Witamy w świecie smart-horroru!
- Computerworld,
- 22.07.2015, godz. 13:00
Jeśli chodzi o kwestie bezpieczeństwa, czarne chmury zbierają się nad automatyką domową i Internetem przedmiotów.
Jeśli chodzi o kwestie bezpieczeństwa, czarne chmury zbierają się nad automatyką domową i Internetem przedmiotów.
Autorzy opisujący naszą przyszłość zautomatyzowanych domów, smart aplikacji i Internetu przedmiotów rodem z Jetsonów często dostają już zadyszki. Wszystkie nasze gadżety są już połączone ze sobą i podłączone do sieci, a my wkraczamy w nową, złotą erę wydajności i komfortu albo…tylko tak nam się wydaje, bo słyszmy to, co wmawiają nam producenci tych gadżetów.
Jednak jest też ciemna strona mocy: kiedy podłączysz swoją lodówkę, termostat albo kamerę do sieci, to urządzenie staje się automatycznie narażone na te same niebezpieczeństwa, które zagrażają wszystkim komputerowym gadżetom, tj. hakerów, voyeurów, złośliwe oprogramowanie, awarie, botnety i zakłócenia. W końcu przecież świat dąży do entropii i przestępców nigdy nie zabraknie, nie ważne w jak kosmicznej erze będziemy żyć.
Domowe smart-urządzenia są w rzeczywistości nawet bardziej podatne na ataki hakerów niż tradycyjne maszyny, takie jak komputery, laptopy, telefony i tablety. Przemysł bezpieczeństwa w sieci dopiero niedawno zajął się na poważnie tymi urządzeniami, pozwalając w ten sposób hakerom wyjść na prowadzenie. A bezpieczeństwo coraz trudniej zapewnić, skoro firmy wypuszczają takie produkty jak toalety online. W tym artykule przyjrzymy się kilku prawdziwym horrorom związanym z automatyką domową.
Poklikaj trochę w sieci, a na pewno znajdziesz wiele anegdotek o tym, jakim zagrożeniem mogą być podłączone do sieci termostaty. Generalnie chodzi o to, by móc sterować tym urządzeniem, kiedy jest się poza domem. Jednak trzeba zwrócić uwagę, że jeśli komuś udałoby się zhakować taki termostat, mogłoby być nieciekawie.
Sławna stała się recenzja smart termostatu od Honeywell sporządzona przez Amazona w zeszłym roku. Były mąż chciał się zemścić na swojej żonie i jej nowym chłopaku – wykorzystał do tego termostat, którym mógł kierować na odległość. „Kiedy są poza domem podczas weekendu, podnoszę poziom ogrzewania do 80 stopni, a później znów obniżam do 40, kiedy wracają. Wyobrażam już sobie, jak wyglądają ich rachunki za prąd.”
Historie takie jak ta – których w Internecie jest na pęczki, ale których przecież nijak nie można zweryfikować – uchodzą już za swego rodzaju miejskie legendy. Prawdziwe czy nie, i tak są straszakiem na potencjalnych użytkowników tego typu domowej technologii.
Oczywiście, takie obawy są sporym problemem dla firm. Nest Labs, które w zeszłym roku zostało przejęte przez Google, ma specjalny zespół inżynierów, który zajmuje się zagrożeniami związanymi z termostatami. Dzięki polityce bezpieczeństwa i zakładce FAQ na stronie internetowej zyskują klientów, a poza tym firma zachęca do informowania o słabościach, które użytkownicy dostrzegli w ich produktach.
Kilka miesięcy temu firma zajmująca się ochroną TrapX właśnie to zrobiła – opublikowała badanie, w którym inżynierowie otrzymali dostęp do danych z termostatu Nest. Urządzenie zostało później wykorzystane jako punkt wyjścia do uzyskania kontroli nad innymi połączonymi urządzeniami w domu. Warto jednak zauważyć, że wymagało to fizycznego dostępu do termostatu, a zwłaszcza do portu USB. A poza tym, nie ma dowodów, że podobne włamania zdarzyły się w rzeczywistości.
Jednak zagrożenie ciągle istnieje, podkreśla TrapX – na przykład jeśli ktoś chciałby kupić używany termostat Nest albo jeśli haker miałby fizyczny dostęp do sprzętu, jak miało to miejsce w przypadku byłego męża z poprzedniego slajdu.
To prawdziwy horror dla rodziców: w kwietniu 2014 Heather Schreck spała w swoim domu położonym na obrzeżach Cincinnati, gdy nagle usłyszała męski głos krzyczący na jej 10-miesięczną córeczkę w pokoju obok. Kiedy Heather i jej mąż weszli do pokoju, okazało się, że ktoś zhakował podłączoną do sieci elektroniczną nianię i wykrzykiwał w stronę dziecka różne inwektywy.
W pewnym momencie ekran niani odwrócił się nawet w stronę rodziców – co na pewno dodatkowo uspokoi potencjalnych użytkowników. Kiedy o zdarzeniu zrobiło się głośno po tym, jak informacje pojawiły się w wiadomościach, producent elektronicznej niani wartej 200 dolarów, Foscam, przyznał, że już wcześniej zdarzały się podobne incydenty. Już od jakiegoś czasu w kręgach ludzi zajmujących się cyber-ochroną wiadomo, że hakerzy mogą znaleźć jakieś publiczne IP i uzyskać w ten sposób dostęp do kamer elektronicznej niani i innych rodzajów internetowych kamer. Foscam zalecił po prostu aktualizację oprogramowania.
Możliwość zhakowania kamer bezpieczeństwa znajdujących się w domu jest jedną z najbardziej przerażających perspektyw, jeśli chodzi o słabości technologii automatyki domowej. W zeszłym roku odkryto, że kamery IP od TRENDnet mają w systemie luki, które pozwalają voyeurom na włamywanie się do domów i biur. Informacja o tej podatności na włamanie przyczyniła się do rozpoczęcia kampanii, w której udostępniono online lokalizacje podatnych na włamania kamer.
W efekcie zostało opublikowanych setki zdjęć, które wskazywały na duże rozmiary problemu. Zdjęcia, a nawet videa na żywo przedstawiające pokoje dzienne, kuchnie, biura i posesje pojawiały się na różnych stronach i forach – podjęto tego typu działania z nadzieją, że w ten sposób problem zostanie szybciej rozwiązany. Ktoś stworzył nawet interaktywną mapę Google Map, która wskazywała faktyczne lokalizację kamer IP, które miały w systemie luki. Mapa szybko zniknęła z sieci, jednak historia pokazuje, jak szybko obraz z kamery zainstalowanej w Twoim smart domu, może trafić do sieci.
W 2013 r. dziennikarz piszący dla Forbesa, Kashmir Hill, opublikował bardzo interesujący i jednocześnie przerażający artykuł, który dotyczył serii wirtualnych włamań do domów – hakerem był sam Hill. Hill uzyskał informację, że w systemie automatyki domowej Insteon są wady. Dzięki temu był w stanie uzyskać dostęp do wielu domów poprzez zwykłe zapytanie w wyszukiwarce internetowej. Wyszukiwarka wskazała te domy, do których dostępu nie broniło nawet najprostsze hasło.
Okazało się, że Hill może bez problemu włączyć i wyłączyć w tych mieszkaniach światła i manipulować innymi urządzeniami: telewizorami, kamerami, pompami wodnymi, wentylatorami czy nawet wanną z gorącą wodą. „Przy pomocy kilku klików mogłem sprawić, żeby myśleli, ze ich domy są nawiedzone, mogłem nabić im ogromne rachunki za prąd albo żeby stały się łatwym celem dla włamywaczy”, pisze Hill. „Wystarczyłoby, że otworzyłbym garaż, a dom stałby się łatwo dostępny dla prawdziwych włamywaczy.” Insteon poinformował później, ze wadliwy produkt został wycofany, a standardy bezpieczeństwa podniesione.
Powie Ci to każdy, kto odwiedza Tokio: Japonia jest lata świetlne przed innymi państwami, jeśli chodzi o jeden konkretny produkt automatyki domowej: toaletę. Nie żartujemy, Japończycy bardzo poważnie podchodzą do swoich odwiedzin w łazience. Szacuje się, że 70% Japończyków ma w domach tzw. ulepszone toalety z podgrzewanym siedzeniem, funkcjami zdalnego sterowania i bidetu (jednocześnie tylko 30% posiada zmywarkę).
Oczywiste i niezbyt wygodne pytania, które można zadać, brzmi: czy możliwe jest przejęcie kontroli nad taką toaletą? Odpowiedź brzmi: tak, twierdzi firma zajmująca się kwestiami bezpieczeństwa, Trustwave, która kilka lat temu ostrzegała przez toaletami Satis z połączeniem Bluetooth. Te urządzania mają specjalną aplikację na Androida, w której można znaleźć np. funkcje dotyczące bidetu i suszenia bądź dopasowaną pod użytkownika playlistę odtwarzaną podczas siedzenia na toalecie.
Fragment z ostrzeżenia Trustwave: „Haker może z łatwością pobrać aplikację My Satis i przy jej użyciu sprawić, że w toalecie będzie się ciągle spuszczała woda – to zwiększy zużycie wody, więc automatycznie też opłaty. Może też sprawić, że klapa od toalety będzie się nagle zamykała bądź otwierała, że funkcje bidetu czy suszenia będą się samoczynnie włączały, powodując w ten sposób dyskomfort użytkownika.” Tak, to byłby spory dyskomfort.
Termin „botnet” jest często używany, by określić ataki, podczas których normalnie nieszkodliwe komputery są hakowane w taki sposób, by wysyłały spam bądź atakowały inne komputery. Do tej pory celem hakerów były głównie pecety, laptopy, tablety, jednak teraz, ze względu na coraz popularniejszy Internet przedmiotów, może się to zmienić.
W styczniu zeszłego roku firma Proofpoint opublikowała raport dotyczący pierwszego udowodnionego cyber-ataku na smart-urządzenia w domu. W kampanii kontrolowanych ataków wykorzystano moc ponad 100 000 aplikacji codziennego użytku, takich jak kina domowe, telewizory, routery, a także małe lodówki. Atak polegał na wysłaniu złośliwych e-maili – a dokładniej około 100 000 – do firm i osób prywatnych na całym świecie. W swoim raporcie Proofpoint ostrzegł, że takie sieci będą coraz bardziej popularne wśród hakerów, jako że urządzenia IoT są zazwyczaj słabiej chronione i łatwiej się do nich włamać niż do innych komputerów.
W horrorach dotyczących automatyki domowej bohaterami niekoniecznie muszą być złośliwi hakerzy czy podglądacze. Czasami nawet przez przypadek może dojść do jakichś przykrych incydentów. Na przykład można wspomnieć o bardzo ciekawej sprawie smart-domu, który zamienił się w ruinę przez jedną, pojedynczą spaloną żarówkę.
Kilka lat temu profesor zajmujący się technologią komputerową, Raul Rojas, wyposażył swój dwupiętrowy dom położony na obrzeżach Berlina w bardzo zaawansowany system automatyki domowej. Rojas specjalizuje się w robotyce i sztucznej inteligencji, więc w jego domu pojawiły się domowe boty, które miały monitorować dom, odkurzać, a nawet kosić trawniki. Wszystkie urządzenia w domu Rojasa były podłączone do Internetu, dzięki czemu oświetlenie, TV, kuchenka, mikrofalówka czy klimatyzacja mogły być sterowane na odległość.
Do pewnego momentu wszystko działało świetnie. Nagle przestało, a dom Rojasa po prostu zamarzł. Rojas przeprowadził badania i odkrył, że jedna przepalona żarówka ciągle wysyłała informację do sieciowego centrum dowodzenia, że potrzebuje naprawy. Był to swego rodzaju przypadkowy atak DoS i dowód na to, jak smart-dom może czasami pokonać samego siebie.
Można powiedzieć z całą pewnością, że podobne, a nawet gorsze horrory będą w przyszłości jeszcze częstsze. Internet przedmiotów jeszcze się rozwija, a era-smart domów dopiero się zaczyna. U większości z nas na razie tylko komputery i telefony są podłączone do Internetu – a zwróć uwagę, z jakimi problemami z bezpieczeństwem mierzymy się każdego dnia. Gdy wszystko będzie podłączone do sieci – samochody, sprzęty domowe, ubrania – świat bardzo szybko może stać się przerażającym miejscem.
W ostatnim wywiadzie z NetworkWorld ekspert od bezpieczeństwa, Bruce Schenier, nie był zbyt optymistycznie nastawiony. „Teraz wygląda to podobnie jak branża komputerowa w latach 90.”, mówi. „ Nikt nie zwraca uwagę na kwestie bezpieczeństwa, nikt nie aktualizuje systemów, nikt nie ma o niczym pojęcia – to bardzo, bardzo złe podejście i w pewnym momencie doprowadzi to do prawdziwych problemów… W systemach pojawią się luki, które wykorzystają hakerzy, i nie będzie sposobu, by jakoś je załatać.”
Jednak na razie ciągle jeszcze możemy słuchać sobie muzyki podczas siedzenia na toalecie…
Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]