Как стать автором
Обновить

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак

Время на прочтение9 мин
Количество просмотров21K
Всего голосов 22: ↑21 и ↓1+20
Комментарии11

Комментарии 11

Например, квартирный вор узнает, что с 9 утра до 18 вечера дома никого нет, так как у владельцев телевизора есть устойчивая привычка включать его, находясь дома.

То же можно узнать, прослушав wifi-трафик, если у жителей есть "устойчивая привычка" пользоваться wifi, когда они дома (а у кого сейчас нет такой привычки?). Интересно, как от этого защититься?

Очень просто: надо генерировать трафик круглосуточно. Тогда вор не сможет понять, когда трафик генерируют хозяева, а когда- просто ваш скрипт.
Учитывая сколько всего умного сейчас в квартире, думаю это не такая уж и проблема. Там и без вас потребителей хватит :)
Единственное интересное — светопередача данных. Остальное вызывает глубокую печаль при мыслях о том, до каких мышей докатились в Trend Micro (я, в общем-то, уважал их старания на ниве борьбы с вирусами).
я, в общем-то, уважал их старания на ниве борьбы с вирусами

так они и сейчас один из трёх лидеров, как раз в плане антивирусной защиты
и это на рынке, где несколько десятков производителей

Как можно подключить лампочки Philips Hue к DDoS атаке, если они не подключены к интернету? Вернее протокол на котором они общаются вообще не IP. То есть лампочки сами по себе вообще не могут быть подключены, они же ZigBee.
И ещё, какие конфиденциальные данные можно перехватить в локальной сети на свичах? Широковещательные пакеты и мультикаст? Ну предположим, что мы провели какой-нибудь mac spoofing. Как передать данные на лампу, если максимальная скорость передачи данных в ZigBee 250 кбит/с?
Возможно, имеется в виду заражение моста, который после этого проведёт mac spoofing, перехватит пароли, а потом передаст только их, по оптическому каналу, мерцанием лампочек.

Только каким образом хаб выделит пароли и тд? А передать всю информацию на лампочку нельзя, скорость соединения с лампочкой не больше 250kbit/s. По современным меркам вообще не скорость.

По диапазонам MAC-адресов и номерам портов определит производителей, передающих пароли в нешифрованном виде, и применит алгоритмы выделения паролей, специфичные для уязвимостей их программ. А скорость 250kbit/s во многих случаях позволяет вообще снифить все короткие пакеты по набору портов, не используемых для мультимедиа.
не доверяйте чужим людям устройства, с помощью которых вы управляете «умным домом» — если потеряли смартфон или планшет, смените все логины-пароли-ID и прочие вещи, которые могут быть извлечены посредством утерянного гаджета;

Мастер из местного центра поддержки — это чужой человек? Есть оценка сколько в среднем (для среднего «умного» дома) логинов-паролей-ID и прочих вещей нужно сменить, «если потеряли смартфон или планшет»? Не очень большая семья для некоторых стран: он, она, четверо детей, дедушка и бабушка. Каждый может терять смартфон или планшет раз в месяц: забыл в гостях, в школе, на работе и т.д. Т.о. несколько раз в месяц глава семейства — админ дома бросает вечером все дела и меняет много паролей, а потом переписывает эти пароли всем членам семьи. М.б. есть специальные приложения от производителей оборудования умных домов, которые приложения позволяют сделать такую работу «в один клик»? ИМХО это самое главное, что нужно отметить в статье. Пока возникает опасение, что «умный» дом — постоянная большая головная боль за свои немалые деньги для всей семьи.
А как можно обезопасить себя, если используешь умную технику от Xiaomi? Можете что-то конкретное порекомендовать/прокомментировать про их линейку Mi Home?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий