Jeśli chociaż czasami śledzisz informacje o bezpieczeństwie internetu i komputera, mogłeś się spotkać ze stwierdzeniem, że wiele systemów zamontowanych w inteligentnych domach nie jest dobrze przemyślanych ani skonfigurowanych, przez co narażają je na wiele poważnych kwestii bezpieczeństwa.
Muszę wyjaśnić, narażając się na ryzyko obrazy Twojej inteligencji, że inteligentne domy są dokładnie tym, co masz na myśli (tak jak smartfony, inteligentne telewizory czy samochody): to domy, w których zastosowano systemy sterujące ogrzewaniem, chłodzeniem i światłem, a czujniki dymu i/lub wszystkie zamki w drzwiach są podłączone do sieci domowej lub do internetu, tak samo jak na przykład komputery, telefony czy tablety. Systemy takie umożliwiają użytkownikom zdalne monitorowanie i sterowanie systemami w swoich domach.
Badacze z AV-Test.org wzięli pod lupę systemy inteligentnej ochrony oraz połączone z internetem zamki drzwi, czujniki dymu i wszystko to, co posiadało dostęp do Sieci. Przetestowali stan zabezpieczeń siedmiu różnych zestawów umożliwiających stworzenie inteligentnego domu i dowiedzieli się, że cztery z nich nie gwarantowały bezpieczeństwa.
Siedem to oczywiście dość mało i być może nie ma znaczenia statystycznego lub nie jest to reprezentatywna próba. Ale pomijając ten fakt, urządzenia okazały się dziurawe i mogłyby zostać wykorzystane do wewnętrznych i — w niektórych przypadkach —zewnętrznych ataków wymierzonych w sieć domową oraz połączony z nią sprzęt lub w sam dom wraz z całą jego zawartością.
AV-Test przeanalizował iConnect od eSaver, tapHome od EUROiSTYLE, Elements firmy Gigaset, iComfort od REV Ritter, Smart Home firmy RWE, QIVICON od Deutsche Telekom i XAVAX MAX! od firmy Hama. Z badań wynikło, że tylko trzy zestawy: Gigaset, RWE i QIVICON były dobrze zabezpieczone przed włamaniami i nieautoryzowanym dostępem. Zestawy iComfort i tapHome zawierały luki, które można było wykorzystać lokalnie, co oznacza, że atakujący musiał być w domu, aby zrobić z nich użytek. Co ważniejsze, zestawy iComfort i XAVAX MAX! mogłyby być wykorzystane do niecnych celów zdalnie (jak również lokalnie).
Każdy produkt oferuje inny zestaw funkcji. Ogólnie, są to systemy kontroli elektryczności, ogrzewania i bezpieczeństwa; systemy monitorowania okien, drzwi i pokoi; systemy kontroli gniazdek elektrycznych; jak również systemy włączania światła, ogrzewania i elektryczności.
Można sobie wyobrazić, że atakujący mógłby na przykład zmanipulować połączone systemy w celu spowodowania szkód (np. wyłączyć ogrzewanie w zimie, co spowodowałoby rozerwanie rury).
Jednak większość cyberprzestępców jest zainteresowana pieniędzmi, dlatego najbardziej prawdopodobne ataki to takie, które używają tych systemów jako punktów dostępowych do uzyskania wartościowych danych przechowywanych w sieci domowej. Możliwe jest także, że niezabezpieczone urządzenia mogą zostać zhakowane w celu przeprowadzenia inwigilacji na potencjalnym, fizycznym obiekcie kradzieży. Przestępca posiadający odpowiednią wiedzę mógłby nawet otworzyć drzwi, co tylko ułatwiłoby kradzież. AV-Test zauważa, że możliwości programów żądających okupu, które rozprzestrzeniają się wśród różnych połączonych urządzeń, również mogą być kuszące dla atakującego. Bo w końcu trudno nie zapłacić okupu, gdy cały Twój dom po prostu nie działa.
AV-Test skupił się na tym, czy komunikacja między urządzeniami jest szyfrowana, czy zestawy domyślnie wymagają aktywnego uwierzytelnienia (hasła dostępu do sieci lub fizycznego) i ich podatność na zdalne ataki.
Dwukierunkowa komunikacja z produktami Gigaset, RWE i QIVICON jest zawsze szyfrowana i została uznana za bezpieczną przez AV-Test. iConnects również szyfruje swoją komunikację, ale wg AV-Test można ją obejść w łatwy sposób. Pozostałe testowane produkty —iComfort, tapHome i XAVAX MAX!—w ogóle nie stosują szyfrowania.
Ten błąd w implementacji szyfrowania oznacza, że cała komunikacja inteligentnego domu może z łatwością zostać przechwycona. Atakujący mógłby monitorować całą komunikację z tymi urządzeniami, oszukiwać kody w celu zmanipulowania ich działania lub nawet tylko monitorować je, aby dowiedzieć się, kiedy domownicy są w środku.
Produkt iComfort w ogóle nie wymaga autoryzacji, czyli można zdalnie zaatakować system przy wykorzystaniu internetu. System iConnect i XAVAX MAX! wymagają autoryzacji dostępu do sieci, ale nie wymagają go dla lokalnego, fizycznego dostępu. Produkt tapHome wymaga wewnętrznej autoryzacji, ale biorąc pod uwagę brak szyfrowania w produkcie, jest to jednak bez znaczenia. Zarówno Gigaset Elements, RWE Smart Home, jak i QIVICON oprócz bezpiecznego komunikowania zapewniają konieczność autoryzacji dla dostępu fizycznego i sieciowego.
Dobra wiadomość jest taka, że ludzie z AV-Test wierzą, że jeśli twórcy tych produktów poświęcą swój czas na wdrożenie koncepcji porządnej ochrony zamiast pchać swoje towary na rynek, wtedy bardzo możliwe będzie stworzenie bezpiecznego systemu inteligentnego domu. Jeśli myślisz o zakupie jednego z tych systemów, AV-Test właśnie podpowiedział Ci, czego szukać: systemu, który zawsze wymaga autoryzacji i który zawsze szyfruje swoją komunikację.