Донченко Андрій Григорович

студент Кафедри Технічної Кібернетики

Національний технічний університет України

«Київський політехнічний інститут імені Ігоря Сікорського»

Україна, м.Київ

 Анотація: У даній статті піднімається питання безпеки розумних будинків. Розглянуто основні загрози і вразливості розумних будинків, крім того виділені проблеми, до яких може призвести реалізація загроз, також представлений приклад вразливості.

 Ключові слова: розумний будинок, інтернет речей (IoT), загрози безпеки, вразливості, програмне забезпечення (ПЗ).

 Система «розумний будинок» - це практично повна автоматизація управління девайсами, пристроями у всіх кімнатах і приміщеннях будинку, а також офісах, квартирах і т.д. Система управляє як окремими блоками, так і всім в цілому. Під «розумним» будинком слід розуміти систему, яка забезпечує безпеку і ресурсозбереження (в тому числі і комфорт) для всіх користувачів. У найпростішому випадку вона повинна вміти розпізнавати конкретні ситуації, що відбуваються в будинку, і відповідним чином на них реагувати: одна з систем може управляти поведінкою інших по заздалегідь визначеним алгоритмам. Крім того, від автоматизації декількох підсистем забезпечується синергетичний ефект для всього комплексу.

 Розумний будинок самостійно відключає електроприлади, переводить їх в сплячий режим при відсутності людей. При необхідності система дозволяє в будь-який час переводити автоматичне керування обладнанням в ручний режим. Але будь-яка система не може бути ідеальною, в даній роботі розглянуті основні загрози і вразливості розумних будинків. Загрозами інформаційної безпеки є порушення конфіденційності, цілісності та доступності інформації.

 Загрози конфіденційності - це загрози, які призводять до небажаного розкриття конфіденційної інформації. Під загрозами конфіденційній інформації прийнято розуміти потенційні чи реально можливі дії по відношенню до інформаційних ресурсів, що призводять до неправомірного оволодіння даними, які охороняються [2]. Наприклад, порушення конфіденційності в системах домашнього моніторингу можуть привести до ненавмисного розкриття конфіденційних медичних даних. Навіть такі дані, як внутрішня температура будинку, можуть використовуватися для визначення того, зайнятий будинок чи ні. Втрата конфіденційності в таких речах, як ключі та паролі, призведе до несанкціонованих загроз доступу до системи.

 Загрози доступу, ймовірно, є найбільшими загрозами. Несанкціонований доступ до системного контролеру, особливо на рівні адміністратора, робить всю систему небезпечною. Це може бути пов'язано з неправильним управлінням паролями і ключами або з неавторизованими пристроями, що підключаються до мережі. Навіть якщо контроль не може бути отриманий, несанкціоноване підключення до мережі може викрасти пропускну здатність мережі або привести до відмови в обслуговуванні законним користувачам. Оскільки багато пристроїв розумного будинку можуть працювати від батареї і мати бездротову мережу з низьким робочим циклом, переповнення мережі запитами може привести до атаки з виснаженням енергії - формі відмови в обслуговуванні. 

 Суттєвою вразливістю є доступність мережевої системи. Оскільки сучасні системи «розумний будинок» підключені до Інтернету, атаки можуть проводитися дистанційно, або за допомогою прямого доступу до мережевих інтерфейсів управління, або шляхом завантаження шкідливих програм на пристрої.

 Фізична доступність системи також є проблемою. Як для бездротових технологій, так і для операторів зв'язку по лініях електропередачі, до фізичних мереж можна отримати доступ зовні, навіть якщо сам будинок надійно заблокований.

 Наступна вразливість - обмежені системні ресурси. Контролери пристроїв традиційно представляли собою невеликі 8-розрядні мікроконтролери з дуже обмеженими обчислювальними ресурсами і ресурсами збереження, що обмежувало їх здатність реалізовувати складні алгоритми безпеки.

 Системна неоднорідність також є вразливістю. Пристрої поставляються багатьма виробниками з різними мережевими стандартами і різними можливостями оновлення програмного забезпечення. Часто пристрої мають мало або взагалі не мають документації по своєму внутрішньому програмному забезпеченню, операційних системах і встановлених механізмах безпеки.

 Фіксована прошивка - ще одна проблема. Існує дуже мало розумних побутових приладів, які надають будь-які регулярні послуги з оновлення програмного забезпечення для виправлення вразливостей. 

 Повільне впровадження стандартів - це вразливість. У той час як деякі пропрієтарні системи, такі як підсистема моніторингу працездатності, можуть мати добре розроблену, відповідаючу стандартам безпеку, більшість сучасних пристроїв розумного будинку реалізують кілька, якщо взагалі застосовують, підходів до безпеки.

 На мою думку, суттєвою вразливістю є брак професійних спеціалістів з безпеки, які можуть керувати всіма складнощами мережі «розумний будинок». Мало хто з домовласників може дозволити собі професійну допомогу в управлінні домашньої мережею [3]. Замість цього домовласники-любителі повинні мати можливість самостійно, безпечно і надійно управляти своїми системами.

 Наприклад, домовласник може припустити, що його веб-камера доступна тільки користувачам, яким дано ім'я хоста і номер порту. Однак за допомогою пошукових пристроїв, які сканують інтернет-пристрої, таких як Shodan (https://www.shodan.io) [4] і Censys (https://censys.io) [5], які законно шукають доступні датчики, багато пристроїв раптово стають відомі і видимі. Звичайні пошукові системи, такі як Google і Яндекс, сканують Інтернет шляхом пошуку веб-сторінок і переходять по посиланнях на цих сторінках для індексації веб-сторінок, зображень або деяких популярних типів файлів. З іншого боку, пошукові системи, скануючі інтернет-пристрої, працюють як мережевий сканер, скануючи відкриті порти інтернет-вузлів і індексуючи інформацію заголовка або банера, що повертається підключеними пристроями; заголовки або банери відповіді часто включають тип пристрою, модель, постачальника, версію прошивки і іншу інформацію. Крім протоколів HTTP і HTTPS, пошукові машини для сканування інтернет-пристроїв використовують різні протоколи (FTP, SSH, DNS, SIP та RTSP і т. д.). Для підключення до відкритих портів вузлів. Для полегшення доступу, ці пошукові системи також надають інтерфейс прикладного програмування (API) для програмного доступу до своїх результатів пошуку. Зловмисники можуть скористатися цими пошуковими системами для пошуку вразливих пристроїв в Інтернеті. Наприклад, використовуючи ключові слова для пошуку «has_screenshot: true port: 554» в Shodan, ви отримаєте список домашніх камер спостереження з їх IP-адресами, географічним розташуванням і знімками екрану. «Інтернет речей» - це не єдина прикладна область, і підходи до забезпечення безпеки, що використовуються в домашньому додатку «розумний будинок», дуже відрізняються від тих, які можуть бути надані критично важливими додатками в промисловості або комунальних службах. Особлива проблема полягає в тому, що безпека мережі залежить від установки і настройки в основному непідготовленим персоналом. Архітектура шлюзу «розумний будинок», що підтримується веб-службами для автоматичної настройки пристрою та мережі і автоматичного оновлення системи, є рекомендованим підходом до вирішення цих проблем.

Література

1. Система "умный дом". [Електронний ресурс]. – Режим доступу: URL: http://spektr-engineering.ru/sistema-umnyj-dom 

2. Угрозы конфиденциальной информации [Електронний ресурс]. – Режим доступу: URL: https://studfile.net/preview/5178442/page:3/ 

3. Страхи и проблемы будущего умных домов. [Електронний ресурс]. – Режим доступу: URL: https://habr.com/ru/company/iridiummobile/blog/385311/ 

4. Shodan и Censys: опасные гиды по Интернету вещей. [Електронний ресурс]. – Режим доступу: URL: https://www.kaspersky.ru/blog/shodan-censys/11053/ 

5. Что умеет Censys. [Електронний ресурс]. – Режим доступу: URL: https://xakep.ru/2016/01/08/censys/