Овај популарни бежични алармни систем може се хаковати магнетом и селотејпом

 

жене вриште, оглашавају алармСтамбени алармни системи постају све популарнији и приступачнији због високотехнолошких конкурената традиционалним добављачима попут ADT-а, од којих неки послују више од једног века.

Ови системи нове генерације могу бити једноставни до софистицираних у својој способности да детектују улазак у ваш дом, и још много тога. Већина сада интегрише даљинско праћење и контролу система кућне аутоматизације, а то је било јасно очигледно на недавном Сајму потрошачке електронике у Лас Вегасу, где је био изложен невероватан низ технологија за безбедност и удобност живота.

Сада можете даљински пратити статус вашег аларма (укључен или искључен), улаз и излаз, као и укључивати и искључивати систем са било ког места у свету. Температура околине, цурење воде, нивои угљен-моноксида, видео камере, унутрашње и спољашње осветљење, термостати, гаражна врата, браве на вратима и медицинска упозорења могу се контролисати са једног мрежног пролаза, путем вашег паметног телефона, таблета или рачунара.

Већина компанија за аларме је такође прешла на бежичне системе када инсталирају различите сензоре по вашем дому због трошкова и тешкоћа постављања каблова. Готово све компаније које нуде услуге аларма ослањају се на широк спектар бежичних алармних система јер су јефтини, лаки за постављање и инсталацију и поуздани. Нажалост, изузев комерцијалних безбедносних уређаја, они углавном нису толико безбедни као традиционални жичани алармни системи.

У зависности од дизајна система и врсте бежичне технологије, бежичне сензоре могу веома лако да савладају добро упућени уљези. Ту ова прича почиње.

Године 2008, написао сам детаљну анализу система LaserShield на Engadget-у. LaserShield је био национално рекламирани алармни пакет за стамбене објекте и предузећа, који је био и још увек се рекламира као безбедан, једноставан за инсталацију и исплатив. На својој веб страници говоре својим купцима да је то „безбедност урађена једноставно“ и „безбедност у кутији“. Проблем је што не постоје пречице за обезбеђивање хардвера. Када сам радио анализу овог система 2008. године, снимио сам кратак видео у једној градској кући који је демонстрирао колико је лако савладати систем јефтиним воки-токијем и детаљнији видео који је показао како би систем требало да буде безбедан. Можете прочитати наш извештај на in.security.org.

Отприлике у исто време, на тржиште је ушла још једна компанија под називом SimpliSafe. Према речима једног од њихових виших техничара кога сам недавно интервјуисао, компанија је почела са радом око 2008. године и сада има око 200.000 претплатника широм земље за своју услугу аларма.

Седам година касније, СимплиСејф је и даље ту и нуди „уради сам“ алармни систем који се лако инсталира, лако програмира и не захтева телефонску линију за комуникацију са алармним центром. Користи мобилну мрежу, што значи много ефикаснији комуникациони пут. Иако се сигнал мобилне мреже може ометати, не постоји могућност да провалници пресеку телефонске линије.

СимплиСејф је привукао моју пажњу јер се доста оглашавају на националном нивоу и у неким аспектима имају веома конкурентан производ у односу на АДТ и друге велике добављаче аларма, уз много мање капиталних издатака за опрему и месечних трошкова за праћење. Прочитајте моју анализу овог система на in.security.org.

Иако се чини да је СимплиСејф далеко софистициранији од система ЛасерШилд (који се још увек продаје), подједнако је рањив на методе оштећења. Ако прочитате и верујете мноштву националних медијских препорука које је СимплиСејф добио, помислили бисте да је овај систем ПРВИ одговор потрошачима на веће компаније за аларме. Да, нуди много звона и звиждаљки које су веома уредне по око половини цене традиционалних компанија за аларме. Нажалост, ниједна од препорука или чланака познатих и поштованих медија није говорила о безбедности или потенцијалним рањивостима ових потпуно бежичних система.

Набавио сам систем од компаније SimpliSafe на тестирање и поставио сам много техничких питања главном инжењеру компаније. Затим смо инсталирали сензор покрета, магнетни окидач за врата, дугме за панику и комуникациони пролаз у стану на Флориди, који је у власништву пензионисаног високог агента ФБИ-ја који је у свом дому имао оружје, ретка уметничка дела и много друге вредне имовине. Направили смо три видеа: један који приказује нормалан рад и подешавање система, један који показује како лако заобићи све окидаче и један који показује како се магнетни окидачи које они обезбеђују могу деактивирати магнетом од двадесет пет центи и селотејпом из Home Depot-а.

Један од главних проблема је то што су сензори једносмерни уређаји, што значи да шаљу алармни сигнал до гејтвеја када се активирају. Сви алармни сензори емитују на једној фреквенцији, која се лако може одредити на интернету. Радио предајник се затим може програмирати за ову специфичну фреквенцију, баш као код ЛасерШилд система. Ја сам то урадио са лако доступним воки-токијем. Проблем са овим дизајном је што пријемник гејтвеја може бити ометан, баш као код напада ускраћивања услуге (DoS) на мрежне сервере. Пријемник, који мора да обрађује сигнале из алармних окидача, је заслепљен и никада не добија обавештење о стању аларма.

Прошетали смо кроз стан на Флориди неколико минута и никада се није активирао ниједан аларм, укључујући и аларм за панику који је уграђен у привезак за кључеве. Да сам био провалник, могао сам да украдем оружје, вредна уметничка дела и многе друге драгоцености, све тако што бих победио систем који су подржали најугледнији штампани и телевизијски медији у земљи.

Ово подсећа на оно што сам назвао „ТВ Докторима“, који су такође промовисали наводно безбедну и отпорну на децу кутију за лекове на рецепт, коју су национално продавале апотеке и други велики трговци. Она уопште није била безбедна нити отпорна на децу. Та компанија је брзо пропала, а ТВ Доктори, који су својим препорукама прећутно гарантовали за безбедност овог производа, уклонили су њихове Јутјуб видео снимке, а да нису решили основни проблем.

Јавност би требало са скептицизмом да чита овакве препоруке јер су оне једноставно другачији и паметан начин оглашавања, обично од стране новинара и ПР фирми који немају појма шта чини безбедност. Нажалост, потрошачи верују овим препорукама и верују да медиј зна о чему говоре. Често новинари разумеју само поједностављена питања као што су цена, лакоћа инсталације и месечни уговори. Али када купујете алармни систем да бисте заштитили своју породицу, свој дом и своју имовину, морате бити свесни основних безбедносних рањивости, јер је сам појам „безбедносни систем“ садржан у концепту безбедности.

Систем SimpliSafe је приступачна алтернатива скупљим алармним системима које пројектују, инсталирају и надгледају велике националне компаније. Дакле, питање за потрошача је шта представља безбедност и колико је заштите потребно, на основу уочених претњи. То захтева потпуно откривање информација од стране добављача аларма, и као што сам предложио представницима SimpliSafe-а, требало би да поставе одрицања одговорности и упозорења на своја паковања и упутства за употребу како би потенцијални купац био потпуно информисан и могао да донесе интелигентну одлуку о томе шта да купи на основу својих индивидуалних потреба.

Да ли бисте били забринути да би ваш алармни систем могао лако да угрози релативно невешт провалник уређајем који кошта мање од триста долара? Још важније: да ли бисте желели да рекламирате лоповима да имате систем који се може лако савладати? Запамтите да сваки пут када ставите једну од тих налепница на врата или прозоре, или знак у дворишту који говори уљезу какву врсту алармног система имате инсталирану, то му такође говори да се он потенцијално може заобићи.

Нема бесплатних ручкова у послу са алармима и добијате оно што платите. Зато, пре него што купите било који од ових система, требало би да разумете тачно шта добијате у погледу заштите, а што је још важније, шта може недостајати у погледу технологије и безбедносног инжењерства.

Напомена: Овог месеца смо набавили актуелну верзију програма LaserShield како бисмо потврдили наше налазе из 2008. године. Било га је подједнако лако победити, као што је приказано у видеу из 2008. године.

У свом свету носим две позиције: ја сам и истражни адвокат и стручњак за физичко обезбеђење/комуникације. Последњих четрдесет година сам радио на истрагама, б...


Време објаве: 28. јун 2019.