Читаем Искусство быть невидимым полностью

Надеюсь, что к тому моменту, когда вы будете это читать, к производителям подключенных к сети автомобилей и их стандартам связи будут предъявляться более жесткие требования — или хотя бы появится шанс, что такие требования будут введены в ближайшем будущем. Вместо того чтобы активно применять широко распространенные технологии безопасности программного обеспечения и аппаратных средств, которые сегодня уже являются стандартом, автомобильная промышленность, как, впрочем, и медико-техническая и другие промышленности, пытается изобрести колесо — как будто за последние сорок лет не было проведено множество исследований в области информационной безопасности. Было, и лучше бы представители указанных сфер начали следовать существующим практикам вместо того, чтобы утверждать, что делают нечто кардинально новое. Не новое. К сожалению, взлом автомобиля может привести к гораздо более серьезным последствиям, чем простой вирус на компьютере и синий экран смерти. В случае с автомобилем может погибнуть или получить травмы человек. На момент написания данной книги как минимум один человек погиб в машине Tesla, пока та двигалась в режиме автопилота — предстоит выяснить, в чем заключалась проблема: в неисправных тормозах или в том, что программа приняла ошибочное решение.²²⁴

Прочитав это, вы, возможно, не захотите выходить из дома. В следующей главе мы поговорим о том, как гаджеты в нашем доме способствуют записи и прослушке всего, что происходит за закрытыми дверями. И вовсе не государственных органов мы должны опасаться в первую очередь.

Несколько лет назад никто не думал о термостате в вашем доме. Это был простой управляемый вручную термостат, позволяющий поддерживать в доме комфортную температуру. Позднее термостаты стали программируемыми. А затем компания Nest решила, что у вас должна быть возможность управлять программируемым термостатом с помощью веб-приложения. Вы понимаете, к чему я веду, не так ли?

В одном язвительном обзоре «умного» термостата Honeywell Wi-Fi Smart Touchscreen Thermostat на сайте магазина Amazon пользователь под ником «General» написал, что его бывшая жена забрала у него дом, собаку и значительную часть пенсионных накоплений, но у него остался пароль от термостата Honeywell. Этот пользователь утверждает, что поднимает температуру в доме, пока бывшая жена и ее новый любовник за городом, а затем опускает ее до нормы перед их возвращением. «Могу себе представить, какие счета за электричество они получают. При мысли об этом я улыбаюсь»²²⁵.

Исследователи, участвующие в конференции Black Hat USA 2014 для специалистов в области информационной безопасности, выявили несколько способов, с помощью которых прошивка термостата Nest может быть скомпрометирована²²⁶. Следует отметить, что многие из этих способов требуют наличия физического доступа к устройству, то есть кто-то должен войти в ваш дом и подключиться к USB-интерфейсу термостата. Дэниел Буентелло, независимый исследователь в области безопасности, один из четырех докладчиков, чье выступление было посвящено вопросам взлома этого устройства, сказал: «Это компьютер, на который пользователь не может установить антивирус. Хуже того, существует тайная лазейка, которую мог бы использовать злоумышленник. Фактически этот прибор может использоваться в качестве устройства слежения»²²⁷.

Исследователи продемонстрировали видео, в котором было видно, как они изменили интерфейс термостата Nest (сделали его похожим на объектив типа «рыбий глаз», использованный в компьютере HAL 9000[22]) и оснастили его дополнительными функциями. Интересно то, что исследователи не смогли отключить в устройстве функцию автоматической передачи данных, поэтому они создали для этого собственный инструмент²²⁸. Этот инструмент должен был блокировать поток данных в Google, родительскую компанию Nest.

Комментируя эту презентацию, Зоз Куччиас из компании Nest позднее рассказала ресурсу Venture Beat: «Все аппаратные устройства, от ноутбуков до смартфонов, подвержены взлому; эта проблема не уникальна. Речь идет о физическом взломе, требующем физического доступа к самообучающемуся термостату Nest. Если бы злоумышленник сумел попасть в ваш дом, скорее всего, он выбирал бы между установкой собственного устройства и кражей драгоценностей. Такой взлом не ставит под угрозу безопасность наших серверов или соединений с ними, и насколько мы знаем, ни к одному из устройств не был получен доступ, ни одно из них не было скомпрометировано. Безопасность клиентов очень важна для нас, и нашим приоритетом является уязвимость от удаленного взлома. Защититься от этой угрозы можно, купив камеру Dropcam Pro, позволяющую наблюдать за домом, пока вас там нет»²²⁹.