15 мая 2014

Глупые ошибки умных домов

Безопасность

Информационная безопасность — тема, актуальная не только для компьютеров, привычных нам мобильных устройств и бытовой техники, но и для так называемых умных домов. И если у ноутбуков и смартфонов с безопасностью все более или менее неплохо, то вот со специфическими системами для компьютеризации жилища ситуация несколько иная.

В чем уязвимы системы умного дома

Умный дом, или смарт-дом, если угодно, представляет собой именно то, о чем и говорит его название (как, например, в случае смартфона или смарт-телевизора): жилище, в котором вся инфраструктура — отопление, электричество, климатические установки, замки и прочие элементы — связана в одну сеть, управляется центральным сервером и может быть тем или иным образом подсоединена к Интернету. Последнее дает возможность хозяевам управлять всем этим добром или просто наблюдать за ним при помощи смартфона, планшета или компьютера, в том числе и находясь далеко за пределами самого дома. Эксперты в области инфобезопасности изучают подобные системы практически столько же, сколько эти системы существуют. И результаты их исследований, откровенно говоря, не обнадеживают. В частности, не так давно специалисты компании AV-Test.org провели тестирование семи комплектов оборудования типа «умный дом» и выяснили, что четыре из них имели серьезные проблемы с безопасностью.

Семь подопытных — это, конечно, не очень много, учитывая огромное количество подобных предложений на рынке от множества разных производителей. Тем не менее результаты оказались очень интересными: обнаруженные в компонентах систем уязвимости позволяют с относительной легкостью проводить серьезные атаки как на домашнюю сеть и подключенные к ней устройства, так и на компоненты самого дома. Причем в некоторых случаях делать это можно не только изнутри системы, но и извне.

AV-Test проанализировал следующие наборы: eSaver iConnect, EUROiSTYLE tapHome, REV Ritter iComfort, Hama XAVAX MAX, Gigaset Elements, Deutsche Telecom QIVICON и RWE Smart Home. Среди них устойчивыми к хакерской атаке и несанкционированному доступу оказались лишь последние три. Наборы iComfort и tapHome содержали уязвимости, доступные злоумышленнику, если тот находится внутри домашней сети, к которой подключена система. Оставшиеся два продукта, как оказалось, допускают несанкционированный доступ не только при условии атаки внутри сети, но и даже если хакер находится за ее пределами.

Каждый продукт предлагает разный набор возможностей, но в целом все они позволяют централизованно управлять в доме электроснабжением, отоплением, безопасностью, а также дверями и окнами. Таким образом, атакующий при условии проникновения в систему сможет манипулировать любой из этих частей общей инфраструктуры и причинить какой-нибудь вред. Например, отключить отопление в холодное время года и спровоцировать таким образом разрыв трубопровода.

Атаки могут проводиться для получения доступа к каким-либо хранящимся на компьютерных устройствах ценным данным, наблюдения за жильцами или вообще обеспечения физического доступа в дом.

Впрочем, большинство злоумышленников преследуют цель не нашкодить, а украсть деньги обитателей дома. Поэтому с наибольшей вероятностью атаки на слабые места системы будут проводиться для того, чтобы получить доступ к каким-либо хранящимся на компьютерных устройствах ценным данным, произвести наблюдение за жильцами или вообще обеспечить себе физический доступ в дом. Последнее становится не такой уж и сложной задачей, если замки в дверях также подчиняются уязвимой системе умного дома. Более того, в этом случае у злоумышленников появляется возможность заблокировать все входы и выходы из жилища и вымогать у жильцов деньги за разблокировку. Не самая приятная версия классического компьютерного блокера-вымогателя, надо сказать.

Также специалисты из AV-Test проверили системы на предмет шифрования передаваемых данных, активной защиты аутентификации (например, установленные по умолчанию пароли на доступ) и восприимчивости к удаленным атакам. Наборы производства Gigaset, RWE и Deutsche Telecom в этом смысле не подвели, а вот набор iConnect, например, обладал системой шифрования, которую можно без особого труда обойти. Остальные участники тестирования, впрочем, вовсе никак не шифруют трафик. Это значит, что вся передаваемая внутри системы информация может быть перехвачена и, что куда важнее, без проблем прочитана злоумышленником. Преступник, таким образом, может как минимум отслеживать активность своих жертв и вычислять периоды, в течение которых дом оказывается пуст.

Кстати, iComfort отличается еще одной неприятной особенностью: для доступа к веб-сервисам системы по умолчанию не требуется никаких паролей. XAVAX MAX и iConnect, в свою очередь, хоть и не пускают в веб-админку кого попало, запрашивая пароль, совершенно бессильны перед несанкционированным доступом к физическим элементам централизованного управления. Еще один участник теста, система tapHome, пароль запрашивает, однако, по словам экспертов, при отсутствии шифрования передаваемых данных эта мера безопасности оказывается малоэффективной. Зато Gigaset Elements, RWE Smart Home и QIVICON не подвели: и трафик шифруют, и без пароля не пускают.

Как видите, целиком доверять свой дом компьютерным системам пока можно лишь в отдельных случаях. Впрочем, если производители подобных наборов перенаправят хотя бы часть своих усилий с маркетинга на доведение продуктов до ума по части безопасности, то создать качественную, защищенную от злоумышленников систему не составит никаких проблем. А пока запомните: настоящий умный дом — это не тот, который позволяет открыть дверь через Интернет, а тот, который не даст этого сделать кому попало.