4 minutes reading time (703 words)

Взлом системы Z-Wave – это не новость; "Уязвимость" является осознанным выбором

zwave cybersecurity z-wave кибер безопасность

В последнее время многие говорили о том, что "Миллионы IoT-устройств в Z-Wave системах подвержены риску взлома". Вопрос "Может ли уязвимость Z-Wave системы поставить под угрозу безопасность сети с множеством смарт-устройств?" пугает многих пользователей.

Члены Z-Wave Альянса все это слышали ранее. Еще в 2013 году стало известно, каким образом хакер, находящийся в непосредственной близости от Z-Wave устройства в момент подключения к контроллеру, мог бы теоретически перехватить ключ безопасности и получить возможность управление сетью Z-Wave.

"Если вы хорошенько взгляните на полученное сообщение, то поймете, что с 2013 года нет ничего нового с точки зрения уязвимости", – прокомментировал Рауль Вийгергангс, вице-президент Z-Wave.

По его словам, даже самая крошечная уязвимость системы полностью устранена с использованием новой схемы безопасности S2, которая используется во всех новых сертифицированных Z-Wave устройствах.

Все члены Z-Wave Альянса, включая ADT, LG, Samsung, Nortek и около 700 других компаний, знали об этой уязвимости и сделали свой "осознанный выбор" для сохранения обратной связи системы и совместимости с примерно 100 миллионами выпущенных устройств.


Последние новости о взломе

Все сообщения об уязвимости системы были связаны с преднамеренным взломом, о котором сообщила команда Pen Test Partners, являющаяся британской группой высококвалифицированных тестеров и поставщиком ИТ-безопасности.

Команда продемонстрировала, как какой-нибудь хакер мог бы понизить уровень безопасности Z-Wave-устройства с S2 до исходного (менее защищенного) S0.

Схема S2 используется во всех сертифицированных устройствах Z-Wave, однако на рынке уже имеется около 100 миллионов интеллектуальных устройств со схемой S0, которую, в принципе, не так уж и просто взломать.

Во всех случаях, когда новое устройство подключается к сети, конечное устройство использует одноразовый ключ безопасности с Z-Wave контроллером. В случае со схемой S0 ключ не зашифрован. При использовании правильных инструментов хакер может перехватить ключ во время короткого процесса подключения, а затем овладеть сетью Z-Wave. Схема S2 устраняет эту уязвимость за счет использования зашифрованных ключей.

Группа Pen Test нашла способ обхода процесса обмена ключами, зашифрованными схемой S2, тем самым снижая степень безопасности с S2 на S0 и устраняя все преимущества S2.


Это не недостаток

"Во-первых, тот факт, что команде Pen Test удалось снизить уровень защиты с S2 на S0 не является для нас новостью", – заявил Рауль Вийгсергангс.

Схема S2 была "одобрена всеми членами Альянса, которые, в первую очередь учитывают удобство и безопасность потребителей", – говорит он.

Он добавил, что исходная уязвимость S0 "настолько мала, что все плюсы использования обратной совместимости полностью перевешивают этот незначительный риск, связанный с безопасностью системы ".

Вийгергангс далее объясняет: "Когда вы создаете механизм безопасности, вам всегда нужно принять во внимание и сложность настройки системы. Мы считаем крайне маловероятным то, что какой-то хакер сумеет оказаться в нужное время рядом с вашим домом и перехватить сигнал в течение 20 миллисекунд, необходимых для регистрации устройства в сети".

Злоумышленник должен будет находиться на расстоянии 30-40 метров от вашего дома и прислушиваться к каждому звуку. В любом случае, после того, как устройство будет зарегистрировано в сети, данная уязвимость будет полностью устранена (хотя команда Pen Test утверждает, что злоумышленник может удалить батареи из устройства для повторного подключения).

Сегодня Z-Wave Альянс требует, чтобы все контроллеры с сертификацией S2 уведомляли пользователей в случае регистрации устройств со схемой безопасности S0. Вийгергангс также добавил, что группа планирует усилить меры безопасности.

На сегодняшний день выпущено 155 видов товаров с поддержкой S2 и сертификацией Z-Wave, из которых по меньшей мере 15 являются контроллерами.

"Возможно, мы должны поработать над некоторыми основными вопросами безопасности, к примеру, требовать от потребителей изменения паролей по умолчанию, установки патчей безопасности, а также убедить их не использовать переадресацию портов и т.п... В этом случае хакеру явно будет проще прокрасться в дом с USB-накопителем и подключить его к компьютеру или контроллеру, чем попытаться взломать систему." 

О Z-Wave

Z-Wave является первой технологией, предоставляющей доступное, надежное, простое в использовании беспроводное управление каждому аспекту повседневной жизни - дому, потребительской электронике, заботе о здоровье и энергопотреблению, как пример. Z-Wave является удостоенной награды, доказанной и совместимой технологией беспроводной ячеистой сети (mesh-сети), которая позволяет широкому спектру устройств в и вокруг дома взаимодействовать между собой, включая освещение, бытовые приборы, климат-контроль (HVAC), центры развлечения и системы безопасности. Z-Wave приносит много преимуществ повседневной жизни, включая дистанционное наблюдение за домом, домашний медицинский уход, безопасность и охрана и энергосбережение. Около 450 сертифицированных Z-Wave изделий в настоящий момент доступны от ведущих потребительских брэндов. Z-Wave является получателем наград Wall Street Journal Technology Innovation Award 2006 в беспроводной категории, CNET "Best of CES Award" в категории приспосабливаемых технологий, наряду с PC World 2006 World Class Award, который признает 100 лучших технологий и изделий в год. 

Домашняя автоматизация: беспроводное управление бы...
Несовместимость устройств с Z-Wave контроллерами п...

Читайте также:

 

Комментарии (0)

Rated 0 out of 5 based on 0 voters
There are no comments posted here yet

Оставьте свой комментарий

  1. Posting comment as a guest. Sign up or login to your account.
Rate this post:
0 Characters
Вложения (0 / 3)
Share Your Location

Блог - Добро пожаловать!

EasyBlog - Biography Module

пользователь vov85 не оставил ничего в своей биографии ...

Блог - Календарь

Подождите минутку, пока генерируется календарь

Блог - Последние комментарии

Ранее образы были Hass.io , теперь HassOS...
Administrator posted a comment in 12 мифов о технологии Z-Wave
По мифу 9 не соглашусь. Ассортимент оборудования Z-Wаve н...
Образы для установки Hass.io периодически обновляются. Сс...
Сайт Z-Wave Альянса рекламирует «интероперабельность» (...
Z-Wave - это просто протокол связи, как правило все Z-Wave уст...

Блог - Последние блоггеры

admin
Записей: 64
пользователь admin не оставил ничего в своей биографии
Manager
Записей: 42
пользователь Manager не оставил ничего в своей биографии
zwaveadmin
Записей: 21
пользователь zwaveadmin не оставил ничего в своей биографии
vov85
Записей: 8
пользователь vov85 не оставил ничего в своей биографии
Mobilniy
Записей: 2
пользователь Mobilniy не оставил ничего в своей биографии

Блог - Командные блоги

Z-Waver

Членов: 4

Блог - Категории

Блог - Информация по записи

  31.07.2018
  328 просмотров