To nie mój oczyszczacz wody został zhakowany jako pierwszy. To moja inteligentna lodówka. O 3:00 nad ranem kalendarz rodzinny na ekranie został wyczyszczony i zastąpiony komunikatem w słabym angielskim, żądającym 0,5 Bitcoina. Kostkarka zaczęła wysypywać kostki na podłogę. Wewnętrzne światła migały jak cichy alarm. Mój inteligentny dom, zestaw połączonych ze sobą udogodnień, stał się zakładnikiem w mojej własnej kuchni.

Musiałem wykonać paniczny, kosztowny telefon do specjalisty od cyberbezpieczeństwa, żeby odzyskać moje urządzenia. Ale jego ostatnie pytanie wywołało u mnie głębszy dreszcz niż lód na podłodze: „Czy masz podłączony oczyszczacz wody do tej samej sieci?”

Tak zrobiłem. I nagle mój największy strach zmienił się z brudnej wody w inny rodzaj trucizny: cyfrowy sabotaż.

Zabezpieczamy nasze Wi-Fi, aktualizujemy laptopy i jesteśmy ostrożni w przypadku wiadomości phishingowych. Ale beztrosko podłączamy do sieci urządzenie, które ma bezpośrednią, fizyczną kontrolę nad zasobem podtrzymującym życie – naszą wodą – a zabezpieczenia często nie są silniejsze niż dziecięca zabawka. Zhakowany oczyszczacz wody to nie tylko zepsute urządzenie; to naruszenie na najbardziej intymnym poziomie.

Luka w zabezpieczeniach „Cyfrowej lodówki”: powierzchnia ataku Twojego oczyszczacza

Mój ekspert ds. cyberbezpieczeństwa narysował paralele na tablicy. Podobnie jak moja lodówka, mój zaawansowany „inteligentny” oczyszczacz wody to komputer sieciowy w plastikowej obudowie. Jego powierzchnia ataku jest szeroka:

• Słaba aplikacja/portal w chmurze: Logowanie umożliwiające sterowanie nią lub przeglądanie jej danych jest często chronione prostym hasłem, czasami nawet hasłem domyślnym.
• Przestarzałe, niemożliwe do załatania oprogramowanie układowe: Większość oczyszczaczy działa na zasadzie „włącz i zapomnij”. Firma może nigdy nie wydać aktualizacji zabezpieczeń po dniu sprzedaży.
• Stały strumień danych: nieustannie dzwoni do domu – wysyłając dane o użytkowaniu, status filtra i informacje diagnostyczne na serwer producenta. To potencjalny wyciek danych o Twoich domowych nawykach.
• Zawory sterujące: To najbardziej przerażająca część. Zawierają elektrozawory i zawory, które mogą włączać i wyłączać przepływ wody lub inicjować płukanie systemu.

W rękach osoby o złych zamiarach nie jest to teoretyczne ryzyko. To plan na wyrządzenie szkody.

Nie do pomyślenia scenariusze: od utrapienia do koszmaru

Przejdźmy od abstrakcyjnego „naruszenia danych” do namacalnych, prawdopodobnych ataków:

1. Blokada ransomware: Najbardziej prawdopodobny scenariusz. Interfejs oczyszczacza jest zablokowany przez ransomware. Na ekranie lub w aplikacji pojawia się komunikat żądający zapłaty za przywrócenie działania. Nie można sprawdzić stanu filtra ani uruchomić cyklu czyszczenia, a w skrajnych przypadkach system może odmówić dozowania wody, utrzymując nawodnienie jako zakładnika.
2. Oszustwo „Filter Fraud”: Haker uzyskuje dostęp do raportów systemu. Fałszuje alert informujący o krytycznym uszkodzeniu każdego filtra i membrany odwróconej osmozy (RO), nakłaniając do natychmiastowej wymiany, podając link do fałszywego (lub złośliwego) sklepu oferującego podrobione części w zawyżonych cenach. Wykorzystuje zaufanie użytkownika do urządzenia, aby go oszukać.
3. Wandalizm polegający na zablokowaniu systemu: Skrypt lub atakujący wysyła uszkodzone polecenie oprogramowania układowego, trwale blokując płytę sterującą. Maszyna jest martwym, przeciekającym przyciskiem do papieru, dopóki nie zapłacisz za pełną wymianę płyty głównej.
4. Sabotaż fizyczny (najgorszy scenariusz): Atakujący z głębszym dostępem mógłby teoretycznie nieregularnie włączać i wyłączać zawory spłukujące i odpowietrzające systemu. Mogłoby to spowodować uderzenie hydrauliczne – gwałtowny wzrost ciśnienia, który może rozerwać armaturę i spowodować zalanie szafek i ścian. Nie chodzi o zatrucie wody, ale o uzbrojenie urządzenia, które zatruwa dom.

Twój 7-punktowy cyfrowy protokół bezpieczeństwa wody

Po incydencie z lodówką wdrożyłem ten protokół dla każdego podłączonego urządzenia, zwłaszcza dla oczyszczacza. Ty też powinieneś.

1. Odizoluj w sieci dla gości: Utwórz oddzielną sieć Wi-Fi (większość nowoczesnych routerów to umożliwia) wyłącznie dla urządzeń IoT. Twój oczyszczacz, oświetlenie i lodówka będą działać w tej sieci. Twoje laptopy, telefony i urządzenia służbowe pozostaną w sieci głównej. Naruszenie sieci dla gości jest zabezpieczone.
2. Zniszcz ustawienia domyślne: Zmień domyślną nazwę użytkownika i hasło do aplikacji i portalu internetowego oczyszczacza na silne, unikalne hasło. Użyj menedżera haseł.
3. Kontrola uprawnień aplikacji: W aplikacji mobilnej oczyszczacza odrzuć WSZYSTKIE uprawnienia, których nie potrzebuje do działania (lokalizacja, kontakty itp.). Wymaga Wi-Fi.niemusimy wiedzieć gdzie jesteś.
4. Wyłącz dostęp zdalny, jeśli to możliwe: Czy aplikacja pozwala na sterowanie nią z dowolnego miejsca? Jeśli potrzebujesz jej tylko w domu, sprawdź, czy jest dostępny tryb „Tylko sieć lokalna”.
5. Sprawdź fizyczny „wyłącznik awaryjny Wi-Fi”: Niektóre modele mają mały przycisk do wyłączania Wi-Fi. Jeśli nie korzystasz z inteligentnych funkcji codziennie, wyłącz Wi-Fi na stałe. Oczyszczacz powietrza z funkcją „głupiego oka” to bezpieczny oczyszczacz. Ustaw ręczne przypomnienia w kalendarzu o wymianie filtra.
6. Monitoruj swoją sieć: Użyj prostego narzędzia do skanowania sieci (takiego jak Fing), aby sprawdzić, jakie urządzenia są podłączone do Twojej sieci domowej. Jeśli zauważysz coś, czego nie rozpoznajesz, zbadaj to.
7. Zadaj sobie trudne pytanie przed zakupem: Szukając „inteligentnego” oczyszczacza, skontaktuj się z działem wsparcia firmy. Zapytaj: „Jaka jest Wasza polityka ujawniania luk w zabezpieczeniach? Jak często publikujecie poprawki bezpieczeństwa dla swoich urządzeń podłączonych do sieci?”. Brak odpowiedzi jest Twoją odpowiedzią.