Stanovanjski alarmni sistemi postajajo vse bolj priljubljeni in cenovno dostopni zaradi visokotehnološke konkurence tradicionalnim ponudnikom, kot je ADT, od katerih nekateri poslujejo že več kot stoletje.
Ti sistemi nove generacije so lahko preprosti ali dovršeni, saj zaznavajo vstop v vaš dom in še veliko več. Večina jih zdaj vključuje daljinsko spremljanje in upravljanje sistemov za domačo avtomatizacijo, kar je bilo jasno razvidno na nedavnem sejmu potrošniške elektronike v Las Vegasu, kjer je bila na ogled neverjetna paleta tehnologije za življenjsko varnost in udobje.
Zdaj lahko na daljavo spremljate stanje alarma (vklopljen ali izklopljen), vstop in izhod ter vklopite in izklopite sistem od koder koli na svetu. Temperaturo okolice, puščanje vode, raven ogljikovega monoksida, video kamere, notranjo in zunanjo razsvetljavo, termostate, garažna vrata, ključavnice vrat in medicinska opozorila lahko upravljate z enega samega prehoda prek pametnega telefona, tablice ali računalnika.
Večina podjetij, ki ponujajo alarme, je pri nameščanju različnih senzorjev po vsem domu prešla na brezžične sisteme zaradi stroškov in težavnosti napeljave kablov. Praktično vsa podjetja, ki ponujajo alarmne storitve, se zanašajo na široko paleto brezžičnih sprožilcev, ker so poceni, enostavni za namestitev in namestitev ter zanesljivi. Žal, razen varnostnih naprav komercialne kakovosti, običajno niso tako varni kot tradicionalni ožičeni sprožilci.
Glede na zasnovo sistema in vrsto brezžične tehnologije lahko izkušeni vsiljivci brezžične senzorje zelo enostavno premagajo. Tu se zgodba začne.
Leta 2008 sem na Engadgetu napisal podrobno analizo sistema LaserShield. LaserShield je bil nacionalno oglaševan alarmni paket za stanovanja in podjetja, ki je bil in je oglaševan kot varen, enostaven za namestitev in stroškovno učinkovit. Na svoji spletni strani svojim strankam sporočajo, da gre za »preprosto varnost« in »varnost v škatli«. Težava je v tem, da ni bližnjic do zavarovanja strojne opreme. Ko sem leta 2008 izvajal analizo tega sistema, sem v vrstni hiši posnel kratek videoposnetek, ki je prikazal, kako enostavno je sistem premagati s poceni voki-tokijem, in podrobnejši videoposnetek, ki je prikazal, kako naj bi bil sistem varen. Naše poročilo si lahko preberete na in.security.org.
Približno v istem času je na trg vstopilo še eno podjetje, imenovano SimpliSafe. Po besedah enega od njihovih višjih tehnikov, s katerim sem se nedavno pogovarjal, je podjetje začelo poslovati okoli leta 2008 in ima zdaj po vsej državi približno 200.000 naročnikov na svojo alarmno storitev.
Sedem let kasneje je SimpliSafe še vedno na voljo in ponuja samostojni alarmni sistem, ki ga je enostavno namestiti, programirati in ne potrebuje telefonske linije za komunikacijo z alarmnim centrom. Uporablja mobilno omrežje, kar pomeni veliko učinkovitejšo komunikacijsko pot. Čeprav je mobilni signal lahko moten, vlomilci ne morejo prekiniti telefonskih linij.
SimpliSafe je pritegnil mojo pozornost, ker se veliko oglašujejo na nacionalni ravni in imajo v nekaterih pogledih zelo konkurenčen izdelek v primerjavi z ADT in drugimi večjimi ponudniki alarmov, za precej manj kapitalskih izdatkov za opremo in mesečnih stroškov za spremljanje. Preberite mojo analizo tega sistema na in.security.org.
Čeprav se zdi, da je SimpliSafe veliko bolj dovršen kot sistem LaserShield (ki se še vedno prodaja), je prav tako ranljiv za različne metode premagovanja. Če preberete in verjamete številnim nacionalnim medijskim pohvalam, ki jih je prejel SimpliSafe, bi pomislili, da je ta sistem PRAVI odgovor potrošnikov na večja podjetja za alarme. Da, ponuja veliko funkcij, ki so zelo priročne, po približno polovici stroškov tradicionalnih podjetij za alarme. Žal nobena od odmevnih in spoštovanih medijskih pohval ali člankov ni govorila o varnosti ali morebitnih ranljivostih teh popolnoma brezžičnih sistemov.
Sistem sem dobil za testiranje od SimpliSafe in višjemu inženirju podjetja postavil veliko tehničnih vprašanj. Nato smo v stanovanje na Floridi, ki je v lasti upokojenega višjega agenta FBI, ki je imel v svojem domu orožje, redke umetnine in veliko drugih dragocenih predmetov, namestili senzor gibanja, magnetno sprožilno stikalo za vrata, gumb za paniko in komunikacijski prehod. Posneli smo tri videoposnetke: enega, ki prikazuje normalno delovanje in nastavitev sistema, enega, ki prikazuje, kako enostavno zaobiti vsa sprožilna stikala, in enega, ki prikazuje, kako je mogoče magnetna sprožilna stikala, ki jih dobavljajo, premagati z magnetom za petindvajset centov in lepilnim trakom iz Home Depota.
Ena glavnih težav je, da so senzorji enosmerne naprave, kar pomeni, da ob sprožitvi pošljejo alarmni signal prehodu. Vsi alarmni senzorji oddajajo na eni frekvenci, ki jo je mogoče enostavno določiti na internetu. Radijski oddajnik je nato mogoče programirati za to določeno frekvenco, tako kot pri sistemu LaserShield. To sem naredil z lahko dostopnim walkie-talkiejem. Težava te zasnove je, da je sprejemnik prehoda lahko moten, tako kot pri napadu zavrnitve storitve (DoS) na omrežne strežnike. Sprejemnik, ki mora obdelati signale iz sprožitev alarma, je zaslepljen in nikoli ne prejme nobenega obvestila o alarmnem stanju.
Nekaj minut smo se sprehajali po stanovanju na Floridi in se ni sprožil noben alarm, vključno s paničnim alarmom, ki je vgrajen v obesek za ključe. Če bi bil vlomilec, bi lahko ukradel orožje, dragocene umetnine in veliko drugih dragocenosti, vse to z zmago nad sistemom, ki ga podpirajo najbolj ugledni tiskani in televizijski mediji v državi.
To spominja na tisto, kar sem označil kot »TV Doctors«, ki so prav tako podpirali domnevno varno in otrokom varno embalažo za zdravila na recept, ki so jo po vsej državi prodajale lekarne in drugi večji trgovci. Sploh ni bila varna ali varna za otroke. To podjetje je hitro propadlo, TV Doctors, ki so s svojimi priporočili tiho jamčili za varnost tega izdelka, pa so odstranili njihove videoposnetke na YouTubu, ne da bi obravnavali osnovno težavo.
Javnost bi morala tovrstna pričevanja brati s skepticizmom, saj gre zgolj za drugačen in pameten način oglaševanja, ki ga običajno izvajajo novinarji in PR agencije, ki nimajo pojma, kaj je varnost. Žal potrošniki verjamejo tem priporočilom in zaupajo medijem, da vedo, o čem govorijo. Pogosto novinarji razumejo le poenostavljena vprašanja, kot so stroški, enostavnost namestitve in mesečne pogodbe. Ko pa kupujete alarmni sistem za zaščito svoje družine, doma in premoženja, se morate zavedati temeljnih varnostnih ranljivosti, saj je izraz »varnostni sistem« neločljivo povezan s konceptom varnosti.
Sistem SimpliSafe je cenovno ugodna alternativa dražjim alarmnim sistemom, ki jih načrtujejo, nameščajo in nadzorujejo velika nacionalna podjetja. Vprašanje za potrošnika je torej, kaj sploh predstavlja varnost in koliko zaščite je potrebno glede na zaznane grožnje. To zahteva popolno razkritje s strani prodajalcev alarmov in, kot sem predlagal predstavnikom SimpliSafe, bi morali na embalažo in uporabniške priročnike namestiti izjave o omejitvi odgovornosti in opozorila, da bo potencialni kupec popolnoma obveščen in se bo lahko pametno odločil, kaj bo kupil, glede na svoje individualne potrebe.
Bi vas skrbelo, da bi lahko vaš alarmni sistem zlahka ogrozil relativno nevešč vlomilec z napravo, ki stane manj kot tristo dolarjev? Še bolj pomembno: bi želeli tatovom oglaševati, da imate sistem, ki ga je mogoče enostavno premagati? Ne pozabite, da vsakič, ko na vrata ali okna nalepite eno od teh nalepk ali na dvorišče postavite znak, ki vsiljivcu pove, kakšen alarmni sistem imate nameščen, mu poveste tudi, da ga je mogoče potencialno zaobiti.
V poslu z alarmi ni zastonj kosila in dobite tisto, za kar plačate. Preden torej kupite kateri koli od teh sistemov, morate natančno razumeti, kaj vam zagotavlja zaščita, in kar je še pomembneje, kaj morda primanjkuje v smislu tehnologije in varnostnega inženiringa.
Opomba: Ta mesec smo pridobili najnovejšo različico programa LaserShield, da potrdimo naše ugotovitve iz leta 2008. Kot je prikazano v videoposnetku iz leta 2008, ga je bilo prav tako enostavno ovreči.
V svojem svetu nosim dve vlogi: sem preiskovalni odvetnik in strokovnjak za fizično varnost/komunikacije. Zadnjih štirideset let sem delal na preiskavah, b…
Čas objave: 28. junij 2019