Підключення все більшої кількості різноманітних пристроїв, в тому числі побутової техніки, викликає заклопотаність у фахівців з кібербезпеки. Співробітник відомої компанії Avast – дослідник Мартін Хрон (Martin Hron), – показав, що для успішного злому «розумної» кавомашини їй навіть не потрібно бути підключеною до мережі. А вже у що зловмисник зможе перетворити кухню будинку або офісу – це словами не описати.
Якщо виробники не почнуть сприймати безпеку «розумних» пристроїв всерйоз, кількість кібератак буде тільки збільшуватися
Мартін і його колеги хотіли перевірити дві гіпотези – наскільки захищена «розумна» кавоварка навіть якщо її не підключали до місцевої мережі, і чи можна з її допомогою «Майнити» криптовалюту. В рамках свого дослідження вони встановили, що в стані «з коробки» пристрій вже повністю готовий до атаки і ніяких захисних програмних механізмів не передбачено. Кавоварка при включенні запускає відкриту мережу Wi-Fi і можна відразу ж підключатися до неї з будь-якого смартфона.
Іншими словами, якщо після установки побутової техніки навіть без використання «розумних» функцій хтось не турбувався зміною налаштувань зі значень «за замовчуванням», її мережевий інтерфейс відкритий для будь-кого, хто знаходиться поблизу.
Потім Хрон вивчив апаратну частину і з’ясував, що мікроконтролери на материнській платі виробу цілком собі поширені, тому для них існує велика кількість документації. Це означає, що модифікувати прошивку, в теорії, теж буде нескладно.
На практиці потрібно було навіть менше часу, ніж очікувалося. Процес оновлення програмного забезпечення кавоварки відбувається за допомогою смартфона користувача – той підключається до кавомашини, потім викачує файл прошивки з сервера виробника і відправляє його на пристрій. Дослідники просто перехопили цей файл, декомпілювати його, вивчили і «трошки» модифікували.
Насамперед побутову техніку змусили робити блокчейн криптовалюти Monero. Зроблено це було, звичайно ж, виключно заради сміху – продуктивність процесора кавомашини вкрай мала. Але потім Мартін показав, як може виглядати блокування пристрою з вимогою заплатити викуп для відновлення працездатності. Радимо подивитися розміщене нижче відео, такого сюрпризу точно не зрадіє жоден працівник офісу або власник цього чуда техніки на своїй кухні. Зупинити вакханалію можна тільки висмикнувши кавоварку з розетки.
У підсумку фахівці Avast висловлюють серйозну заклопотаність. Вони описали наскільки потенційних стратегій атаки на кавоварку та відзначили повну відсутність будь-якого захисту. Оскільки у побутової техніки, навіть якщо вона «розумна», життєвий цикл становить п’ять-десять років, подібні пристрої стають не просто проломом, а справжніми воротами для зловмисників в мережу будинку або офісу на довгі роки. А виробники навіть не почали робити які-небудь заходи, щоб цьому запобігти. Адже хакери можуть не тільки викуп вимагати ламаючи техніку, а й розмістити трояна, який рано чи пізно розійдеться по всій організації, або непомітно перехоплювати трафік в мережі підприємства і відправляти його на віддалений сервер.
Натхнення: www.popmech.ru