Как обеспечить кибербезопасность умного дома: рассказывает эксперт

Жизнь в умном доме может быть очень удобной, ведь практически любую мелочь в нем можно автоматизировать и управлять всем со смартфона или даже голосом. Заботливый голосовой помощник разбудит вас утром, напомнит о запланированных делах и включит смарт-пылесос, пока вас нет дома. Умный дом способен сделать так, чтобы ваша жизнь стала настолько комфортной, насколько могут это обеспечить современные гаджеты, объединенные сценариями в одну экосистему.

Но вполне возможно и такое развитие событий: вы вернулись с работы в свой умный дом, но дверь не открывается, потому что система управления перестала вас узнавать: по неизвестным причинам ваше лицо и отпечаток пальца пропали из базы. Вы открываете дверь обычным ключом и оказываетесь в темном холодном помещении, ибо сценарий включения света и отопления к вашему приходу почему-то не сработал. По мере продвижения вглубь жилища, внезапно переставшего быть уютным, количество проблем и неполадок только нарастает. Одной из возможных причин локального апокалипсиса может быть хакерская атака.

Вопреки распространенному мнению, чтобы стать ее целью, необязательно быть известным человеком или иметь недоброжелателей. Вполне достаточно не уделять внимания защите своего умного дома. Именно это произошло в 2019 году с американской семьей Уэстморленд из американского штата Милуоки — хакеры взломали устройство управления умным домом Google Nest и развлекались, транслируя на весь дом голосовые сообщения, громкую музыку и выкручивая термостат до максимальной температуры.

Сегодня я расскажу о нескольких известных проблемах безопасности умных домов, о возможных последствиях для их хозяев и о том, что нужно, чтобы сделать ваш умный дом крепостью.

Какие уязвимости могут скрываться в устройствах умного дома

Уязвимый хаб

Центр управления умным домом Fibaro Home Center 3. Источник: Fibaro

Умный дом производства компании Fibaro автоматически загружает свои резервные копии на облачный сервер производителя. Такое решение можно только приветствовать, поскольку оно избавляет владельца дома от необходимости самостоятельно следить за сохранением конфигурации устройства, если бы не одна проблема: из-за программной ошибки загрузить и скачать резервные копии настроек в облако мог любой желающий.

Ситуацию усугублял тот факт, что резервная копия умного дома Fibaro в открытом виде, без шифрования, содержит информацию о доме и его владельце: местоположение строения и смартфона владельца, электронный адрес, на который зарегистрирован аккаунт хозяина в системе Fibaro, список подключенных устройств и пароли для доступа к ним.

И вишенка на торте: в той же резервной копии хранится пароль суперпользователя для удаленного управления домом. Используя этот пароль, злоумышленник мог подключиться к умному дому и творить там любые «чудеса». Но самое обидное, что у владельца дома прав суперпользователя не было, поскольку создатели Fibaro решили, что так безопаснее.

Уязвимый контроллер

Контроллер умного дома Zipato. Источник: Zipato

В 2019 году в системе управления умным домом Zipato обнаружили уязвимости, которые превратили 112 тысяч устройств в 20 тысячах умных домов на базе Zipato в развлекательную систему для хакеров. Используя эти уязвимости, они могли открывать двери и выполнять любые действия с устройствами, подключенными к умному дому (о реальных инцидентах, впрочем, не сообщалось).

Уязвимая умная розетка

Умная розетка Belkin Wemo. Источник: Belkin

В 2018 году была обнаружена уязвимость в «умной» розетке Belkin Wemo Insight Smart Plug, которая позволяла не только взломать саму розетку, но и взять под контроль домашнюю сеть. В простейшем варианте хакеры могли забавляться, включая и выключая розетку, в более серьезном — заразить все устройства умного дома.

Пожароопасный выпрямитель волос

Выпрямителем волос Glamoriser можно управлять через приложение. Источник: Glamoriser

Примерно в это же время эксперты Pen Test Partners выявили серьезные проблемы с популярным в США умным выпрямителем для волос Glamoriser. Оказалось, что мобильное приложение для управления выпрямителем позволяет кому угодно удаленно изменять температуру и устанавливать время для автоматического отключения устройства. Недоброжелатель мог дистанционно подключиться к устройству, нагреть его до максимальной температуры (более 230 °C) и вызвать пожар или обжечь хозяйку.

Уязвимые дверные замки

Умный дверной замок KeyWe Smart Lock. Источник: Indieogogo

В конце 2019 года была обнаружена опасная уязвимость в «самом умном замке» KeyWe Smart Lock GKW-2000D. Она позволяла хакерам перехватить сетевой трафик между мобильным приложением владельца и замком и похитить ключ для входа в дом.

Эксперты констатировали, что проблема с замком носит фундаментальный характер и не может быть устранена из-за невозможности обновления прошивки устройства.

Как взламывают умные дома

Через небезопасные протоколы и их реализации

Для взаимодействия между собой устройства, входящие в состав умного дома, используют различные протоколы. Самый распространенный из них — протокол ZigBee. Он разработан в далеком 2003 году и отлично работает даже на самых простых устройствах, обеспечивая приемлемую дальность действия и достаточную скорость передачи данных.

Однако реализации этого протокола в различных устройствах содержат ошибки, которыми могут воспользоваться хакеры. Так, перехват ключа от умного замка KeyWe Smart Lock стал возможен из-за того, что обмен данными между устройством и смартфоном выполнялся в открытом виде, без шифрования.

Но проблемы с безопасностью встречаются и в реализациях других протоколов умного дома, например, в Z-Wave, Bluetooth Low Energy (BLE) и Wi-Fi. Причина в том, что программисты, разрабатывающие прошивки для умных устройств, вынуждены идти на компромисс, чтобы обеспечить приемлемую скорость работы встроенного ПО. В итоге они используют более слабые криптографические алгоритмы или полностью отказываются от шифрования, упрощают аутентификацию, превращая умное устройство в плацдарм для хакеров.

Через уязвимости управляющих интерфейсов

Чтобы владельцы умных домов могли управлять их работой, контроллер умного дома подключается к интернету. Для владельца это может выглядеть как сайт, на котором можно нажимать различные выключатели и устанавливать параметры работы своего интеллектуального жилища, либо как мобильное приложение, которое через интернет подключается к контроллеру и дает возможность задавать нужные режимы работы.

Возможность подключиться к системе управления умным домом через интернет могут использовать не только владельцы, но и злоумышленники. С помощью специальных поисковых систем они могут найти доступные через интернет умные дома и попытаться подобрать пароль или найти уязвимость, которая позволит проникнуть в сеть жилища.

Последствия для хозяев

Далеко не все действия хакеров столь безобидны, как в инциденте с семьей из Милуоки. Злоумышленники могут использовать взломанные домашние сети для различной вредоносной деятельности.

Включение устройств умного дома в ботнеты для рассылки спама и DDoS-атак

Один из самых популярных способов использования взломанных умных устройств — это создание ботнетов. Слово «ботнет» (BotNet) образовано из слов robot (робот) и network (сеть). С помощью специальных троянских программ хакеры получают контроль над устройствами и объединяют их в единую сеть — ботнет, — которой можно управлять удаленно.

Киберпреступники стремятся включить в ботнет тысячи, десятки тысяч и даже миллионы устройств, чтобы свободно управлять большой зомби-сетью. Такие сети можно использовать для осуществления атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS), крупномасштабных кампаний по рассылке спама и других типов кибератак.

Некоторые киберпреступники специализируются на создании ботнетов для последующей продажи доступа к ним другим преступникам. Например, спамеры арендуют или приобретают такие сети для проведения крупномасштабных кампаний по распространению непрошенных рекламных писем.

Работа умного дома в составе бот-сети неизбежно замедлит работу устройств и сети в целом и потенциально может создать проблемы владельцу в виде блокировки IP-адреса и даже получения судебных претензий за вредоносную деятельность.

Майнинг криптовалюты

Несмотря на то что устройства в составе умного дома не отличаются высокой производительностью, объединение усилий сотен тысяч процессоров, управляющих, например, IP-камерами или роутерами, позволяет операторам майнинговых ботнетов получать реальный криптовалютный доход.

Для владельца взломанного умного дома такой режим работы компонентов приведет к повышенному расходу электроэнергии, перегреву электроники и значительному замедлению ее работы, ведь во время майнинга загрузка процессора, как правило, находится на уровне 100%.

Подглядывание и шантаж

В состав умных домов практически всегда входит одна или несколько камер. Это могут быть камеры на домофоне, на умном замке или камеры системы видеонаблюдения. Взломав умный дом, хакеры получают доступ к этим камерам и могут использовать их для того, чтобы подглядывать за владельцами, а затем шантажировать их, угрожая опубликовать различные подробности их частной жизни.

Как защититься

• При первоначальной настройке умного дома обязательно установите новые надежные пароли для доступа к устройствам и включите двухфакторную аутентификацию, если она поддерживается. Производители умных устройств поставляют их с паролями по умолчанию. Если не изменить эти пароли, хакеры смогут получить доступ к управлению.

• Не забудьте о таких базовых мерах информационной безопасности, как антивирус для блокировки вредоносного программного обеспечения.

• Внимательно анализируйте запросы приложений, в том числе связанных с умными устройствами, на доступ к вашей информации (фотографии, местоположение, адресная книга, камера). Обнаружив явно ненужные для работы приложения права, отключите их в настройках.

• Регулярно обновляйте прошивки устройств умного дома, поскольку новые версии встроенного программного обеспечения содержат не только новые функции, но и исправления для ошибок и уязвимостей.

• Закройте прямой доступ к умному дому через интернет, а для управления создайте виртуальную частную сеть (VPN) на домашнем маршрутизаторе и подключайтесь к ней, когда нужно выполнить какие-то настройки вашего смарт-жилища. Если вы не знаете, как сделать это, обратитесь к специалистам.