Системи сигналізації для житлових приміщень стають дедалі популярнішими та доступнішими завдяки високотехнологічним конкурентам традиційним постачальникам, таким як ADT, деякі з яких працюють вже понад століття.
Ці системи нового покоління можуть бути як простими, так і складними у своїй здатності виявляти проникнення у ваш будинок та багато іншого. Більшість із них зараз інтегрують системи дистанційного моніторингу та керування домашньою автоматизацією, і це було чітко видно на нещодавній виставці Consumer Electronics Show у Лас-Вегасі, де був представлений неймовірний спектр технологій безпеки та комфорту.
Тепер ви можете дистанційно контролювати стан вашої сигналізації (увімкнено чи вимкнено), вхід та вихід, а також вмикати та вимикати систему з будь-якої точки світу. Температура навколишнього середовища, витоки води, рівень чадного газу, відеокамери, внутрішнє та зовнішнє освітлення, термостати, гаражні ворота, замки дверей та медичні сповіщення – все це можна контролювати з одного шлюзу за допомогою смартфона, планшета або комп’ютера.
Більшість компаній, що встановлюють сигналізацію, також переходять на бездротові технології під час встановлення різних датчиків по всьому будинку через вартість та складність прокладання проводів. Практично всі компанії, що пропонують послуги сигналізації, покладаються на широкий спектр бездротових спрацьовувачів, оскільки вони недорогі, прості в розміщенні та встановленні, а також надійні. На жаль, за винятком комерційних пристроїв безпеки, вони зазвичай не такі безпечні, як традиційні дротові спрацьовувачі.
Залежно від конструкції системи та типу бездротової технології, бездротові датчики можуть бути дуже легко зламані досвідченими зловмисниками. З цього і починається ця історія.
У 2008 році я написав детальний аналіз системи LaserShield на Engadget. LaserShield був загальнонаціональним пакетом сигналізації для житлових будинків та бізнесу, який рекламувався і рекламується як безпечний, простий в установці та економічно ефективний. На своєму веб-сайті вони повідомляють своїм клієнтам, що це «проста безпека» та «безпека в коробці». Проблема полягає в тому, що немає жодних швидких шляхів до захисту обладнання. Коли я проводив аналіз цієї системи у 2008 році, я зняв коротке відео в таунхаусі, яке продемонструвало, наскільки легко зламати систему за допомогою недорогої рації, а також більш детальне відео, яке показало, як система має бути захищена. Ви можете прочитати наш звіт на in.security.org.
Приблизно в той самий час на ринок вийшла інша компанія під назвою SimpliSafe. За словами одного зі старших техніків, з яким я нещодавно брав інтерв'ю, компанія розпочала свою діяльність приблизно у 2008 році і зараз має близько 200 000 підписників на свою сигналізацію по всій країні.
Сім років тому SimpliSafe все ще існує та пропонує саморобну сигналізацію, яку легко встановити, легко запрограмувати та яка не потребує телефонної лінії для зв'язку з центром сигналізації. Вона використовує стільниковий зв'язок, що означає набагато ефективніший канал зв'язку. Хоча сигнал стільникового зв'язку може бути заглушений, грабіжники не ризикують перервати телефонні лінії.
SimpliSafe привернув мою увагу, оскільки вони активно рекламують свою продукцію на національному рівні та в деяких аспектах мають дуже конкурентоспроможний продукт порівняно з ADT та іншими великими постачальниками сигналізацій, але при цьому витрачають набагато менше капітальних коштів на обладнання та щомісячної вартості моніторингу. Прочитайте мій аналіз цієї системи на сайті in.security.org.
Хоча SimpliSafe здається набагато складнішою, ніж система LaserShield (яка досі продається), вона так само вразлива до різних методів ураження. Якщо вірити численним відгукам про SimpliSafe у національних ЗМІ, можна подумати, що ця система є САМЕ відповіддю споживачам на проблеми великих компаній, що виробляють сигналізації. Так, вона пропонує безліч дуже зручних функцій за приблизно половину вартості традиційних компаній, що виробляють сигналізації. На жаль, жодна з гучних та шанованих ЗМІ чи статей не стосувалися безпеки чи потенційних вразливостей цих повністю бездротових систем.
Я отримав систему від SimpliSafe для тестування та поставив багато технічних запитань старшому інженеру компанії. Потім ми встановили датчик руху, магнітний дверний запобіжник, тривожну кнопку та комунікаційний шлюз у кондомініумі у Флориді, що належить відставному старшому агенту ФБР, у якого вдома була зброя, рідкісні твори мистецтва та багато інших цінних активів. Ми створили три відео: одне, яке показує нормальну роботу та налаштування системи, одне, яке демонструє, як легко обійти всі запобіжники, і одне, яке показує, як магнітні запобіжники, які вони постачають, можна зламати за допомогою магніту вартістю двадцять п'ять центів та скотчу з Home Depot.
Одна з головних проблем полягає в тому, що датчики є односторонніми пристроями, тобто вони надсилають сигнал тривоги до шлюзу, коли спрацьовують. Усі датчики тривоги передають на одній частоті, яку можна легко визначити в Інтернеті. Потім радіопередавач можна запрограмувати на цю конкретну частоту, як і у випадку з системою LaserShield. Я зробив це за допомогою легкодоступної рації. Проблема цієї конструкції полягає в тому, що приймач шлюзу може бути заглушений, як і під час атаки типу «відмова в обслуговуванні» (DoS) на мережеві сервери. Приймач, який повинен обробляти сигнали від спрацьовувань тривоги, засліплений і ніколи не отримує жодних сповіщень про стан тривоги.
Ми кілька хвилин ходили по квартирі у Флориді, але жодної сигналізації не спрацювало, зокрема й тривожної, вбудованої в брелок. Якби я був грабіжником, я міг би вкрасти зброю, цінні твори мистецтва та багато інших цінностей, і все це завдяки системі, яку схвалили найшанованіші друковані та телевізійні ЗМІ країни.
Це нагадує тих, кого я назвав «Телевізійними Лікарями», які також рекламували нібито безпечний та захищений від дітей контейнер для рецептурних ліків, що продавався по всій країні аптеками та іншими великими роздрібними торговцями. Він зовсім не був безпечним чи захищеним від дітей. Ця компанія швидко збанкрутувала, а Телевізійні Лікарі, які своєю рекламою мовчазно ручалися за безпеку цього продукту, видалили їхні відео на YouTube, не вирішивши основну проблему.
Громадськість повинна скептично ставитися до таких відгуків, оскільки вони є просто іншим та розумним способом реклами, зазвичай від журналістів та PR-фірм, які не мають уявлення про те, що таке безпека. На жаль, споживачі вірять цим схваленням і довіряють ЗМІ, що вони знають, про що говорять. Часто журналісти розуміють лише спрощені питання, такі як вартість, простота встановлення та щомісячні контракти. Але коли ви купуєте сигналізацію для захисту своєї родини, дому та активів, вам потрібно знати про фундаментальні вразливості безпеки, оскільки термін «система безпеки» закладено в поняття безпеки.
Система SimpliSafe є доступною альтернативою дорожчим системам сигналізації, які проектуються, встановлюються та контролюються великими національними компаніями. Тож питання для споживача полягає в тому, що саме являє собою безпека та який рівень захисту потрібен, виходячи з передбачуваних загроз. Це вимагає повного розкриття інформації з боку постачальників сигналізацій, і, як я запропонував представникам SimpliSafe, вони повинні розміщувати застереження та попередження на упаковці та в інструкціях користувача, щоб потенційний покупець був повністю поінформований і міг прийняти обґрунтоване рішення щодо покупки, виходячи зі своїх індивідуальних потреб.
Чи хвилювалися б ви, що вашу сигналізацію може легко зламати відносно некваліфікований грабіжник з пристроєм, який коштує менше трьохсот доларів? Ще важливіше: чи хотіли б ви рекламувати злодіям, що у вас є система, яку можна легко зламати? Пам’ятайте, що щоразу, коли ви наклеюєте одну з цих наліпок на двері чи вікна, або табличку на подвір’ї, яка повідомляє зловмиснику, яку систему сигналізації ви встановили, це також повідомляє йому, що її потенційно можна обійти.
У сфері сигналізації немає безкоштовних обідів, і ви отримуєте те, за що платите. Тому, перш ніж купувати будь-яку з цих систем, вам слід точно розуміти, що саме ви отримуєте в плані захисту, і, що ще важливіше, чого може бракувати з точки зору технологій та інженерії безпеки.
Примітка: Цього місяця ми отримали актуальну версію LaserShield, щоб підтвердити наші висновки за 2008 рік. Його було так само легко перемогти, як показано у відео 2008 року.
У своєму світі я ношу дві ролі: я одночасно і слідчий адвокат, і експерт з фізичної безпеки/комунікацій. Протягом останніх сорока років я працював у розслідуваннях, б…
Час публікації: 28 червня 2019 р.