Майже 100% систем розумний будинок не захищені від хакерів

Якщо ви вирішили захистити свій будинок за допомогою однієї з новітніх систем домашньої безпеки, що відноситься до класу «розумних» і підключених до Інтернет рішень, то цілком можливо, що ви станете навіть менш захищеним і більш уразливим, ніж раніше. Проведені останнім часом різними компаніями тести комп’ютерної безпеки таких систем показали, що незважаючи на всю «розумність» таких пристроїв, практично всі вони не захищені від злому хакерами.

Сучасні підключені до Інтернет системи домашньої безпеки, як правило, з’єднуються через хмару з мобільним пристроєм або веб-браузером користувача, дозволяючи таким чином контролювати їх роботу. Подібна система складається з безлічі різних пристроїв, таких як детектори руху, контактні датчики, відеокамери, «розумні» замки, датчики витоку і присутності. І, хоча всі вони призначені для забезпечення домашньої безпеки, останні дослідження показали, що ці пристрої мають серйозні уразливості, через що можливість здійснювати моніторинг стану будинку та його оточення може мати не тільки його власник. Основна причина недостатньої захищеності подібних пристроїв — це відсутність встановлених стандартів для захисту «розумних» домашніх систем.

Нещодавно компанія HP опублікувала звіт дослідження параметрів захищеності домашніх охоронних систем на прикладі 10 найпопулярніших систем безпеки для т.зв. «Розумного підключеного будинку». Фахівці компанії змогли досить легко зламати всі десять систем, скориставшись наявністю цілого ряду вразливостей (слабка політика установки паролів, відсутність блокування аккаунтів, легко підбираються імена користувачів), і віддалено збирати інформацію про будинок, включаючи інформацію з відеокамер.

Дослідники знайшли «лякаюче велика кількість проблем, пов’язаних з ідентифікацією та авторизацією, а також з роботою мобільних і хмарних веб-інтерфейсів». Що стосується браку захищеної аутентифікації і авторизації, то:

100% систем дозволяли використовувати прості паролі;
100% систем потребує механізму блокування облікового запису, який може запобігати автоматизовані атаки;
100% систем не захищені від підбору аккаунта, дозволяючи злочинцям вгадати дані аутентифікації і отримати доступ;
4 з 7 систем, які мають камери відеоспостереження, надають користувачеві можливість надати відеодоступ додатковим користувачам, що ще більше посилює проблему з підбором аккаунта;
2 системи надавали можливість передачі відео взагалі без аутентифікації;Тільки одна система вимагала двух-факторну аутентифікацію.

Дуже важливо для забезпечення захисту використовувати правильно сконфігуроване шифрування передачі даних, але, за даними дослідників HP, в половині з протестованих систем конфігурація здійснена неправильно, або в них неправильно впроваджена SSL / TLS. При цьому 70% систем дозволяли здійснювати необмежену передачу даних аккаунта через незахищений хмарний інтерфейс. Одна система оновлює ПО через FTP, що дозволяє злочинцям перехопити дані облікового запису та отримати доступ на сервер оновлень з можливістю запису на нього. Три з 10 систем дозволяють користувачеві при завантаженні апгрейда вирішувати, оновлювати систему чи ні.

Якщо доступ до відео користувач отримує через хмарний Інтернет або мобільний додаток, то це ж відео з будь-якого місця в світі може дивитися злочинець за допомогою зламаного облікового запису. На жаль, більшість користувачів зрозуміло це тільки недавно, коли був здійснений масовий злом бездротових «відео-нянь» і злочинці поспілкувалися через них з батьками або дітьми. Власники приблизно 73 тисяч камер були приголомшені, коли сайт Insecam показав зібрані з усього світу картинки з камер відеоспостереження, які стали доступні для перегляду кожному бажаючому.

Компанія HP навмисне не назвала виробників систем, які були протестовані під час досліджень. Якщо ці продукти або їх виробники будуть публічно названі, то це може викликати масове повернення пристроїв і інші проблеми для компаній. Це нікому не потрібно, оскільки рівно такі ж проблеми існують у всіх інших систем. Фахівці HP підготували секретний список порад, які були надані виробникам. При цьому вони попередили, що якщо протягом 120 днів ці уразливості не будуть ліквідовані або публічно відхилені, то список таких продуктів буде опублікований.

Все згадане вище справедливо і для продуктів, що належать до сфери Інтернету речей, виробникам яких також рекомендовано звернути увагу на цю проблему, інакше в майбутньому вони зіткнуться з непередбачуваною реакцією споживачів. Вірніше, цілком передбачуваною, але дуже неприємною. У своєму попередньому звіті, дослідники HP вказали на приблизно 25 вразливостей, притаманних протестованим домашніх пристроїв класу IoT, які також не були названі.

У списку перевірених компанією приладів були Smart TV, веб-камери, «розумні» термостати, інтелектуальні електричні розетки, контролери садових розпилювачів, замки, домашня сигналізація, гаражні відкривають пристрої, контрольні хаби і навіть «розумні» ваги. Кожне з цих пристроїв мало функцію контролю за допомогою смартфона і більшість з них було підключено до хмарного сервісу.

Аналогічне дослідження провела компанія Synack, яка провела тестування 16 «розумних» пристроїв. Кожне з них (за винятком одного) було «зламано» аналітиками компанії менш, ніж за 20 хвилин. Цим відмінним від інших пристроєм був детектор диму Kidde.

Найбільш слабо захищеними пристроями в цьому списку опинилися камери — кожна з перевірених систем мала проблеми з шифруванням даних і захищеністю паролів. Найменш проблемною з них виявилася камера Dropcam.

Що стосується термостатів, найбільш захищеним виявився Nest, хоча і у нього виявилася слабка система захисту паролів. Решта системи виявилися в цьому сенсі значно гірше.

Хоча детектор Kidde виявився найбільш захищеним пристроєм серед усіх досліджуваних гаджетів, інші продукти з цієї категорії не змогли показати себе добре. Особливо невдалим виявився датчик FirstAlert.

Останньою досліджуваної категорією стали хаби — найбільш технологічно складні пристрої, до яких підключаються всі інші прилади, що входять в систему домашньої автоматизації. Найнадійнішим виявився Iris, у якого відносно слабким місцем виявилася недостатньо хороший захист паролів. Решта пристрої мають серйозні проблеми в сфері безпеки, починаючи від сервісів і незахищеною архітектури.

Загальний висновок фахівців Synack — «захист» розумних «систем домашньої автоматизації жахлива». На їхню думку, ситуація в галузі нагадує 90-ті роки в комп’ютерній індустрії, коли та тільки створювалася і ніхто особливо не замислювався про необхідність захисту.

Щоб хоч якось знизити рівень незахищеності цих пристроїв експерти радять по можливості більше використовувати дротяні з’єднання, включити в усіх системах автоматичне оновлення системного ПЗ і використовувати складні паролі.

Відзначимо, що ця інформація не ставить собі за мету зменшити ваш ентузіазм щодо наступаючої нової епохи «розумних» речей, а призначена для того, щоб ви знали про ризики, пов’язані з активацією подібних систем і більш усвідомлено підійшли до вибору продуктів. Іншими словами, сьогодні простір Інтернету речей — це щось на зразок Дикого Заходу, де кожен робить, що хоче і біжить туди, куди хоче, а домашні системи безпеки та інші «розумні» пристрою дуже далекі від того рівня безпеки, який ви хотіли б бачити.