Inteligentní domácnosti: pomocník, nebo hrozba?
Smart home, tzv. chytré či inteligentní domácnosti, se těší velké oblibě u generace od 25 do 34 let. Přestože však nepochybně šetří čas uživatelů, stále častěji se objevují i negativní reakce. Jaké nám hrozí reálné nebezpečí?
V současné době disponují systémem Smart home asi 4 % všech domácností, což je například oproti Norsku, které v Evropě drží prvenství s téměř 32 %, poměrně málo. Dle předpovědí statistik by se toto číslo mohlo poměrně brzy změnit – pokud to ekonomika dovolí, do pěti let bude Smart home usnadňovat život 15 % rodin.
Co je chytrá domácnost
Jednoduše řečeno se jedná o systém, který spojuje v jedno funkce, na které jsme již dávno zvyklí, a umožňuje jejich snadné a jednoduché ovládání prakticky odkudkoli, kam si s sebou vezmeme ovládání.
Samotné ovládání přitom může mít podobu nástěnného ovladače, aplikace v mobilu, tabletu či počítače – v současné době jsou za hlavní platformy pro používání aplikací chytré domácnosti považovány Google Android a iOS od Applu. Propojení technologií přitom probíhá prostřednictvím Wi-Fi nebo Bluetooth, což ve výsledku znamená méně kabeláže v domácnosti.
V praxi to může například znamenat, že ráno s úderem sedmé hodiny systém automaticky roztáhne žaluzie na oknech, rozsvítí světla v místnostech, kde se budeme pohybovat, zapne kávovar a rádio v kuchyni, otevře okno… Ve chvíli, kdy budeme opouštět dům, pak stiskneme tlačítko odchodu v aplikaci a domácnost automaticky zhasne světla a vypne spotřebiče.
Přes den můžeme komukoli na dálku odemknout dům a přes kameru sledovat, zda uvnitř dělá pouze to, oč jsme ho požádali či proč přišel. A než se vrátíme domů, můžeme si v předstihu vyvětrat, pustit vyhřívání bazénu, saunu nebo třeba i zalít zahradu. Dle statistik tak, na základě souhrnné zkušenosti uživatelů, mohou obyvatelé chytré domácnosti ušetřit i několik hodin týdně.
Budoucnost chytré domácnosti
V posledních letech se také objevili tzv. chytří asistenti. Pro obyvatele chytré domácnosti to neznamená nic menšího, než že odpadá potřeba mít po ruce ovladač – pokyn lze sdělit přímo do k tomu určených reproduktorů. Asistent si sám ověří, že přijímá pokyn od oprávněné osoby a následně příkaz provede.
Patrně nejvýraznějšími asistenty na současném trhu, tedy jakási Smart home obdoba iPhonové Siri, jsou Google Home od Googlu a Alexa od Amazon Echo. Česky ovšem – a to ještě jen částečně – umí jen Google Home.
Potenciální hrozba?
Domácnost, kterou je možné ovládat mobilem odkudkoli – samo o sobě toto prohlášení vybízí k zamyšlení, nakolik je celá technologie vlastně bezpečná. Může se někdo nabourat na systém naší chytré domácnosti? Může se na nás někdo napojit, sledovat nás a získané informace zneužít?
Prostá odpověď: ANO. Útočníci se opravdu mohou napojit na naši chytrou domácnosti, získat naše citlivé údaje, údaje o našich aktivitách, či dokonce zjistit naši každodenní rutinu nebo deaktivovat některé z technologií (například alarm). Útoky na koncového uživatele Smart home lze přitom provést hned několika způsoby.
Jak útok probíhá?
Krok 1: Útočník zjišťuje, jakými zařízeními chytrá domácnost disponuje. Nezíská sice žádné konkrétní informace, ale může zjistit, že v systému domácnosti probíhají aktivity – a na základě této informace nakonec lze určit i typy zařízení.
Krok 2: Jakmile útočník ví, která zařízení se v objektu nachází, může dle provozu v systému určit jednotlivé příkazy, které má technologie provést.
Krok 3: Útočník je schopen s určitou pravděpodobností určit, v jakém stavu se přístroje a technologie v domácnosti nacházejí.
Krok 4: Útočník je schopen určit, zda jsou naše dveře zamčené, zda senzory v domě zaznamenávají pohyb v objektu atp.
Krok 1: Útočník zjišťuje, jakými zařízeními chytrá domácnost disponuje. Nezíská sice žádné konkrétní informace, ale může zjistit, že v systému domácnosti probíhají aktivity – a na základě této informace nakonec lze určit i typy zařízení.
Krok 2: Jakmile útočník ví, která zařízení se v objektu nachází, může dle provozu v systému určit jednotlivé příkazy, které má technologie provést.
Krok 3: Útočník je schopen s určitou pravděpodobností určit, v jakém stavu se přístroje a technologie v domácnosti nacházejí.
Krok 4: Útočník je schopen určit, zda jsou naše dveře zamčené, zda senzory v domě zaznamenávají pohyb v objektu atp.
1. Zrádné pakety
První typ útoku je možné provést na šifrované i nešifrované komunikaci. V jednoduchosti řečeno – pokud například použijeme zámek vstupních dveří, technologie má pouze dvě možnosti, tedy odemčeno / zamčeno.
Tato informace je běžně zašifrovaná pomocí standardních protokolů. Šifrování však skrývá pouze užitné zatížení, související metadata (dle definice Národní knihovny metadata = „Strukturovaná data, která nesou informace o primárních datech.“) ovšem mohou uniknout a poskytnout nechtěné informace třetí straně.
Cíle útočníka lze rozdělit takto:
• útočník se snaží zjistit, jaká zařízení jsou používána,
• útočník se snaží odhalit každodenní rutinu uživatele,
• útočník se snaží zjistit specifické aktivity uživatele,
• útočník se snaží zjistit konkrétní aspekty technologií.
Na druhou stranu získat smysluplné informace o činnostech uživatele z tak složitého systému, jakým je napojení řady technologií a spotřebičů, není vůbec jednoduché a útočník musí data sbírat po delší časový úsek, aby byl schopen je správně vyhodnotit. Problematiku lze přiblížit například na systému používajícím WiFi.
Při použití WiFi jsou běžně data šifrována, což útočníkovi samozřejmě zabrání se dostat k jakémukoli přenosu dat mezi uživatelem a zařízeními. Dokud útočník neví, jak se zbavit šifry, vše je v pořádku. Adresy jednotlivých zařízení ovšem šifrovány a kryty nejsou, útočník s příslušným síťovým analyzátorem proto bude schopen vidět adresy jednotlivých používaných zařízení, což mu umožní zaznamenat přenos dat mezi jednotlivými koncovými technologiemi.
Řešení 1:
Problém jako takový prozatím řešení nemá. A přestože již existují obranné technologie, které se na tuto problematiku zaměřují, je nutné konstatovat, že nejsou 100% spolehlivé. Existují však akademická doporučení a podklady pro další výzkum řešení této problematiky.
První možností uživatele, jak se chránit, je například vpustit do sítě falešná data. Tato data se smísí s reálnými daty o užívání technologií a spotřebičů, což značně ztíží identifikaci jednotlivých zařízení a akcí. Při 10 % falešných paket přesnost zjištěných informací při útoku klesá o 13 %.
Méně náročným řešením, bez potíží použitelným, je užívání systému více uživateli. Uživatelé se při nezávisle zadaných pokynech mohou překrývat, či si dokonce protiřečit, což ve výsledku vytvoří falešně pozitivní či falešně negativní akce a útočníkovi značně ztíží práci.
2. Viry a malware
Obdobně jako se může objevit virus v našem počítači, může se objevit i v našem mobilu, tabletu nebo úplně jiném zařízení. Pro uživatele chytrých domácností je taková situace poměrně velkou hrozbou, jelikož jeden nakažený přístroj útočníkovi umožní přístup ke všem technologiím napojeným na Smart home – a samozřejmě mu umožní s nimi následně i manipulovat. Zranitelnost celého systému tímto typem útoku se pohybuje mezi 0,44 – 40 % v závislosti na typu zařízení v chytré domácnosti.
Metodologie přitom ukazuje, že jakmile je zařízení připojeno do systému, neexistuje žádný mechanismus, který by jeho odezvu usměrňoval. Napadnout systém tak může klidně i rádio, které se útočníkovi povedlo infikovat nežádoucím softwarem. Nejzávaznější na celé situaci pak je, že řada vlastníků chytrých domácností se snaží do systému integrovat co největší počet zařízení a technologií, aniž by to bylo třeba a aniž by si byli vědomi rizik, která to s sebou přináší.
Řešení 2
Ani tento případ napadení chytré domácnosti nemá spolehlivé a uspokojivé řešení. V případě útoku prostřednictvím cizího software, viru a malware lze pouze doporučit bezpečnostní systém instalovaný přímo do sítě chytré domácnosti. Takový systém je ovšem stále ještě ve vývinu.
3. Nebezpečí hlasového ovládání
S rostoucí popularitou chytrých asistentů se objevil i nový problém chytré domácnosti. Nedávné průzkumy odhalily, že některá zařízení zaznamenávají nejen pokyny k asistentům směřované, nýbrž celé soukromé konverzace.
V kombinaci s připojením zařízení na internet to opět, stejně jako u osobních informací a návyků, znamená, že celé konverzace mohou bez svolení uživatele domácnosti uniknout do sítě. Nutno podotknout, že některé firmy vyrábějící tento typ produktů i únik nahraných dat veřejně přiznaly.
Obdobně často se také stává, že asistenti disponují pouze jednoduchým systémem rozpoznání řeči a dále již pokyn od osoby oprávněné nakládat se systémem neověřují. To samozřejmě může vést k neautorizovaným příkazům od cizích osob – například i k odemčení dveří či otevření garážových vrat, a to i zvenčí našeho domova.
Řešení 3
Stejně jako u předchozích případů napadení systému, ani pochybení chytrých asistentů zatím nemá vhodné řešení. Jedním z návrhů, jak problém nahrávání hovoru vyřešit, je například rušení nahrávání zvuku asistentem – k tomu může posloužit ultrazvuk, který neruší uživatele, ale záznam znehodnotí.
Chytrá domácnost se v takovém případě ovšem musí dovybavit systémem, který bude v řeči identifikovat pokyny směřované k asistentovi, a pak po dobu pokynu přeruší ultrazvukové rušení. Toto řešení má ovšem dva velké problémy.
Prvním je, že systém poslouchající spouštějící a zastavující ultrazvuk dle nastavených hesel pro asistenta může sám být ultrazvukem ovlivněn (zde již existují teoretické návrhy řešení). Druhým však, což stojí za zamyšlení, je, zda nebude soukromé konverzace nahrávat zařízení, které má zajistit, že řeč nenahrává chytrá domácnost.
S rozpoznáním hlasu autorizované osoby je to ještě složitější. Zde se nabízí ověření uživatele pomocí důvěrné informace, hesla či nějaké akce. Nicméně toto řešení uživatele nutí dělat něco, co by normálně nedělal, případně dojít do určité vzdálenosti od reproduktoru (aby heslo či gesto nemohl útočník zvenčí zaslechnout či odezřít) – a tím se účel chytré domácnosti, která nám má život usnadnit, vytrácí. Řešení, a ani jeho návrh, tak prozatím neexistuje – návrhy jsou buď nevyhovující, nebo příliš drahé, teoretizuje se ovšem, že by s ověřením v budoucnu mohl pomoct chytrý telefon.
Závěr
Přestože je zjevné, že se o jistých bezpečnostních rizicích chytrých domácností veřejně ví, zcela evidentně to celému systému Smart home neubírá na popularitě. Výhody, které systém nabízí svým uživatelům, jsou nesporné – pokud něco potřebují, prakticky ani nemusí vstát z postele, plně automatizovaná domácnost vše vykoná za ně.
Je samozřejmě také otázkou, nakolik jsou hrozby simulované, zkoumané a vyhodnocené na „akademické půdě“ reálné v běžném životě. Nepochybně není radno podceňovat zkušené a správně vybavené útočníky, ale je si zároveň nutno uvědomit, že akademici a technici, kteří za výzkumy, návrhy řešení a vývojem stojí, jsou experty ve svém oboru.
Přesto bychom se neměli nechat ukolébat sliby firem a odborníků, kteří nám systém instalují a nastavují, nemusí se totiž jednat pouze o útočníka zvenčí, který ze systému chytré domácnosti vyčte informace, které obrátí proti uživateli – v Connecticutu se například dostal k soudu případ vraždy manželky, který zcela nevinně začal u informací získaných ze systému chytré domácnosti. To samozřejmě vyvolává otázky, nakolik nás reálně chytrá domácnost monitoruje a kolik toho může prozradit, a v případě útoku i prozradí, o našem pohybu a návycích.
V textu byly použity informace od firem Somfy a Lomax.
Od partnerů ASB
Text: redakce
Foto: Shutterstock
Foto: Shutterstock
Literatura:
[1] Co je vlastně inteligentní domácnost a jak ji ovládat?. Otechnice.cz. Informace dostupné online. 3. 8. 2017. https://www.otechnice.cz/co-je-vlastne-inteligentni-domacnost-a-jak-ji-ovladat/
[2] The Best Smart Home Devices 2018. pcmag.cz. Informace dostupné online. 23. 7. 2018. https://www.pcmag.com/article2/0,2817,2410889,00.asp
[3] Průcha, J,: Chytré bydlení. 2012. Kniha dostupná ve formátu e-book. http://www.insighthome.eu/Chytre-bydleni/
[4] Gao, Ch., Chandrasekaran, V., Fawaz, K., Banerjee, S.. 2018. Traversing the Quagmire that is Privacy in your Smart Home. In IoT S&P’18: ACM SIGCOMM 2018 Workshop on IoT Security and Privacy , August 20, 2018, Budapest, Hungary. ACM, New York, NY, USA, 7 pages.
[5] Dorai, G., Houshmand, S., Baggili, I.. 2018. I Know What You Did Last Summer: Your Smart Home Internet of Things and Your iPhone Forensically Ratting You Out. In ARES 2018: International Conference on Availability, Reliability and Security, August 27–30, 2018, Hamburg, Germany. ACM, New York, NY, USA, 10 pages.
[6] Acar, A., Fereidooni, H., Abera, T., Sikder, A. K., Miettinen, M., Aksu, H., Conti, M., Sadeghi, A.-R., Uluagac, A.S.. Peek-a-Boo: I see your smart home activities, even encrypted!. August 20, 2018: Florida International University. 14 pages.
[7] Serror, M., Henze, M., Hack, S., Schuba, M., Wehrle, K.. 2018. Towards In-Network Security for Smart Homes. In ARES 2018: International Conference on Availability, Reliability and Security, August 27–30, 2018, Hamburg, Germany. ACM, New York, NY, USA, 8 pages.
[8] Co je IoT?. Iot portál. Informace dostupné online. https://www.iot-portal.cz/co-je-iot/
Článek byl uveřejněn v časopisu TZB Haustechnik 3/2018.
