Хакването на термостати е толкова лесно, че дори и дете може да го направи

Интернет на нещата се превърна в една от любимите модни думички за медиите и производителите на техника за дома. В това понятие влизат всички устройства, които се свързват към интернет: телевизори, камери, хладилници, печки, климатици и т.н. Изследователската компания Gartner прогнозира, че в момента по света има около 6.5 млрд. свързани към интернет устройства, като в това число не се включват смартфони, таблети и компютри. Според Ericsson до 2020 г. по света ще има около 50 млрд. свързани към интернет устройства.

Но покрай интернет на нещата и умните устройства има една друга тема, за която много хора все още се смущават да говорят: тяхната сигурност. Всяко устройство, което е свързано към интернет, може да бъде хакнато и манипулирано. Но това е малкият проблем. По-големият е, че много потребители все още нямат никаква идея как да осигурят елементарна защита на своите свързани към интернет устройства. Самите производители също не залагат кой знае какви мерки за сигурност.

Резултатът? Дори човек без специализирани познания може да получи достъп до административния панел на домашната система за контрол на температурата и да променя показанията й. Това означава, че той може дистанционно да контролира температурата в различните помещения, да загрява или изстудява стаите и най-общо казано да подлуди собствениците на жилището.

Понякога това е толкова лесно, колкото да отвориш уебсайт в интернет; достатъчно е да знаеш адреса на сайта.

Да демонстрираме с пример: отваряме Shodan, известна като „Google за хакери“ и „най-опасната интернет търсачка в света“. Shodan се използва за откриване на свързани към интернет устройства: така, както Google открива сайтове в интернет. Въвеждаме в полето за търсене една единствена дума: thermostat. Получаваме стотина резултати. Отваряме един произволен, чийто IP адрес е локализиран във Франция. Линкът моментално ни отвежда в административния панел на климатичната система в жилището. Няма логин екран, няма въвеждане на пароли или кодове; нищо. Който е инсталирал системата не е поставил никакви мерки за сигурност, в резултат на което всеки, който се рови из Shodan, може да влезе и да напомпа до убийствени стойности климатиците на нищо неподозиращите французи.

Това е един от екстремните примери за липса на каквито и да е мерки за защита от неоторизиран достъп. Други примери показват, че дори и да има някакви мерки за защита, те могат лесно да бъдат заобиколени. Тази сатия разказва за марка климатични системи, които са защитени с парола, но паролата е скрита в изходния код на html страницата, което до голяма степен обезсмисля съществуването на парола.

Ако някога сте използвали програмата за уебдизайн Front Page, вероятно си спомняте, че в нея имаше скрипт за заключване на страници с парола. Никой обаче не го използваше, защото паролата по същия начин беше скрита в изходния код и всеки можеше да си отключи страницата.

Тъй като умните устройства и системи за контрол са все още нещо сравнително ново, много потребители не знаят как да ги защитят, а производители и хората, които ги инсталират, не влагат необходимите усилия. И ако незащитените термостати най-вероятно ще са мишена основно на скучаещи тийнейджъри, то други системи може да се използват за извършване на престъпления.

Един от последните примери е със свързан към интернет аквариум в казино в Северна Америка, използван за следене на активността в казиното. Според фирмата за киберсигурност Darktrace, които са открили инцидента, някой е използвал сензорите на аквариума, за да следи активността в казиното. Въпреки че този случай може да не е нищо повече от PR от страна на Darktrace, но показва как умните устройства могат да се използват като източник на информация.

Оставете коментар