Читаем Искусство быть невидимым полностью

С приходом Интернета вещей такие компании, как Google, стремятся колонизировать некоторые его области, завладев платформами, которые будут использовать многие другие продукты. Иначе говоря, эти компании хотят, чтобы устройства, созданные другими производителями, подключались именно к их сервисам, а не к каким-то другим. Компании Google принадлежит как DropCam, так и Nest, однако она хочет, чтобы к вашему аккаунту Google были подключены и многие другие устройства, например, умные лампочки и радио/видеоняни. Преимущество этого, по крайней мере, для Google заключается в возможности сбора большего количества данных о ваших привычках (и это касается любой крупной компании, будь то Apple, Samsung и даже Honeywell).

Говоря об Интернете вещей, эксперт по компьютерной безопасности Брюс Шнайер заметил: «Это очень похоже на компьютерную индустрию 90-х годов. Никто не обращает внимания на безопасность, никто не загружает обновления, никто ничего не знает — это очень, очень плохо, и однажды на нас обрушатся проблемы. Злоумышленники будут использовать уязвимости, которые невозможно будет устранить»²³⁰.

Чтобы доказать это, летом 2013 года журналистка Кашмир Хилл провела журналистское расследование, попытавшись самостоятельно взломать компьютер. Используя поисковую систему Google, она обнаружила простую фразу, которая позволила ей управлять некоторыми домашними сетевыми концентраторами Insteon. Сетевой концентратор (или хаб) представляет собой центральное устройство, которое обеспечивает доступ к мобильному приложению или непосредственно к Интернету. Через это приложение человек может управлять освещением в своей гостиной, запирать двери дома или регулировать температуру в нем. Подключившись к Интернету, владелец может управлять всем этим, находясь, скажем, в командировке.

Как показала Хилл, злоумышленник также может использовать Интернет для получения удаленного доступа к концентратору. В качестве дополнительного доказательства она обратилась к Томасу Хэтли, совершенно незнакомому человеку из Орегона, и спросила, может ли она использовать его дом для проведения своего исследования.

Находясь в своем доме в Сан-Франциско, Хилл смогла включить и выключить освещение в доме Хэтли, находящемся в тысяче километров от нее. Она также могла бы управлять кранами в ванной, вентиляторами, телевизорами, водяными насосами, дверями гаража и камерами видеонаблюдения, если бы они были подключены к концентратору.

Проблема (в настоящее время исправленная) заключалась в том, что компания Insteon сделала всю информацию Хэтли доступной через Google. Еще хуже то, что доступ к этой информации в то время не был защищен паролем, поэтому человек, которому стало об этом известно, мог контролировать любой концентратор Insteon, обнаруженный через Интернет. Маршрутизатор Хэтли был защищен паролем, однако его можно было обойти, определив порт, который когда-то использовался системой Insteon, что и сделала Хилл.

«Дом Томаса Хэтли был одним из восьми, к которым я смогла получить доступ, — пишет Хилл. — Мне удалось обнаружить важную информацию — не только о том, какие приборы и устройства были в доме, но и о часовых поясах (а также о ближайшем крупном городе), IP-адресах и даже имени ребенка; по-видимому, родители хотели иметь возможность удаленно управлять его телевизором. По крайней мере, в трех случаях информации оказалось достаточно для того, чтобы определить реальное местонахождение дома. Имена большинства систем были стандартными, однако в одном случае имя включало название улицы, благодаря чему мне удалось найти конкретный дом в Коннектикуте»²³¹.

Примерно в то же время подобная проблема была обнаружена Нитешем Данджани, исследователем по вопросам безопасности. Данджани рассматривал систему освещения Philips Hue, которая позволяет владельцу регулировать цвет и яркость лампочки с помощью своего мобильного устройства. Данная лампочка имеет диапазон из шестнадцати миллионов цветов.