Главная страница
Навигация по странице:

  • Настройки

  • Collection of watching info

  • GB.smartshare.lgtvsdp.com

  • Искусство быть невидимым. Исскуство быть невидимым. Кевин Митникискусство быть невидимым


    Скачать 1.89 Mb.
    НазваниеКевин Митникискусство быть невидимым
    АнкорИскусство быть невидимым
    Дата05.02.2022
    Размер1.89 Mb.
    Формат файлаpdf
    Имя файлаИсскуство быть невидимым.pdf
    ТипРассказ
    #352277
    страница13 из 18
    1   ...   10   11   12   13   14   15   16   17   18
    Глава 12
    СЛЕЖКА ЧЕРЕЗ ИНТЕРНЕТ
    Несколько лет назад никто не думал о термостате в вашем доме. Это был простой управляемый вручную термостат, позволяющий поддерживать в доме комфортную температуру. Позднее термостаты стали программируемыми. А затем компания Nest решила, что у вас должна быть возможность управлять программируемым термостатом с помощью веб-приложения. Вы понимаете,
    к чему я веду, не так ли?
    В одном язвительном обзоре «умного» термостата Honeywell Wi-Fi Smart Touchscreen Thermostat на сайте магазина Amazon пользователь под ником «General» написал, что его бывшая жена забрала у него дом, собаку и значительную часть пенсионных накоплений, но у него остался пароль от термостата Honeywell. Этот пользователь утверждает, что поднимает температуру в доме, пока бывшая жена и ее новый любовник за городом, а затем опускает ее до нормы перед их возвращением. «Могу себе представить, какие счета за электричество они получают. При мысли об этом я улыбаюсь».
    Исследователи, участвующие в конференции Black Hat USA 2014 для специалистов в области информационной безопасности, выявили несколько способов, с помощью которых прошивка термостата Nest может быть скомпрометирована. Следует отметить, что многие из этих способов требуют наличия физического доступа к устройству, то есть кто-то должен войти в ваш дом и подключиться к USB-интерфейсу термостата. Дэниел Буентелло, независимый исследователь в области безопасности, один из четырех докладчиков, чье выступление было посвящено вопросам взлома этого устройства, сказал: «Это компьютер, на который пользователь не может установить антивирус. Хуже того, существует тайная лазейка, которую мог бы использовать злоумышленник.
    Фактически этот прибор может использоваться в качестве устройства слежения».
    Исследователи продемонстрировали видео, в котором было видно, как они изменили интерфейс термостата Nest (сделали его похожим на объектив типа «рыбий глаз», использованный в компьютере HAL 9000) и оснастили его дополнительными функциями. Интересно то, что исследователи не смогли отключить в устройстве функцию автоматической передачи данных,
    поэтому они создали для этого собственный инструмент. Этот инструмент должен был блокировать поток данных в Google, родительскую компанию Nest.
    Комментируя эту презентацию, Зоз Куччиас из компании Nest позднее рассказала ресурсу Venture
    Beat: «Все аппаратные устройства, от ноутбуков до смартфонов, подвержены взлому; эта проблема не уникальна. Речь идет о физическом взломе, требующем физического доступа к самообучающемуся термостату Nest. Если бы злоумышленник сумел попасть в ваш дом, скорее всего, он выбирал бы между установкой собственного устройства и кражей драгоценностей. Такой взлом не ставит под угрозу безопасность наших серверов или соединений с ними, и насколько мы знаем, ни к одному из устройств не был получен доступ, ни одно из них не было скомпрометировано. Безопасность клиентов очень важна для нас, и нашим приоритетом является уязвимость от удаленного взлома. Защититься от этой угрозы можно, купив камеру Dropcam Pro,
    позволяющую наблюдать за домом, пока вас там нет».
    Несколько лет назад никто не думал о термостате в вашем доме. Это был простой управляемый вручную термостат, позволяющий поддерживать в доме комфортную температуру. Позднее термостаты стали программируемыми. А затем компания Nest решила, что у вас должна быть возможность управлять программируемым термостатом с помощью веб-приложения. Вы понимаете,
    к чему я веду, не так ли?
    С приходом Интернета вещей такие компании, как Google, стремятся колонизировать некоторые его области, завладев платформами, которые будут использовать многие другие продукты. Иначе говоря, эти компании хотят, чтобы устройства, созданные другими производителями, подключались именно к их сервисам, а не к каким-то другим. Компании Google принадлежит как DropCam, так и
    Nest, однако она хочет, чтобы к вашему аккаунту Google были подключены и многие другие устройства, например, умные лампочки и радио/видеоняни. Преимущество этого, по крайней мере,
    для Google заключается в возможности сбора большего количества данных о ваших привычках (и это касается любой крупной компании, будь то Apple, Samsung и даже Honeywell).
    Говоря об Интернете вещей, эксперт по компьютерной безопасности Брюс Шнайер заметил: «Это очень похоже на компьютерную индустрию 90-х годов. Никто не обращает внимания на безопасность, никто не загружает обновления, никто ничего не знает — это очень, очень плохо, и однажды на нас обрушатся проблемы. Злоумышленники будут использовать уязвимости, которые невозможно будет устранить».
    Чтобы доказать это, летом 2013 года журналистка Кашмир Хилл провела журналистское расследование, попытавшись самостоятельно взломать компьютер. Используя поисковую систему

    Google, она обнаружила простую фразу, которая позволила ей управлять некоторыми домашними сетевыми концентраторами Insteon. Сетевой концентратор (или хаб) представляет собой центральное устройство, которое обеспечивает доступ к мобильному приложению или непосредственно к Интернету. Через это приложение человек может управлять освещением в своей гостиной, запирать двери дома или регулировать температуру в нем. Подключившись к Интернету,
    владелец может управлять всем этим, находясь, скажем, в командировке.
    Как показала Хилл, злоумышленник также может использовать Интернет для получения удаленного доступа к концентратору. В качестве дополнительного доказательства она обратилась к
    Томасу Хэтли, совершенно незнакомому человеку из Орегона, и спросила, может ли она использовать его дом для проведения своего исследования.
    Находясь в своем доме в Сан-Франциско, Хилл смогла включить и выключить освещение в доме
    Хэтли, находящемся в тысяче километров от нее. Она также могла бы управлять кранами в ванной,
    вентиляторами, телевизорами, водяными насосами, дверями гаража и камерами видеонаблюдения,
    если бы они были подключены к концентратору.
    Проблема (в настоящее время исправленная) заключалась в том, что компания Insteon сделала всю информацию Хэтли доступной через Google. Еще хуже то, что доступ к этой информации в то время не был защищен паролем, поэтому человек, которому стало об этом известно, мог контролировать любой концентратор Insteon, обнаруженный через Интернет. Маршрутизатор Хэтли был защищен паролем, однако его можно было обойти, определив порт, который когда-то использовался системой
    Insteon, что и сделала Хилл.
    «Дом Томаса Хэтли был одним из восьми, к которым я смогла получить доступ, — пишет Хилл. —
    Мне удалось обнаружить важную информацию — не только о том, какие приборы и устройства были в доме, но и о часовых поясах (а также о ближайшем крупном городе), IP-адресах и даже имени ребенка; по-видимому, родители хотели иметь возможность удаленно управлять его телевизором.
    По крайней мере, в трех случаях информации оказалось достаточно для того, чтобы определить реальное местонахождение дома. Имена большинства систем были стандартными, однако в одном случае имя включало название улицы, благодаря чему мне удалось найти конкретный дом в
    Коннектикуте».
    Примерно в то же время подобная проблема была обнаружена Нитешем Данджани, исследователем по вопросам безопасности. Данджани рассматривал систему освещения Philips Hue, которая позволяет владельцу регулировать цвет и яркость лампочки с помощью своего мобильного устройства. Данная лампочка имеет диапазон из шестнадцати миллионов цветов.
    Данджани обнаружил, что простого сценария, внедренного в компьютер домашней сети, было достаточно для осуществления распределенной атаки типа «отказ в обслуживании» (Distributed
    Denial of Service, DDoS) на систему освещения. Другими словами, он по желанию мог отключать освещение в любой комнате, в которой были установлены лампы Philips Hue. Его сценарий содержал простой код, отключающий лампочку при каждой попытке пользователя ее включить. И
    так продолжалось, пока этот код присутствовал на компьютере.
    Данджани сказал, что это может представлять серьезные проблемы для офисного здания или многоквартирного дома. Код отключает освещение, а человек, позвонивший в местную энергетическую компанию, выясняет, что в его районе отключений электроэнергии не было.
    Устройства, входящие в систему домашней автоматизации, доступ к которым осуществляется через
    Интернет, могут стать не просто непосредственной целью DDoS-атак, они также могут быть скомпрометированы и подключены к ботнету — армии инфицированных устройств, управляемой одним оператором, который может использовать их для осуществления DDoS-атак на другие подключенные к Интернету системы. В октябре 2016 года компания под названием Dyn,
    предоставляющая услугу DNS таким крупным веб-брендам, как Twitter, Reddit и Spotify, сильно пострадала от одной из таких атак. Миллионы пользователей в восточной части Соединенных
    Штатов не смогли получить доступ ко многим крупным сайтам из-за того, что их браузерам не удалось подключиться к DNS-сервису компании Dyn.
    Причиной стала вредоносная программа под названием Mirai, сканирующая Интернет в поисках уязвимых устройств, например, камер видеонаблюдения, маршрутизаторов, видеорегистраторов и радио/видеонянь, которые можно захватить и использовать для осуществления дальнейших атак.
    Программа Mirai пытается получить контроль над устройством путем простого угадывания пароля.
    В случае успеха устройство подключается к ботнету и ожидает дальнейших инструкций. Теперь с помощью простой однострочной команды оператор ботнета может заставить сотни тысяч и даже миллионы устройств отправить данные на целевой сайт и наводнить его информацией, что в итоге приведет к его отключению.
    Несмотря на то что вы не можете помешать хакерам осуществить DDoS-атаку на кого-то другого, вы можете стать невидимым для их ботнетов. Первое, что вы должны сделать перед началом
    использования устройства, являющегося частью Интернета вещей, — это изменить пароль на более сложный. Если вы уже используете подобное устройство, то удалить с него любой вредоносный код можно с помощью перезагрузки.
    Первое, что вы должны сделать перед началом использования устройства, являющегося частью
    Интернета вещей, — это изменить пароль на более сложный. Если вы уже используете подобное устройство, то удалить с него любой вредоносный код можно с помощью перезагрузки.
    Компьютерные программы могут контролировать и другие системы умного дома.
    Если в вашем доме есть новорожденный, у вас наверняка есть и радио/видеоняня. Это устройство,
    представляющее собой микрофон, камеру или их сочетание, позволяет родителям следить за своим ребенком, находясь за пределами детской комнаты. К сожалению, эти устройства могут позволить наблюдать за ребенком и посторонним.
    Аналоговые радионяни использовали частоты беспроводной передачи данных в диапазоне от 43 до
    50 МГц. Эти частоты были впервые использованы в 1990-х годах для беспроводных телефонов, и любой обладатель дешевого радиосканера мог легко перехватывать разговоры, причем пользователи этих беспроводных телефонов ни о чем не догадывались.
    Даже сегодня хакер может применить анализатор спектра для определения частоты, используемой конкретной аналоговой радионяней, а затем использовать различные схемы демодуляции для преобразования электрического сигнала в звуковой. Также ему хватило бы полицейского сканера из магазина электроники. Было много судебных разбирательств, в которых участвовали соседи,
    которым использование одинаковых устройств, настроенных на одни и те же каналы, позволяло подслушивать друг друга. В 2009 году Уэс Денков из Чикаго подал в суд на производителя видеоняни Summer Infant Day & Night Baby, заявив, что его сосед может слышать личные разговоры, ведущиеся в его доме.
    В качестве контрмеры вы можете использовать цифровое устройство. Подобные вещи тоже не защищены от прослушивания, однако предусматривают больше параметров конфигурации.
    Например, сразу после покупки вы можете обновить прошивку радио/видеоняни (программное обеспечение, записанное в микросхеме). Также не забудьте изменить имя пользователя и пароль,
    заданные по умолчанию.
    Здесь вы снова можете столкнуться с особенностью устройства, на которую вы не в силах повлиять.
    Нитеш Данджани обнаружил, что беспроводная веб-няня Belkin WeMo использует в приложении токен, который, будучи установлен на мобильное устройство в домашней сети, остается активным постоянно, где бы вы ни находились. Допустим, вы зашли познакомиться со своей новорожденной племянницей и ваш брат предлагает вам загрузить на свой смартфон приложение Belkin через его домашнюю локальную сеть (хорошо, если она защищена паролем WPA2). Теперь у вашего брата есть постоянный доступ к вашему смартфону.
    Данджани отметил, что этот недостаток присутствует во многих взаимосвязанных устройствах
    Интернета вещей. По сути, эти устройства доверяют всему, что подключено к локальной сети. Если в ближайшем времени в нашем доме действительно будет присутствовать двадцать-тридцать таких устройств, как некоторые полагают, то эта модель обеспечения безопасности должна измениться.
    Поскольку все устройства сети являются доверенными, то уязвимость одного из них, например, веб/
    радио/видеоняни, лампочки или термостата, может позволить злоумышленнику удаленно получить доступ к вашей «умной» домашней сети и предоставить ему возможность узнать о ваших привычках еще больше.
    Задолго до появления мобильных приложений существовали пульты дистанционного управления.
    Большинство из нас слишком молоды, чтобы помнить те дни, когда в телевизорах еще не было дистанционного управления и, чтобы переключить программу, надо было вставать с дивана. Или чтобы прибавить громкость. Сегодня мы можем, сидя на диване, управлять телевизором с помощью голосовых команд. Кроме удобства это также означает, что телевизор все время находится в режиме ожидания, чтобы включиться, когда получит команду.
    Задолго до появления мобильных приложений существовали пульты дистанционного управления.
    Большинство из нас слишком молоды, чтобы помнить те дни, когда в телевизорах еще не было дистанционного управления и, чтобы переключить программу, надо было вставать с дивана. Или чтобы прибавить громкость. Сегодня мы можем, сидя на диване, управлять телевизором с помощью голосовых команд. Кроме удобства это также означает, что телевизор все время находится в режиме ожидания, чтобы включиться, когда получит команду.
    Поначалу пульты дистанционного управления должны были находиться в прямой видимости телевизора и использовали для работы свет, а именно инфракрасный луч. Пульт дистанционного управления, работающий от батарейки, излучал последовательность световых вспышек, почти не
    воспринимаемых человеческим глазом, но детектируемых приемником телевизора (отсюда важность прямой видимости). Как выключенный телевизор узнавал, что вы хотите его включить?
    Очень просто — инфракрасный датчик внутри телевизора был включен всегда («находился в режиме ожидания»), готовый в любой момент включить устройство целиком, получив от пульта определенную последовательность инфракрасных вспышек.
    Со временем пульты дистанционного управления телевизором стали использовать радиосигналы.
    Это означало, что вам уже не нужно было стоять прямо перед телевизором; вы могли находиться в стороне от него, а иногда даже в другой комнате. Опять же телевизор находился в режиме ожидания, готовый к тому, чтобы включиться по первому требованию.
    Вернемся к телевизорам, управляемым при помощи голоса. Для них не нужен пульт, который приходится держать в руке и который теряется в самый неподходящий момент. Вместо этого вы произносите что-нибудь вроде «Включить телевизор» или «Привет, телевизор», и телевизор волшебным образом включается.
    Весной 2015 года исследователи по вопросам безопасности Кен Мунро и Дэвид Лодж захотели проверить, не подслушивают ли управляемые голосом телевизоры Samsung ведущиеся в комнате разговоры, даже находясь в выключенном состоянии. Хотя они выяснили, что цифровые телевизоры действительно ничего не делают, пока они отключены (что несколько обнадеживает), они записывают все, что говорится после произнесения простой команды вроде «Привет, телевизор» (то есть они записывают все, пока не получат команды выключиться). Кто из нас помнит о необходимости сохранять абсолютную тишину во время работы телевизора?
    Мы не храним молчание, и еще больше беспокоит то, что сказанное нами (и записанное) после команды «Привет, телевизор» не шифруется. Если мне удастся подключиться к вашей домашней сети, то я смогу подслушать любой разговор, который ведется в вашем доме во время работы телевизора. Аргументом в пользу использования режима ожидания является то, что устройство ожидает получить от вас дополнительные команды, например, «Увеличить громкость»,
    «Переключить канал» или «Отключить звук». Все бы ничего, да только захваченные голосовые команды посылаются на спутник, прежде чем будут обработаны. А поскольку поток данных не шифруется, я могу осуществить атаку посредника (Man-in-the-Middle) на ваш телевизор, по своему желанию подавая ему свои собственные команды для переключения канала, изменения уровня громкости или отключения телевизора.
    Давайте на мгновение задумаемся об этом. Это означает, что если вы находитесь в комнате с телевизором, управляемым голосом, и в середине беседы с кем-то решаете включить его, то этот цифровой телевизор может записать весь ваш последующий разговор. Более того, записанная беседа о предстоящей продаже выпечки в начальной школе может быть передана на сервер,
    находящийся очень далеко от вашего дома. Фактически компания Samsung передает эти данные не только себе, но и другой компании под названием Nuance, занимающейся распознаванием речи.
    Теперь эти две компании обладают важной информацией о предстоящей продаже выпечки.
    Однако давайте посмотрим правде в глаза: обычно в своей гостиной вы говорите не о продаже выпечки. Вы можете говорить о чем-то незаконном, чем могут заинтересоваться правоохранительные органы. Вполне вероятно, что эти компании будут информировать полицию,
    однако если правоохранительные органы уже интересуются вами, они могут получить ордер,
    заставляющий эти компании предоставить им полные стенограммы ваших разговоров. «Очень
    жаль, но вас сдал ваш умный телевизор…»
    В свою защиту компания Samsung заявила, что подобное подслушивание предусмотрено соглашением о конфиденциальности, которое все пользователи неявно принимают, включая телевизор. Однако когда вы последний раз читали соглашение о конфиденциальности перед первым включением устройства? Компания Samsung заявила о том, что в ближайшем будущем все коммуникации с ее телевизорами будут зашифрованы. Тем не менее по состоянию на 2015 год большинство моделей, представленных на рынке, используют открытые каналы связи.
    К счастью, существуют способы отключить эту функцию слежения на вашем телевизоре Samsung, а возможно, и на телевизорах других производителей. Для пользователей телевизоров Samsung Smart
    TV: перейдите в меню Настройки —> Поддержка — > Условия и политика —> Условия
    распознавания голосом (Settings —> Support —> Terms & Policy —> Voice Recognition Terms) и откажитесь от условий соглашения. Учтите, что, если вы не хотите, чтобы ваш телевизор записывал конфиденциальные разговоры в вашем доме, вам придется пожертвовать возможностью управлять им с помощью голосовых команд. При этом вы по-прежнему сможете выбрать кнопку включения микрофона на пульте дистанционного управления и произнести команду. Или встать с дивана и переключить программу самостоятельно. Я знаю. Жизнь трудна.
    Проблема незашифрованных потоков данных касается не только компании Samsung. При тестировании умных телевизоров компании LG один исследователь обнаружил, что данные отправляются в LG через Интернет каждый раз, когда зритель переключает канал.

    Кроме того, на этом телевизоре есть функция Collection of watching info (Сбор информации о просмотре), которая включена по умолчанию. Ваша «информация о просмотре» включает имена файлов, хранящихся на любом USB-накопителе, который вы подключаете к телевизору LG, скажем,
    с фотографиями, сделанными во время семейного отпуска. Исследователи провели еще один эксперимент, создав фиктивный видеофайл и загрузив его на USB-накопитель, который затем подключили к своему телевизору. Проанализировав сетевой трафик, они обнаружили, что имя этого видеофайла было передано в незашифрованном виде по протоколу HTTP и отправлено на адрес
    GB.smartshare.lgtvsdp.com.
    Компания Sensory, которая разрабатывает встроенные решения для распознавания речи для умных устройств, считает, что может сделать в этом направлении еще больше. «Мы считаем, что магия
    [умных телевизоров] заключается в том, чтобы все время оставаться в режиме ожидания, — говорит
    Тодд Мозер, главный исполнительный директор компании Sensory. — Сейчас на [слушание]
    тратится слишком много энергии. Компания Samsung сделала действительно разумную вещь,
    разработав режим ожидания. Мы хотим пойти еще дальше и сделать так, чтобы телевизор все время оставался включенным и слушал независимо от того, где вы находитесь».
    Теперь, когда вы знаете, на что способен ваш цифровой телевизор, вы, вероятно, спрашиваете себя:
    может ли ваш сотовый телефон подслушивать, находясь в выключенном состоянии? На этот вопрос существует три ответа: «да», «нет» и «сложно сказать».
    В сообществе экспертов по вопросам защиты информации есть люди, которые утверждают, что необходимо вытащить аккумулятор из выключенного смартфона, чтобы быть уверенным в том, что он вас не подслушивает. Это не доказано и, похоже, является просто шуткой. Итак, есть люди,
    уверяющие нас в том, что достаточно просто выключить телефон и все. Однако я думаю, что на самом деле бывают случаи, например, если на смартфоне установлено вредоносное ПО, когда он не полностью отключается и по-прежнему может записывать разговоры, ведущиеся поблизости. Так что это зависит от множества факторов.
    Существуют телефоны, которые «просыпаются», когда вы произносите волшебную фразу, подобно телевизорам с голосовым управлением. Это означает, что телефоны все время слушают, ожидая волшебной фразы. Это также подразумевает, что сказанное каким-то образом записывается или передается. Если на телефоне установлено вредоносное ПО, его камера или микрофон могут активироваться, когда пользователь по нему не разговаривает. Но, на мой взгляд, эти случаи весьма редки.
    Однако вернемся к главному вопросу. В сообществе экспертов по вопросам конфиденциальности информации есть люди, настаивающие на возможности активировать телефон, когда он выключен.
    Существует вредоносное ПО, создающее впечатление того, что телефон выключен, когда на самом деле это не так. Однако возможность того, что кто-то может активировать выключенный телефон
    (при отсутствии питания от аккумулятора) представляется мне невероятной. В принципе,
    злоумышленник может использовать любое устройство с аккумулятором, позволяющим программному обеспечению находиться в рабочем состоянии. С помощью бэкдора в коде прошивки легко создать впечатление, что устройство выключено, когда это не так. В отсутствие питания устройство ничего не может сделать. Или может? Некоторые люди до сих пор утверждают, что АНБ
    установила в наши телефоны чипы, которые снабжают их электроэнергией и позволяют следить за нами, даже когда телефон физически выключен (то есть когда из него извлечен аккумулятор).
    Таким образом, ваш смартфон, компьютер или автономное устройство на кофейном столике подключены к облачным сервисам, позволяющим устройствам реагировать на голосовые команды вроде: «Siri, где находится ближайшая заправочная станция?» Это означает, что они слушают.
    И если это вас не беспокоит, знайте, что результаты поиска, осуществляемого этими сервисами,
    записываются и хранятся вечно.
    Вечно.
    Вне зависимости от того, способен ли ваш телефон вас подслушивать, браузер, который вы на нем используете, на это определенно способен. Примерно в 2013 году компания Google запустила расширение Google Voice Search Hotword с функцией голосового поиска, позволяющее с помощью простой голосовой команды активировать в браузере Chrome режим прослушивания. За ней последовали другие — компания Apple разработала систему Siri, корпорация Microsoft — систему
    Cortana, а компания Amazon — сервис Alexa. Таким образом, ваш смартфон, компьютер или автономное устройство на кофейном столике подключены к облачным сервисам, позволяющим устройствам реагировать на голосовые команды вроде: «Siri, где находится ближайшая заправочная станция?» Это означает, что они слушают. И если это вас не беспокоит, знайте, что результаты поиска, осуществляемого этими сервисами, записываются и хранятся вечно.
    Вечно.

    Итак, что же слышат эти устройства? На самом деле не ясно, что они делают, когда не отвечают на вопросы и не управляют телевизором. Например, проверив традиционную версию браузера Chrome для компьютера, исследователи обнаружили, что кто-то — Google? — по-видимому, все время подслушивает, используя микрофон компьютера. Эта функция попала в браузер Chrome из его версии с открытым исходным кодом под названием Chromium. В результате дальнейшего расследования они выяснили, что браузер включает микрофон по умолчанию. Несмотря на то что эта функция являлась частью программного обеспечения с открытым исходным кодом, она не была доступна для исследования.
    С этим связано несколько проблем. Во-первых, программное обеспечение с открытым исходным кодом позволяет людям исследовать этот код, однако в данном случае фрагмент кода представлял собой черный ящик, поскольку его никто не проверял. Во-вторых, данный код попал в популярную версию браузера в процессе автоматического обновления, производимого компанией Google, от которого пользователи не могут отказаться. По состоянию на 2015 год компания Google так и не удалила его. Она предоставила людям возможность отказаться от использования этой функции, что,
    однако, требует наличия у них продвинутых навыков кодирования, поэтому среднестатистический пользователь не может сделать это самостоятельно.
    Существуют и другие, более простые способы защиты от этой функции слежения в браузере Chrome и других программах. Что касается веб-камеры, просто заклейте ее непрозрачным скотчем. Одной из лучших защит для микрофона является установка заглушки, микрофонного штекера, в соответствующее гнездо на корпусе компьютера. Для этого возьмите старые сломанные наушники и просто отрежьте провод, оставив один штекер. Теперь вставьте этот штекер в гнездо для микрофона. Ваш компьютер будет ошибочно считать, что к нему подключен микрофон. Конечно,
    если вы захотите позвонить через Skype или какой-либо другой онлайн-сервис, вам сначала нужно будет вытащить этот штекер. Кроме того — и это очень важно, — убедитесь в том, что два провода микрофонного штекера не соприкасаются друг с другом, чтобы не повредить порт микрофона.
    Помимо других устройств в доме работает умный динамик Amazon Echo, позволяющий пользователям голосовыми командами заказывать фильмы и другие товары в магазине Amazon.
    Echo также всегда находится во включенном состоянии в режиме ожидания, слушая каждое слово,
    ожидая «команды для пробуждения». Поскольку функционал Amazon Echo шире, чем у умного телевизора, перед тем как воспользоваться сервисом впервые, нужно наговорить ему примерно 25
    разнообразных фраз, чтобы обучить его. Система Amazon может рассказать вам о погоде на улице,
    сообщить результаты последних спортивных соревнований, а также заказать тот или иной товар из ассортимента магазина, если вы попросите об этом. Учитывая общий характер некоторых фраз,
    распознаваемых системой Amazon, например: «Будет ли завтра дождь?», разумно предположить,
    что система Echo может слышать гораздо больше, чем ваш умный телевизор.
    К счастью, компания Amazon предусмотрела способы удаления ваших голосовых данных из системы
    Echo. Если вы хотите удалить все данные (например, планируете продать кому-то свой динамик
    Echo), вам придется сделать это через сайт компании.
    Несмотря на то что для пробуждения всех этих устройств, управляемых голосом, требуется ключевая фраза, все еще не ясно, что каждое из устройств делает, находясь в режиме ожидания,
    когда никто не дает ему никаких команд. По возможности отключайте функцию активации голосом в настройках устройства. При необходимости вы всегда сможете снова ее включить.
    Теперь помимо системы Amazon Echo, телевизора и термостата к Интернету вещей присоединился и холодильник.
    Холодильник?
    Компания Samsung объявила о выпуске модели холодильника, которая подключается к вашему календарю Google для отображения предстоящих событий на плоском экране дверцы устройства, на месте которого раньше была простая белая поверхность. Только теперь холодильник подключается к Интернету через вашу учетную запись Google.
    При разработке этого умного холодильника компания Samsung сделала несколько вещей. Она использовала соединение SSL/HTTPS для шифрования трафика между холодильником и сервером службы Google Календарь. Затем компания предоставила свой футуристический холодильник для тестирования в ходе DEF CON23 — одной из крупнейших хакерских конференций в мире.
    Однако, согласно исследователям по вопросам безопасности Кену Мунро и Дэвиду Лоджу, которым ранее удалось взломать цифровой телевизор, компания Samsung не проверила сертификат,
    используемый при взаимодействии с серверами Google и при получении информации Google
    Календаря. Сертификат подтвердил бы безопасность соединения между холодильником и серверами Google. Однако без него злоумышленник мог бы создать свой собственный сертификат и перехватить трафик между холодильником и Google.

    Ну и что?
    Дело в том, что, подключившись к вашей домашней сети, злоумышленник может получить доступ не только к вашему холодильнику и заставить молоко и яйца испортиться, но и к вашей учетной записи Google, осуществив атаку посредника на программу-клиента холодильника, украсть ваши учетные данные для входа в систему Google, прочитать вашу электронную переписку, а может быть,
    нанести и гораздо более серьезный ущерб.
    Умные холодильники пока еще не используются повсеместно. Однако разумно предположить, что по мере подключения все большего количества устройств к Интернету и даже к домашней сети мы будем сталкиваться с проблемами безопасности. И это вызывает опасения, особенно когда уязвимым может оказаться что-то очень личное и ценное, например ваш дом.
    Компании, работающие в области Интернета вещей, разрабатывают приложения, способные превратить любое устройство в домашнюю систему безопасности. Например, телевизор может быть оснащен камерой. В этом случае с помощью установленных на смартфоне или планшете приложений вы сможете удаленно наблюдать за комнатой в вашем доме или офисе. А при обнаружении движения внутри дома или снаружи также может включаться освещение.
    Рассмотрим сценарий: вы подъезжаете к своему дому, приложение системы охранной сигнализации на вашем смартфоне или в автомобиле узнает о вашем прибытии благодаря встроенной функции геолокации. На расстоянии пятнадцати метров от дома приложение передает домашней системе сигнализации команду разблокировать дверь дома или гаража (приложение на вашем смартфоне уже подключилось к дому и прошло процедуру аутентификации). Затем система сигнализации передает системе домашнего освещения команду включить свет на крыльце при входе в дом и, по желанию, в гостиной или на кухне. Кроме того, вам может захотеться, войдя в свой дом, услышать тихую классическую музыку или одну из последних популярных композиций из подборки музыкального сервиса вроде Spotify, воспроизводимую «умным» музыкальным центром. И конечно,
    при вашем возвращении температура в доме должна подниматься или понижаться, в зависимости от времени года и ваших предпочтений.
    Домашние системы охранной сигнализации стали популярны в начале двадцать первого века. Тогда установка подобной системы предполагала монтаж проводных датчиков на дверях и окнах дома.
    Эти датчики подключались к единому концентратору, подключенному к обычной телефонной линии для отправки и получения сообщений от службы мониторинга. Вы активировали систему сигнализации, и если кто-либо пытался открыть двери или окна вашего дома, служба мониторинга связывалась с вами, как правило, по телефону. На случай аварийного отключения электропитания обычно был предусмотрен аккумулятор. Обратите внимание на то, что линия стационарного телефона могла перестать работать только в случае обрыва.
    Когда многие люди избавились от привязки к стационарным телефонам и стали полагаться исключительно на сотовую связь, компании, занимающиеся мониторингом сигналов тревоги,
    начали предлагать свои услуги, основанные уже на ней. В последнее время они переключились на веб-сервисы.
    Теперь на дверях и окнах устанавливаются беспроводные датчики. Однако, избавившись от необходимости протягивать уродливый кабель, мы столкнулись с большими рисками. Эксперты в области безопасности неоднократно замечали, что эти датчики не шифруют свой трафик.
    Злоумышленнику достаточно всего лишь перехватить сообщения, которыми обмениваются устройства, чтобы воспользоваться их уязвимостью. Например, если мне удастся получить доступ к вашей локальной сети, я смогу перехватить сообщения, которыми сервера вашей охранной компании обмениваются с устройством в вашем доме (если они передаются по той же локальной сети и не зашифрованы), и, манипулируя этими сообщениями, я могу управлять вашим «умным»
    домом, передавая ему подложные команды.
    В настоящее время компании позволяют пользователю самому следить за своим домом. При срабатывании какого-либо из датчиков на ваш сотовый телефон приходит текстовое сообщение или специальное приложение позволяет увидеть изображение, полученное с установленной внутри дома веб-камеры. В любом случае вы сами все контролируете и наблюдаете за своим домом самостоятельно. И это здорово до тех пор, пока в вашем доме не отключится Интернет.
    Даже при работающем Интернете злоумышленники могут вмешаться в работу беспроводных систем сигнализации. Например, атакующий может подавать ложные сигналы тревоги (за каждый из которых домовладельцу, скорее всего, придется платить). Устройства, вызывающие ложное срабатывание сигнализации, могут находиться перед вашим домом или на расстоянии до 230
    метров. Слишком большое количество ложных сигналов тревоги может подорвать доверие к системе (и стоить домовладельцу огромных денег).
    Кроме того, злоумышленник может создать помехи для сигнала беспроводного датчика с помощью радиошумов, чтобы нарушить его связь с концентратором или панелью управления. Это мешает
    срабатыванию сигнала тревоги, фактически устраняя защиту и позволяя преступнику войти в дом.
    Многие люди установили в своих домах веб-камеры — будь то для обеспечения безопасности, для наблюдения за уборщицей, няней, престарелым родственником, не выходящим из дома, или за любимым человеком, которому требуется особый уход. К сожалению, многие из этих работающих через Интернет веб-камер уязвимы для удаленных атак.
    Существует общедоступная поисковая система под названием Shodan, позволяющая находить любые необычные устройства, подключенные к Интернету. Через Shodan можно обнаружить не только устройства из сферы Интернета вещей, работающие в домах, но и внутренние сети муниципальных коммунальных компаний и систем промышленного контроля, чьи сервера из-за неправильной конфигурации оказались доступны через публичный Интернет. Она также предоставляет доступ к бесчисленным видеопотокам с неправильно сконфигурированных коммерческих веб-камер, работающих по всему миру. Согласно оценкам, ежедневно около ста тысяч веб-камер передают данные через Интернет без какой-либо защиты.
    Среди них есть веб-камеры компании D-Link, по умолчанию не предусматривающие прохождение процедуры аутентификации, которые могут использоваться для наблюдения за людьми и их личной жизнью (в зависимости от того, на что именно настроены эти камеры). Злоумышленник может использовать фильтры Google для поиска веб-камер D-link. Затем он может найти модели, по умолчанию не предусматривающие аутентификации, а затем перейти на веб-сайт вроде Shodan,
    щелкнуть по ссылке и на досуге просматривать транслируемое с них видео.
    Чтобы этого не допустить, отключайте свои веб-камеры от Интернета, когда вы их не используете.
    Для большей уверенности отключайте их физически. При их использовании убедитесь, что на них настроена процедура аутентификации, а также установите сложный пароль вместо заданного по умолчанию.
    Если вы считаете, что ваша персональная информация не защищена в вашем доме, подождите, пока не узнаете о том, что творится у вас на рабочем месте. Об этом мы поговорим в следующей главе.

    1   ...   10   11   12   13   14   15   16   17   18


    написать администратору сайта