أنظمة تدفئة
إذا كنت متابعاً لأخبار أمن المعلومات والإنترنت باستمرار، فلن يكون هذا الخبر مفاجئاً بالنسبة لك، إذ أن الكثير من أنظمة البيوت الذكية مهملة الإعدادات، وتعرضها لسلسلة من الثغرات الأمنية.
وللتوضيح، فالبيوت الذكية هي تماماً ما تعتقده: من البيوت التي تتضمن أجهزة التلفاز الذكية، والهواتف الذكية، والسيارات الذكية، والبيوت التي تكون فيها معدات التدفئة والتبريد والإضاءة وكشف الدخان وأقفال الأبواب مربوطة بشبكة البيت، وموصولة بالإنترنت، إضافة إلى أجهزة الكمبيوتر والهواتف والأجهزة اللوحية، وغيرها من الوسائل التي تستخدم الإنترنت. وتتيح هذه الأنظمة للمستخدمين مراقبة الشاشات والتحكم بالأنظمة عن بعد في بيوتهم.
وقد أخذ الباحثون باكتشاف الثغرات في أنظمة الحماية الذكية، وأقفال الأبواب المربوطة بالإنترنت، وكاشفات الدخان (وكل شيء آخر متصل بالإنترنت) منذ فترة طويلة. وقد اختبر أصدقاؤنا مؤخراً من مؤسسة AV Test.org المستوى الأمني لسبعة بيوت ذكية منفصلة، ووجدوا بأن أربعة من هذه البيوت كانت غير آمنة.
وبالتأكيد فإن رقم سبعة يعد صغيراً وغير كافياً لإجراء دراسة، وبغض النظر فأهم ما توصل له الاختبار إمكانية اختراق المعدات داخلياً، وخارجياً في أحيان أخرى، من قبل هجمات تستهدف شبكة البيت والآلات الموصولة بها، والأشياء الموجودة بداخلها.
وقد اختبرت AV Test iConnect من eSaver، tapHome من EUROiSTYLE، معدات Gigaset، وiComfort من REV Ritter، بيت RWE الذكي، QIVICON من Deutsche Telekom، وXAVAX MAX من Hama. ومن بين كل هذه المعدات، فقد وجدت AV Test بأن المعدات المحمية من القرصنة ومحاولات الدخول غير القانونية تتضمن فقط Gigaset، RWE، QIVICON. بينما تضمنت معدات iComfort وtapHome ثغرات يمكن اختراقها محلياً، مما يعني ضرورة وجود المهاجمين في البيت كي يتمكنوا من تنفيذ الاختراق. والأخطر من ذلك إمكانية اختراق معدات iComfort وXAVAX MAX عن بعد (إضافة إلى امكانية الاختراق محلياً).
ويتضمن كل منتج عدداً من المزايا، وبشكل عام، فهذه أنظمة تحكم للكهرباء والتدفئة والأمن، وأنظمة مراقبة للأبواب والنوافذ والغرف، وأنظمة التحكم بالمقابس، وأنظمة الإضاءة والكهرباء.
ويستطيع المهاجم التلاعب بمجموعة من الأنظمة المتصلة كي يسبب لها الضرر، كتعطيل التدفئة والتسبب بانفجار قنوات الماء في الشتاء.
وبالنهاية، فإن معظم هجمات المقرصنين تسعى وراء المال. لذا، فإن معظم هذه الهجمات تحصل باكتشاف نقاط الضعف في هذه الأنظمة للتمكن من اختراقها، والوصول إلى البيانات المخزنة على شبكة البيت. ومن المحتمل أيضاً مهاجمة بعض المعدات غير الآمنة من أجل مراقبة هجوم السرقة. وقد يقوم المهاجم الخبير بفك أقفال الأبواب، مما يجعل عملية السرقة من هذا النوع أسهل. وتلاحظ AV Test بأن احتمالية الفدية التي تنشأ من هذه النوعية من العمليات تكون مغرية بالنسبة للمهاجم، حيث سيكون من الصعب على الضحية عدم قبول دفع الفدية في حال توقف كل أنظمة البيت عن العمل تماماً.
وقد اختبرت AV Test ما إذا كانت الاتصالات مشفرة أم لا، وإذا ما تطلبت المعدات دخولاً مصرحاً بشكل تلقائي (كلمات مرور)، وإمكانية تعرضها للهجمات عن بعد.
وقد كانت الاتصالات على Gigaset، RWE، QIVICON مشفرة دائماً، وصنفت على أنها آمنة. كما تقوم iConnect بتشفير اتصالاتها أيضاً، إلا أن AV Test تقول بسهولة اختراق التشفير. أما بقية المعدات التي شملتها الدراسة، فقد فشلت باستخدام التشفير تماماً.
ويعني فشل التشفير هذا، سهولة اختراق أنظمة البيوت الذكية ومهاجمتها، لذا يسهل على المهاجم مراقبة كافة الاتصالات من وإلى هذه الأجهزة، وسرقة الرموز السرية للتلاعب بوظائفها، أو مجرد مراقبتها لمعرفة الأوقات التي يتواجد فيها الأشخاص بالبيت.
“يعني فشل التشفير سهولة اختراق أنظمة البيت الذكية ومهاجمتها”
Tweet
ولا يتطلب منتج iComfort أي دخول مصرح، مما يعني إمكانية قيام المهاجم عن بعد بإنشاء موقع لمهاجمة النظام. أما أنظمة iConnect وXAVAX MAX تتطلب دخولاً مصرحاً للموقع، وليس للدخول المحلي. تتطلب tapHome دخولاً مصرحاً داخلياً، ولكن كما تقول الدراسة، فإن هذه الوسيلة تعتبر غير ذات علاقة، نظراً لافتقاد المنتج للتشفير. أما منتجات Gigaset، RWE، QIVICON فقد تطلبت دخولاً مصرحاً للدخول الفعلي، والدخول الالكتروني (إضافة إلى الاتصال بأمان).
والأخبار الجيدة هنا، هي تأكيد AV Test، بإمكانية تطوير شركات هذه المنتجات لأنظمة آمنة إذا ما أخذت الوقت اللازم للتخطيط بدلاً من الاستعجال بطرح منتجاتها للسوق. والجانب الآخر الجيد من الأخبار، أنك إذا كنت تفكر باقتناء نظام ذكي لبيتك، فإن AV Test تسهل عليك عملية الاختيار، إذ يتوجب عليك اقتناء الأنظمة التي تشفر اتصالاتها باستمرار، وتتطلب دائماً دخولاً مصرحاً.
النصائح