Wilki-News. Новости Hi-Tech.

Пользовательский поиск

Почти 100 умных систем домашней безопасности не защищены от хакеров

Если вы решили не дать в обиду наш обиталище с помощью одной из новейших систем домашней безопасности, относящейся к классу "умных" и подключенных к Интернет решений, то полностью возможно, что вы станете более того менее защищенным и больше уязвимым, чем раньше. Проведенные в последнее час разными компаниями тесты компьютерной безопасности таких систем показали, что несмотря на всю "разумность" таких устройств, на практике все они не защищены от взлома хакерами.

Современные подключенные к Интернет системы домашней безопасности, как правило, соединяются сквозь облачко с мобильным устройством или веб-браузером пользователя, позволяя таким образом контролировать их работу. Подобная организация состоит из множества различных устройств, таких как детекторы движения, контактные датчики, видеокамеры, "умные" замки, датчики утечки и присутствия. И, хотя все они предназначены для обеспечения домашней безопасности, последние исследования показали, что эти устройства имеют серьезные уязвимости, из-за чего вероятность осуществлять мониторинг состояния дома и его окружения может иметь в распоряжении не только его владелец. Основная причина недостаточной защищенности подобных устройств - это отсутствие установленных стандартов для защиты "умных" домашних систем.

Недавно группа HP опубликовала отчет исследования параметров защищенности домашних охранных систем на примере 10 самых популярных систем безопасности для т.н. "умного подключенного дома". Специалисты компании смогли довольно несложно взломать все десять систем, воспользовавшись наличием целого ряда уязвимостей (слабая политика установки паролей, отсутствие блокировки аккаунтов, нетрудно подбираемые имена пользователей), и удаленно составлять информацию о доме, охватывая информацию с видеокамер.

Исследователи нашли "пугающе большое численность проблем, связанных с идентификацией и авторизацией, а ещё с работой мобильных и облачных веб-интерфейсов". Что касается недостаточной защищенной аутентификации и авторизации, то:

  • 100% систем позволяли применять простые пароли;
  • 100% систем нуждается в механизме блокировки аккаунта, тот, что может предотвращать автоматизированные атаки;
  • 100% систем не защищены от подбора аккаунта, позволяя преступникам отгадать данные аутентификации и принять доступ;
  • 4 из 7 систем, которые имеют камеры видеонаблюдения, предоставляют пользователю возможность дать видеодоступ дополнительным пользователям, что ещё больше усугубляет проблему с подбором аккаунта;
  • 2 системы предоставляли возможность передачи видео вообще без аутентификации;
  • Только одна система требовала двухфакторную аутентификацию.

Очень немаловажно для обеспечения защиты использовать верно сконфигурированное шифрование передачи данных, но, по данным исследователей HP, в половине из протестированных систем конфигурация осуществлена неправильно, либо в них неправильно внедрена SSL/TLS. При этом 70% систем позволяли осуществлять неограниченную передачу данных аккаунта посредством незащищенный облачный интерфейс. Одна система обновляет ПО через FTP, что позволяет преступникам перехватить данные аккаунта и заполучить доступ на сервер обновлений с возможностью записи на него. Три из 10 систем позволяют пользователю при загрузке апгрейда решать, обновлять систему или нет.

Если доступ к видео пользователь получает через облачный Интернет или мобильное приложение, то это же видео из любого места в мире может обозревать правонарушитель с помощью взломанного аккаунта. К сожалению, большинство пользователей поняло это только недавно, когда был осуществлен общественный взлом беспроводных "видео-нянь" и преступники пообщались через них с родителями или детьми. Обладатели приблизительно 73 тысяч камер были ошеломлены, когда сайт Insecam показал собранные со всего мира картинки из камер видеонаблюдения, которые стали доступны для просмотра каждому желающему.

Компания HP умышленно не назвала производителей систем, которые были протестированы во пора исследований. Если эти продукты или их производители будут публично поименованы, то это может побудить массовый возврат устройств и другие проблемы для компаний. Это никому не нужно, потому как гладко такие же проблемы существуют у всех остальных систем. Специалисты HP подготовили тайный список советов, которые были предоставлены производителям. При этом они предупредили, что если в течение 120 дней эти уязвимости не будут ликвидированы или публично отклонены, то список таких продуктов будет опубликован.

Все упомянутое выше справедливо и для продуктов, относящихся к сфере Интернета вещей, производителям которых кроме того рекомендовано поворотить внимательность на эту проблему, по-другому в будущем они столкнутся с непредсказуемой реакцией потребителей. Вернее, совершенно предсказуемой, но сильно неприятной. В своем предыдущем отчете, исследователи HP указали на эдак 25 уязвимостей, присущих протестированным домашним устройствам класса IoT, которые также не были поименованы. В списке проверенных компанией приборов были Smart TV, вебкамеры, "умные" термостаты, интеллектуальные электрические розетки, контроллеры садовых разбрызгивателей, замки, домашняя сигнализация, гаражные открывающие устройства, контрольные хабы и даже "умные" весы. Каждое из этих устройств имело функцию контроля с помощью смартфона и большинство из них было подключено к облачному сервису.

Аналогичное изыскание провела фирма Synack, которая провела тестирование 16 "умных" устройств. Каждое из них (за исключением одного) было "взломано" аналитиками компании менее, чем за 20 минут. Этим отличным от других устройством был детектор дыма Kidde.

В различие от HP, эта компания предъявила общественности список исследованных устройство (см. таблицу ниже).

Камеры

Dropcam, D-Link, Foscam, Simplicam, Withings

Термостаты Nest, Ecobee, Lyric, Hive
Детекторы дыма и CO Nest, Kidde, FirstAlert
Контроллеры домашней автоматизации (хабы) Revolv, SmartThings, Control4, Iris

Наиболее слабо защищенными устройствами в этом списке оказались камеры - каждая из проверенных систем имела проблемы с шифрованием данных и защищенностью паролей. Наименее проблемной из них оказалась камера Dropcam.

Что касается термостатов, наиболее защищенным оказался Nest, хотя и у него оказалась слабая система защиты паролей. Остальные системы оказались в этом смысле существенно хуже.

Хотя детектор Kidde оказался самым защищенным устройством посреди всех исследуемых гаджетов, остальные продукты из этой категории не смогли представить себя хорошо. В особенности неудачным оказался датчик FirstAlert.

Детектор дыма Kidde
Детектор дыма Kidde

Последней исследуемой категорией стали хабы - наиболее технологически сложные устройства, к которым подключаются все остальные приборы, входящие в систему домашней автоматизации. Самым надежным оказался Iris, у которого сравнительно слабым местом оказалась мало хорошая броня паролей. Остальные устройства имеют серьезные проблемы в сфере безопасности, начиная от сервисов и незащищенной архитектуры.

Общий вывод специалистов Synack - "защита "умных" систем домашней автоматизации ужасна". По их мнению, обстановка в отрасли напоминает 90-е годы в компьютерной индустрии, когда та только создавалась и никто особенно не задумывался о необходимости защиты.

Чтобы хоть как-то снизить порядок незащищенности этих устройств эксперты советуют по возможности больше использовать проводные соединения, подключить во всех системах автоматическое обновление системного ПО и использовать сложные пароли.

Отметим, что эта инфа не ставит своей целью уменьшить ваш энтузиазм в отношении наступающей новой эпохи "умных" вещей, а предназначена для того, чтобы вы знали о рисках, связанных с активацией подобных систем и более осознано подошли к выбору продуктов. Другими словами, ныне пространство Интернета вещей - это что-то как будто Дикого Запада, где всякий делает, что хочет и бежит туда, куда хочет, а домашние системы безопасности и прочие "умные" устройства шибко далеки от того уровня безопасности, который вы хотели бы видеть.



16 Aug 2017 21:13:07

Кибератака на шотландский парламент не обернулась взломом IT-систем

Кибератака на шотландский парламент не обернулась взломом IT- систем ТАСС ЛОНДОН, 16 августа. ТАСС . Кибератака на парламент Шотландии не обернулась взломом IT- систем этого законодательного органа власти. Об этом в среду заявил исполнительный глава парламента Пол Грайс, чьи слова приводит агентство Press Association. "На данный момент не ...
16 Aug 2017 14:54:29

AMD выпустила первый и последний пакет драйверов для ...

http: forklog.com AMD выпустила первый и последний пакет драйверов для ... http: forklog.com Программисты Radeon Technologies Group, подразделения компании AMD, подготовили новый пакет драйверов, призванный улучшить ...

Keywords:







Wilki-News. Новости Hi-Tech. © Admin Wilki-News