Винагорода в розмірі 10 тисяч доларів США: зламати кільцеві камери, щоб заблокувати дані Amazon

Виникла революційна проблема кібербезпеки, яка може змінити спосіб обробки конфіденційності користувачів розумними домашніми пристроями. Fulu Foundation, некомерційна організація, яка займається усуненням неприємних для користувачів функцій у споживчих технологіях, оголосила значну винагороду в розмірі 10 000 доларів США для дослідників безпеки та хакерів, які зможуть успішно завадити камерам Ring передавати дані на сервери Amazon. Завдання, зокрема, вимагає, щоб будь-яке рішення зберігало основну функціональність камери, водночас розриваючи її зв’язок з інфраструктурою збору даних Amazon.

Ця безпрецедентна програма винагород підкреслює зростаючу стурбованість щодо конфіденційності розумного дому та широкомасштабних практик збору даних великими технологічними компаніями. Кільцеві камери, якими володіє Amazon з 2018 року, зазнали дедалі більшої критики з боку захисників конфіденційності, які стверджують, що пристрої збирають набагато більше інформації, ніж необхідно для цілей безпеки. Камери регулярно надсилають метадані, шаблони використання та потенційно конфіденційну інформацію назад на хмарні сервери Amazon, часто без того, щоб користувачі повністю усвідомлювали масштаби спільного використання даних.

Ініціатива Fulu Foundation представляє новий підхід до вирішення проблеми корпоративного стеження за допомогою технологічних рішень, а не регулятивних заходів. На відміну від традиційних програм винагороди за помилки, які зосереджуються на пошуку вразливостей безпеки, ця нагорода за конфіденційність прагне розширити можливості користувачів, надаючи їм контроль над власними пристроями. Фонд особливо наголошує, що будь-яке успішне рішення не повинно пошкоджувати чи назавжди змінювати апаратне забезпечення Ring, що робить його привабливим варіантом для споживачів, які піклуються про конфіденційність і хочуть зберегти наявні системи безпеки.

Експерти з безпеки вважають цю проблему особливо складною, оскільки камери Ring розроблені з кількома рівнями протоколів шифрування та автентифікації, які забезпечують безперервний зв’язок із серверами Amazon. Спроби злому кільцевої камери в минулому зазвичай зосереджувалися на отриманні неавторизованого доступу до пристроїв, а не на вибірковому блокуванні передачі певних даних із збереженням основних функцій.

Технічні вимоги для виграшу баунті суворі та чітко визначені. Успішні подання повинні продемонструвати метод, який повністю запобігає обміну даними камерами Ring із серверами Amazon, зберігаючи такі важливі функції, як виявлення руху, запис відео, пряму трансляцію для авторизованих користувачів і підключення до локальної мережі. Рішення не може включати фізичну модифікацію апаратного забезпечення, пошкодження вбудованого програмного забезпечення або будь-який підхід, який призведе до анулювання гарантії на пристрій або до його непрацездатності.

Дослідники конфіденційності визначили кілька потенційних підходів до проблеми, хоча кожен представляє унікальні технічні перешкоди. Блокування на рівні мережі за допомогою конфігурації маршрутизатора є одним із можливих шляхів, але сервери Amazon використовують кілька IP-адрес і потенційно можуть обійти основні методи фільтрації. Модифікація вбудованого програмного забезпечення пропонує інший шлях, але пристрої Ring використовують безпечні процеси завантаження та зашифроване мікропрограмне забезпечення, що робить неавторизовані зміни надзвичайно складними для впровадження без запуску захисних механізмів.

Оголошення про нагороду викликало значний інтерес у спільноті кібербезпеки, де багато професіоналів розглядають це як можливість просунути ширшу дискусію про права користувачів в епоху Інтернету речей. Декілька відомих дослідників безпеки вже оголосили про свій намір взяти участь, зазначивши, що виклик узгоджується зі зростаючими зусиллями галузі надати споживачам більше контролю над своїми підключеними пристроями.

Amazon ще не відреагувала публічно на програму винагород Фонду Фулу, але раніше компанія захищала практику збору даних Ring як необхідну для надання хмарних функцій і покращення продуктивності пристрою. Компанія стверджує, що користувачі можуть відмовитися від обміну певними даними за допомогою налаштувань конфіденційності, хоча критики стверджують, що ці елементи керування недостатні та часто поховані в складних системах меню, які перешкоджають їх використанню.

Юридичні наслідки програми баунті привернули увагу експертів із технологічного права, які відзначають, що проблема діє в складному нормативному середовищі. У той час як Закон про захист авторських прав у цифрову епоху та інше законодавство загалом забороняють обходити заходи безпеки на споживчих пристроях, Фонд Фулу стверджує, що користувачі повинні мати право контролювати передачу даних із пристроїв, які їм належать. Ця позиція узгоджується з нещодавніми рухами щодо «права на ремонт» і зростаючою законодавчою підтримкою прав власності споживачів на пристрої.

Галузеві аналітики припускають, що успішне вирішення проблеми Ring може мати далекосяжні наслідки для інших пристроїв розумного дому, які використовують подібні методи збору даних. Такі компанії, як Google, Apple і Facebook, виробляють продукти для підключеного дому, які регулярно передають дані користувачів на корпоративні сервери, часто для цілей, що виходять за рамки основних функцій пристроїв. Перевірений метод вибіркового блокування таких передач потенційно можна адаптувати для використання з продуктами інших виробників.

Сума премії в 10 000 доларів США відображає технічну складність і потенційний вплив виклику. Попередні програми винагород, орієнтовані на конфіденційність, зазвичай пропонували менші винагороди за менш складні цілі. Фонд Fulu зазначив, що він вибрав цю суму, щоб привернути серйозну увагу кваліфікованих спеціалістів із безпеки, які інакше могли б зосередити свої зусилля на більш традиційних програмах винагороди за помилки, які пропонують великі корпорації.

Учасники програми винагороди повинні надати детальну документацію щодо своїх методів, включаючи покрокові інструкції, які дозволять іншим користувачам самостійно впроваджувати рішення. Фонд наголошує, що переможні пропозиції мають бути доступні для користувачів із помірними технічними навичками, а не вимагати передових мережевих навичок або досвіду програмування, які обмежували б їх практичне застосування.

Час для програми баунті залишається безстроковим, а Фонд Фулу заявляє, що продовжуватиме приймати пропозиції, доки не буде продемонстровано та перевірено життєздатне рішення. Організація зібрала групу незалежних експертів з безпеки, які оцінюватимуть подання на основі технічної ефективності, доступності для користувачів і довгострокової стійкості. Переможні рішення мають продовжувати працювати, навіть коли Amazon випускає оновлення мікропрограми або модифікує свою серверну інфраструктуру.

Ранній аналіз, проведений дослідниками безпеки, показує, що найбільш перспективні підходи можуть включати складні методи перехоплення мережі в поєднанні з вибірковою фільтрацією пакетів. Однак використання Amazon зашифрованих з’єднань і закріплення сертифікатів на пристроях Ring створює значні перешкоди для таких методів. Альтернативні підходи, зосереджені на маніпуляціях з DNS або локальними проксі-серверами, стикаються з подібними проблемами, пов’язаними із вбудованими заходами безпеки пристроїв.

Ширші наслідки виклику виходять за межі технічних міркувань до фундаментальних питань щодо прав споживачів і практики корпоративних даних. Прихильники конфіденційності розглядають програму бонусів як практичну демонстрацію того, що користувачів не можна змушувати приймати інвазивний збір даних як неминучий наслідок використання сучасних підключених пристроїв. Програма також підкреслює потенціал масових технічних рішень для вирішення проблем конфіденційності, які виявилося важко вирішити за допомогою традиційних нормативних підходів.

Оскільки спільнота кібербезпеки продовжує аналізувати технічні вимоги та розробляти потенційні рішення, винагорода Фонду Фулу представляє собою унікальне перетину захисту конфіденційності, технічних інновацій і розширення прав і можливостей споживачів. Кінцевий успіх або невдача програми може вплинути на те, як у майбутньому вирішуватимуться проблеми конфіденційності та чи стануть подібні програми винагород стандартним інструментом для просування прав користувачів у цифрову епоху.