«Божевільний будинок» на PHDays: кіберзагрози звичайної квартири

    Навколишні нас предмети стають все функціональніша і зручніше. Сьогодні інтернет є вже не лише в автомобілях, але і в деяких микроволновках і холодильниках, а за прогнозом аналітичної компанії Gartner, до 2020 року кількість побутових пристроїв, підключених до Мережі, перевищить 26 млрд при обсязі ринку в 300 млрд доларів.
 
 image
 
При цьому мало хто з користувачів віддає собі звіт в тому, що, як і звичайні комп'ютери з доступом в інтернет, гаджети, які утворюють так званий інтернет речей, можуть бути атаковані зловмисниками. Щоб продемонструвати можливі наслідки такої атаки, організатори PHDays створили копію реальної квартири, обладнаної різними електронними приладами і системою «розумного будинку». За легендою конкурсу, через збій дім «збожеволів» і став справжньою пасткою для свого господаря, звільнити якого і повинні були учасники змагання.
 
Серцем розумного будинку був контролер, який керував побутовими приладами. У конкурсній моделі квартири цей контролер міг керувати освітленням, водопостачанням (електронасосом), телевізором, пилососом і іншими приладами.
 
Попадя в квартиру, людина повинна була пройти ідентифікацію, для того щоб система розумного будинку дозволила йому управляти підключеними до неї пристроями. Система вимірювала зріст і вагу людини. Дані зчитувалися за допомогою різноманітних датчиків. Також було встановлено спеціальний пристрій, який распознавало власника за відбитком долоні.
 
Після ідентифікації система знімала блокування з HMI-інтерфейсу управління електроприладами. Отримати до нього доступ можна було через планшет, який перебував у квартирі, який потрібно було також попередньо розблокувати.
 
 image
 
Отримати доступ до інтерфейсу керування через планшет можна було через недолік технології Face Unlock в Android. Її можна «обдурити», піднісши до камері фото власника пристрою, що захищається — а на одній зі стін у квартирі якраз висіла його фотографія. Перемогою над штучним інтелектом у грі в шахи також можна було розблокувати планшет.
 
Для кожного із завдань існував альтернативний спосіб проходження, прямо пов'язаний з пошуком і експлуатацією вразливостей в позначених вище системах. «Недокументовані можливості», що дозволяють обійти логіку роботи програм, були пов'язані з некоректною реалізацією взаємодії клієнт-серверного додатка. На жаль, мало хто вдавався до хакерської вправності, чого ми всі так чекали.
  
Для того щоб отримати перемогу, учаснику потрібно було пройти всі випробування і отримати контроль над розумним будинком швидше за конкурентів.
 
Переможцем, показавши результат 6 хвилин і 3 секунди, став учасник, що ховається за псевдонімом Cryden.
 
«Божевільний будинок» PHDays став логічним продовженням минулорічного змагання «Лабіринт », який відбувся на Positive Hack Days III. У ході цього конкурсу учасники повинні були за мінімальний час подолати смугу перешкод, обладнану датчиками руху, лазерним полем та іншими випробуваннями.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.