Hp И Symantec Выявили Тотальную Уязвимость Устройств Для Умного Дома

Компания Symantec опубликовала изучать , в котором он проанализировал безопасность пятидесяти устройств умного дома и обнаружил проблемы с безопасностью абсолютно у всех из них: ни одно из них не использовало взаимную аутентификацию, сложные пароли и не было защищено от перебора.

Более того, пятая часть всех устройств не шифровала данные при передаче в облако.

В свою очередь, ХП проанализировано 10 устройств умного дома, которые за короткое время взломали специалисты компании.

Исследование показало, что:

• 100% устройств не требуют сложных паролей
• 7 из 7 устройств, использующих облако, не защищены от перебора пароля
• 5 из 10 устройств с мобильным интерфейсом не защищены от перебора
• Только одна система использовала двухэтапную авторизацию
• Одна система использовала Apple Touch ID для обеспечения безопасности.

• Протоколы SSL и TLS подвергались взлому POODLE или допускали использование SSL v.2.

Марат Гилязетдинов, знакомый вам по статье «История iRidium Mobile» ведущий разработчик iRidium Mobile считает, что это понятно:

Большинство устройств были созданы для работы в изолированных сетях, поэтому вопросы безопасности разработчики практически не затрагивали.

В результате чаще всего устройства не имеют авторизации, никак не защищены от перебора, не имеют идентификаторов транзакций и не шифруют трафик.

Атаковать их несложно, если знать протокол.

Сами разработчики об этом знают и ничего не делают. Мы не просто рассматривали небольшие бренды или проекты на Kickstarter, от которых можно ожидать чего-то подобного.

Мы изучали огромные компании, от которых можно было бы ожидать больше знаний в этой области.

Мы отправили им отчеты о наших исследованиях, но они так и не обновили свои устройства.

— Кандид Вист, главный научный сотрудник Symantec

Безопасность ослабляют и те, кто занимается внедрением технологий умного дома: обычно установщик не меняет пароли по умолчанию или не блокирует промышленные учетные записи.

Все это предоставляет злоумышленнику массу возможностей для атаки.

Дмитрий Сасс, генеральный директор монтажной компании ВаДиАрт , считает, что уязвимость умных домов все же не представляет существенной угрозы: проблема есть, но она преувеличена:

На данный момент украсть умный дом путем его взлома нечего, а основные угрозы сводятся к минимуму при построении защищенной локальной сети.

Поэтому данная проблема больше относится к возможностям роутеров начального уровня, которые сейчас используются во многих установках.

При использовании профессионального оборудования при построении домашней сети можно обеспечить достаточно высокий уровень защиты.

Взлом с целью мелкого вреда также будет маловероятен, если правильно построена ИТ-инфраструктура.

Первый вариант – несанкционированное проникновение в сеть извне, через Интернет или подключение к сети Wi-Fi. В этом случае основная нагрузка ложится на безопасность внутренней сети умного дома.

Здесь все полностью зависит от безопасности и протоколов шифрования сетей и не имеет никакого влияния на безопасность самих устройств.

Взломав соединение, вы сможете получить доступ к самой системе управления и управлять всеми устройствами напрямую.

В данном случае речь в основном идет о безопасности внутренней компьютерной сети заказчика.

А требовать дополнительной защиты для устройств автоматизации, входящих в стандартную комплектацию, это то же самое, что требовать от производителей холодильников установки на все модели замков, ограничивающих доступ и желательно с защищенной системой авторизации.

По логике использования холодильника, в подавляющем большинстве случаев от несанкционированного проникновения его защищает входная дверь в квартиру.

А если нужна дополнительная защита – например, от открытия ночью, то это дополнительная опция, которую при желании можно реализовать за дополнительные деньги.

— Дмитрий Сасс

Здесь система защиты основана на ограничении свободного доступа к этим проводам.

Дополнительно система защищена необходимостью знать злоумышленником адрес проекта.

Например, в Modbus, даже имея доступ к шине данных, вы не сможете ничем управлять, если правильно не настроите параметры соединения и не будете знать типы и количество регистров, в которые нужно производить запись.

KNX имеет возможность ограничивать связь между сегментами сети по физическим и/или групповым адресам, а также запрещать изменение параметров устройства.

В качестве отдельной проблемы я бы выделил различные варианты беспроводных технологий, используемых в системах «Умный дом».

В большинстве случаев они никак не защищены, а потому просто подойдя к стене дома или из соседней квартиры, можно подключиться и нанести большой ущерб.

— Дмитрий Сасс

Остальное — мелкое хулиганство, вроде включения/выключения лампочек или телевизора.

Безопасность в iRidium Mobile

В настоящее время шифрование данных протокола используется только в том случае, если этого требует протокол — например, AMX, Crestron, HTTPS и так далее.

При работе с протоколами, не имеющими шифрования, дополнительное шифрование не применяется – это такие протоколы, как Modbus, HDL, Lutron и др.

Пока случаев атак на умные дома практически нет, но если они будут развиваться такими темпами, то количество взломов вырастет в геометрической прогрессии, говорит Марат:

Я думаю, что в ближайшие 5-7 лет системы автоматизации получат более широкое распространение, а значит, будут случаи взлома и выхода из строя систем автоматизации, в ряде случаев с повреждением исполнительного оборудования (например, двигателей).

Это, в свою очередь, приведет к усилению защиты и исправлению долговременных дыр.

Я думаю, что распространение систем беспроводной автоматизации привлечет сетевых вандалов, которые ради развлечения будут взламывать эти системы — так же, как некоторые сейчас взламывают сети Wi-Fi. Вполне возможно, что хорошая защита оборудования станет дополнительным преимуществом при выборе средств автоматизации.

• Z-Wave: надежный протокол беспроводной связи для умных домов
• Лампа, которая следит за тобой: китайцы встроили камеру в лампочку
• Будущее Интернета вещей: разговор с Институтом Пратта

• Нетология, Lingualeo, Альфа-Банк И Сравни.ру Ищут Сотрудников

  19 Oct, 24

• Африка Глазами Ит, Или Белые Пятна Чёрного Континента

  19 Oct, 24

• Игровой Дизайн, Воплощенный В Жизнь. Бесшовная Загрузка Или Полное Погружение В God Of War 4

  19 Oct, 24

• В России Создали Портативную Клавиатуру Для Смартфонов, Которая Позволяет Набирать Текст Со Скоростью 400 Символов В Минуту.

  19 Oct, 24

• Что Такое Microled И Почему Это Круто? Анализ

  19 Oct, 24

• Google Запускает Новый Мобильный Поиск

  19 Oct, 24

• Microsoft Подала Очередную Партию Исков Против Пиратов

  19 Oct, 24

• Как Я Запускал Афишу Еврейских Мероприятий

  19 Oct, 24

• Практическое Руководство: Торговля Фьючерсами На Фондовом Рынке

  19 Oct, 24

• [Неочевидные Алгоритмы Для Очевидных Вещей] Алгоритм 2. Принадлежность Точки Треугольнику В Пространстве

  19 Oct, 24