К 2025 году по всему миру будет насчитываться 4 478,2 млн систем умного дома. Новостей о попытках хакеров проникнуть в них будет меньше, если уметь защищать технологическую начинку жилища от вторжений. Мы изучили истории дистанционного взлома и выяснили, что зачастую пользователи устройств не соблюдают простые, но важные правила. Ниже вы найдёте 9 советов, как защититься от злоумышленников.
Чаще всего для взлома устройств используют данные учётных записей, которые утекли в сеть. В открытый доступ хакеры уже выложили логины и пароли 11,5 млрд онлайн-аккаунтов, по данным сервиса Have I Been Pwned. Во многом это стало возможно из-за безответственности самих интернет-пользователей. 52% из них используют одни и те же пароли для разных сервисов, не обновляют их регулярно и не настраивают двухфакторную аутентификацию.
В 47% случаев атак хакеры пытаются подключиться к камере, на втором месте — хабы, регулирующие работу систем умного дома.
Два реальных и два экспериментальных случая взлома
Жительница Англии Филиппа Коплстон-Уоррен хотела разрушить новые отношения бывшего возлюбленного и использовала для этого приложение Alexa. К нему в доме экс-бойфренда были подключены камера, лампочки и колонка Amazon Echo. Увидев новую девушку своего бывшего, Филиппа через колонку попросила её уйти, а также стала включать и выключать свет на прикроватной тумбочке.
Супруги Уэстморленд установили камеру, дверной замок и термостат Google Nest. Хакер взломал их систему умного дома и превратил жизнь в ад: громко воспроизводил музыку на видеосистеме, разговаривал с хозяевами дома через динамики камеры и повышал температуру воздуха до 32°C. Смена паролей на Google Nest не помогла, поскольку злоумышленник проник в сеть Wi-Fi. Он смог перехватить соединение, подменить SSL-сертификат и подключиться к устройству. В итоге паре пришлось изменить сетевой идентификатор. Как сообщили в Google, скорее всего, хакер использовал для захвата устройств данные, которые утекли в интернет с других сайтов.
Данные могут быть перехвачены даже с устройств, которые, на первый взгляд, не представляют ценности для хакеров. Специалисты во время аудита безопасности обнаружили уязвимость в умном холодильнике, позволяющую украсть логин и пароль к привязанному аккаунту Google. Холодильник использовал аккаунт для получения событий из календаря и отображал их на встроенном экране. Сетевые соединения были защищены SSL-шифрованием, но сертификаты SSL не проверялись на стороне холодильника. Это потенциально позволяло злоумышленнику, проникшему в сеть, подменить сервер, с которым общается холодильник, и украсть данные.
Сотрудник компании-разработчика антивирусов Avast ради эксперимента взломал прошивку умной кофемашины и заразил её программой-вымогателем. «Взломщик» отключил все функции аппарата, вывел на дисплей сообщение с требованием выкупа и заставил кофемашину непрерывно гудеть. Единственное, что пользователь может сделать в такой момент, — отключить устройство от розетки. Защита от подобных уязвимостей обеспечивается, в частности, регулярным обновлением прошивки.
Что делают производители устройств для обеспечения безопасности (из опыта SberDevices)
Реализуют механизмы безопасности, рекомендованные мировым сообществом разработчиков. Внутри умных устройств Sber используется собственная операционная система Star OS, созданная на основе AOSP (Android Open Source Project). Поэтому мы применяем все рекомендации для разработчиков Android-совместимых устройств: проверяем подлинность и целостность операционной системы при загрузке устройства (Secure boot и Android Verified Boot), шифруем данные пользователей, чтобы к ним нельзя было получить несанкционированный доступ (File Based Encryption), используем архитектуру безопасности SELinux, чтобы контролировать доступ каждой запущенной программы к файлам и периферийным устройствам (например, камере), а также аппаратные способы защиты, реализованные в процессоре (TrustZone).
Ещё мы используем криптографический протокол SSL, чтобы не дать злоумышленнику встроиться между устройством и сервером. Благодаря этому хакер не сможет подменить сервер своим. Если бы производители холодильника из примера выше сразу предусмотрели проверку SSL-сертификата устройством, получить доступ к системе умного дома и почте было бы невозможно.
Следят за обновлениями безопасности ядра операционной системы, а также системных сервисов, чтобы вовремя выпускать новые прошивки с устранёнными уязвимостями для своих устройств.
Проводят с помощью внешних аудиторов тесты на проникновение: специалисты пытаются подменить операционную систему во время загрузки устройства, запустить вредоносный код с правами администратора, попробовать выполнить атаки на Linux-ядро, произвести физический взлом устройств с выпайкой компонентов и замыканием доступных контактов.
То есть разработчику устройства с самых ранних этапов его создания необходимо детально проверять всё — от комплектующих до программного обеспечения. А также вносить корректировки в печатные платы, низкоуровневые режимы работы SoC, механизмы доверенной загрузки устройства, операционную систему и драйверы. При этом пользователям не стоит надеяться только на производителей девайсов. Вот что могут сделать для безопасности своих умных устройств и личных данных их владельцы.
Как защитить устройства от взлома
- Устанавливайте официальные обновления программного обеспечения. Часто злоумышленники используют старые уязвимости, которые производители уже исправили в новых версиях прошивки.
- Сегментируйте Wi-Fi-сеть: создайте отдельные сети для компьютера и смартфонов, гостей и смарт-устройств. Сеть для системы умного дома дополнительно разделите по назначению девайсов. Так вы предотвратите распространение атаки и изолируете критически важные устройства, которые нельзя отключать, например замки, датчики протечек и видеокамеры.
- Скройте свой Wi-Fi. Так посторонние не смогут найти имя вашей сети в открытом доступе. Для этого нужно в настройках роутера скрыть SSID. Чтобы подключиться к такой сети, нужно ввести её имя и пароль.
- Используйте разные пароли на устройствах и для подключения к сети. Не забывайте придумывать сложные и достаточно длинные пароли: с цифрами, специальными символами и буквами — строчными и прописными.
- Проверяйте, нет ли ваших данных в базах утечек. Сделать это можно на сайте Have I Been Pwned. Если пароли скомпрометированы, смените их.
- Используйте виртуальную банковскую карту, чтобы оплачивать покупки с помощью устройства. Переводите на этот счёт либо небольшие, либо нужные для конкретной покупки суммы. Завести такую карту, закрыть или заменить её на другую можно за пару кликов в мобильном банке. Не забудьте установить лимит на суммы операций по карте.
- Подключите двухфакторную авторизацию везде, где имеется такая возможность. Например, в устройствах Sber с камерой есть двухфакторная авторизация по лицу и голосу для оплаты покупок с привязанной карты.
- Восстановите заводские настройки перед тем, как продать или подарить устройство. Иначе новый владелец сможет получить доступ к личной информации, а гаджет сохранит возможность подключаться к другим устройствам вашей сети.
- Покупайте устройства известных производителей. Крупные бренды дорожат репутацией, поэтому поддерживают собственную инфраструктуру, внедряют эффективные меры безопасности и оперативно выпускают обновления, чтобы устранять уязвимости.