IoT: Вопросы безопасности умного дома



    Умный дом включает в себя огромное количество IoT-устройств, собирающих и обрабатывающих данные. Они дают пользователям определённые возможности по контролю за апартаментами как в ручном, так и автоматическом режиме. В «умной среде» устройства периодически обмениваются данными по Сети. Это происходит либо напрямую от устройства к устройству, либо через облако.

    Из-за того, что все элементы цепочки имеют доступ в Интернет, это делает их уязвимыми к атакам извне и подвергает опасности не только информацию пользователя, но также его здоровье. Все это меняет парадигму мышления, которая гласит: «Мой дом – островок безопасности».
    Однако безопасность – это 100% требование для умного дома, кто бы что ни говорил. Сегодня в его состав могут входить системы наблюдения, системы мониторинга (в том числе здоровья) и системы безопасности, к которым можно получить удаленный доступ. Их просто необходимо защищать от злоумышленников.

    Ответственность за это должны нести производители этих самых гаджетов. Однако они часто заявляют, что заниматься подобными вопросами нет никакого смысла.



    Нельзя исключать, что с ростом числа умных устройств начнет расти и количество взломов систем управления. Злоумышленники, получившие доступ к таким системам, могут при помощи электронного ключа открыть дверь или окно, получить доступ к банковским счетам жителей умного дома. Более того, преступники смогут вручную вызвать сбой медицинских устройств.

    Компания HP провела исследование рынка интеллектуальных систем в ходе которого выяснила, что практически все системы имеют проблемы с безопасностью.

    Первая проблема – недостаточно надежная проверка подлинности. Системы, несмотря на то, что обладали облачными и мобильными интерфейсами, не требовали установки паролей достаточной длины и сложности. Также ни одна из систем не блокировала учетную запись после определенного числа неудачных попыток ввода пароля – получается, что отсутствовала банальная защита от перебора.

    Еще одна проблема оказалась связана с конфиденциальностью. Все системы собирали какие-либо виды персональной информации: имена, адреса, номера телефонов и кредитных карт. Это вызывает определённую озабоченность, поскольку создает угрозу кражи учетных данных.

    Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через различные интерфейсы. Конфиденциальность подобных данных тоже находится под вопросом.

    Наконец, последней проблемой эксперты назвали отсутствие шифрования при передаче данных. Хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак.

    А это очень важный момент: чтобы исключить несанкционированное вмешательство в работу устройства, обмен между контроллером и сервером должен идти в зашифрованном с помощью ключа виде. «В случае компьютерных систем передача данных для аутентификации в открытом виде уже давно нонсенс. Но, как оказалось, не для других индустрий», – говорит антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

    По мнению заместителя генерального директора Zecurion Александра Ковалева, проблемы с безопасностью Интернета вещей заключаются в слишком быстром развитии рынка и зачастую неконтролируемой адаптации технологии: «Пользователи просто не понимают всех возможностей этих устройств, а поставщики пока заняты развитием самой технологии и не придают достаточного значения безопасности».

    И это нормально, компьютерные вирусы тоже возникли не сразу. «Пока эти уязвимости не стали использовать злоумышленники, ни пользователи, ни производители не будут тратить время и деньги на защиту IoT-устройств», – считает Ковалев.

    По словам Дениса Легезо, происходит этого из-за того, что отношение к умным вещам остается прежним. То есть таким, словно это обычные предметы, к которым все привыкли, и не важно, будь то машина или телевизор.

    «Но это уже другое устройство, которое может не только двигаться или показывать телевизионные программы. Соответственно, и думать о них надо уже по-другому, и защищать по-новому», – отмечает эксперт.

    По его мнению, достаточно отвлечься от основной функции техники и начать воспринимать ее как компьютерную сеть, чтобы заметить бреши в информационной безопасности.



    Задавшись этими вопросами, компании Google, Samsung Electronics, Silicon Labs и некоторые другие объединились с целью разработать новый беспроводной сетевой стандарт специально для умных домов. Он получил название Thread. Thread использует IPv6 и построен на стандарте IEEE 802.15.4, а основным его достоинством является именно безопасность. Одновременно в сети могут находиться до 250 устройств, которые защищаются шифрованием уровня банковской системы.

    Еще одна особенность Thread – это прозрачность. Пользователь видит список всех подключенных устройств, благодаря которому ему легко определить, что с чем связано. В настоящий момент есть ряд решений для умных домов (ZigBee и 6LowPAN), которые легко могут начать поддерживать предложенный стандарт без аппаратных изменений – в их случае нужно просто обновить программное обеспечение.
    Из устройств, уже поддерживающих Thread, стоит отметить термостаты Nest.

    «Из года в год мы слышим, что в конце концов останется лишь один протокол, который будет использоваться везде и всюду, – говорит Реза Каземи (Reza Kazemi), эксперт по товарной политике Piper. – Но каждый раз на рынке появляется все большее число продуктов, общающихся на собственном «языке». Но как знать, может именно Thread станет той «серебряной пулей», которая решит все вышеописанные проблемы.
    Холдинг GS Group
    29,38
    GS Group — инвестиционно-промышленный холдинг
    Поделиться публикацией

    Комментарии 7

      0
      Подводный камень Треда — полностью закрытые спецификации протокола.
        0
        Nest недавно выкатил открытую реализацию: https://github.com/openthread/openthread

        Но:
        1) Уровень документации — никакой. Вот вам код — разбирайтесь.
        2) У производителей SoC с радиоинтерфейсами стек Thread если и есть, то по-прежнему строго под NDA.
        3) С открытой реализацией может случиться то же, что уже давно случилось с ZigBee — каждый будет её интерпретировать так, как ему нравится, и от совместимости между устройствами останется свинячий хвостик.

        Ну и по-прежнему в реальной жизни этот Thread фактически не встречается. Последний пресс-релиз по теме — о том, как десятки устройств выстроились в очередь на сертификацию. Что с ними стало дальше, никто не знает.
          0
          www.linkedin.com/company/risk-group-llc

          Откуда тут экспертов столько взялось по безопасности IoT за последний месяц. Видимо команда сверху пришла — стать экспертами.
          0
          Сетевая модель OSI для ZigBee:

          7. Application layer [ZigBee]
          6. Presentation layer [ZigBee]
          5. Session layer [ZigBee]
          4. Transport layer [ZigBee]
          3. Network layer [ZigBee]
          2. Data link layer [802.15.4]
          1. Physical layer [802.15.4]

          На каком уровне Thread работает с ZigBee? так понимаю он должен заместить собой верхние уровни.
            0
            Network Layer и выше
              0
              Ни на каком не работает. Просто для некоторых зигбишных чипов уже есть стек 6LoWPAN, поверх которого и бегает Thread — соответственно, для них сравнительно легко выпустить новые прошивки. ZigBee при этом от них отвалится.
              0
              Использование данного протокола, сейчас или в будующем предпологает какие либо отчисления?
              Есть Опенсорс реализация?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое