Виталий Якушев
Виталий Якушев

операционный директор 10Guards

"Умный" дом — комфортное жилье или новые возможности для хакеров?

Операционный директор компании в сфере кибербезопасности 10Guards Виталий Якушев о том, как защитить смарт-холодильник от майнинга и предотвратить взлом системы "умного" дома

"Умный" дом — комфортное жилье или новые возможности для хакеров?

Под "умным" домом подразумевают набор устройств интернета вещей, о которых среди специалистов по кибербезопасности давно ходит шутка — "S в аббревиатуре IoT (Internet of Things — интернет вещей) означает Security". Быстрорастущий, высококонкурентный и нерегулируемый рынок интернета вещей привел к тому, что производители больше внимания обращают на внешний вид и функциональность элементов "умного" дома, чем на их безопасность. К примеру, взломанные устройства могут стать частью ботнета — зомби-сети, которую хакеры используют для запуска DDOS-атак на веб-ресурсы. При этом непрофессионалу узнать о случившемся сложно. В основном об атаке с вашего IP-адреса, во время или постфактум, сообщает интернет провайдер. Еще одна угроза нависает со стороны криптосектора. Так целью взлома смарт-устройств может стать майнинг, то есть хакеры могут использовать "умный" дом для добычи криптовалюты. Как результат, затраты на электроэнергию для владельца дома повышаются в несколько раз. Такая незаконная криптодобыча может оставаться незамеченной месяцами. Мало кто на досуге проверяет смарт-холодильник на предмет майнинга.

Получение удаленного доступа к системе управления "умным" домом или к отдельным его элементам несет множество рисков — от простого хулиганства до нанесения материального ущерба или угрозы человеческой жизни. Давайте подробнее разберемся, что могут сделать хакеры, взломав систему:

  • отключить выборочно прибор, датчик, элемент "умного" дома;
  • получить доступ к системам видеонаблюдения и использовать его для шантажа — иногда видеокамеры имеют встроенный динамик, через который киберзлоумышленники могут общаться;
  • многоходовой вариант — открыть электронные замки, отключить камеры, разбить окно и проникнуть в дом;
  • отключить пожарную сигнализацию и систему пожаротушения;
  • получить доступ к локальной домашней сети и использовать ее для дальнейших атак (реальный случай из жизни: киберзлоумышленники смогли удаленно проникнуть в казино, получив доступ во внутреннюю сеть через "умный" аквариум);
  • сбить настройку системы отопления и т. п.;
  • полностью стереть программу управления, после чего весь "умный" дом может быть парализован;
  • использовать взломанные элементы вашего "умного" дома для киберпреступлений (DDOS-атак)
  • и т.д. (только фантазия киберпреступников ограничивает дальнейшие действия со взломанными элементами "умного" дома).

 Перейдем к основным проблемам безопасности элементов "умного" дома. К ним относятся:

  • отсутствие шифрования каналов передачи информации между управляющим элементом (хабом) и датчиками/сенсорами/элементами "умного" дома, что позволяет перехватывать и/или подменять информацию, которой обменивается "умный" дом;
  • слабая политика установки паролей, т. е. пользователь может установить любой пароль, даже самый простой для подбора, а также нет требований по обязательной смене паролей, установленных производителем по умолчанию. Иногда паролей нет вообще и достаточно подобрать только имя пользователя;
  • отсутствие защиты от подбора паролей методом перебора — после определенного количества попыток неверно введенного пароля профиль пользователя не блокируется;
  • отсутствие возможности использовать двухфакторную аутентификацию.

Что же нужно сделать, чтобы "умный" дом был еще и безопасным? Часть мер по увеличению уровня безопасности "умного" дома лежит в зоне ответственности производителя, а часть, соответственно, на его пользователях. Поэтому при выборе элементов "умного" дома необходимо обращать внимание на отношение производителя к безопасности — как они закрывают слабые места, которые перечислены выше (отсутствие шифрования, слабая парольная политика и т. д.), как часто обновляют внутреннее программное обеспечение элементов "умного" дома с целью повышения их безопасности, а также самому придерживаться элементарных правил при настройке оборудования:

  • использовать длинные, сложные и не словарные пароли для доступа к управлению "умным" домом;
  • обязательно изменить имена пользователей и пароли, установленные производителем по умолчанию;
  • по возможности изолировать элементы "умного" дома в отдельную подсеть локальной домашней сети;
  • включить автоматическое обновление встроенного программного обеспечения.

Главное: вы должны понимать, что забота о безопасности "умного" дома пока по большей части лежит на плечах его пользователей.

 

 

автор:
Виталий Якушев
раздел:
теги:

По теме:

Все, что вам нужно знать про "умный дом"
IT и Телеком 30 октября 2016 в 15:00

Все, что вам нужно знать про "умный дом"

Все мы сталкиваемся c бешеным ритмом будней, из-за которого такие банальные вещи, как выключить свет и утюг на время нашего отсутствия выпадают из головы.А что если все это автоматизировать?

Конференция "CyberSafe.next: защита государства и бизнеса"
Ремень Кибербезопасности 06 февраля, 12:02

Конференция "CyberSafe.next: защита государства и бизнеса"

CyberSafe.next — II ежегодная конференция от delo.ua, посвященная проблеме кибербезопасности государства и бизнеса