Czy inteligentna żarówka jest kluczem w rękach hakera?
Wyrzuciłem inteligentną żarówkę do kosza i zdziwiłem się, że wszystkie moje dane osobowe znalazły się w domenie publicznej. Kuszące, prawda? Ale to jest całkiem realne i może spotkać każdego konesera nowych technologii.
Treść artykułu
Co jest specjalnego w inteligentnej żarówce?
Termin ten jest zwykle używany do opisania wszystkich żarówek, które są zdolne do przynajmniej niektórych „niezależnych” działań. Taką „niezależność” osiąga się za pomocą systemów sterowania, w skład których wchodzą odbiorniki, mikrokontrolery i czujniki.
Dzięki czujnikom wszystko jest proste, a nawet bardzo bezpieczne - żarówka może reagować na hałas, poziom światła, promieniowanie podczerwone, a nawet ruch. Cała „inteligencja” najprostszych układów sterowania skupiona jest na włączeniu światła w odpowiednim momencie, a sygnały odbierane z czujników po prostu wskazują, że ten moment właśnie nadszedł.
Jednak taka prostota powoli odchodzi w przeszłość. Zastępuje się je programowalnymi żarówkami, które mogą włączać się według harmonogramu, nagrywać wideo lub nagrywać dźwięk, zmieniać intensywność blasku, a nawet jego kolorystykę.
Niezłe bonusy, prawda? Zwłaszcza, gdy weźmiesz pod uwagę, że aby sterować całą tą gamą funkcji, wystarczy pobrać aplikację na swój smartfon lub laptop, a następnie odblokować pełny potencjał inteligentnych żarówek za pomocą intuicyjnego interfejsu.
Ale tu zaczyna się zabawa: żarówką można sterować poprzez Bluetooth lub Wi-Fi.Pierwsza opcja uwodzi bezpieczeństwem, jednak powoli odchodzi w niepamięć ze względu na skromny zasięg i ograniczone możliwości.
I tu Podłączenie do sieci bezprzewodowej Wi-Fi usuwa wszelkie ograniczenia, pozwalając producentom na ciągłe poszerzanie zakresu możliwości inteligentnych żarówek. Ale ci sami producenci rzadko zawracają sobie głowę bezpieczeństwem (najwyraźniej z powodu chęci obniżenia kosztów swoich produktów). Co to znaczy?
Eksperyment hakerski
W 2018 roku przedstawiciele serwisu Limited Results dobitnie pokazali możliwości urządzenia, które trafiło w ręce hakerów. Ci goście bez zbędnych ceregieli kupili żarówkę LIFX, podłączyli ją do Wi-Fi, skonfigurowali, wyłączyli i zdemontowali.
Po dotarciu do płytki specjaliści podłączyli ją do konwertera interfejsu i zaczęli ją badać. Wynik testu był „przyjemny”: Dostęp do sieci bezprzewodowej był przechowywany w sposób przejrzysty, w żaden sposób nie chroniony przed zakłóceniami zewnętrznymi. To samo dotyczy certyfikatu głównego i klucza prywatnego RSA.
Co ciekawe, był to kolejny test pokazujący możliwość wykonania triku z żarówkami wszystkich producentów. W ten sam sposób przedstawiciele w/w serwisu również sprawdzili produkt Tuya.
Inni specjaliści podchwycili ten pomysł i zaczęli masowo testować produkty różnych producentów. Wyniki ich badań nie były inne: używana żarówka zawsze daje możliwość podłączenia się do sieci domowej jej poprzednich właścicieli. Do czego to może prowadzić?
Od drobnych żartów po upadek
Osoba atakująca, która uzyska dostęp do domowej sieci bezprzewodowej, ma możliwość kontrolowania wszystkich podłączonych do niej urządzeń. I dobrze, jeśli wśród nich jest tylko kilka inteligentnych żarówek: możesz je po prostu odkręcić, zdenerwowany ciągłym mruganiem spowodowanym przez złego życzenia. A co jeśli kamery, zamki elektroniczne, alarmy bezpieczeństwa i inni „przedstawiciele” inteligentnego domu zostaną podłączeni do tej samej sieci?
Zgadza się: włamanie do mieszkania, nagranie kompromitującego filmu i podobne „żarty” mogą poważnie zaszkodzić dobrostanowi finansowemu i psychicznemu byłych właścicieli inteligentnej żarówki.
No cóż, co się stanie, jeśli będziemy kontynuować eksperyment logiczny, biorąc pod uwagę dość powszechny zwyczaj używania wszędzie tego samego hasła, od kont w serwisach społecznościowych po konta bankowe? Perspektywy są ponure, ponieważ hipotetyczny atakujący ma już hasło umożliwiające dostęp do wszystkich tych stron.
Ale czy to oznacza, że tylko ci, którzy nie przejmowali się różnorodnością i złożonością haseł, powinni bać się łączenia się ze swoją siecią domową? Zupełnie nie. Nie należy też polegać na tym, że względna „ubóstwo” osoby, która wyrzuciła inteligentną żarówkę, posłuży jako warunkowa ochrona przed hakerami.
Osławiony „cel jak sokół” pomoże tylko wtedy, gdy atakujący szuka łatwego sposobu na zarobienie pieniędzy. Jeśli jednak będzie szukał sposobu na zabezpieczenie się, planując nielegalne działania na dużą skalę, nie będzie specjalnie dbał o Twoje dobro. Po prostu połączy się z Twoją siecią i wykona swoją pracę (włamie się do systemu bankowego, wyśle materiały ekstremistyczne lub zrobi inną paskudną rzecz, która mu się spodoba).
dobrze więc służby prowadzące dochodzenie w sprawie przestępstwa w pierwszej kolejności skontaktują się z osobą, za pośrednictwem której sieci doszło do przestępstwa. A potem udowodnij, że „mój dom jest na krawędzi”. Nawet jeśli śledztwo posunie się do przodu, minie dużo czasu, zanim eksperci udowodnią Twoją niewinność.
Jak się chronić
Warto zrozumieć, że powyższe informacje nie są wezwaniem do porzucenia inteligentnych żarówek – postęp idzie do przodu i głupotą byłoby pozbawiać się jego zalet. Zwłaszcza biorąc pod uwagę, że tego typu problemy z bezpieczeństwem są powszechną cechą większości urządzeń współpracujących z siecią bezprzewodową Wi-Fi.
Celem tego artykułu jest jedynie ostrzeżenie: mogą wystąpić problemy. Cóż, żeby ją ostrzec, wystarczy po prostu podejść do definicji „śmieci” nieco poważniej i zdewaluować wyrzuconą elektronikę w oczach przestępców. Jak? Tak, bardzo proste - wykończ inteligentną żarówkę młotkiem, niszcząc płytkę drukowaną, a dopiero potem wyrzuć ją do kosza.
