IoT: Вопросы безопасности умного дома
Умный дом включает в себя огромное количество IoT-устройств, собирающих и обрабатывающих данные. Они дают пользователям определённые возможности по контролю за апартаментами как в ручном, так и автоматическом режиме. В «умной среде» устройства периодически обмениваются данными по Сети. Это происходит либо напрямую от устройства к устройству, либо через облако.
Из-за того, что все элементы цепочки имеют доступ в Интернет, это делает их уязвимыми к атакам извне и подвергает опасности не только информацию пользователя, но также его здоровье. Все это меняет парадигму мышления, которая гласит: «Мой дом — островок безопасности».
Однако безопасность — это 100% требование для умного дома, кто бы что ни говорил. Сегодня в его состав могут входить системы наблюдения, системы мониторинга (в том числе здоровья) и системы безопасности, к которым можно получить удаленный доступ. Их просто необходимо защищать от злоумышленников.
Ответственность за это должны нести производители этих самых гаджетов. Однако они часто заявляют, что заниматься подобными вопросами нет никакого смысла.
Нельзя исключать, что с ростом числа умных устройств начнет расти и количество взломов систем управления. Злоумышленники, получившие доступ к таким системам, могут при помощи электронного ключа открыть дверь или окно, получить доступ к банковским счетам жителей умного дома. Более того, преступники смогут вручную вызвать сбой медицинских устройств.
Компания HP провела исследование рынка интеллектуальных систем в ходе которого выяснила, что практически все системы имеют проблемы с безопасностью.
Первая проблема — недостаточно надежная проверка подлинности. Системы, несмотря на то, что обладали облачными и мобильными интерфейсами, не требовали установки паролей достаточной длины и сложности. Также ни одна из систем не блокировала учетную запись после определенного числа неудачных попыток ввода пароля — получается, что отсутствовала банальная защита от перебора.
Еще одна проблема оказалась связана с конфиденциальностью. Все системы собирали какие-либо виды персональной информации: имена, адреса, номера телефонов и кредитных карт. Это вызывает определённую озабоченность, поскольку создает угрозу кражи учетных данных.
Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через различные интерфейсы. Конфиденциальность подобных данных тоже находится под вопросом.
Наконец, последней проблемой эксперты назвали отсутствие шифрования при передаче данных. Хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак.
А это очень важный момент: чтобы исключить несанкционированное вмешательство в работу устройства, обмен между контроллером и сервером должен идти в зашифрованном с помощью ключа виде. «В случае компьютерных систем передача данных для аутентификации в открытом виде уже давно нонсенс. Но, как оказалось, не для других индустрий», — говорит антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
По мнению заместителя генерального директора Zecurion Александра Ковалева, проблемы с безопасностью Интернета вещей заключаются в слишком быстром развитии рынка и зачастую неконтролируемой адаптации технологии: «Пользователи просто не понимают всех возможностей этих устройств, а поставщики пока заняты развитием самой технологии и не придают достаточного значения безопасности».
И это нормально, компьютерные вирусы тоже возникли не сразу. «Пока эти уязвимости не стали использовать злоумышленники, ни пользователи, ни производители не будут тратить время и деньги на защиту IoT-устройств», — считает Ковалев.
По словам Дениса Легезо, происходит этого из-за того, что отношение к умным вещам остается прежним. То есть таким, словно это обычные предметы, к которым все привыкли, и не важно, будь то машина или телевизор.
«Но это уже другое устройство, которое может не только двигаться или показывать телевизионные программы. Соответственно, и думать о них надо уже по-другому, и защищать по-новому», — отмечает эксперт.
По его мнению, достаточно отвлечься от основной функции техники и начать воспринимать ее как компьютерную сеть, чтобы заметить бреши в информационной безопасности.
Задавшись этими вопросами, компании Google, Samsung Electronics, Silicon Labs и некоторые другие объединились с целью разработать новый беспроводной сетевой стандарт специально для умных домов. Он получил название Thread. Thread использует IPv6 и построен на стандарте IEEE 802.15.4, а основным его достоинством является именно безопасность. Одновременно в сети могут находиться до 250 устройств, которые защищаются шифрованием уровня банковской системы.
Еще одна особенность Thread — это прозрачность. Пользователь видит список всех подключенных устройств, благодаря которому ему легко определить, что с чем связано. В настоящий момент есть ряд решений для умных домов (ZigBee и 6LowPAN), которые легко могут начать поддерживать предложенный стандарт без аппаратных изменений — в их случае нужно просто обновить программное обеспечение.
Из устройств, уже поддерживающих Thread, стоит отметить термостаты Nest.
«Из года в год мы слышим, что в конце концов останется лишь один протокол, который будет использоваться везде и всюду, — говорит Реза Каземи (Reza Kazemi), эксперт по товарной политике Piper. — Но каждый раз на рынке появляется все большее число продуктов, общающихся на собственном «языке». Но как знать, может именно Thread станет той «серебряной пулей», которая решит все вышеописанные проблемы.