Я в восторге от IoT

    image
    Я большой фанат «наступившего будущего». С момента появления первых роботизированных кофеен и магазинов без обслуживающего персонала каждый день видится мне как реализовавшиеся грезы об удобном и комфортном мире. Мы долго шли к возможности управлять машиной, домом, своей жизнью с телефона. Было много падений, взломов, утечек личных данных и судов, но вот будущее наступило. И я в восторге.

    Я выхожу из офиса, одной голосовой командой заказываю себе кофе, который будет готов ровно к тому моменту, как я дойду до автомата с большой железной рукой. Никакого общения с баристой, вопросов про сироп и вкусовые добавки. Все максимально просто: я нажимаю на кнопку, говорю, что хочу заказать, кофейный автомат определяет мое местоположение, вычисляет, как скоро я окажусь на месте, расшифровывает мое сообщение, и — о чудо! — готовит ровно тот кофе, что я прошу. Мне остается только подойти к автомату, предоставить QR-код и забрать напиток из железной руки. С этими машинами у нас были проблемы, хитрые бездельники устраивали целые потопы из-за недостатков в ПО. О проблеме было известно еще в 2015 году, но ее все не спешили исправлять, пока потери от злоумышленников не превысили стоимость устранения уязвимости. Суть взлома кофейни заключалась в том, что злоумышленник перехватывал управление над аппаратом и отсылал постоянные запросы на приготовление кофе. Каждый раз, когда возникала новая кофейная река, куча прохожих снимали видео и постили сториз. Так что в каком-то плане это было рекламой.

    Проливающийся кофе меркнет на фоне бесплатного бензина. В основном мы пользуемся электромашинами, но классические заправки еще встречаются. Особенно в старых городах. И колонки там не меняли как минимум вечность! Только представьте, еще в 2018 году всякие хитрецы могли заставить колонку выдавать бензин бесплатно каждому желающему. Основная проблема заключалась в том, что насос отключали от терминала и оборудование работало в автономном режиме. Сейчас это не так просто провернуть, но умельцы все еще находятся. И стоимость таких услуг космическая. Намного проще заказать взлом гироскутера.

    Зачем взламывать гироскутер? Вы как не из этого века, честное слово! Когда об уязвимости еще не все знали, это было отличным способом подстроить несчастный случай. Вот есть счастливый бизнесмен. Едет себе спокойно на гироскутере от спортзала до офиса. А потом в какой-то момент управление перехватывается, и верная железка вывозит бизнесмена прямо под колеса автомобиля. Полиция долго ломала голову, что могло произойти со здоровым и взрослым человеком, чтобы вот так бросаться под колеса машины. Мистические смерти продолжались бы долго, пока исследователи не нашли уязвимость в гироскутерах. Об этой «дыре» писали еще в 2017. Злоумышленник мог запросто подключиться к гироскутеру по Bluetooth, введя обычный пароль из 4 нулей, залить свое ПО и перехватить контроль над устройством. Но тогда новость не вызвала резонанса, и все забылось. А уязвимость путешествовала из модели в модель. Только смерти «молодых и успешных» привлекли достаточное внимание к проблеме, и большинство гироскутеров сейчас считаются безопасными.

    Вообще случившаяся смерть мотивирует производителей «латать дыры» намного быстрее, чем ее предполагаемый риск. Например, для решения проблем с гироскутерами потребовалось около 16 случаев с летальным исходом. Когда же одной медицинской корпорации, производящей кардиостимуляторы, посоветовали озаботиться безопасностью своих устройств, представители отреагировали достаточно прохладно. Только вдумайтесь, еще с 2018 года в устройствах была уязвимость, позволяющая перехватить контроль над устройством и буквально остановить больному сердце. Эти ребята из медицинского центра не шевелились, пока не было зафиксировано 7 смертей из-за уязвимости кардиостимулятора, который нарушал частоту подачи электрических разрядов. И вот, через полтора месяца все «дыры» были закрыты, что крайне оперативно, по нашим меркам.
    С нетерпением жду, когда хакеры смогут превратить пол в лаву, чтобы на проблему с удаленным изменением температуры в комнатах обратили внимание. Но это, скорее, мечты. Сейчас все крайне увлечены сбором личной информации. Даже градусники, честное слово.

    Первый раз я обратил на это внимание, когда увидел рекламу «терапевта на дом» спустя пару минут, как померил температуру «умным» градусником. Он показывал 40°, я оценивал, сколько работы придется поручить коллегам, на экране заиграла веселая реклама медицинского центра. Я не сразу связал эти два события. Спустя неделю, как я стал приходить в себя, экран уже показывал рекламу укрепляющих витаминов. Признаюсь честно, приобрел весь комплекс, не задумываясь. И только потом понял, что градусник тут был связующим звеном между мной и рекламщиками. Не помню, чтобы подписывал какие-то бумаги на передачу данных третьим лицам. В целом, витамины мне помогли, так что особо зла на «умного шпиона» не держу.

    Настоящий холодок пробежал по спине, когда я увидел рекламу детских колясок. Суть не в самой рекламе. Детские коляски — это замечательно, в них столько классных функций, практически детский автомобиль. Дело в том, что после того, как реклама отыграла, и на экран вернулась трансляция матча, ко мне подошла жена с новомодным и самым точным тестом на беременность. С двумя полосками. Мне казалось, это призраки прошлого. Да, тесты ломали в 2019 или 2020 году. И были массовые утечки. Но чтобы сейчас такая информация передавалась в облако и так запросто использовалась — я был шокирован, но промолчал.

    Примерно через 8 месяцев весь наш эфир был заполнен рекламой детских игрушек и девчачьих кукол. Жене показалось, что это невероятное совпадение, и мы просто обязаны купить говорящего медведя в костюме «тройке». Мне показалось, что «большой маркетинговый брат» знает слишком уж много. Но медведь был славный, да и классику я уважаю. Даже страшно думать, какая это была ошибка.

    Наша дочь постоянно проводила время с медведем. С его помощью можно было передавать ей сообщения удаленно и слушать, что она отвечает. Первые слова она сказала именно этому медведю, когда я пожелал ей спокойной ночи, будучи в командировке. И слушалась она медведя значительно чаще. Только он мог заставить ее убирать игрушки и доедать кашу. У медведя была камеру в глазу, чтобы мы в любой момент могли посмотреть, что происходит с ребенком. И, к сожалению, этой функцией пользовались не только мы. Нашлось «животное», которое предложило девочке поиграть. Собрать все мамины красивые украшения и папины часы, сложить в коробку и оставить во дворе. Вечером придут эльфы и в обмен на коробку сделают медведя живым. Видимо, злоумышленник сидел в игрушке очень долго и знал, как у нас все устроено. И знал о безоговорочном доверии к медведю. Все обошлось: мы обратили внимание на коробку во дворе, пока она не опустела. Игра могла быть страшнее, например, поджечь все книжки, чтобы призвать огненных фей. Мне казалось, что с уязвимостями в детских игрушках покончили еще в 2014, ну, может быть, в 2018 году. С этим было связано столько уязвимостей и скандалов. Роботы-няни, которые пугали детей ночью, хакеры, которые осматривали квартиры с помощью камер в детских куклах. А «дыры» все еще находятся. Медведя мы отключили от интернета, без него стало намного сложнее поддерживать общение с дочерью, она долго не могла привыкнуть к тому, что игрушка больше не разговаривает. Через некоторое время медведя заменили «умные» часы со львятами. Это последняя модель, и разработчики клянутся, что все максимально безопасно. Поживем — увидим, но пока нет причин им не доверять.

    Да, мир знает обо мне все. Но я согласен на эту плату за удобство. В конце концов, будущее замечательно.
    Инфосистемы Джет
    629,01
    Системный интегратор
    Поделиться публикацией

    Комментарии 20

      +3
      Почему-то вспомнилась серия Футурамы про бунт роботов (2 сезон 14 серия: День Матери)
        +4
        Это реально крипово)
          +2
          Статья очень хорошая и криповая, особенно, предпоследний абзац: в последнее время довольно активно рекламировали детские смарт-часы, которые предлагались как важное устройство для ответственных родителей. Возможность отслеживать положение, показатели активности, прослушивать происходящее вокруг ребёнка, отправлять сообщения, делать кучу других вещей. Но большая часть этих часов содержит довольно серьёзные проблемы: начиная от проблем на уровне архитектуры, заканчивая великолепными паролями по умолчанию, которые при типичной эксплуатации устройства не меняются. То, что могут сделать родители, могут сделать и злоумышленники.
            0
            Кстати, интересная тема. А кто-нибудь знает подобные часы (ну или хотя бы просто с GPS логгером) для которых есть опенсорсная прошивка? Задумываюсь о том, что бы снабдить такими детей, но реально напрягает, что они вся как чёрные ящики, сливающие всё что можно на какой-то неизвестно кому подконтрольный сервис. Вроде некоторые китайские часы можно подружить с traccar, развёрнутым на собственном сервере, но информации об этом мало, да и часы всё равно остаются чёрным ящиком — фиг его знает, куда они там ещё стучатся.
              0
              Н-да.
              Скажем так — я последнее время дорабатываю одно из приложений для детских часов (официально продаются в России российской компанией, заявлено отслеживание активности, умеют GPS(прямо на часах), умеют делать запись что вокруг(в том числе без сигналов на часах), умеют 'позвонить домой'/'принять звонок из дома').
              Все сильно хуже. Например — общение приложения с управляющим сервером идет без https вообще(никакого своего шифрования тоже нет), если один раз перехватить трафик со смартфона родителя то можно будет в дальнейшем за ребенком приглядывать сколько надо. И сделать все нормально — нельзя по бизнес-причинам.

              А если сравнить с приложением для одной российской финансовой структуры с которым тоже работают — клиентские сертификаты жестко вшитые, безопасники которые считают вполне нужным прогнать apk через декомпилятор и попросить объяснить 'а почему это в коде стоит прием всех сертификатов' (в данном конкретном случае — это не было угрозой безопасности).
                +1
                А что это такое за бизнес-причины такие, можно поинтересоваться? Вопрос в ресурсах на разработку или принципиальная позиция?
                  0
                  Изначально и мобильное приложение и серверная часть и железка — made in china. OEM-конторой что еще и железо самих часов делает. Передавать исходники серверной части российской конторе китайцы прямо отказываются, все доработки только через них.
                  В результате например часть экранов приложения где на самом деле — webview с сайтом российской компании — по https (хотя там не особо критично вообщем то) а обмен данными — как выше.
                    0
                    Ну понятно, ресурсы на разработку жалеют. А по-хорошему просто выкинуть китайский сервер и покупать только железки.
              +1
              А упомянутые в тексте уязвимости от 2014-2019 годов действительно имели место?
              0

              Интересненько. "Нет судьбы кроме той, которую творим мы сами".
              Оффтоп: кофейные автоматы это круто, но перед тем как повестись купить в них стаканчик ароматного кофе подумайте, а часто ли их моют? Убирают тараканов из них? Меняют фильтры? Уверен, что примерно никогда. Я бы точно не парился над этим, если бы у меня было десять автоматов в разных ТЦ, все, что меня волновало бы — скорее окупить их стоимость, а никак не уборщика нанимать.
              Пейте кофе дома в своей точно мытой кофемашине. Ну или в хорошем кафе

                +1
                ну на сколько я наблюдал, их тот, кто и обслуживает (запасы пополняет и деньги сливает, хотя с картами это уже на вторичный план отходит), он же и моет, а посему иногда приходится ждать долго
                  0
                  Знаю одного такого кто их обслуживает. Он должен конечно их мыть и кофе менять, но… Кофе он досыпает половину свежего в половину уже заваренного, что бы половину кофе домой унести, или половину денег… ну и моет ли он их, если даже за счтечиком покупок никакого контроля со стороны владельца?
                +1
                Я тоже люблю новые технологии, но всё хорошо в меру. Ну и это. Если твой ребёнок первые слова говорит игрушке и только она может заставить его выполнять базовые вещи, то у тебя проблемы реально серьезнее уязвимостей в современных гаджетах, чувак…
                  0

                  "Первые слова" игрушка просто записала. Большинство и не в курсе, что их ребенок первые слова сказал игрушке, потому что у них нет записывающих игрушек.

                  +3

                  Хорошие сюжеты для новых серий какого-нибудь "Черного зеркала"

                    +3
                    а… так это был юмор/стеб на интренет вещей? а я уж напрягся
                      –2
                      Понятно, конечно, что это художественное произведение, но внутренний зануда во мне прям кричит. Даже если ты взломаешь гироскутер, то все равно никогда не сможешь заставить человека на нем ехать в нужном тебе направлении, максимум ты сможешь его уронить в любой точке его пути. Там же физика езды такая, что управление происходит наклоном тела и если гироскутер подчиняется, то он едет в нужном тебе направлении, а если не подчиняется, ты просто сразу падаешь.
                        +1

                        сразу падаешь под колёса автобуса :)

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое