Системы охранной сигнализации для жилых помещений становятся все более популярными и доступными благодаря появлению высокотехнологичных конкурентов у традиционных поставщиков, таких как ADT, некоторые из которых работают на рынке уже более века.
Эти системы нового поколения могут быть как простыми, так и сложными по способности обнаруживать проникновение в дом и не только. Большинство из них теперь интегрируют удалённый мониторинг и управление системами домашней автоматизации, что было наглядно продемонстрировано на недавней выставке бытовой электроники в Лас-Вегасе, где был представлен невероятный спектр технологий для обеспечения безопасности и комфорта.
Теперь вы можете удалённо контролировать состояние сигнализации (включена или выключена), вход и выход, а также включать и выключать систему из любой точки мира. Управление температурой окружающей среды, утечками воды, уровнем угарного газа, видеокамерами, внутренним и наружным освещением, термостатами, гаражными воротами, дверными замками и медицинскими вызовами — всё это можно контролировать с одного шлюза, используя смартфон, планшет или компьютер.
Большинство компаний, предоставляющих услуги сигнализации, также перешли на беспроводные решения при установке различных датчиков по всему дому из-за высокой стоимости и сложности прокладки проводов. Практически все компании, предлагающие услуги сигнализации, используют широкий спектр беспроводных датчиков, поскольку они недорогие, простые в установке и установке, а также надежные. К сожалению, за исключением устройств безопасности коммерческого класса, они, как правило, не так безопасны, как традиционные проводные датчики.
В зависимости от конструкции системы и типа беспроводной технологии, беспроводные датчики могут быть легко обмануты осведомлёнными злоумышленниками. Именно с этого и начинается эта история.
В 2008 году я написал подробный анализ системы LaserShield на Engadget. LaserShield — это рекламируемый по всей стране комплекс охранной сигнализации для жилых домов и предприятий, который позиционировался и рекламируется как безопасный, простой в установке и экономичный. На своём веб-сайте они рекламируют клиентам, что это «безопасность, ставшая проще» и «безопасность в коробке». Проблема в том, что не существует простых способов защитить оборудование. Когда я проводил анализ этой системы в 2008 году, я снял короткое видео в таунхаусе, демонстрирующее, насколько легко обойти систему с помощью недорогой рации, а также более подробное видео, демонстрирующее, как эта система должна обеспечивать безопасность. Вы можете ознакомиться с нашим отчётом на сайте in.security.org.
Примерно в то же время на рынок вышла другая компания под названием SimpliSafe. По словам одного из её ведущих специалистов, с которым я недавно общался, компания начала свою деятельность около 2008 года и сейчас имеет около 200 000 подписчиков на услуги сигнализации по всей стране.
Прошло семь лет. SimpliSafe всё ещё существует и предлагает систему сигнализации для самостоятельной установки, которую легко установить и настроить, и которая не требует телефонной линии для связи с центром сигнализации. Система использует сотовую связь, что обеспечивает гораздо более эффективный канал связи. Хотя сигнал сотовой связи может быть заглушён, она не подвержена риску повреждения телефонных линий взломщиками.
SimpliSafe привлёк моё внимание, потому что активно рекламируется по всей стране и в некоторых отношениях предлагает продукт, весьма конкурентоспособный по сравнению с ADT и другими крупными поставщиками систем сигнализации, при гораздо меньших капитальных затратах на оборудование и ежемесячной стоимости мониторинга. Ознакомьтесь с моим анализом этой системы на сайте in.security.org.
Хотя система SimpliSafe выглядит гораздо более сложной, чем система LaserShield (которая всё ещё продаётся), она столь же уязвима к методам обхода. Если прочитать и поверить многочисленным рекомендациям в национальных СМИ, полученным SimpliSafe, можно подумать, что эта система — ГЛАВНЫЙ ответ потребителям на крупные компании, занимающиеся системами безопасности. Да, она предлагает множество функций, которые весьма удобны и стоят примерно вдвое дешевле, чем у традиционных систем. К сожалению, ни в одном из громких и уважаемых СМИ не говорилось о безопасности или потенциальных уязвимостях этих полностью беспроводных систем.
Я получил систему от SimpliSafe для тестирования и задал множество технических вопросов старшему инженеру компании. Затем мы установили датчик движения, магнитный дверной датчик, тревожную кнопку и шлюз связи в кондоминиуме во Флориде, принадлежащем отставному высокопоставленному агенту ФБР, у которого в доме хранились оружие, редкие произведения искусства и множество других ценных вещей. Мы сняли три видеоролика: один демонстрирует нормальную работу и настройку системы, второй демонстрирует, как легко обойти все датчики, и третий, показывающий, как магнитные датчики, предлагаемые компанией, можно обойти с помощью 25-центового магнита и скотча из Home Depot.
Одна из основных проблем заключается в том, что датчики являются устройствами одностороннего действия, то есть при срабатывании они отправляют сигнал тревоги на шлюз. Все датчики сигнализации работают на одной частоте, которую легко определить в Интернете. Затем можно запрограммировать радиопередатчик на эту частоту, как в системе LaserShield. Я использовал для этого подручную рацию. Проблема такой конструкции заключается в том, что приёмник шлюза может быть заглушён, как при атаке типа «отказ в обслуживании» (DoS) на сетевые серверы. Приёмник, который должен обрабатывать сигналы срабатывания сигнализации, не реагирует на сигналы тревоги и не получает уведомлений о состоянии тревоги.
Мы несколько минут бродили по кондоминиуму во Флориде, но ни одна сигнализация не сработала, включая сигнализацию паники, встроенную в брелок. Будь я грабителем, я бы мог украсть оружие, ценные произведения искусства и множество других ценных вещей, обойдя систему, одобренную самыми уважаемыми печатными и телевизионными СМИ страны.
Это напоминает ситуацию, которую я назвал «TV Doctors», которые также рекламировали якобы безопасный и защищенный от детей контейнер для рецептурных лекарств, продававшийся по всей стране в аптеках и других крупных розничных сетях. Он был совершенно небезопасен и не защищен от детей. Эта компания быстро обанкротилась, а TV Doctors, которые своими рекомендациями негласно ручались за безопасность этого продукта, удалили свои видео с YouTube, не устранив основную проблему.
Общественность должна относиться к подобным отзывам со скептицизмом, поскольку это всего лишь необычный и хитрый способ рекламы, обычно используемый журналистами и PR-агентствами, которые понятия не имеют, что такое безопасность. К сожалению, потребители верят этим рекомендациям и считают, что СМИ знают, о чём говорят. Зачастую журналисты понимают лишь такие простые вещи, как стоимость, простота установки и ежемесячные платежи. Но, покупая систему сигнализации для защиты своей семьи, дома и имущества, необходимо осознавать фундаментальные уязвимости системы безопасности, поскольку само понятие «система безопасности» подразумевает её.
Система SimpliSafe — это доступная альтернатива более дорогим системам сигнализации, которые разрабатываются, устанавливаются и контролируются крупными национальными компаниями. Поэтому перед потребителем встаёт вопрос о том, что представляет собой безопасность и какой уровень защиты необходим, исходя из предполагаемых угроз. Это требует от поставщиков систем сигнализации полной открытости, и, как я рекомендовал представителям SimpliSafe, им следует размещать предупреждения и отказ от ответственности на упаковке и в руководствах пользователя, чтобы потенциальный покупатель был полностью проинформирован и мог принять взвешенное решение о покупке, исходя из своих индивидуальных потребностей.
Вы бы беспокоились, что вашу систему сигнализации может легко взломать относительно неопытный взломщик с устройством стоимостью менее трёхсот долларов? И ещё важнее: стали бы вы рекламировать ворам, что у вас есть система, которую легко обойти? Помните, что каждый раз, когда вы наклеиваете на двери или окна такую наклейку или размещаете во дворе табличку с информацией о том, какая у вас установлена сигнализация, вы также сообщаете злоумышленнику, что её потенциально можно обойти.
В сфере охранных систем бесплатных обедов не бывает, и вы получаете ровно то, за что платите. Поэтому, прежде чем приобретать любую из этих систем, вы должны точно понимать, какую защиту вы получаете, и, что ещё важнее, чего может не хватать в плане технологий и инженерных систем безопасности.
Примечание: в этом месяце мы получили актуальную версию LaserShield, чтобы подтвердить наши выводы 2008 года. Обойти её оказалось так же легко, как показано в видео 2008 года.
В своей жизни я совмещаю две профессии: я одновременно и адвокат-следователь, и эксперт по физической безопасности/коммуникациям. Последние сорок лет я занимался расследованиями, но…
Время публикации: 28 июня 2019 г.