Inteligentne domy – raj dla hakerów?

Test 16 popularnych produktów służących do tworzenia tzw. inteligentnych domów wykazał, że ich zabezpieczenia można złamać w mniej niż 20 minut wynika z raportu firmy Synack.

Większość dostępnego na rynku sprzętu służącego do tworzenia tzw. inteligentnych domów jest słabo zabezpieczona przed atakami informatycznymi – wynika z raportu opublikowanego przez Synack. Przedstawiciele firmy przetestowali 16 popularnych produktów z tego segmentu… i praktycznie w każdym przypadku zdołali złamać zabezpieczenia w mniej niż 20 minut.

Autorem raportu jest Colby Moore, który gruntowanie sprawdził poziom zabezpieczeń popularnych „inteligentnych” (tzn. wyposażonych w opcję połączenia z siecią i zdalnej kontroli) kamer, termostatów, wykrywaczy dymu i tlenku węgla oraz urządzeń sterujących np. oknami, wentylacją itp.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Maleje zainteresowanie urządzeniami smart home

W teście fatalnie wypadły urządzenia ze wszystkich tych kategorii – aczkolwiek najgorzej poradziły sobie kamery. Moore zbadał zabezpieczenia pięciu modeli i wszystkie miały poważne luki w zabezpieczeniach. Okazało się na przykład, że dwie z nich (firm D-Link oraz Foscam) w ogóle nie szyfrowały wysyłanych danych, polegających jedynie na ich obfuskacji czyli „zaciemnianiu”. Co prawda utrudnia to ich odtworzenie, ale obejście tego zabezpieczenia jest znacznie prostsze niż w przypadku szyfrowania. Oznacza to, że teoretycznie każdy, kto dysponuje odpowiednią wiedzą, może ”podłączyć” się do domowej kamery i obserwować przez internet domowników, czy poznać ich zwyczaje (np. godziny wyjścia i powrotu do domu) – i to bez ruszania się sprzed monitora.

Równie słabo w teście wypadł np. kontroler systemu firmy Control4 często montowany w inteligentnych domach przez firmy specjalizujące się w takich systemach. Jego oprogramowanie ma kilka niezałatanych luk w zabezpieczeniach, a na dodatek wyposażone jest we wbudowanego backdoora, umożliwiającego zdalne przejęcie kontroli nad urządzeniem. Więcej informacji o urządzeniach uwzględnionych w teście - oraz wykrytych w nich lukach - znaleźć można w materiale serwisu Gigaom, który jako pierwszy omówił raport Synack.

“Wyraźnie widzimy trend polegający na popularyzowaniu się rozwiązań z zakresu inteligentnego domu – podczas targów CES rozwiązania z tego segmentu były praktycznie wszędzie, każda prezentowana nowość z zakresu elektroniki użytkowej była wyposażona w funkcję komunikowania się z siecią. Oznacza to, że tylko kwestią czasu jest to, kiedy usłyszymy o poważnym włamaniu czy przejęciu danych przez luki w systemach z tego segmentu. Co się stanie, gdy taki incydent nastąpi? Naszym zdaniem może to spowodować poważny spadek zaufania do całej technologii i, w konsekwencji, spadek sprzedaży” – wyjaśnia Colby Moore.

Warto jednak zauważyć, że w niektórych punktach raportu przedstawiciele Synack nieco przesadzają – zestawiając np. wspomniane powyżej słabości zabezpieczeń informatycznych z możliwością wprowadzenia modyfikacji (np. złośliwego oprogramowania) do urządzeń zanim trafią one do rąk klientów. Wydaje się, że takie zagrożenie dotyczy praktycznie każdego sprzętu i trudno wskazywać je jako wadę kilku konkretnych produktów.

Dokument jako równorzędne zagrożenie do braku szyfrowania strumienia wideo wymienia też np. podatność na atak typu „Wi-Fi jamming” – jednak poproszony o wyjaśnienie Colby Moore przyznał, że w tym przypadku problem polega nie tyle na tym, że haker może złamać zabezpieczenia urządzenia, co doprowadzić do zakłócenia jego pracy, co też może być problemem, ale jednak nieco innego kalibru.

Mimo tych wątpliwości, problem jest jak najbardziej realny – w blogu Synack możemy znaleźć dość szczegółowy opis scenariusza potencjalnego ataku na jedno z inteligentnych domowych urządzeń, za pośrednictwem którego haker może później uzyskać dostęp do routera i przejąć kontrolę nad całą siecią, a następnie wykorzystać to do kompleksowego inwigilowania domowników.

Czy to wszystko oznacza, że powinniśmy natychmiast zapomnieć o koncepcie inteligentnego domu i odłączyć od sieci wszystkie urządzenia z tej kategorii? „Oczywiście, wszystko zależy od użytkownika – ale generalnie nie sugerujemy czegoś takiego. Zalecamy raczej zaopatrzenie się w możliwie najnowocześniejszy i najlepiej zabezpieczony sprzęt, a także uświadomienie sobie, jakie zagrożenia mogą wiązać się z tworzeniem „inteligentnego domu” oraz jak się przed nimi zabezpieczyć. Wdrażanie nowych technologii zawsze wiąże się z pewnym ryzykiem, ale zwykle korzyści przeważają nad problemami. Pamiętajmy o używaniu wszelkich możliwych zabezpieczeń i trudnych do odgadnięcia haseł. Dla przestępców to zwykle jest kwestia kalkulacji, bo najczęściej nie polują oni na konkretnego użytkownika, a wybierają po prostu najgorzej zabezpieczone cele. W większości przypadków wystarczy, że przestaniemy być łatwym celem i możemy spać względnie spokojnie” – komentuje Moore.

Więcej informacji znaleźć można na blogu Synack.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200