Все большую популярность приобретают устройства «умного дома». Всем нам очень нравится автоматизация, и то, что можно не вставая с дивана выполнять достаточно много манипуляций с домашними устройствами. Однако, как оказалось, эти системы могут представлять некоторую опасность для своих пользователей.

«Я могу видеть все устройства в вашем доме, и я думаю, что могу ими управлять», - сказал я Томасу Хетли, совершенно незнакомому мне человеку из штата Орегон, США, которого я грубо разбудил своим телефонным звонком ранним утром четверга.

Он и его жена были еще в постели. Выразив свое удивление, он попросил меня, чтобы я попытался включить и выключить свет в его спальне. Сидя в своей гостиной в Сан-Франциско, я повернул выключатель всего лишь одним кликом мышки. После этого, для закрепления результата, я решил включить и телевизор.

«Только что свет включился, и выключился», - сказал он. «Черт меня побери».

По данным Reuters, в 2012 году рынок домашней автоматизации стоил $1.5 миллиарда. Тогда мы все пережили взрыв популярности продуктов, которые обещали сделать наш дом «умнее». Наиболее известным устройством является Nest, термостат, который наблюдает за активностью жителей дома, изучает их расписание и температурные предпочтения, после чего нагревает или охлаждает дом до целесообразной, по мнению прибора, температуры.

У многих подобных девайсов есть приложения для смартфонов и веб-порталы, которые дают возможность издалека ими управлять. У жизни в образе Джетсонов (герои известного американского мультфильма середины 20-го века) есть свои недостатки. Как только мы подключаем девайсы в своем доме к Интернету, мы сталкиваемся с такими же проблемами безопасности, какие есть и у любого другого подключенного устройства: они могут быть взломаны.

• Лампочки Philips Hue стали уязвимыми к взлому
• Управление светом в умном доме
• Умная светящаяся пробка превращает обычную бутылку в лампу
• Уличный фонарь, полностью работающий от энергии солнца из Голландии
• Система Control4 Wireless Lighting получила награду EXC!TE Award

Поиск в Google по очень простой фразе привел меня к списку «умных домов», которые сделали нечто очень глупое. У всех этих домов есть система автоматизации от Insteon, которая позволяет дистанционно управлять светом, отоплением, вентиляторами, телевизором, подачей воды, гаражными дверьми, камерами, и многими другими приборами. Это сделано для того, чтобы их владельцы могли включать и выключать эти девайсы при помощи приложения на смартфоне или веб-страницы. В чем глупость, спросите вы?

А она заключается в том, что их системы были проиндексированы поисковыми роботами, то есть они появляются в результатах выдачи. И, поскольку системы Insteon по умолчанию не требуют ввода логина и пароля, я смог просто перейти по ссылкам, и получить возможность управлять всеми приборами в домах этих людей. Причем, результатом такого «виртуального вторжения» может стать вполне реальное, ведь способность открыть гаражную дверь делает дом уязвимым для грабителей.

Дом Томаса Хетли стал одним из восьми, к которым я смог получить доступ. Посредством этого мне удалось выявить конфиденциальную информацию, такую как их часовой пояс (а также ближайший крупный город к их дому), IP-адреса и даже имена детей. По-видимому, родители просто хотели получить возможность выключать телевизор из другой комнаты.

По крайней мере, в трех случаях из восьми полученной информации было достаточно для того, чтобы привязать эти дома в Интернете к их месторасположению в реальном мире. Имена большинства систем были сгенерированы автоматом, но в одном случае это имя содержало почтовый адрес, который позволил мне разыскать дом в Коннектикуте.

Когда я позвонил по этому адресу, трубку снял «Крейг». Он рассказал, что подрабатывает консультантом по установке систем Insteon в домах людей, и использует одну из них уже на протяжении десяти лет. Я сказал ему, что я могу видеть (и, скорее всего, управлять) его сетью, после чего он стал защищаться.

«Там вообще-то пароль», - раздраженно сказал мой собеседник. «Я хочу, чтобы мои потенциальные клиенты могли видеть систему, чтобы понять, как она работает. Вы не можете управлять этими устройствами, вы можете только наблюдать».

Я спросил его, могу ли я попытаться выключить и включить одно из его устройств. Он сказал мне, что я могу выключить свет в комнате, в которой он сейчас находится. После того, как я это сделал, последовала многозначительная пауза. «Что-нибудь произошло?», - спросил я. Он ответил, что ничего не случилось, и бросил трубку. Я начал подозревать, что Крейг может меня обманывать. На следующий день его система была заблокирована, и доступна только по имени пользователя и паролю.

Уязвимость в Insteon стала одной из многих, которые были найдены в устройствах «умного дома» Дэвидом Брайаном и Даниэлем Кроули, исследователями в области безопасности в компании Trustwave. Еще в декабре Брайан получил одно из HUB-устройств Insteon, установил приложение на свой телефон, и начал обзор его функционирования.

«То, что я увидел, меня не обрадовало», - сказал он. «Между контроллером и управляющими командами не было абсолютно никакой аутентификации».

«Вы можете значительно увеличить чей-то счет за электроэнергию просто включив нагреватель воды», - говорит Брайан. Он связался с поддержкой Insteon по электронной почте и спросил, каким образом можно включить использование имени пользователя и пароля, а компания Trustwave недавно отправила туда же полный консультативный отчет обо всех найденных уязвимостях.

Позднее в Insteon решили все проблемы с HUB, и, в начале 2013 года, отозвали все старые устройства. Однако, они не сообщили пользователям о том, что основной причиной отзыва стала проблема с безопасностью.

По словам руководителя информационной службы Insteon Майка Нуньеса, поддержка тех систем, которые я вижу, закончилась еще в прошлом году. Всю ответственность за их появление в результатах поиска он возложил на самих пользователей, заявив, что старый продукт просто-напросто не был предназначен для удаленной работы, и подобные настройки требовали некоторой технической подкованности со стороны пользователей.

Устройства поставлялись с инструкцией о том, как настроить их для работы онлайн, но они были со строгими рекомендациями по установке имени пользователя и пароля. (Но, если говорить по правде, кто их читает до конца, эти инструкции?)

«Для того, чтобы такое произошло, требуется, чтобы пользователь опубликовал ссылку (IP адрес) в Сети и не установил имя пользователя и пароль», - говорит Нуньес. После этого я сказал Нуньесу, что установка требования имени пользователя и пароля по умолчанию является отличным решением в сфере безопасности, которое позволит защитить клиентов от подобных ошибок. «Это не требовалось по умолчанию, но данная функция поддерживалась и поощрялась», - ответил он.

В случае с Томасом Хетли он создал веб-сайт, который выступал в качестве шлюза для ряда манипуляций в своем доме. На этом сайте был пароль, но его можно было обойти при помощи прямого перехода на порт Insteon, который уже был совершенно незащищен. «Я готов согласиться с тем, что часть ответственности лежит на мне, ведь ошибки в настройках внутреннего роутера сделал именно я», - сказал Хетли, который описывает себя в роли новичка-любителя домашней автоматизации. «Но все дело в этом порте, и я просто не знал, что он может быть доступен извне».

Последняя версия продукта компании автоматически присваивает имя пользователя и пароль, но этого не происходило в первые месяцы продаж. Именно такой продукт получил Брайан из Trustwave.

Если у вас есть один из этих старых девайсов, вам следует пройти процедуру отзыва. Тем не менее, даже новую систему аутентификации Брайан оценил как «слабую», сказав, что «для любого профессионала ее взлом станет весьма тривиальной задачкой».

Проблема с аутентификацией Insteon похожа на проблему, с которой несколько лет назад столкнулись пользователи камер Trendnet IP. Отсутствие аутентификации означало, что любой, кому удалось узнать IP-адрес конкретной камеры, мог смотреть потоковое видео, некоторые из которых были интимного характера.

Даже без общедоступного веб-сайта подобная уязвимость означает, что любой, кто догадается, как получить адреса уязвимых систем, сможет получить доступ и управление домами людей.

«Я очень рад, что подобные технологии существуют, но я также очень неприятно удивлен наличием  таких пробелов в безопасности», - сказал Кроули.

Он и его коллега обнаружили уязвимости, которые могли бы позволить преступникам заполучить контроль над целым рядом чувствительных устройств помимо систем Insteon, от переключателя Belkin WeMo до туалета Satis Smart. Да, они обнаружили, что туалет можно взломать. Для этого потребуется лишь приложение на Android и непосредственная близость к «устройству».

«Программа подключается при помощи Bluetooth, без имени пользователя и пароля, используя лишь пин-код ‘0000’», - сказал Кроули. «Так что каждый, у кого на телефоне установлено и подсоединено к сети это приложение, может управлять туалетом любого другого человека. Например, вы можете включить биде, пока кто-либо им пользуется».

Свои выводы они представят совместно с Дженнифер Сэведж  в докладе Home Invasion 2.0 на мероприятиях Black Hat и Defcon, которые пройдут в течение следующих двух недель. Trustwave стремится к раскрытию подобных уязвимостей в надежде на то, что компании-производители осознают необходимость проверок безопасности перед выпуском своей продукции (конечно же, тех самых, которые предлагают сами Trustwave).

Еще одной проблемой, с которой сталкиваются некоторые устройства, такие как Mi Casa Verde MIOS VeraLite, является то, что как только они подключаются к Wi-Fi сети, они предполагают, что любой пользователь этой же сети является авторизованным. Так что, если вам удастся подключиться к чьей-либо сети Wi-Fi, что весьма легко, если она не защищена паролем, вы сможете управлять их домом.

«Эти компании рассматривают домашнюю сеть в качестве крепости», - говорит Кроули. «В большинстве случаев, это не имеет ничего общего с реальностью».

Уязвимость устройств Insteon была хуже тем, что она позволяла получить доступ любому человеку при помощи Интернета. Исследователи смогли увидеть гораздо больше открытых систем, но они не захотели ковыряться в этом дальше. А я захотел, но очень из-за этого нервничал, поэтому перед тем, как играться с чьим-либо светом, я получал на это разрешение у владельца.

Все дело в обвинениях в CFAA/”unauthorized access” (несанкционированном доступе), которые были использованы для уголовного преследования Аарона Шварца и Эндрю Ойернмайера, хакера, который использовал уязвимость в серверах AT&T для получения списка email адресов всех пользователей iPad 3G этой компании.

«Эта ситуация очень схожа с представленной в деле Ойернмайера», - сказала Марсия Хофманн, адвокат, которая специализируется в области Интернет права и вопросах безопасности. Она была частью команды, которая пыталась оспорить приговор Ойернмайера в 41 месяц тюремного заключения.

Этот приговор стал холодным душем для всех других исследователей, которые пытались найти уязвимости в продуктах компании. По словам Хофманн, нежелание представителей Trustwave копаться в чем-то, свободно доступном в сети Интернет, «показывает, почему этот прецедент является настолько опасным».

«Людям, которые обнаружили это и сообщили компании-производителю, чтобы она смогла исправить данную уязвимость, не стоит беспокоиться о том, что их действия могут идти вразрез с законом», - говорит Хофманн.

«Будем надеяться, что наш доклад сможет подчеркнуть небезопасность подобных систем, и то, что они требуют улучшений», - сказал Кроули. «Большинство уязвимостей были очевидны с самого начала».