• facebook
  • Linkedin
  • твітэр
  • Google
  • youtube

Гэтую папулярную сістэму бесправадной сігналізацыі можна ўзламаць з дапамогай магніта і скотчу

 

жанчыны крычаць гукавы сігналЖылыя сістэмы сігналізацыі становяцца ўсё больш папулярнымі і даступнымі з-за высокатэхналагічных канкурэнтаў традыцыйным пастаўшчыкам, такім як ADT, некаторыя з якіх працуюць больш за стагоддзе.

Гэтыя сістэмы новага пакалення могуць быць ад простых да складаных у сваёй здольнасці выяўляць пранікненне ў ваш дом і шмат іншага. Зараз большасць з іх інтэгруе дыстанцыйнае назіранне і кіраванне сістэмамі хатняй аўтаматызацыі, і гэта было відавочна на нядаўняй выставе спажывецкай электронікі ў Лас-Вегасе, дзе дэманстраваўся неверагодны набор тэхналогій бяспекі і камфорту.

Цяпер вы можаце дыстанцыйна кантраляваць стан вашай сігналізацыі (уключана або знята), уваход і выхад, а таксама ўключаць і выключаць вашу сістэму з любой кропкі свету. Тэмпература навакольнага асяроддзя, уцечкі вады, узровень угарнага газу, відэакамеры, унутранае і вонкавае асвятленне, тэрмастаты, гаражныя вароты, дзвярныя замкі і медыцынскія сігналы можна кантраляваць з аднаго шлюза праз ваш смартфон, планшэт ці камп'ютар.

Большасць кампаній сігналізацыі таксама перайшлі на бесправадную сетку, калі яны ўсталёўваюць розныя датчыкі ў вашым доме з-за кошту і цяжкасці пракладкі правадоў. Практычна ўсе кампаніі, якія прапануюць паслугі сігналізацыі, разлічваюць на шырокі спектр бесправадных адключэнняў, таму што яны недарагія, простыя ў размяшчэнні і ўсталёўцы і надзейныя. На жаль, за выключэннем прылад бяспекі камерцыйнага класа, яны звычайна не такія бяспечныя, як традыцыйныя правадныя паездкі.

У залежнасці ад канструкцыі сістэмы і тыпу бесправадной тэхналогіі бесправадныя датчыкі могуць быць вельмі лёгка пераможаны дасведчанымі зламыснікамі. Вось тут і пачынаецца гэтая гісторыя.

У 2008 годзе я напісаў падрабязны аналіз сістэмы LaserShield на Engadget. LaserShield быў рэкламаваным на нацыянальным узроўні пакетам сігналізацыі для рэзідэнцый і бізнесу, які рэкламаваўся і рэкламуецца як бяспечны, просты ва ўсталёўцы і эканамічна эфектыўны. На сваім вэб-сайце яны кажуць сваім кліентам, што гэта «бяспека стала простай» і «бяспека ў скрынцы». Праблема ў тым, што няма цэтлікаў для абароны абсталявання. Калі я рабіў аналіз гэтай сістэмы ў 2008 годзе, я зняў кароткае відэа ў таунхаусе, якое дэманстравала, наколькі лёгка перамагчы сістэму з дапамогай недарагі рацыі, і больш падрабязнае відэа, якое дэманстравала, як сістэма павінна быць бяспечнай . Вы можаце прачытаць нашу справаздачу на in.security.org.

Прыкладна ў той жа час на рынак выйшла іншая кампанія пад назвай SimpliSafe. Па словах аднаго са старэйшых тэхнікаў, з якім я нядаўна браў інтэрв'ю, кампанія пачала сваю дзейнасць прыкладна ў 2008 годзе, і зараз яна мае каля 200 000 падпісчыкаў па ўсёй краіне на паслугу сігналізацыі.

Перамотка на сем гадоў наперад. SimpliSafe па-ранейшаму існуе і прапануе самаробную сістэму сігналізацыі, якую лёгка ўсталяваць, запраграмаваць і не патрабуе тэлефоннай лініі для сувязі з цэнтрам сігналізацыі. Ён выкарыстоўвае сотавую сувязь, што азначае значна больш эфектыўны шлях сувязі. Нягледзячы на ​​тое, што сігнал сотавай сувязі можа быць перашкоджаны, ён не пакутуе ад патэнцыйнага абрыву тэлефонных ліній рабаўнікамі.

SimpliSafe прыцягнуў маю ўвагу, таму што яны робяць шмат нацыянальнай рэкламы і ў некаторых аспектах маюць вельмі канкурэнтаздольны прадукт для ADT і іншых асноўных пастаўшчыкоў сігналізацыі, значна менш капітальных выдаткаў на абсталяванне і кошт у месяц для маніторынгу. Прачытайце мой аналіз гэтай сістэмы на in.security.org.

Нягледзячы на ​​тое, што SimpliSafe выглядае значна больш складанай, чым сістэма LaserShield (якая ўсё яшчэ прадаецца), яна гэтак жа ўразлівая да метадаў паразы. Калі вы прачытаеце і паверыце мноству адабрэнняў у нацыянальных СМІ, якія атрымаў SimpliSafe, вы падумаеце, што гэтая сістэма - спажывецкі адказ буйным кампаніям сігналізацыі. Так, ён прапануе мноства наваротаў, якія вельмі акуратныя і каштуюць прыкладна ўдвая танней, чым традыцыйныя сігналізацыі кампаній. На жаль, ні ў адным з гучных і паважаных СМІ або артыкулаў не гаварылася аб бяспецы або патэнцыйных уразлівасцях гэтых цалкам бесправадных сістэм.

Я атрымаў сістэму ад SimpliSafe для тэставання і задаў шмат тэхнічных пытанняў старэйшаму інжынеру кампаніі. Потым мы ўсталявалі датчык руху, магнітны дзвярны спрацоўшчык, трывожную кнопку і шлюз сувязі ў кватэры ў Фларыдзе, якая належыць высокапастаўленаму агенту ФБР у адстаўцы, у доме якога была зброя, рэдкае мастацтва і шмат іншых каштоўных рэчаў. Мы падрыхтавалі тры відэа: адно, якое паказвае нармальную працу і наладку сістэмы, другое, якое дэманструе, як лёгка абыйсці ўсе адключэнні, і адно, якое паказвае, як магнітныя адключэнні, якія яны забяспечваюць, можна перамагчы магнітам за дваццаць пяць цэнтаў і скотчам стужка ад Home Depot.

Адной з асноўных праблем з'яўляецца тое, што датчыкі з'яўляюцца аднабаковымі прыладамі, што азначае, што яны пасылаюць сігнал трывогі на шлюз, калі іх спрацоўваюць. Усе датчыкі сігналізацыі перадаюць на адной частаце, якую лёгка вызначыць у інтэрнэце. Затым радыёперадатчык можа быць запраграмаваны на гэтую канкрэтную частату, як і ў сістэме LaserShield. Я зрабіў гэта з лёгкадаступнай рацыяй. Праблема з гэтай канструкцыяй заключаецца ў тым, што прыёмнік шлюза можа быць перашкоджаны, гэтак жа, як атака адмовы ў абслугоўванні (DoS) на сеткавыя серверы. Прыёмнік, які павінен апрацоўваць сігналы ад спрацоўвання сігналізацыі, аслеплены і ніколі не атрымлівае паведамлення аб стане трывогі.

Мы некалькі хвілін хадзілі па кватэры ў Фларыдзе і ні разу не спрацавалі ніводная сігналізацыя, у тым ліку сігналізацыя панікі, убудаваная ў брелок. Калі б я быў рабаўніком, я мог бы скрасці зброю, каштоўныя прадметы мастацтва і шмат іншых каштоўных рэчаў, і ўсё гэта шляхам перамогі над сістэмай, якую падтрымалі самыя паважаныя друкаваныя і тэлевізійныя СМІ ў краіне.

Гэта нагадвае тое, што я назваў "тэлевізійнымі лекарамі", якія таксама падтрымалі нібыта бяспечны і абаронены ад дзяцей кантэйнер для адпускаемых па рэцэпце лекаў, які прадаваўся па ўсёй краіне ў аптэках і іншых буйных рознічных гандлярах. Гэта было зусім не бяспечна або абаронена ад дзяцей. Гэтая кампанія хутка закрылася, і тэлевізійныя лекары, якія маўкліва паручыліся за бяспеку гэтага прадукта, выдалілі іх відэа на YouTube, не закрануўшы асноўнай праблемы.

Грамадскасць павінна са скепсісам чытаць такія сведчанні, таму што гэта проста іншы і разумны спосаб рэкламы, як правіла, рэпарцёрамі і PR-фірмамі, якія не маюць паняцця аб тым, што такое бяспека. На жаль, спажыўцы вераць гэтым рэкамендацыям і давяраюць сродкам масавай інфармацыі ведаць, пра што яны гавораць. Часта журналісты разумеюць толькі спрошчаныя пытанні, такія як кошт, прастата ўстаноўкі і штомесячныя кантракты. Але калі вы купляеце сістэму сігналізацыі, каб абараніць сваю сям'ю, свой дом і свае актывы, вы павінны ведаць аб фундаментальных уразлівасцях бяспекі, таму што ў тэрміне «сістэма бяспекі» закладзена паняцце бяспекі.

Сістэма SimpliSafe з'яўляецца даступнай альтэрнатывай больш дарагім сістэмам сігналізацыі, якія распрацоўваюцца, усталёўваюцца і кантралююцца буйнымі нацыянальнымі кампаніямі. Такім чынам, пытанне для спажыўца заключаецца толькі ў тым, што ўяўляе сабой бяспеку і наколькі неабходная абарона, зыходзячы з меркаваных пагроз. Гэта патрабуе поўнага раскрыцця інфармацыі з боку пастаўшчыкоў сігналізацыі, і, як я прапанаваў прадстаўнікам SimpliSafe. Яны павінны размяшчаць адмову ад адказнасці і папярэджанні на сваёй упакоўцы і ў Кіраўніцтве карыстальніка, каб патэнцыйны пакупнік быў у поўнай меры інфармаваны і мог прыняць разумнае рашэнне аб тым, што купляць, зыходзячы са сваіх індывідуальных патрэбаў.

Вы б занепакоеныя тым, што вашу сістэму сігналізацыі можа лёгка ўзламаць адносна некваліфікаваны рабаўнік з прыладай, якая каштуе менш за трыста долараў? Больш за тое: ці хочаце вы рэкламаваць злодзеям, што ў вас ёсць сістэма, якую можна лёгка перамагчы? Памятайце, што кожны раз, калі вы наляпляеце адну з гэтых налепак на свае дзверы ці вокны, або шыльду ў двары, якая паведамляе зламысніку, якую сістэму сігналізацыі ў вас усталявана, таксама паведамляе ім, што яе патэнцыйна можна абыйсці.

У бізнэсе сігналізацыі няма бясплатных абедаў, і вы атрымліваеце тое, за што плаціце. Такім чынам, перш чым набыць любую з гэтых сістэм, вы павінны зразумець, што менавіта вы атрымліваеце на шляху абароны, і, што больш важна, чаго можа не хапаць з пункту гледжання тэхналогій і тэхнікі бяспекі.

Заўвага: у гэтым месяцы мы атрымалі бягучую версію LaserShield, каб пацвердзіць нашы высновы 2008 года. Гэтак жа лёгка было перамагчы, як паказана на відэа 2008 года.

Я нашу два галаўныя ўборы ў сваім свеце: я і следчы, і эксперт па фізічнай бяспецы/сувязі. Апошнія сорак гадоў я займаўся расследаваннямі, б...

  • Папярэдняя:
  • далей:

  • Час размяшчэння: 28 чэрвеня 2019 г
    Інтэрнэт-чат WhatsApp!