Dübörög tovább az otthonok automatizálása az IoT (Internet of Things, magyarul dolgok internete) jegyében, amiben nagy szerepet kapnak az okosajtózárak és elektronikus távvezérlők is. Sokak számára ezek a kütyük jelentik a belépőt az intelligens lakások felé.
Nem mindenki kezdi rögtön okostermosztáttal vagy okoshűtővel, lévén ezeknek a készülékeknek a nagy része azért még igencsak borsos áron kapható.
Idén már észrevehető trend volt, hogy az elektronikus, okosított zárak az irodaházakból elkezdtek bekúszni a hétköznapi felhasználókhoz is, akik családi házak világítását, ajtóit, garázsbejáróit vezérlik egy okostelefonos appal, pár egyszerű érintéssel.
Ez a sok távolról vezérelhető kütyü mind-mind a kényelem ígéretével kecsegtet, ám ahogy az októberi, Dyn DNS-szolgáltató ellen intézett túlterheléses támadás és a különféle okoseszközökből toborzott zombihálózatok térnyerése is mutatja, még komoly hiányosságok vannak biztonság terén az IoT-ben, pedig
senki sem szeretné, ha a hackerek elkezdenék birizgálni a kocsibejárót, a bejárati ajtót vagy a termosztátot.
A veszély nem csak az internetet és a felhőtárhelyet kihasználó eszközökben, de a Bluetoothon keresztül kommunikáló berendezésekben is megbújik.
„A felhasználó azzal a tudattal hoz ki egy kütyüt a boltból, hogy az jól működik, és biztonságos. Pedig ez közel sem így van. Azt hiszik, hogy a jel csak úgy megy a levegőben, és onnantól annak nem eshet baja” – mondta az Origónak Koltai Gábor, a Ulockme alapítója, fejlesztője. A startup ezért éppen egy okosotthonos vezérlőrendszerrel lépett be a magyar piacra.
A helyzet viszont rosszabb, mint gondolnánk: az idei Defcon hackerkonferencia után nagyot ment a hír, hogy a Bluetoothszal működő okoszárak 75 százaléka könnyen feltörhető, főleg a gyártó hanyagsága miatt. Egy teszt során
16 ismertebb gyártó termékét próbálták feltörni, ebből 12-t könnyedén sikerült.
A mindenféle titkosítás nélkül, nyers szövegként továbbított üzeneteket már egy százdolláros lehallgatóval is el lehet lopni. Nem csak a felhasználók tájékozatlanságáról van szó, de a gyártók felelősségéről is, akik szeretnék mielőbb piacra dobni termékeiket.
A Ulockme már több mint másfél éve fejleszti rendszerét, és bár a termék önmagában nem nagy újdonság, az viszont annál inkább az, hogy a biztonságot helyezi előtérbe, ez a fő selling point, ami kiemeli a konkurensek közül.
A fejlesztők annyira bíznak a megoldásukban, hogy a Lisszabonban megrendezett Web Summit konferencia idejére egy pályázatot is kiírtak a rendszer feltörésére.
A leleményes hackernek 6000 eurót ajánlottak fel, de senkinek nem sikerült feltörni.
A rendszer biztonsága az alkalmazott titkosítási algoritmusokban rejlik, a Ulockme ugyanis sok más gyártótól eltérően nem a Bluetooth beépített biztonságára épít, aminek sérülékenységéről az elmúlt években több szakmai cikk is született. Az azonosítás során pedig nem jön képbe felhő alapú szolgáltatás sem, aminek használata szintén jellemző.
Helyette az elliptikus görbékre épülő titkosítási algoritmusokat alkalmazzák. A többszintű ECC titkosítási rendszert több fejlett országban
személyi azonosító kártyákhoz, banki terminálos védelemre használják.
Az eszközök kommunikációja egy titkosított kapszulában közlekedik, ehhez felhasználja a rendszer az ECDSA digitális aláírást, a Elliptic Curve Diffie-Helman kulcscserélést és az AES titkosítást is.
Az eszközön tárolt adatok egyaránt védelmet kaptak, a memória több ezer kulcsot tud tárolni.
Kérdésemre, miszerint a többi gyártó miért nem ezt a módszert használja, ha annyira hackerbiztos, a fejlesztő annyit mond, hogy
az túl melós, és nagyon sok a belefektetett munka.
Emellett erős hardver is kell ahhoz, hogy gyorsan és jól működjön a korszerű titkosítás. Ez viszont növeli a költségeket, illetve az elemes tápellátású megoldásoknál gyorsabb lemerülést eredményezne.
A gyártók nagy része elemes tápellátásra és alacsony fogyasztásra rendezkedett be, lassabb és olcsóbb hardverrel dolgoznak. Kedvelt például a Bluegiga chipjének alkalmazása, amelynek lelke egy 8bites Intel 8051 mikrokontroller, még a nyolcvanas évekből.
„Egy ilyen hardveren az általunk alkalmazott titkosítási megoldáshoz szükséges számítások minden nyitási parancsnál
durván 8-10 másodperc időt igényelnének.
Ezen túl egy termék piacra vitelénél fontos szempont a gyorsaság, a bemutatókon a funkciók működése nagyobb hangsúlyt kaphat, mint a biztonság.
Valós biztonságról akkor beszélhetünk, ha mind a hardver-, mind a szoftver- és a tárolás-, mind a kommunikációs rétegekben gondoskodunk róla. Mindez fejlesztési időben összemérhető egy komplett funkcionális csomag fejlesztési idejével” – fejti ki Koltai Gábor.
Ez a hozzáállás jellemző a felhasználókra is. Amikor kütyüt vesznek, az első kérdés, hogy mennyire könnyű telepíteni, beüzemelni, mennyibe kerül, és csak utána jön az a szempont, hogy mennyire biztonságos.
A funkcionalitás vagy a kedvező ár varázsában olyan eszközt is örömmel felszerelnek az otthonukban, amely teljesen mellőzi a biztonságot.
„Rendeltünk például Kínából olcsó Bluetooth-kapcsolót, ami bármelyik telefonról vezérelhető volt az alkalmazás letöltése után. A gyártó úgy gondolta, hogy a készülék azonosítására, de még egy titkosítatlan jelszó beállítására sem ad lehetőséget.”
A Ulockme vezérlőpanelje egyszerre négy eszközt tud kezelni: legyen az garázsajtó, kapu, füstjelző vagy kültéri világítás. Mindezt a Play Store-ból és App Store-ból is letölthető Ulockme applikációval lehet megtenni, ahol egy egyszerű kezelőfelületen kapcsolgathatjuk ki és be az adott berendezést.
A családi házakhoz szánt otthoni verzióban
a Bluetooth hatótávja 30 méter, ami külső antennával kitolható akár 100 méterre is.
A lakás tulajdonosa adminisztrátorként kioszthatja a különféle jogosultságokat, új felhasználók telefonjainak és tabletjeinek adhat hozzáférést a vezérléshez. Testre szabható, hogy másként használhassa a feleség, a gyerekek, vagy mondjuk a szomszéd, bejárónő, kertész.
Beállítható az időszaki hozzáférés, akár órákra lebontva:
a karbantartó mondjuk csak reggel 8 és 10 között tudjon belépni,
máskor ne engedje be a rendszer a házba.
Ez akkor lehet különösen hasznos, ha valaki mondjuk airbnb-zik, kiad egy lakást, és gyakran kell elszállásolnia idegeneket. Így kontrollálható az, hogy ki mikor léphet be a lakásba, a jogosultságot pedig távolról is el lehet venni, nem kell mindig cserélgetni, várni a valódi ajtókulcsokra.
A következő év tavaszán válnak elérhetővé a vállalkozásoknak szánt Pro és Net verziók is, amelyekhez már egy wifis modul és szervereszköz is jár, így egyszerre több vezérlőt is hálózatba köthet a felhasználó.
Ehhez már lesz egy webes dashboard is, ami szintén magas szintű védelmet használ majd, és pár kényelmi funkció, valamint értesítési rendszer is a sok-sok eszköz kezeléséhez.
Feltettem Gábornak az egyszerű kérdést is, ami nagy valószínűséggel sok mindenkiben rögtön felmerül: na de mi van akkor, ha elhagyom hazafelé a telefonom, vagy lemerül?
„Ha a kulcsomat hagynám el, az se lenne jobb. Akkor is szólnom kell valakinek, hogy engedjen be a lakásba, ezen felül újat is kell másoltatnom majd magamnak.”
„Lopás esetén viszont jól jöhet, hogy az ellopott készüléktől el tudom venni a jogosultságot távolról, míg ha a kulcsot ellopják, a zárat is le kell cserélnem, hogy ne jusson be a tolvaj” – magyarázza.
„Megszokott helyzet a kiadott lakások és szobák esetében vagy a társasházi bejáratoknál, hogy
követhetetlen a korábbi bérlőknél maradt másolt kulcsok és nyitók megléte.
Jelenleg kulcsok, RFID-s kapunyitók és ugrókódos távirányítók használatával védjük bejáratainkat, értékeinket. Ezek másolása olcsó eszközökkel megoldható, az ehhez szükséges idő pedig kevesebb, mint egy stopperóra számlapján a mutató egyetlen körbefordulása.”