Чтобы доказать это, летом 2013 года журналистка Кашмир Хилл провела журналистское расследование, попытавшись самостоятельно взломать компьютер. Используя поисковую систему Google, она обнаружила простую фразу, которая позволила ей управлять некоторыми домашними сетевыми концентраторами Insteon. Сетевой концентратор (или хаб) представляет собой центральное устройство, которое обеспечивает доступ к мобильному приложению или непосредственно к Интернету. Через это приложение человек может управлять освещением в своей гостиной, запирать двери дома или регулировать температуру в нем. Подключившись к Интернету, владелец может управлять всем этим, находясь, скажем, в командировке.
Как показала Хилл, злоумышленник также может использовать Интернет для получения удаленного доступа к концентратору. В качестве дополнительного доказательства она обратилась к Томасу Хэтли, совершенно незнакомому человеку из Орегона, и спросила, может ли она использовать его дом для проведения своего исследования.
Находясь в своем доме в Сан-Франциско, Хилл смогла включить и выключить освещение в доме Хэтли, находящемся в тысяче километров от нее. Она также могла бы управлять кранами в ванной, вентиляторами, телевизорами, водяными насосами, дверями гаража и камерами видеонаблюдения, если бы они были подключены к концентратору.
Проблема (в настоящее время исправленная) заключалась в том, что компания Insteon сделала всю информацию Хэтли доступной через Google. Еще хуже то, что доступ к этой информации в то время не был защищен паролем, поэтому человек, которому стало об этом известно, мог контролировать любой концентратор Insteon, обнаруженный через Интернет. Маршрутизатор Хэтли был защищен паролем, однако его можно было обойти, определив порт, который когда-то использовался системой Insteon, что и сделала Хилл.
«Дом Томаса Хэтли был одним из восьми, к которым я смогла получить доступ, — пишет Хилл. — Мне удалось обнаружить важную информацию — не только о том, какие приборы и устройства были в доме, но и о часовых поясах (а также о ближайшем крупном городе), IP-адресах и даже имени ребенка; по-видимому, родители хотели иметь возможность удаленно управлять его телевизором. По крайней мере, в трех случаях информации оказалось достаточно для того, чтобы определить реальное местонахождение дома. Имена большинства систем были стандартными, однако в одном случае имя включало название улицы, благодаря чему мне удалось найти конкретный дом в Коннектикуте»231.
Примерно в то же время подобная проблема была обнаружена Нитешем Данджани, исследователем по вопросам безопасности. Данджани рассматривал систему освещения Philips Hue, которая позволяет владельцу регулировать цвет и яркость лампочки с помощью своего мобильного устройства. Данная лампочка имеет диапазон из шестнадцати миллионов цветов.
Данджани обнаружил, что простого сценария, внедренного в компьютер домашней сети, было достаточно для осуществления распределенной атаки типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) на систему освещения. Другими словами, он по желанию мог отключать освещение в любой комнате, в которой были установлены лампы Philips Hue. Его сценарий содержал простой код, отключающий лампочку при каждой попытке пользователя ее включить. И так продолжалось, пока этот код присутствовал на компьютере.
Данджани сказал, что это может представлять серьезные проблемы для офисного здания или многоквартирного дома. Код отключает освещение, а человек, позвонивший в местную энергетическую компанию, выясняет, что в его районе отключений электроэнергии не было.
Устройства, входящие в систему домашней автоматизации, доступ к которым осуществляется через Интернет, могут стать не просто непосредственной целью DDoS-атак, они также могут быть скомпрометированы и подключены к ботнету — армии инфицированных устройств, управляемой одним оператором, который может использовать их для осуществления DDoS-атак на другие подключенные к Интернету системы. В октябре 2016 года компания под названием Dyn, предоставляющая услугу DNS таким крупным веб-брендам, как Twitter, Reddit и Spotify, сильно пострадала от одной из таких атак. Миллионы пользователей в восточной части Соединенных Штатов не смогли получить доступ ко многим крупным сайтам из-за того, что их браузерам не удалось подключиться к DNS-сервису компании Dyn.
Причиной стала вредоносная программа под названием Mirai, сканирующая Интернет в поисках уязвимых устройств, например, камер видеонаблюдения, маршрутизаторов, видеорегистраторов и радио/видеонянь, которые можно захватить и использовать для осуществления дальнейших атак. Программа Mirai пытается получить контроль над устройством путем простого угадывания пароля. В случае успеха устройство подключается к ботнету и ожидает дальнейших инструкций. Теперь с помощью простой однострочной команды оператор ботнета может заставить сотни тысяч и даже миллионы устройств отправить данные на целевой сайт и наводнить его информацией, что в итоге приведет к его отключению.
Несмотря на то что вы не можете помешать хакерам осуществить DDoS-атаку на кого-то другого, вы можете стать невидимым для их ботнетов. Первое, что вы должны сделать перед началом использования устройства, являющегося частью Интернета вещей, — это изменить пароль на более сложный. Если вы уже используете подобное устройство, то удалить с него любой вредоносный код можно с помощью перезагрузки.
Первое, что вы должны сделать перед началом использования устройства, являющегося частью Интернета вещей, — это изменить пароль на более сложный. Если вы уже используете подобное устройство, то удалить с него любой вредоносный код можно с помощью перезагрузки.
Компьютерные программы могут контролировать и другие системы умного дома.
Если в вашем доме есть новорожденный, у вас наверняка есть и радио/видеоняня. Это устройство, представляющее собой микрофон, камеру или их сочетание, позволяет родителям следить за своим ребенком, находясь за пределами детской комнаты. К сожалению, эти устройства могут позволить наблюдать за ребенком и посторонним.
Аналоговые радионяни использовали частоты беспроводной передачи данных в диапазоне от 43 до 50 МГц. Эти частоты были впервые использованы в 1990-х годах для беспроводных телефонов, и любой обладатель дешевого радиосканера
[23] мог легко перехватывать разговоры, причем пользователи этих беспроводных телефонов ни о чем не догадывались.
Даже сегодня хакер может применить анализатор спектра для определения частоты, используемой конкретной аналоговой радионяней, а затем использовать различные схемы демодуляции для преобразования электрического сигнала в звуковой. Также ему хватило бы полицейского сканера из магазина электроники. Было много судебных разбирательств, в которых участвовали соседи, которым использование одинаковых устройств, настроенных на одни и те же каналы, позволяло подслушивать друг друга. В 2009 году Уэс Денков из Чикаго подал в суд на производителя видеоняни Summer Infant Day & Night Baby, заявив, что его сосед может слышать личные разговоры, ведущиеся в его доме232.
