеобеспечения. Особенно в условиях, как всегда неожиданно наступающей зимы.

Чем опасен умный дом

Рис. 1. Прогноз по мировому рынку умного дома в целом на 2020-2024 гг. с учётом влияния пандемии (источник: Technavio, ноябрь 2020 г.)
Рис. 2. Прогноз по мировому рынку бытовой техники для умного дома на 2020-2024 гг. с учётом влияния пандемии (источник: Technavio, ноябрь 2020 г.)

Наряду с промышленным Интернетом вещей (умный город, роботизированный офис, автономные производства и т. п.) умный дом рассматривается экспертами и практиками ИТ-рынка как одно из наиболее перспективных направлений. Однако некоторые тенденции, уже успевшие себя проявить на этом новоявленном сегменте ИТ-рынка, заставляют осмотрительных ритейлеров и интеграторов умерять безудержный энтузиазм в отношении умного дома.

Читайте также:
Рекомендации для выбора длинной тумбочки для гостинной

Гаджеты и тренды

Недавний отчёт IDC о рынке устройств умного дома в регионе EMEA свидетельствует о сокращении его во II кв. текущего года на 7,2% по сравнению с тем же периодом предрекая, впрочем, ему рост начиная со второй половины 2020 г. В утверждают эксперты, рынок умных стационарных гаджетов в регионе ЕМЕА превысит 200 млн единиц, продемонстрировав на этом интервале среднегодовой темп роста в 16,19%. Мировой прогноз IDC по отгрузкам умных устройств ещё более впечатляет: по итогам нынешнего года должен наблюдаться прирост в 4,1% относительно уровня до 854 млн единиц, а к этот сегмент увеличится до 1,4 млрд единиц в глобальном масштабе с CAGR около 14%.

Вроде бы всё хорошо, — однако вопрос в том, что именно относить к устройствам умного дома. Вот бытовой смарт-ТВ — умный гаджет или нет? Учитывая вычислительную мощь его процессорной платформы, постоянную связь с облачными сервисами, возможность распознавать речевые команды и прочее — безусловно, умный. Вот и выходит, что сдержанная динамика рынка умных домашних устройств в первой половине в немалой мере объясняется сокращением поставок умных телевизоров — обусловленным в свою очередь, как свидетельствуют аналитики IDC, «недавней нехваткой панелей дисплеев на мировом рынке и сопутствующими проблемами в цепочке поставок».

Возьмём теперь умные колонки (как чисто акустические, так и интегрированные с экранами в так называемые умные дисплеи), — они ведь тоже часть сегмента умного дома, верно? Canalys прогнозирует, что если в 2021 г. мировые поставки этих гаджетов выйдут на отметку 163 млн единиц (+21% относительно прогнозного уровня то в составят уже 640 млн единиц. Что составляет почти половину от ожидаемого IDC объёма отгрузок устройств умного дома в целом. Ноябрьская оценка поставок смарт-ТВ в 2024 г., сделанная Technavio, — немногим более 293 млн единиц.

С этой оценкой неплохо согласуется прогноз IDC для устройств умного дома по категориям. В 2024 г., считают аналитики, на умные колонки будет приходиться чуть более 14% всех поставок таких устройств по количеству, на развлекательные видеогаджеты (прежде всего, смарт-ТВ) — 31%, ещё 21% на домашние системы видеонаблюдения и безопасности, и лишь около трети всех отгрузок — на прочие категории, такие как умные розетки, умные лампы, умные холодильники и пр.

Таблица. Мировые поставки устройств умного дома по категориям в 2020 и 2024 г., прогноз (источник: IDC, сентябрь 2020)

Категория

Отгрузки в 2020 г., млн шт.

Доля рынка в 2020 г., %

Отгрузки в 2024 г., млн шт.

Доля рынка в 2024 г., %

CAGR на интервале

Домашние системы видеонаблюдения и безопасности

Всего

854,1

100,0

1441,7

100,0

+14,0

Два прогноза

Обратите внимание: наивысший прирост в сегменте умного дома на ближайшие пять лет аналитики IDC видят как раз в категории «Прочие»: т. е. всё, что не смарт-ТВ, не умные колонки и не домашнее видеонаблюдение. Но с этой категорией, если вглядеться пристальнее, всё далеко не так просто. Достаточно взглянуть на два ноябрьских прогноза Technavio, отражающих прямо противоположные тенденции в рассматриваемом сегменте.

Прогноз первый: глобальный рынок умного дома в целом (Smart Home Market) на интервале до 2024 г. (см. рис. 1). Эксперты считают, что по итогам нынешнего года этот сегмент вырастет почти на 15% относительно уровня (в деньгах), и как минимум до продолжит рост с CAGR на уровне 17%, прибавив на этом интервале почти 66 млрд долл. США. Воздействие пандемии на сегмент в целом Technavio рассматривает как смешанное: частично вниз — за счёт нарушения цепочек поставок в начале года и сокращения покупательной способности масс; частично вверх — из-за роста спроса на высокотехнологичные продукты, спровоцированного планетарных масштабов самоизоляцией. В лучшем случае сегмент умного дома в целом должен вернуться к докризисной динамике в III кв. будущего года; в худшем — в I кв. Здесь всё более или менее соответствует радужным перспективам, обрисованным IDC.

А теперь — второй прогноз: те же самые аналитики Technavio обращают внимание на один лишь подсегмент рынка умного дома, а именно — на умную бытовую технику (Smart Home Appliances Market; см. рис. 2). Здесь по итогам ожидается даже более существенный рост год к году, — более чем на 25%. Но затем, на всём прогнозном интервале до этот сегмент, как уверяют эксперты, продемонстрирует сокращение (в деньгах) с CAGR на уровне —16%. Инкрементально за ближайшие пять лет рынок умной бытовой техники, тем не менее, увеличится почти на 32 млрд долл., — и на него придётся практически половина всего прироста сегмента умного дома в целом (66 млрд; см. предыдущий абзац).

Что же получается? Если верить IDC, категория «Прочее» в сегменте умного дома, к которой относятся и умные бытовые приборы (кофеварки, холодильники, зубные щётки и т. п.), в количественном выражении будет расти до 2024 г. со среднегодовым темпом около 25% и составит примерно треть от всего объёма поставок устройств в этом сегменте. Если же верить Technavio, на интервале до того же продажи бытовых умных приборов в денежном выражении будут сокращаться со средним темпом 16% год к году, обеспечивая тем не менее едва ли не половину долларового оборота всего сегмента умного дома. Нет ли здесь противоречия?

Штуки в плюс, деньги в минус

Противоречия не окажется, если внимательнее вглядеться в поясняющие надписи на слайдах, предоставленных Technavio. Рост сегмента умного дома обусловлен, как отмечается там, в целом нейтральным воздействием коронакризиса на сектор информационных технологий. И действительно, умные ТВ люди продолжают исправно покупать (хотя бы потому, что «глупых» с приличного качества экранами уже днём с огнём не сыщешь); умные колонки завоёвывают всё более широкое признание за счёт удобства голосовых коммуникаций с непрерывно эволюционирующими облачными цифровыми помощниками, да и домашние системы видеонаблюдения и безопасности с выходом в облако квартал за кварталом укрепляют свои позиции на рынке. Словом, всё в сегменте умного дома, что напрямую имеет отношение к ИТ и существенно зависит от качества имплементации высоких технологий, зарекомендовывает себя в глазах массового потребителя с самой лучшей стороны.

Читайте также:
Где не стоит располагать электрощит в частном доме

Умные же бытовые устройства, appliances (см. комментарий в верхней части рис. 2) аналитики вполне справедливо относят к consumer discretionary: товарам неповседневного спроса, в которых не существует объективной потребности и которые приобретаются от скуки, из любопытства либо по минутному порыву людьми, располагающими избытком свободных средств. Это не совсем luxury, поскольку чаще всего такие продукты не снабжаются шильдиками известных брендов: скорее, следует говорить о технически сложных товарах с избыточной функциональностью. Очевидно, эта категория сильнее всего пострадала от коронакризиса и вызванного им спада покупательной способности. Действительно, холодильнику, кофеварке, потолочному светильнику нет жизненной необходимости становиться умными прямо сейчас.

Акцент на «прямо сейчас» имеет значение: всякому ИТ-овощу — своё время. Коммуникаторы с большими сенсорными экранами, управляемые весьма развитыми операционками с возможностью ручной доустановки ПО пользователем (Windows CE, SymbianOS, BlackBerry OS) существовали задолго до выхода на рынок первого iPhone. Но лишь с появлением онлайнового магазина App Store, наполненного множеством легко загружаемых приложений гарантированного самой Apple качества, смартфоны стали объективно и повседневно необходимым ИТ-товаром для сотен миллионов, а позже и миллиардов потребителей по всему миру. Почему бы не предположить, что в будущем и умные кормушки для домашних питомцев, умные термостаты, умные микроволновки не вырвутся из предательских тенёт категории consumer discretionary?

Умный дом — не моя крепость

Увы, могут и не вырваться. Люди будут более или менее охотно приобретать недорогие умные бытовые устройства (отсюда рост в штуках), приобщаясь тем самым к умному дому, но в итоге не проявят к ним большого интереса — и крупные покупки в этом подсегменте сведут к минимуму (так объясняется одновременный спад в деньгах). Как представляется сегодня экспертам, ответственны за это сразу два важнейших фактора. Причём чем больше потребителей сталкиваются с ними в своей практике знакомства с умным домом (и чем активнее делятся своим негативным опытом в соцсетях), тем скептичнее в целом оказывается настроен рынок в отношении умной бытовой техники, без которой вполне возможно обойтись.

Фактор первый: покупка услуги, а не устройства. Умный бытовой прибор делает умным интегрированность в некую экосистему; поддержка со стороны производителя и/или провайдера облачной услуги. Когда и если такая поддержка прекращается — банально из-за банкротства вендора, например, или из-за потери им интереса к данному проекту, — пиши пропало. Известна история с американской умной камерой наблюдения для дома Lighthouse, которая благодаря постоянной связи с облаком вендора получала возможность распознавать лица посетителей и сигнализировала владельцу, если в доме вдруг появлялся некто незнакомый. ИИ камеры — точнее, облачной системы — был настолько хорош, что различал по мордам даже домашних питомцев.

Однако больших прибылей в рознице продукт своим создателям не принёс. Через несколько лет после запуска проект Lighthouse был прекращён — и хотя определённые компенсации владельцы камер получили, того сервиса, ради которого эти гаджеты приобретались, больше не существует. Да, сегодня в продаже есть аналогичные продукты, — но даст ли однажды обжёгшийся на Lighthouse покупатель шанс другому вендору, пытающемуся заманить его теми же самыми обещаниями? Кто-то, безусловно, даст, но вряд ли их будет столько же (не говоря уже о большем количестве), чем в первый раз. Опять-таки, не забываем про соцсети, — вести о подобных провалах разлетаются моментально.

Фактор второй: условия, на которых приобретена услуга, не высечены в камне. И снова пример с американского рынка устройств для умного дома: хаб для контроля и управления множеством умных устройств Wink Labs. Гаджет архиполезный, способный обеспечить владельцу простой и удобный доступ к разнородным подключённым (необязательно даже умным) устройствам в доме. Неудивительно, что к середине нынешнего года число пользователей Wink Labs превысило 4 млн: купил, принёс, подключил — всё работает!

Но вот в мае (не иначе как под тлетворным воздействием пандемии) руководство компании приняло решение взимать с пользователей абонентскую плату — 5 долл. в месяц. В ответ владельцы умного хаба разразились в Сети яростными протестами, принялись массово отказываться от продукта; против Wink Labs даже был подан коллективный иск. Дело, конечно же, не в размере абонентской платы, которая выглядит вполне щадящей на фоне стоимости других сервисов, — например, базовая подписка на Netflix в США обходится в 9 долл./мес. Дело во внезапности и резкости, с которыми было переиначено пользовательское соглашение (даже если возможность его пересмотра заранее была оговорена в условиях обслуживания, — наверняка ведь была).

Чем менее экзотичными будут становиться элементы умного дома на нашем рынке, тем большую весомость для потребителей станут приобретать два этих негативных фактора. Ритейлу и особенно интеграторам, практикующим реализацию для частных заказчиков систем умного дома «под ключ», следует также иметь эти факторы в виду — и с особым тщанием подбирать вендоров, стараясь достоверно спрогнозировать на несколько лет вперёд устойчивость выбранной ими бизнес-модели и их как компании в целом. В противном случае пессимистичный прогноз по сокращению (выраженных в долларах) продаж умных бытовых устройств имеет все шансы воплотиться в реальность. И вряд ли стоит сомневаться, что на российском рынке этот провал окажется ещё более зияющим, чем в целом по миру.

Безопасен ли «умный» дом?

Исследователи вопросов безопасности взламывают электронные дверные замки с помощью ноутбуков и Raspberry Pi. Так они показывают, что производителям оснащения для «умных» домов еще придется поработать над защитой своих систем.

Взломщикам уже не требуется ни лом, ни отмычка. Вооружившись ноутбуком и Raspberry Pi, они взломали дверной замок через радиосигнал и оказались в квартире через пару минут. Следов не осталось, а соответствующее приложение даже не зарегистрировало открывание двери. То, что нам показывают в голливудском кино, уже становится реальностью — по крайней мере, почти.

В случае с обоими упомянутыми здесь взломщиками речь идет об исследователях вопросов безопасности Тобиасе Цилльнере и Флориане Айхельбергере. На конференции по вопросам безопасности Deepsec они показали слабое место в дверном замке «умного» дома, спроектированном на основе технологии Home Automation 1.2. При минимальных материально-технических затратах можно «убедить» установленные компоненты допустить в сеть устройство, производящее манипуляции. И тогда откроются все включенные в нее компоненты.

Читайте также:
Какие бюджетные люстры дают лучшее освещение

Возможной эта атака стала благодаря тому, как сконструирован стандарт ZigBee, на котором строится Home Automation 1.2. Если точнее, то все устройства внутри сети используют секретный ключ, однако есть и дополнительный, находящийся в открытом доступе ключ, так называемый «запасной ключ» (Fallback Key). Эта пара ключей задействуется при соединении нового устройства с другими находящимися в сети — ключ, используемый в сети, зашифровывается с помощью открытого ключа и отправляется на новое готовое к подключению оконечное устройство. Концепт находящегося в открытом доступе «запасного ключа» извращает саму идею безопасности: взломщики могут использовать данное слабое место в системе, чтобы считать секретный ключ и проникнуть в сеть ZigBee.

Простота вместо надежности

Атака выявляет проблему, которая касается всех систем «умных» домов, и неважно, какой при этом используется стандарт: ZigBee, Z-Wave или Apple HomeKit. Как только взломщик обеспечит себе доступ к сети через ошибку в стандарте или с помощью бага в микропрограммном обеспечении, то, как правило, он сможет включать все, что ему нужно, и управлять всем, чем ему только захочется. Для максимального упрощения правомерного использования внутри сети редко устанавливаются дополнительные варианты проверки безопасности, то есть такие технические барьеры, как брандмауэры, сертификаты устройств и тому подобные средства защиты. В системах «умных» домов они попросту отсутствуют.

Дверной замок с дистанционным управлением через приложение является особенно желанной целью для взломщиков

Проблемы есть не только у ZigBee. Например, у конкурентного стандарта Z-Wave в 2014 году было выявлено похожее слабое место, с помощью которого также можно было открывать дверные замки. Apple HomeKit до сих пор такие заявления обходили стороной, но ввиду сложности системы нужно принимать в расчет наличие уязвимостей и у Apple. С распространением Apple HomeKit хакеры и специалисты по безопасности будут с одинаковым энтузиазмом искать их, как ищут у iOS.

Взлом через приложение

Однако сами сетевые устройства — это не единственная цель злоумышленников. Практически любая система «умного» дома активна не только в закрытой LAN, но и предлагает интерфейсы в Интернете. Они задействуются, например, в случаях, если управление устройствами «умного» дома производится удаленно через приложение или браузер, чтобы, к примеру, регулировать температуру, запрашивать данные с камер или проверять состояние дверного замка. Многие функции «умного» дома вообще имеют смысл только при наличии к ним доступа извне.

Проблема заключается в том, что в большинстве случаев доступ защищен только простыми учетными данными, то есть именем пользователя и паролем. Здесь имеются те же проблемы, что и у любого другого Интернет-сервиса: легко взламываемые пароли и многократное использование учетных данных (которые через утечку данных могут попасть в открытый доступ в Интернете) помогают взломщикам получить контроль над «умными» компонентами. Найти их несложно, специальные поисковые системы, например, Shodan.io, бесплатно доставят искомое прямо в руки. Если хакеры смогут манипулировать регулировкой отопления или освещением, это будет всего лишь досадной неприятностью. Но если в сеть включены камеры наблюдения и дверной замок, то это будет уже большой провал всей системы безопасности.

Производители устройств для «умного» дома находятся в одной лодке с другими поставщиками аппаратного обеспечения: они всегда защищают клиентов только соответственно существующему положению вещей и характеру текущих угроз, делая ставку на актуальные технологии обеспечения безопасности. Поэтому большинство ссылается на такие пустые фразы, как «Каждый компонент… соединяется с сервером через собственный выделенный безопасный канал AES128» (заявлено Tado) или «…соединение приложений с облаком защищается посредством признанных сетевых технологий обеспечения безопасности» (заявлено eQ-3). И это — не ложь, но против новых программ взлома и специфических уязвимостей такой подход не поможет.

Регулярное обновление компонентов безопасности

При выборе компонентов для «умного» дома пользователям следует обращать внимание на качество долгосрочной поддержки для продуктов. Только те поставщики, которые быстро публикуют «заплаты» к найденным уязвимостям, могут поддерживать приемлемый уровень безопасности. Новые продукты могут быть необычайно привлекательными, а яркие приложения могут выглядеть многообещающе, но пользователь должен заботиться о постоянном обновлении. Во всяком случае, потенциал причинения ущерба через такие компоненты, как сигнализация и цифровой замок, абсолютно очевиден. Каждый компонент «умного» дома представляет собой компьютер и сетевой узел с потенциальной угрозой злоупотребления. Поэтому пользователи должны загружать обновления, как только они становятся доступными, и быть внимательными, когда в СМИ появляется информация об используемых продуктах и технологиях.

Схема взлома «умного» дома

Но угрозы безопасности — это не повод впадать в панику и очернять системы «умных» домов в целом. Наверняка в ближайшие годы еще будет бытовать мнение, что вскрыть электронный замок намного сложнее, чем, к примеру, открыть незащищенное окно стамеской. И пока дело обстоит так, датчики движения и разбития стекла, управление освещением на время отпуска и прочие компоненты системы контроля «умного» дома в итоге окажутся гораздо более полезными в вопросах безопасности.

Советы по безопасности для «умного» дома

Поддерживайте актуальность системы

Как можно быстрее загружайте обновления для микропрограммного обеспечения используемых продуктов. Как только «заплаты» и связанные с ними уязвимости становятся общедоступными, взломщики разрабатывают автоматизированные инструменты для получения доступа к незащищенным «заплатами» системам.

Используйте надежные пароли

Обращайте внимание на надежность учетных данных. В отношении «умного» дома действуют те же правила, что и, к примеру, для Интернет-банкинга. В частности, необходимо следить за тем, чтобы не использовать одни и те же пароли для нескольких сервисов.

Оставайтесь в курсе событий

Интересуйтесь актуальной информацией об используемых продуктах и технологиях. Если, например, становится известно о слабых местах в используемых вами протоколах, следует целенаправленно просить производителя соответствующих компонентов о предоставлении специальных обновлений.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: