Будинки стають розумнішими: розумні термостати керують нашим опаленням, а розумні холодильники можуть контролювати наше споживання їжі та допомагати нам замовляти продукти. У деяких будинках навіть є розумні дверні дзвінки, які повідомляють нам, хто стоїть на порозі. І, звичайно, розумні телевізори дозволяють нам транслювати контент, який ми хочемо дивитися, коли ми хочемо його дивитися.
Якщо все це звучить дуже футуристично, про це свідчить недавнє опитування 23% людей у Західній Європі та 42% людей у США використовують розумні пристрої вдома.
Хоча ці розумні пристрої, безумовно, зручні, вони також можуть бути присутніми ризики для безпеки. Будь-який пристрій із підключенням до Інтернету може бути зламаний та захоплений зловмисниками.
Якщо зламаний смарт-пристрій має камеру або мікрофон, зловмисник може отримати до них доступ, і будь-які дані на пристрої можна прочитати, переглянути, скопіювати, відредагувати або стерти. Зламаний розумний пристрій може почати переглядати ваш мережевий трафік, намагаючись знайти ваші імена користувачів, паролі та фінансові дані. Він може захопити інші розумні пристрої, якими ви володієте.
Наприклад, зловмисник міг регулюйте температуру на розумний термостат, що робить будинок занадто теплим, і вимагає викупу, щоб ви могли повернути контроль над своїм центральним опаленням. Як варіант, розумна система відеоспостереження можна взяти на себе і дані, переглянуті зловмисником або видалені після злому.
Розумні пристрої також можна змусити атакувати інші системи. Ваш розумний пристрій може стати частиною «Ботнет” (мережа скомпрометованих розумних пристроїв під контролем однієї особи). Після скомпрометації він шукатиме інші розумні пристрої для зараження та залучить у ботнет.
Найпоширеніша форма атаки через ботнет називається розподіленою атакою відмови в обслуговуванні (DDoS). Саме тут ботнет надсилає сотні тисяч запитів за секунду на цільовий веб-сайт, що не дозволяє легальним користувачам отримати до нього доступ. У 2016 році а ботнет під назвою Mirai тимчасово заблокували доступ до Інтернету для більшої частини Північної Америки та частини Європи.
Окрім DDoS-атак, ваші розумні пристрої можна використовувати для поширення вимагачів – програмне забезпечення, яке шифрує комп’ютер, тому його можна використовувати лише після сплати викупу. Їм також можна займатися криптомінування («видобуток» цифрових валют, на якому зловмисник заробляє гроші) та фінансові злочини.
Існує два основні способи скомпрометації розумного пристрою. Перший – це за допомогою простих облікових даних за замовчуванням, де на смарт-пристрої попередньо встановлено дуже звичайне ім’я користувача та пароль, такі як «admin» і «password», і користувач не змінював їх.
Друга – помилки в коді смарт-пристрою, за допомогою якого зловмисник може отримати доступ до пристрою. Ці помилки (наз уразливості) можна виправити лише за допомогою оновлення безпеки, випущеного виробником пристрою і відомого як «патч».
Як бути розумним і безпечним
Якщо ви думаєте про покупку нового смарт-пристрою, ось п’ять запитань, які потрібно мати на увазі, які можуть допомогти підвищити безпеку вашого нового пристрою та вашого будинку. Ці запитання також можуть допомогти вам переконатися, що розумні пристрої, якими ви вже володієте, захищені.
1. Чи дійсно мені потрібен розумний пристрій?
Незважаючи на те, що підключення до Інтернету може бути зручним, це насправді вимога для вас? Пристрої, які не мають віддаленого з’єднання, не загрожують безпеці, тому не варто купувати смарт-пристрій, якщо вам насправді не потрібно, щоб він був розумним.
2. Чи має пристрій прості облікові дані за замовчуванням?
Якщо так, це серйозний ризик, доки ви не зміните облікові дані. Якщо ви купуєте цей пристрій, а ім’я користувача та пароль за замовчуванням легко вгадати, вам потрібно буде змінити їх на те, що знатимете лише ви. Інакше пристрій дуже вразливий для захоплення зловмисником.
3. Чи можна оновити пристрій?
Якщо пристрій не можна оновити, і буде виявлено вразливість, ні ви, ні виробник не зможете перешкодити зловмисникові заволодіти ним. Тому завжди уточнюйте у продавця, чи можна оновити програмне забезпечення пристрою. Якщо у вас є вибір, ви повинні вибрати пристрій з автоматичними оновленнями, а не той, де потрібно встановлювати оновлення вручну.
Якщо у вас уже є пристрої, які не можна оновити, подумайте про те, щоб видалити їхній доступ до Інтернету (від’єднавши їх від Wi-Fi) або придбати нові.
4. Як довго виробник зобов'язався підтримувати пристрій?
Якщо виробник припинить випуск оновлень безпеки, ваш пристрій буде відкрито для компрометації, якщо згодом буде виявлено вразливість. Ви повинні підтвердити у продавця, що пристрій підтримуватиметься принаймні стільки, скільки ви плануєте ним користуватися.
5. Чи запускає виробник програму «нагородження за помилки»?
Це схеми, за яких компанія буде платити винагороду кожному, хто виявить вразливі місця в своїй базі коду. Не кожна компанія керує ними, але вони припускають, що виробник серйозно ставиться до безпеки своєї продукції. Деталі будуть на сайті виробника.
Нелегко визначити, чи зламано ваш розумний пристрій. Але поки ваші розумні пристрої підтримуються їхніми виробниками, оновлюються, коли їм це потрібно, і мають надійні облікові дані, зловмиснику буде нелегко отримати доступ.
Якщо ви переживаєте, що ваш пристрій зламано, виконайте скидання до заводських налаштувань, змініть ім’я користувача та пароль на щось нове та унікальне та застосуйте будь-які доступні оновлення.
про автора
Іен Неш, кандидат наук, Центр досліджень комерційного права, Лондонський університет королеви Марії
Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.
