НОВОСТИ – > 180
orig date 2025-05-20 07:29:04
10:40 20-05-2025
Forwarded from Hacker's TOYS
Пока вы настраиваете голосовое управление кондиционером, где-то на сервере уже отрабатывается скрипт, сканирующий ваш роутер на открытый порт 7547. 2025-й: умный дом стал не просто удобным, а официально признанным источником боли. 68% всех DDoS-атак в России теперь генерируются не ботами, а чайниками, лампочками и колонками. А умный замок, который вы поставили ради безопасности, теперь вскрывается за 11 секунд — и не отмычкой, а Telegram-ботом.
В марте 2025 года, обновлённый Mirai Resurrection за 72 часа захватил 5 миллионов устройств. Уязвимости в ESP32, старый-добрый Telnet, камеры Dahua с паролями «admin:admin» и троянский Telegram с “обновлением прошивки” — и всё, 14 регионов остались без ЖКХ. Минус 2.3 миллиарда рублей. И это не сюжет из «Чёрного зеркала».
И это не единичный случай. Забудьте про фильмы, где взлом — это куча кабелей и ноутбук на коленке. В 2018 году исследователи вскрыли Bluetooth-замок Tapplock за 2 секунды. У всех замков был один и тот же MAC-адрес, API не требовал авторизации. Подключаешься — и дверь открыта. Всё. Больше похоже на баг из видеоигры, чем на устройство безопасности.
Но настоящая дыра — в архитектуре. Большинство IoT-устройств до сих пор живут на TLS 1.0, а чипы без TPM легко бьются через fault injection. Добавьте к этому supply chain: бэкдоры от завода-производителя, поддельные eSIM, обходные каналы через Modbus — и вы получаете не умное устройство, а троян в коробке из DNS-магазина. А теперь представьте, что у вас дома 11 таких.
Что делать? Паниковать не стоит, но действовать нужно.
Начинаем с сегментации. IoT-устройства отправляем в отдельную VLAN — это базовый шаг даже для домашних роутеров (ASUS, TP-Link). Для продвинутых — OPNsense/pfSense с правилами GeoIP-фильтрации и блокировкой Tor-узлов. Не потому что боимся Tor, а потому что умные чайники — не тот трафик, которому стоит гулять по даркнету.
Пароли? Забудьте про «admin».
Генерируйте сложные комбинации через Bitwarden или 1Password. Для камер и замков — обязательно включите двухфакторку: пусть злоумышленник сначала подделает код, потом — токен, потом — ваше терпение. Подойдут Google Authenticator или физический YubiKey.
Шифрование? Только AES-256 и TLS 1.3. И это не про маркетинг на коробке — проверьте, что оно включено в настройках. Для параноиков и тех, кто держит инфраструктуру на плаву: смотрите в сторону Kyber или SIDH. Уже есть маршрутизаторы от Cisco и промышленные шлюзы, где эти квантово-устойчивые алгоритмы встроены прямо в железо.
Ультрапараноикам — клетки Фарадея на колонки и камеры, и механическое реле на питание: если гаджет сошёл с ума — отключаем физически. Без Bluetooth. Без “Окей, Алиса”.
А теперь про Россию. 39 миллионов умных счётчиков уже подключены к “Киберщитам”. 27% атак на госсектор — через IoT-ботнеты. ГОСТ Р 71168-2023 обязывает TPM 2.0 в устройствах ЖКХ. Но кто их реально проверяет — загадка, достойная фандрайва на PlanFix.
Вывод? Умный дом — это не квартира будущего. Это лабиринт из открытых портов, незащищённых API и “удобных” Telegram-интерфейсов. И пока вы наливаете чай голосовой командой, где-то идёт перебор паролей. Уже, возможно, на вашей микроволновке.
P.S. Гостевая сеть на роутере — это не “пофиг”, это must-have. А «admin:admin» — это не учетная запись. Это официальное приглашение на взлом.
P/S Автору будет приятно если вы накидаете