Представьте — в вашем доме становится очень жарко, а из колонок начинают раздаваться голоса и непристойные песни. Полтергейст — подумаете вы, но это развлекаются хакеры, которые получили доступ к вашим «умным устройствам». Уже не до смеха, правда? Это реальный случай, произошедший с американской семьей из Милуоки (штат Висконсин). Взломав Google Nest (умная колонка), злоумышленники напугали жильцов дома до ужаса. Можно представить себе, что было бы, если бы целью хакеров было не развлечение, а материальная нажива.
Smart Home («умный дом») — это совершенно необязательно полноценный технологичный дом как у Билла Гейтса или Марка Цукерберга. Так называют любую систему домашних устройств, способных общаться через интернет с владельцем и между собой, выполнять действия и решать определенные повседневные задачи без участия человека. Такая система умных устройств (устройств «интернета вещей», или IoT) масштабируется от нескольких датчиков до полноценной экосистемы. Эксперты Центра цифровой экспертизы Роскачества помогут разобраться, нужен ли вам такой «умный помощник» и как с ним безопасно обращаться, чтобы он не превратился в угрозу вашей физической и информационной безопасности.
Количество «умных» устройств постоянно растет. IoT-элементы имеют в том числе холодильники, чайники и пылесосы. Самые распространенные в быту, уже и в России, примеры автоматических действий в типовом «умном доме» — автоматическое включение и выключение света, автоматическая коррекция работы отопительной системы или кондиционера, а также умная сигнализация, то есть автоматическое уведомление о вторжении, возгорании или протечке.
«У IT-специалистов бытует шутка про то, что буква S в аббревиатуре IoT означает Security. В силу того, что спрос на умные устройства в мире постоянно растет, а многие из них выпускаются фирмами, легкомысленно подходящими к информационной безопасности, защищенность умных девайсов оставляет желать лучшего. Да и сами пользователи, с одной стороны, рады умному чайнику, с другой — не привыкли, что для него нужно обновлять софт и ставить пароль, иначе рано или поздно хакеры включат его в ботнет, и умный чайник может начать кому-то на другом конце света майнить криптовалюту. Есть даже специальный поисковик Shodan, который позволяет находить такие устройства с незащищенными портами за считанные минуты», — пояснил Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.
Все устройства умного дома могут быть соединены в единую систему, а та, в свою очередь, должна быть связана с вашим смартфоном и компьютером. Таким образом, если хакер или вирус сумели проникнуть в любом месте через уязвимости, они, с высокой вероятностью, смогут захватить и все остальные устройства по цепочке.
За последние годы самые разные элементы умного дома обнаружили свою уязвимость перед кибератаками. Приведем несколько примеров, в том числе довольно курьезных:
- август 2018: McAfee Advanced Threat Research нашли уязвимость в умной розетке, позволяющую удаленно взять устройство под контроль и войти в домашнюю сеть, а также выполнить произвольный код. На самом базовом уровне хакер может развлекаться, включая и выключая розетку, на более продвинутом — заразить остальные устройства умного дома;
- июль 2019 года: специалисты по борьбе с киберпреступностью выявили несколько уязвимостей в системе управления умным домом Zipato. 112 тысяч устройств в 20 тысячах умных домов Zipato дают возможность хакеру открывать дверь и делать все, что ему угодно;
- июль 2019: эксперты Pen Test Partners провели испытание умного выпрямителя для волос Glamoriser (очень популярный продукт в США, по американскому телевидению его все время рекламируют как лучший подарок на Рождество) и выяснили, что через мобильное приложение можно удаленно изменять температуру и устанавливать время для автоматического отключения устройства. Хакер без труда может взломать и нагреть устройство до максимальной температуры свыше 233 градусов по Цельсию, что чревато пожаром и ожогами;
- июнь 2020: Check Point обнаружили опасную уязвимость в «умных» лампочках Philips Hue, связанную с реализацией протокола связи Zigbee (проблема переполнения буфера в куче или heap overflow). Физически находясь на расстоянии 100 метров и больше (например, с ноутбуком в парке рядом), хакер сможет через умную лампочку получить доступ к целевой сети Wi-Fi. Дальше он может заразить сеть дома или офиса вирусом-вымогателем или шпионом, который украдет ценные данные.
Стоит отметить, что случаи, когда хакеры целенаправленно вламывались в умный дом какого-то человека и развлекались — пока единичны. Тем не менее, с учетом все более растущей автоматизации киберпреступных процессов, незащищенный «умный дом» может быть взломан даже не людьми, а алгоритмами, в рамках перебора «засветившихся» в интернете открытых портов.
Есть и специальные ботнеты из умных устройств (их вычислительные мощности объединяются хакерами и направляются на майнинг криптовалюты или на DDoS-атаки), а также вредоносы, специализирующиеся на «зомбировании» компонентов умного дома. Еще в 2018 году был зафиксирован ботнет Hide ‘N Seek, в который создатели специально добавили возможности для взлома системы умных домов определенного немецкого производителя. На момент обнаружения так было заражено 90 тысяч устройств.
Хотя формально ответственность за безопасность потребительских продуктов IoT несут разработчики, важно понимать, что в целом эта область из-за своей молодости значительно более уязвима, чем, например, операционные системы для компьютеров. Поэтому лучше перестраховаться и настроить свой «умный дом» самостоятельно.
Эти небольшие шаги помогут обеспечить защиту устройств вашего умного дома от потенциальных кибератак:
- используйте надежные пароли и двухфакторную аутентификацию (2FA). Многие умные устройства поставляются с паролями по умолчанию, что упрощает их взлом, так как все заводские коды слиты в сеть. Обязательно настройте вручную (как правило, через приложение) умное устройство сразу после покупки и измените имена пользователей и пароли, которые установлены по умолчанию;
- обеспечьте информационную безопасность своего жилища в целом: установите на компьютер и телефон антивирус для блокировки вредоносного программного обеспечения, предназначенного для получения вашей личной информации. Тщательно анализируйте запросы приложений, в том числе связанных с умными устройствами, на доступ к вашей информации (фотографии, местоположение, адресная книга, камера);
- для защиты вашей сети Wi-Fi используйте маршрутизатор VPN (Virtual Private Network, «виртуальная частная сеть») или защитное приложение с тем же функционалом. Не подключайтесь к незащищенным общедоступным сетям Wi-Fi;
- в идеале — лучше использовать более одного маршрутизатора, чтобы ваши устройства IoT находились в сети, отличной от сети вашего основного ПК. Это защитит информацию на вашем ПК в случае, если ваши IoT-устройства будут скомпрометированы;
- регулярно обновляйте через приложения программную оболочку каждого умного устройства.
Советы ниже будут касаться умной колонки — одного из самых популярных компонентов умного дома:
- если есть такая опция, рассмотрите возможность отказаться от обмена с производителем записями, используемыми для улучшения обслуживания и отключения «персонализированных результатов поиска»;
- отключайте устройства, когда они не используются. Лучше не обсуждать конфиденциальные темы в присутствии умной колонки;
- включите уведомления по электронной почте, чтобы следить за попытками несанкционированного доступа или интернет-покупок. Совсем идеальным будет не привязывать к колонкам свой основной аккаунт, связанный с платежными средствами.
Опасность умных устройств заключается еще и в том, что они меняют «прошивку» своего владельца. Так, например, с умным устройством можно забыть о необходимости выключать утюг самостоятельно, и, приехав в гостиницу или в гости, воспользовавшись «неумным» утюгом, можно на автомате его не выключить.
«Если вы обдумываете приобретение умных устройств или даже целой экосистемы, освойте основные требования безопасности, перечисленные специалистами Центра цифровой экспертизы Роскачества, и взвесьте все „за“ и „против“. На одной чаше весов — удобство и оригинальность, на другой — физическая и информационная безопасность», — подытожил Илья Лоевский, заместитель руководителя Роскачества.