Слишком "умный" дом



Современные системы безопасности, призванные обеспечить защиту дома или квартиры, подвергают пользователей еще большей опасности.

Исследование десяти популярных систем безопасности домов и квартир, проведенное компанией HP, дало катастрофические результаты. Все без исключения системы, участвующие в исследовании, имели серьезные уязвимости, связанные с защитой паролем, шифрованием и проверкой подлинности.

Что такое «интернет вещей»

«Интернет вещей» (Internet of Things, IoT) — термин, описывающий привычные объекты из повседневной жизни... 

Средства мониторинга, такие как видеокамеры и датчики движения, системы сигнализации, подключенные к интернету, завоевали популярность в связи с взрывным развитие IoT (интернет вещей), в первую очередь благодаря их исключительному удобству и очень широким возможностям. На главных мировых технологических выставках, таких как CES (Consumer Electronics Show), MWC (Mobile World Congress), IFA (Internationale Funkausstellung Berlin), в 2014–2015 годах наблюдался невероятный интерес к устройствам и решениям IoT, причем как со стороны производителей, так и со стороны пользователей. По данным аналитической компании Gartner, в 2015 году количество устройств, подключенных к «интернету вещей», составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд.

Тем удивительнее оказался тот факт, что системы и устройства, призванные обеспечивать безопасность жилища, являются источником еще больших угроз.

«Оставляя в стороне удобство и доступность подключенных к интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт, вице-президент и руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в конечном итоге несут ответственность за безопасность своих пользователей».

Злоумышленники, получившие доступ к таким системам, могут не только детально изучить образ жизни потенциальных жертв и их расписание, но и получить доступ к видео- и аудиозаписям внутренних камер наблюдения.

Исследование выявило четыре фундаментальные проблемы с безопасностью во всех без исключения системах.

Первая проблема — недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.

Вторую проблему составили незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи.

Еще одна проблема связана с конфиденциальностью: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт.

Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.

Наконец, четвертой проблемой эксперты назвали отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE).

Впрочем, не только системы «умного» дома могут передавать информацию, которая должна остаться в четырех стенах. Так, в начале недели выяснилось, что телевизоры Samsung с функцией голосового управления прослушивают все, что происходит в комнате. Причем указано это в пользовательском соглашении телевизора. Постоянное прослушивание происходящего вокруг включено для того, чтобы телевизор смог отреагировать на команду. Samsung опубликовали официальное сообщение, в котором уточняется, что включение прослушивания осуществляется только пользователем с пульта дистанционного управления.

В пользовательском соглашении телевизора указано, что все записанные данные могут отправляться «третьей стороне». Под этой третьей стороной имеется в виду компания, оказывающая Samsung услуги распознавания речи.

По мнению заместителя генерального директора Zecurion Александра Ковалева, проблема с безопасностью интернета вещей заключается в слишком быстром его развитии. «Пользователи просто не понимают всех возможностей этих устройств, а вендоры пока заняты развитием самой технологии и не придают достаточного значения безопасности. В этом нет ничего удивительного, понимание, что компьютер можно заразить вирусом, тоже пришло не сразу. Пока эти уязвимости не стали использовать злоумышленники, ни пользователи, ни производители не будут тратить время и деньги на защиту IoT», — считает Ковалев.

С ним согласен и антивирусный эксперт «Лаборатории Касперского» Денис Лебезо. По его словам, происходит этого из-за того, что отношение к «умным» вещам остается как к обычным машине или телевизору.

«Но это уже другое устройство, которое может далеко не только двигаться или показывать эфирные каналы. Соответственно, и думать о них надо уже по-другому, и защищать по-новому», — указал эксперт.

В качестве примера он привел уязвимость в системе BMW Connected Drive, которая позволяла открыть двери автомобиля и была ликвидирована в этом году. Для выявления уязвимости исследователи подменили оборудование, на которое передавались данные с помощью установленной в машине SIM-карты. «Как оказалось, до этого момента в протоколе передачи данных не была предусмотрено шифрование и только после обновления был реализован https.

В случае компьютерных систем передача данных для аутентификации в открытом виде уже давно нонсенс. Но не для других индустрий, как оказалось», — сказал Лебезо.

По мнению эксперта, достаточно отвлечься от основной функции техники и начать воспринимать ее как компьютерную сеть, чтобы заметить слабые места в информационной безопасности. «Становятся применимы все стандартные методы исследования сетевого трафика (пока часто передающегося в открытом виде), веб-интерфейсов для настройки этого оборудования (в том числе с классическими уязвимостями), встроенной операционной системы (как правило, на ядре Linux). Есть ощущение, что сейчас производителям как раз вот такого взгляда и не хватает», — заявил Лебезо.


commnetКомментарии

Пожалуйста, войдите / зарегистрируйтесь
или авторизируйтесь через любую соц. сеть, чтобы оставить комментарий.


Похожие новости
В Барселоне прошла выставка Mobile World Congress 28 февр. 2014 г.

В Барселоне прошла выставка Mobile World Congress

На крупнейшей мировой выставке мобильных технологий Mobile World Congress компания Lenovo представила новое поколение популярных смартфонов серии S. Технические характеристики Lenovo S860, S850 и S660 – это сочетание, которое не может не впечатлить пользователей...

дальше...

В Барселоне проходит выставка гаджетов Mobile World Congress 27 февр. 2014 г.

В Барселоне проходит выставка гаджетов Mobile World Congress

Французская компания CityZen Sciences представила в Барселоне "умную ткань". Она может отслеживать состояние здоровья человека, надевшего одежду из такого материала.На первый взгляд ткань выглядит как любая другая, на самом же деле на ней множество невимимых...

дальше...

HP Elite x3 на Windows 10 Mobile засветился в серебристом цвете‍ 28 мая 2017 г.

HP Elite x3 на Windows 10 Mobile засветился в серебристом цвете‍

В Сети появились снимки смартфона HP Elite x3 в серебристом цвете. По информации от представителей компании, аппарат будет работать на базе операционной системы Windows 10 Mobile.Прибор в новой вариации получил название HP Partner First Roadshow. По информации...

дальше...

На CES компания Hisense презентовала лазерный 4K телевизор 10 янв. 2018 г.

На CES компания Hisense презентовала лазерный 4K телевизор

В рамках традиционной международной выставки электроники для потребителей Consumer Electronics Show (CES) в Лас-Вегасе компания из КНР Hisense презентовала лазерный 4K телевизор. Прошедший год для китайского бренда стал весьма успешным, в этом году разработчики...

дальше...

На CES-2018 посетителей развлекут роботы-стриптизерши 07 янв. 2018 г.

На CES-2018 посетителей развлекут роботы-стриптизерши

На мероприятии CES-2018 (Consumers Electronics Show) всех посетителей будут развлекать роботы-стриптизеры. Выставка пройдет в Лас-Вегасе с 9 по 13 января, пишут западные медиа.Эксперты говорят, что в ходе Consumers Electronics Show требуется привлечь...

дальше...

#MWC | IBM призвала разработчиков мобильных приложений использовать искусственный интеллект 27 февр. 2014 г.

#MWC | IBM призвала разработчиков мобильных приложений использовать искусственный интеллект

Руководство IBM в ходе выставки Mobile World Congress объявило конкурс среди разработчиков на создание мобильных приложений на когнитивной платформе Watson. Цель данной инициативы — привлечь внимание девелоперов к суперкомпьютеру Watson с искусственным...

дальше...

#MWC | BlackBerry пообещала выпустить Jakarta в апреле 25 февр. 2014 г.

#MWC | BlackBerry пообещала выпустить Jakarta в апреле

Первый бюджетный смартфон BlackBerry производства китайского подрядчика Foxconn дебютируeт в апреле на индонезийском рынке, который является ключевым для канадской компании. Об этом на пресс-конференции в ходе выставки Mobile World Congress в Барселоне...

дальше...

#MWC | Sony представила планшет Xperia Z2 и два новых смартфона 24 февр. 2014 г.

#MWC | Sony представила планшет Xperia Z2 и два новых смартфона

Планшет Xperia Z2 – не единственная новинка Sony, представленная сегодня в ходе выставки Mobile World Congress в Барселоне. Японский производитель также показал два новых Android-смартфона – Xperia Z2 и M2. Xperia Tablet Z2 Самый тонкий и легкий 10-дюймовый...

дальше...

Последние новости

Новости на сегодня 21 февр. 2018 г.