Podczas zeszłorocznego spotkania Security Analyst Summit dwóch ekspertów, Vasilios Hioureas z Kaspersky Lab i Thomas Kinsey z Exigent Systems, pokazało, że każda osoba dysponująca kwotą w wysokości 50 dolarów może zhakować klimatyzator sąsiadów. A jeśli wybierze odpowiedni czas i miejsce, może nawet wywołać brak prądu w całej okolicy.
Jak to jest możliwe?
Wielu ludzi poważnie traktuje zużywanie energii i stara się korzystać z niej rozsądnie. Takie podejście jest również chwalone przez władze. W Stanach Zjednoczonych niektóre firmy usługowe oferują swoim klientom możliwość zaoszczędzenia nawet 200 dolarów rocznie, jeśli umożliwią oni dostawcy na wyłączanie klimatyzatorów w szczytowych okresach poboru prądu. Oczywiście wszystko odbywa się zdalnie.
W tym celu firmy łączą system klimatyzacji ze specjalnym urządzeniem, które kieruje polecenia do przełącznika odpowiedzialnego za włączanie i wyłączanie urządzenia. Latem jest gorąco, lecz w okresie szczytowym znacznie lepiej jest spędzić kilka godzin bez klimatyzacji, niż nie mieć prądu wcale — w związku z tym polityka ta wydaje się zasadna.
W razie potrzeby operatorzy centrów regionalnych wysyłają polecenie wyłączenia klimatyzatora przy użyciu określonej częstotliwości radiowej. Zainstalowane w całym mieście stacje przekaźnikowe wzmacniają sygnał do momentu, aż dotrze on do celu. Jednak żaden ze sprawdzonych w tym badaniu odbiorników nie posiadał mechanizmu szyfrowania czy autoryzacji. Wobec tego każda osoba, która może emitować silniejszy sygnał, może zakłócić polecenie wysyłane przez firmę usługową i przejąć kontrolę nad wszystkimi tymi urządzeniami.
Sprzęt potrzebny na taką okoliczność może z łatwością kupić każdy — jest on niedrogi i nietrudno go znaleźć. Jeśli dysponujesz kwotą 50 dolarów, możesz kupić urządzenie, które potrafi sterować zasilaniem kilku pobliskich klimatyzatorów. Jeśli masz 150 dolarów, możesz kontrolować kilka bloków w swoim sąsiedztwie. A jeśli masz naprawdę dużo pieniędzy i jesteś przestępcą, możesz przejąć kontrolę nawet nad całym miastem.
Na pewno klimatyzatory wyłączane latem lub włączane zdalnie zimą mogłyby poważnie zaszkodzić określonej części populacji (osobom starszym, nieuleczalnie chorym itp.). Grupa ta z pewnością nie chciałaby być pierwszym uczestnikiem programu. Co więcej, takie działania mogą także zepsuć niektóre klimatyzatory.
Większym problemem są tutaj okresy skoku energii oraz to, że ktoś mógłby włączyć wszystkie klimatyzatory naraz, w tym samym czasie. Mogłoby to spowodować nagły brak prądu w całej dzielnicy.
Jaki jest cel takiego działania?
Powodem takiego działania może być chęć przedostania się do pozbawionego prądu biura konkurencji. Warto wspomnieć, że takie manipulacje nie wymagają żadnych specjalnych umiejętności. Przestępca musi tylko znaleźć częstotliwość radiową używaną przez firmę usługową i zapisać polecenia wysyłane przez operatorów.
Innym sposobem wykorzystania tej podatności jest zablokowanie ruchu częstotliwości radiowej przy użyciu szumu, aby cieszyć się zarówno zniżkami u firm usługowych, jak i korzystaniem z klimatyzatorów w czasie godzin szczytu.
Badacze nie ujawnili nazw dziurawych urządzeń i omówili już ten problem z producentami. Jednak jest to kolejna sytuacja, która pokazuje nam, że świat urządzeń połączonych cierpli na brak zabezpieczeń. I nie ma znaczenia, w jaki sposób są one połączone — przy użyciu częstotliwości radiowych czy przez internet — można zhakować oba sposoby, ponieważ ludzie nie dbają o bezpieczeństwo na tyle, na ile powinni.
Technologia wciąż idzie do przodu, a pięcioletnie urządzenie może być już na tyle przestarzałe, że nie będzie dla niego ratunku. Tymczasem Hioureas i Kinsey dowiedzieli się, że czip znajdujący się w niektórych z omawianych urządzeń powstał w roku 1995. W efekcie nawet jeśli producent chciałby dodać autoryzację do takiego urządzenia, sprzęt zwyczajnie nie poradziłby sobie z takim zadaniem.