"Умный дом" и глупые жильцы: как защитить себя от нашествия хакеров

Представьте — в вашем доме становится очень жарко, а из колонок начинают раздаваться голоса и непристойные песни. Полтергейст — подумаете вы, но это развлекаются хакеры, которые получили доступ к вашим “умным устройствам”. Уже не до смеха, правда? Это реальный случай, произошедший с американской семьей из Милуоки (штат Висконсин). Взломав GoogleNest (умная колонка), злоумышленники напугали жильцов дома до ужаса. Можно представить себе, что было бы, если бы целью хакеров было не развлечение, а материальная нажива.

SmartHome («умный дом») — это совершенно необязательно полноценный технологичный дом как у Билла Гейтса или Марка Цукерберга. Так называют любую систему домашних устройств, способных общаться через интернет с владельцем и между собой, выполнять действия и решать определенные повседневные задачи без участия человека. Такая система умных устройств (устройств “интернета вещей”, или IoT) масштабируется от нескольких датчиков до полноценной экосистемы.

Количество “умных” устройств постоянно растет. IoT-элементы имеют в том числе холодильники, чайники и пылесосы. Самые распространенные в быту, уже и в России, примеры автоматических действий в типовом «умном доме» — автоматическое включение и выключение света, автоматическая коррекция работы отопительной системы или кондиционера, а также умная сигнализация, то есть автоматическое уведомление о вторжении, возгорании или протечке.

Поговорим о проблеме безопасности умных домов.

«У IT-специалистов бытует шутка про то, что буква S в аббревиатуре IoT означает Security. В силу того, что спрос на умные устройства в мире постоянно растет, а многие из них выпускаются фирмами, легкомысленно подходящими к информационной безопасности, защищенность умных девайсов оставляет желать лучшего. Да и сами пользователи, с одной стороны, рады умному чайнику, с другой – не привыкли, что для него нужно обновлять софт и ставить пароль, иначе рано или поздно хакеры включат его в ботнет, и умный чайник может начать кому-то на другом конце света майнить криптовалюту. Есть даже специальный поисковик Shodan, который позволяет находить такие устройства с незащищенными портами за считанные минуты», — поясняет Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.

Какие устройства могут взломать

Все устройства умного дома могут быть соединены в единую систему, а та, в свою очередь, должна быть связана с вашим смартфоном и компьютером. Таким образом, если хакер или вирус сумели проникнуть в любом месте через уязвимости, они, с высокой вероятностью, смогут захватить и все остальные устройства по цепочке.

За последние годы самые разные элементы умного дома обнаружили свою уязвимость перед кибератаками. Приведем несколько примеров, в том числе довольно курьезных:

Август 2018: McAfee Advanced Threat Research нашли уязвимость в умной розетке, позволяющую удаленно взять устройство под контроль и войти в домашнюю сеть, а также выполнить произвольный код. На самом базовом уровне хакер может развлекаться, включая и выключая розетку, на более продвинутом - заразить остальные устройства умного дома.

Июль 2019 года: специалисты по борьбе с киберпреступностью выявили несколько уязвимостей в системе управления умным домом Zipato. 112 тысяч устройств в 20 тысячах умных домов Zipato дают возможность хакеру открывать дверь и делатьвсе, что ему угодно.

Июль 2019: эксперты PenTestPartners провели испытание умного выпрямителя для волос Glamoriser (очень популярный продукт в США, по американскому телевидению его все время рекламируют как лучший подарок на Рождество) и выяснили, что через мобильное приложение можно удаленно изменять температуру и устанавливать время для автоматического отключения устройства. Хакер без труда может взломать и нагреть устройство до максимальной температуры свыше 233 градусов по Цельсию, что чревато пожаром и ожогами.

Июнь 2020: CheckPoint обнаружили опасную уязвимость в «умных» лампочках PhilipsHue, связанную с реализацией протокола связи Zigbee (проблема переполнения буфера в куче или heapoverflow). Физически находясь на расстоянии 100 метров и больше (например, с ноутбуком в парке рядом), хакер сможет через умную лампочку получить доступ к целевой сети Wi-Fi. Дальше он может заразить сеть дома или офиса вирусом-вымогателем или шпионом, который украдет ценные данные.

Как защитить «умный дом»

Эти небольшие шаги помогут обеспечить защиту устройств вашего умного дома от потенциальных кибератак:

• Используйте надежные пароли и двухфакторную аутентификацию (2FA). Многие умные устройства поставляются с паролями по умолчанию, что упрощает их взлом, так как все заводские коды слиты в сеть. Обязательнонастройте вручную (как правило, через приложение) умное устройство сразу после покупки и измените имена пользователей и пароли, которые установлены по умолчанию.
• Обеспечьте информационную безопасность своего жилища в целом: установите на компьютер и телефон антивирус для блокировки вредоносного программного обеспечения, предназначенного для получения вашей личной информации. Тщательно анализируйте запросы приложений, в том числе связанных с умными устройствами, на доступ к вашей информации (фотографии, местоположение, адресная книга, камера).
• Для защиты вашей сети Wi-Fi используйте маршрутизатор VPN (VirtualPrivateNetwork, «виртуальная частная сеть»)или защитное приложение с тем же функционалом. Не подключайтесь к незащищенным общедоступным сетямWi-Fi.
• В идеале - лучше использовать более одного маршрутизатора, чтобы ваши устройства IoT находились в сети, отличной от сети вашего основного ПК. Это защитит информацию на вашем ПК в случае, если ваши IoT-устройства будут скомпрометированы.
• Регулярно обновляйте через приложения программную оболочку каждого умного устройства.

Советы ниже будут касаться умной колонки— одного из самых популярных компонентов умного дома:

• Если есть такая опция, рассмотрите возможность отказаться от обмена с производителем записями, используемыми для улучшения обслуживания и отключения “персонализированных результатов поиска”.
• Отключайте устройства, когда они не используются. Лучше не обсуждать конфиденциальные темы в присутствии умной колонки.
• Включите уведомления по электронной почте, чтобы следить за попытками несанкционированного доступа или интернет-покупок. Совсем идеальным будет не привязывать к колонкам свой основной аккаунт, связанный с платежными средствами.

Опасность умных устройств заключается еще и в том, что они меняют «прошивку» своего владельца. Так, например, с умным устройством можно забыть о необходимости выключать утюг самостоятельно, и, приехав в гостиницу или в гости, воспользовавшись «неумным» утюгом, можно на автомате его не выключить.

«Если вы обдумываете приобретение умных устройств или даже целой экосистемы, освойте основные требования безопасности, перечисленные специалистами Центра цифровой экспертизы Роскачества, и взвесьте все «за» и «против». На одной чаше весов – удобство и оригинальность, на другой – физическая и информационная безопасность», – подытожил Илья Лоевский, заместитель руководителя Роскачества.

Со своей стороны "НИ" предупреждает: стоит трижды подумать, а стоит ли вообще заводить в свой дом многочисленные и часто не обязательные устройства и гаджеты? Ведь любая техника рано или поздно ломается, требует весьма дорогостоящего обслуживания и ремонтов, и то, что поначалу кажется удобным и комфортным, превращается в причину расстройств и затрат. А кроме того, все эти системы очень быстро устаревают, производители выпускают новые вариации, забывая обеспечивать потребителей запасными частями к старым. Оно вам надо?