Не довіряйте лампочкам. Як хакери ламають «розумний» дім
«Розумний дім» був яскравою ідеєю. Це ніби щось із наукової фантастики. Всі прилади в будинку — батареї, лампочки, дверні дзвінки, посудомийні машини, порохотяги й дверні замки — об’єднані в мережу й «спілкуються» між собою. Натискаєш кнопку — й усі прилади, які треба, працюють або навпаки — переходять у режим збереження енергії. Економно, високотехнологічно, сучасно… І небезпечно. Адже «інтернет речей» — це також інтернет, а отже будь-яка річ, яка до нього під’єднана, вразлива до хакерських атак. І якщо ви думаєте, що ваша розумна швабра (це ще не найгірше з «розумного», що буває на ринку) нікому не потрібна, то помиляєтеся — хакерам потрібні, щонайменше, ваші дані.
Ринок розумних будинків росте: у 2019 році його оцінили у 32,3 мільярда доларів, і ця цифра зросте до 93,4 мільярдів до 2027 року. Водночас дедалі більше предметів, про які б ми раніше ніколи не подумали, що вони можуть бути підключені до інтернету, «розумнішають». Дзеркало на стіні перетворюється на екран, газонокосарка косить газон сама, килимок для йоги регулює тиск на тіло людини, холодильник сигналізує, коли закінчується молоко, а лампочка тьмяніє чи яскравішає за голосовою командою; є навіть розумний вазон.
Зростає й небезпека. Якщо ці штуки використовують бездоротовий доступ до інтернету, їх можна зламати й узяти під контроль. У деяких випадках такий злам загрожує життю та здоров’ю людей. Хакери можуть змусити прилади підглядати за вами, підслуховувати вас або збирати дані про вас.
Хакер під псевдонімом LimitedResults зламав лампочку LIFX — компанії, що виготовляє освітлення для розумних будинків. Він розповів, як менш ніж за годину отримав доступ до логіна й пароля бездротової мережі власника будинку. Для цього йому довелося буквально розламати вживану «розумну» лампочку й виколупати мікросхему. Під’єднавши чип до іншого через USB-порт, хакер дістався до пам’яті лампочки й виявив, що пароль і логін до бездротової мережі будинку, де вона стояла, записаний простим текстом. Виробники ніяк не захистили лампочку — кожен міг контролювати її та записувати дані в її пам’ять.
2017 року зламали «розумні» іграшки компанії Spiral Toys. Понад два мільйони записів голосів дітей та особиста інформація 800 тисяч користувачів, у тому числі адреси електронної пошти й паролі, опинились у відкритому доступі в мережі.
За два тижні до зламу німецькі законодавці попередили батьків, що «розумна» лялька Spiral Toys під назвою My Friend Cayla небезпечна. Федеральне агентство з питань мережі заявило, що вилучило ляльок Cayla з ринку Німеччини, й закликало батьків знищити «шпигуна». Відтоді ляльки, які мають мікрофони і ставлять дітям запитання про них та їхніх батьків, є в Німеччині забороненими «прихованими шпигунськими пристроями».
2019 року американець Арджун Суд повідомив, що камери спостереження й термостат у його «розумному» будинку зламали. Коли він зайшов до кімнати семимісячної дитини, то почув голос, який спілкувався з малюком. Його дружина помітила, що термостат налаштований на температуру 32.2°C. Коли чоловік відніс дитину до вітальні, «розумна» камера увімкнулась і хтось почав лаятися.
«Коли я зрозумів, що відбувається, настала паніка і розгубленість, і в мене охолола кров, — сказав Суд. — Ми не знаємо, як довго хтось був у нашому обліковому записі і скільки приватних розмов він прослухав». Пристрої «розумного будинку» Суда виготовила компанія Nest, якою володіє Google. Компанія заявила, що її системи не зламали, а пароль до пристроїв Суда нібито був вкрадений через інші сайти.
2015 року групі дослідників вдалося встановити повний контроль над паркетним позашляховиком. Вони під’єднали машину до мережі, скориставшись вразливістю програми під час її оновлення, й викрали джип. Вони могли повністю контролювати машину — прискорювати, гальмувати, змінювати напрямок руху.
«Я їхав зі швидкістю 113 кілометрів на годину околицею Сент-Луїса, коли хакерська програма захопила авто. Я не торкався панелі керування, але джип почав випускати холодне повітря з максимальною потужністю. Потім радіоприймач перемкнувся на місцеву хіп-хоп-хвилю та викрутив гучність на повну. Я натиснув кнопку вимкнення на панелі управління, але нічого не відбулось. Потім почали працювати склоочисники й рідина розлилась по лобовому склі», — описав свій досвід участі в цьому експерименті журналіст Wired Енді Грінберг.
Це був уже не перший такий експеримент. 2013 року дослідники Чарлі Міллер та Кріс Валасек вимкнули гальма, посигналили, від’єднали пасок безпеки та дистанційно побули за кермом двох машин. Це був «допотопний» злам: комп’ютер науковців був під’єднаний до вбудованого діагностичного порту автівок. І навіть раніше — 2011 року — американські дослідники продемонстрували, як можна через бездротову мережу вимкнути гальма й замки на автомобілі. Щоправда, деталей вони не розкривали. Виробники автомобілів навіть після цих успішних зламів наполягали, що в реальному житті взяти авто під контроль неможливо — воно надійно захищене. Однак технології розвиваються, машини стають усе більш комп’ютеризованими, тож їхня вразливість для хакерів зростає.
Будинки, які підсмажують своїх власників, і машини, які не слухаються керма, — це значно небезпечніше за лампочки.
За словами доктора Західа Анвара з американського університету Фонбонн, найвразливіші «розумні» пристрої — це «вуличні» автомати зі вбудованим комп’ютером, наприклад, поливалки або механізми для закривання гаражних дверей. Вони часто зовсім не підтримують протоколи безпеки. Сильно вразливі пристрої, якими керують за допомогою програми на комп’ютері або смартфоні, — камери безпеки, «розумні» вимикачі та лампочки, дверні замки, термостати тощо. Порівняно менш вразлива звичайна побутова техніка — холодильники, пічки, пральні машинки. Але і їх ламають.
Перш ніж купити «розумний» пристрій, що під’єднується до мережі, варто переконатися, що він якісний. Шукайте відгуки, спробуйте з’ясувати, чи вже ламали вироби цієї компанії і що вона зробила, аби їх убезпечити. Подивіться, що пише виробник про безпеку на своєму сайті, чи дозволяє він оновлювати пристрої та чи забезпечені вони автоматичним коригуванням помилок.
Дуже важливо змінити пароль і логін, встановлені на пристрої за замовчуванням. За підрахунками Positive Technologies, 15 % власників «розумних» пристроїв залишають заводський пароль, який хакерам навіть не доведеться підбирати, — він вказаний в інструкції. Хакери, які створюють мережі ботів, використовують цей стандартний пароль, аби додавати комп’ютери до мережі. Це, до речі, аргумент для людей, які вважають, що хакери ніколи не зацікавляться їхніми комп’ютерами та пристроями. Щоби постраждати від хакерських атак, не обов’язково бути важливою персоною; іноді зловмисникам потрібні не ви та ваші секрети, а потужності вашого комп’ютера, яким керуватимуть дистанційно, а ви про це навіть не підозрюватимете.
Захиститися може допомогти безпечна бездротова мережа. Придбайте роутер надійного бренду й змініть логін і пароль, встановлені на замовчуванням. Назвіть мережу так, аби вона не видавала ваших персональних даних. Можливо, варто скористатися можливістю приховати мережу, аби вона не була видимою для всіх, — тоді її не так легко зламати.
Багато роутерів дозволяють створювати кілька вайфай-мереж. Створіть окрему для «розумних» пристроїв. Якщо хакери її зламають, це дасть їм доступ до вашого холодильника чи робота-пилососа, але не до ноутбука й телефона. І навпаки — люди, які мають пароль до вашої робочої мережі, не матимуть доступу до «розумних» пристроїв.
Коли їдете з міста, вимикайте техніку, яка не буде працювати. Це не тільки заощадить енергію, а й зробить пристрої невразливими для хакерів (ламати вимкнені апарати вони ще не навчилися). Залиште працювати холодильник, камеру спостереження, але вимкніть пилосос і пічку.
Якщо ви вирішили продати, викинути чи подарувати якийсь із ваших «розумних» пристроїв, видаліть із нього всі дані. Як це зробити, написано в інструкції. Інакше людина, до якої потрапить ваш пристрій, зможе автоматично отримати доступ до всієї вашої мережі.
Фото: unsplash.com