Wraz z rozwojem branży automatyki budynkowej w sieci pojawia się coraz więcej informacji na temat niebezpieczeństw związanych z posiadaniem systemu inteligentnego domu w kontekście cyberprzestępczości. Autorzy artykułów na ten temat straszą nas atakami hakerów, wykradaniem danych czy utratą kontroli nad urządzeniami domowymi. Doniesienia te, mimo że często nie są poparte faktami, a jedynie ogólnymi hipotezami, mogą budzić zaniepokojenie wśród obecnych lub potencjalnych mieszkańców inteligentnych domów.
Dlatego postanowiliśmy przyjrzeć się tej kwestii i przeanalizować rzetelność przedstawianych w tych tekstach informacji. Czy uzyskanie dostępu do systemu inteligentnego domu rzeczywiście jest takie proste?
Wszechobecne komputery
W naszych domach otaczamy się coraz większą ilością urządzeń podłączonych do sieci, co powoduje, że Internet of Things staje się częścią naszego życia. Często nie zdajemy sobie jednak sprawy, że nowoczesne sprzęty AGD czy RTV posiadają system i mechanizmy w mniejszym lub większym stopniu zbliżone do tych obecnych w naszych laptopach czy smartfonach.
Urządzenia te zapisują informacje udostępniane przez użytkowników, podobnie, jak dzieje się to na naszych komputerach czy telefonach. Przykład: inteligentny odkurzacz, dzięki czujnikom zderzeniowym oraz wbudowanej kamerze, jest w stanie stworzyć plan każdego z pomieszczeń w domu, aby podczas pracy nie ominąć żadnego miejsca.
Stąd dla właścicieli tych sprzętów istotna staje się kwestia ochrony prywatnych danych. Nie warto jednak popadać w panikę – skoro nie mamy problemów z zabezpieczeniem naszych urządzeń osobistych, tym bardziej nie będziemy ich mieć w odniesieniu do odkurzacza, telewizora czy termostatu. Przyjrzyjmy się jednak źródłom, które twierdzą inaczej i sprawdźmy, jak argumentują swoje stanowisko.
Atak na termostat
Kwestia bezpieczeństwa urządzeń stosowanych w inteligentnych domach zyskała w ostatnim czasie na popularności, a to za sprawą dwóch informatyków, którzy na konferencji Def Con przeprowadzili eksperymentalny atak na termostat za pomocą wirusa Ransomware. Zainfekowany sprzęt pokazywał błędną temperaturę, a nawet żądał, aby użytkownicy zapłacili okup, w celu odzyskania kontroli nad urządzeniem.
Z ujawnionych przez autorów eksperymentu informacji wynika, że poddany atakowi termostat pracował pod kontrolą okrojonej wersji systemu operacyjnego Linux, zawierał duży wyświetlacz, a na jego wyposażeniu znajdowała się karta pamięci SD, przy pomocy której można było wgrywać do niego pliki, np. tapety (cały artykuł dostępny tutaj). Jednak najważniejszy w tym przypadku pozostaje fakt, że aby zainstalować wirusa konieczne jest uzyskanie fizycznego dostępu do urządzenia w celu podłączenia karty SD.
Nietrudno wyobrazić sobie, że gdyby niepożądana osoba wtargnęła do naszego domu, mogłaby wyrządzić szkody o wiele gorsze niż uszkodzenie termostatu (a i w tym celu nie potrzebowałaby zainfekowanego oprogramowania). Przeprowadzenie takiego ataku w warunkach rzeczywistych jest więc mało prawdopodobne, przede wszystkim z powodu konieczności fizycznego dostępu do urządzenia, lecz nie tylko.
Wykorzystany w eksperymencie termostat zainfekowany przez wirusa
Omawiane zagrożenie dotyczy konkretnego, przedstawionego na zdjęciu powyżej, modelu termostatu (autorzy eksperymentu nie zdradzili jego nazwy). Biorąc pod uwagę fakt, że wybór sprzętu do inteligentnego domu jest niezwykle szeroki, a potencjalny włamywacz musi posiadać szczegółowe informacje na temat rodzaju naszego urządzenia, prawdopodobieństwo takiego ataku jest znikome.
Dla przykładu, często używane przez nas termostaty, spełniające standardy sytemu KNX, zupełnie różnią się od tego opisywanego w eksperymencie. Przede wszystkim większość z tych urządzeń nie posiada jakichkolwiek “wejść”, np. USB czy na wspomnianą kartę SD, stąd podłączenie do nich innego narzędzia nie jest możliwe
Ponadto, urządzenia te zabezpieczone są hasłem instalatora, a domownicy, z poziomu aplikacji, wprowadzać mogą tylko drobne zmiany, w obrębie ustalonych wcześniej ram poprawnego działania. Dostęp do bardziej zaawansowanych ustawień, które mogą zaburzyć prawidłową pracę termostatu, możliwy jest tylko z poziomu konta administratora (zazwyczaj, ze względu na wymóg znajomości systemu, zarządza nim instalator). W niektórych przypadkach modyfikacja ustawień systemowych możliwa jest wyłącznie pod warunkiem posiadania dedykowanego urządzeniu programatora, który udostępniany jest tylko autoryzowanym dystrybutorom sprzętu, co stanowi dodatkowe zabezpieczenie przed niepożądaną ingerencją.
W podobny sposób zabezpieczone są inne systemy w inteligentnym domu – alarmowy, audio-video, kontrola dostępu, monitoring itp. a wybór i ilość metod ochrony uzależnione są przede wszystkim od preferencji inwestora i specyfiki domu.
Czy inteligentny dom rzeczywiście jest zagrożony?
Autorzy tego artykułu skupili się na kilku typach stosowanych w inteligentnych domach urządzeń, wskazując na szereg potencjalnych zagrożeń związanych z ich użytkowaniem. Jednym z przywoływanych przykładów są sprzęty odpowiedzialne za zapewnienie bezpieczeństwa w domu, takie jak kamery, czujniki ruchu, automatyczne zamki itp., które mogą być kontrolowane zdalnie przez mieszkańców. Autorzy przestrzegają, że jeśli nie są one w pełni chronione, bardzo łatwo jest przejąć nad nimi kontrolę. Nie wyjaśniają jednak, co oznacza “pełna ochrona” i w jaki sposób niepowołane osoby mogłyby uzyskać do nich dostęp, zatem nie przedstawiają żadnych konkretów.
Przypuszczamy więc, że może chodzić o kradzież przedmiotu służącego do sterowania systemem, np. telefonu czy iPada. Jednak zdarzenie takie stanowi dla właściciela przedmiotu zagrożenie w każdym przypadku, nie tylko, gdy jest on posiadaczem inteligentnego domu, zatem argument ten bardzo łatwo podważyć. Na telefonie często mamy dostęp do konta bankowego czy poczty elektronicznej, więc jeżeli nasz smartfon trafi w niepowołane ręce, a nie będzie zabezpieczony hasłem, osoby trzecie mogą uzyskać dostęp do naszych prywatnych danych i pieniędzy. Właśnie z tego powodu producenci urządzeń osobistych oferują różne sposoby zabezpieczania – od haseł i kodów PIN po czytniki linii papilarnych czy skanery siatkówki oka. Zgubienie lub kradzież dobrze zabezpieczonego telefonu może mieć w takim razie mniej poważne konsekwencje dla bezpieczeństwa naszego domu niż zgubienie tradycyjnych kluczy.
Nawet w przypadku kradzieży urządzenia, za pomocą którego możemy zdalnie sterować inteligentnym domem, złodziej nie uzyskuje natychmiastowego wglądu do aplikacji z wizualizacją. Dostęp do niej również chroniony jest hasłem i w przypadku kradzieży telefonu może zostać zablokowany, dzięki czemu nasz dom pozostaje bezpieczny.
Raz, dwa, trzy … telewizor patrzy
Autorzy omawianego artykułu wskazują również na zagrożenia związane z inteligentnymi telewizorami – “są wyposażone w mikrofony i wbudowane kamery” a “połączenie do sieci stwarza ryzyko wycieku prywatnych filmów i obrazów, a nawet wykorzystania tożsamości domowników na niepożądanych stronach – bez ich zgody, a nawet wiedzy” – punktują. W tekście brak jednak informacji, że podobne zagrożenie dotyczy też naszych laptopów czy smartphonów, które również posiadają kamery, mikrofony, a gromadzimy na nich nawet jeszcze bardziej osobiste dane. Kolejny raz brak też konkretów – jaki system i jakie marki podatne są na wspomniane ataki? Pytania o fakty pozostają bez odpowiedzi. Co ważniejsze, koniecznym warunkiem niepożądanych działań jest włamanie się do sieci komputerowej, która chroniona jest hasłem.
Warto również pamiętać, że opisywane w tego typu artykułach ataki są w stanie przeprowadzić tylko nieliczni, wykwalifikowani specjaliści, ponieważ wymagają one posiadania odpowiedniego sprzętu, eksperckiej wiedzy w dziedzinie łamania zabezpieczeń oraz znajomości konkretnych systemów inteligentnych domów.
Unikalny system inteligentnego domu zwiększa Twoje bezpieczeństwo
Co więcej, każdy dobrze zaprojektowany inteligentny dom, tworzony jest w odpowiedzi na indywidualne potrzeby mieszkańców, a system powstaje w oparciu o informacje dotyczące specyfiki domu, planu budynku, umiejscowienia kabli, rozłożenia urządzeń oraz rodzaju połączeń między nimi. Każdy inteligentny dom jest zatem inny, co znacząco ogranicza ryzyko włamania.
Serial czy rzeczywistość?
Atak na inteligentny dom stał się nawet tematem jednego z odcinków popularnego ostatnio serialu o hakerach – “Mr Robot”. W tym artykule zdarzenie to opisane zostało następująco:
“Alarm, oświetlenie, termostat czy regulacja temperatury wody w prysznicu – na skutek ataku, wszystkie systemy działały niepoprawnie i w związku z tym bohaterka zmuszona była do opuszczenia swojego domu”.
W serialu nie zostało wyjaśnione w jaki sposób dokonano ataku, lecz z wypowiedzi cytowanych w materiale ekspertów ds. bezpieczeństwa wynika, że mógł on zostać przeprowadzony za pośrednictwem sieci Wi-Fi. W artykule tłumaczą oni, że kiedy hakerzy uzyskali dostęp do sieci Wi-Fi i zidentyfikowali urządzenia Internetu Rzeczy, mogli znaleźć i wykorzystać luki bezpieczeństwa, aby sterować sprzętami.
Bohaterowie serialu, którzy przeprowadzili opisywany atak, to najwybitniejsi hakerzy na świecie, którzy bez problemu włamują się do systemu FBI czy uzyskują dostęp do baz największych światowych korporacji. Postarajmy się jednak oddzielić serialowe realia od rzeczywistości.
Jak wcześniej wspominaliśmy, dostęp do sieci Wi-Fi oraz do wizualizacji chroniony jest indywidualnym hasłem, którego złamanie wymaga niedostępnych dla większości osób zasobów: profesjonalnego sprzętu i eksperckiej wiedzy. Kolejnym rodzajem zabezpieczenia stosowanym w inteligentnym domu jest łączenie zintegrowanych urządzeń w grupy, dzięki czemu uzyskanie wglądu do całego systemu jednocześnie jest praktycznie niemożliwe. Zatem bardzo mało prawdopodobna jest sytuacja, w której wszystkie urządzenia równocześnie wymykają się spod kontroli, utrudniając życie mieszkańców.
Ponadto, system sterowania, który nadzoruje pracę całego domu oraz serwer wizualizacji, udostępniający informacje domownikom, zazwyczaj podłączone są do innej niż pozostałe systemy sieci, co dodatkowo utrudnia niepożądane działania. Istnieje również możliwość zaprogramowania, aby dostęp do wybranej grupy sprzętów możliwy był tylko z poziomu jednego urządzenia sterującego. Jak widać, możliwości zabezpieczeń w inteligentnym domu jest naprawdę wiele.
Rozsądek i rozwaga kluczem do bezpiecznego domu
Poszukując w Internecie informacji na temat zagrożeń w inteligentnym domu natykamy się na wiele alarmujących tytułów, jednak po przeanalizowaniu zawartości artykułów okazuje się, że często brak w nich konkretów, a treść jest powielana – autorzy używają identycznych przykładów i argumentów, które, jak staraliśmy się pokazać, bardzo łatwo obalić. Polecamy zatem podchodzić do tego typu doniesień ze zdrowym sceptycyzmem, ponieważ jak wynika z przedstawionych przez nas informacji, uzyskanie dostępu do systemu inteligentnego domu przez niepożądane osoby wcale nie jest takie proste, a w naszej opinii nawet dużo trudniejsze niż włamanie do tradycyjnego domu. Nie zmienia to jednak faktu, że producenci urządzeń i instalatorzy inteligentnych budynków, zawsze powinni podchodzić do tematu bezpieczeństwa i ochrony prywatności użytkowników z wielką starannością.