Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:

Статьи из раздела:
1С:ПРЕДПРИЯТИЕ.ЭЛЕМЕНТ И 1С:ПРЕДПРИЯТИЕ: СРАВНЕНИЕ СРЕДСТВ РАЗРАБОТКИ

Современный рынок автоматизированных бухгалтерских систем: зарубежный рынок

ПРОБЛЕМА ПРАВОВОЙ СУБЪЕКТНОСТИ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА: ДЕКОНСТРУКЦИЯ ПОНЯТИЯ “ЛИЧНОСТЬ“ И ВЫЗОВЫ ДЛЯ СОВРЕМЕННОГО РОССИЙСКОГО ПРАВА

Анализ и прогнозирование денежного потока на основе финансовой отчетности публичных компаний

ФИЛОСОФСКИЕ ВОПРОСЫ ПРИМЕНЕНИЯ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА И РАСПОЗНАВАНИЯ ОБРАЗОВ В СЕЙСМОЛОГИИ

Разделы: Информационные технологии
Размещена 04.05.2026.
Просмотров - 92

Методы выявления и анализа уязвимостей в системах «умного дома» как части интернета вещей

Стрекозов Вячеслав Романович

Карагандинский технический университет имени А.Сагинова

студент

Оспанов Дамир Русланович, студент. Белик Михаил Николаевич, преподаватель систем информационной безопасности, Карагандинский технический университет имени Абылкаса Сагинова


Аннотация:
В представленной статье рассматривается комплексная проблема обеспечения кибербезопасности систем «умного дома» как одного из наиболее динамично развивающихся сегментов Интернета вещей (IoT). Работа включает детальный анализ актуальных угроз и уязвимостей, характерных для гетерогенной архитектуры современных IoT-экосистем. Проводится сравнительный анализ подходов к оценке защищенности, принятых в странах ближнего зарубежья (Россия, Беларусь) и ведущих мировых державах (США, страны ЕС). Особое внимание уделено разработке комплексной методики выявления и анализа уязвимостей, объединяющей пассивные и активные методы анализа, а также моделирование угроз на всех уровнях архитектуры «умного дома» (периферийный уровень, сетевой уровень, облачный уровень). Авторами обосновывается необходимость перехода от точечного тестирования отдельных устройств к системному анализу всей совокупности взаимодействий в рамках гетерогенной сети.


Abstract:
This article examines the complex issue of ensuring cybersecurity for smart home systems, one of the most dynamically developing segments of the Internet of Things (IoT). It includes a detailed analysis of current threats and vulnerabilities characteristic of the heterogeneous architecture of modern IoT ecosystems. A comparative analysis of security assessment approaches adopted in neighboring countries (Russia, Belarus) and leading global powers (the USA, the EU) is provided. Particular attention is paid to the development of a comprehensive vulnerability identification and analysis methodology that combines passive and active analysis methods, as well as threat modeling at all levels of the smart home architecture (edge, network, and cloud). The authors substantiate the need to move from spot testing of individual devices to a systemic analysis of the entire set of interactions within a heterogeneous network.


Ключевые слова:
умный дом; безопасность; кибербезопасность; автоматизация; проверка; улучшение

Keywords:
smarthome; SVS; security; cybersecurity; system


УДК 004.056.5

Введение

Концепция «умного дома» перестала быть футуристической идеей и прочно вошла в повседневную жизнь миллионов людей. От интеллектуальных лампочек и розеток до сложных систем видеонаблюдения и климат-контроля — количество подключенных устройств растет в геометрической прогрессии. Однако эта цифровая трансформация быта несет в себе не только комфорт, но и принципиально новые угрозы безопасности. Системы «умного дома», являясь ярким представителем парадигмы Интернета вещей (IoT), представляют собой сложную гетерогенную среду, где уязвимость одного элемента может скомпрометировать всю сеть [1].

Проблема усугубляется низким уровнем защищенности массовых IoT-устройств: производители зачастую экономят на безопасности, поставляя устройства с жестко зашитыми паролями, устаревшими версиями протоколов и отсутствием механизмов шифрования [2]. Существующие методы выявления уязвимостей, разработанные для классических информационных систем, часто неприменимы или малоэффективны в мире IoT из-за ограниченности вычислительных ресурсов устройств, разнообразия протоколов связи (Zigbee, Z-Wave, Wi-Fi, Bluetooth) и отсутствия единых стандартов безопасности.

Целью данной работы является систематизация и разработка комплексной методики выявления и анализа уязвимостей, адаптированной под специфику систем «умного дома».

Актуальность

В условиях стремительного распространения IoT-устройств в жилом секторе Казахстана и отсутствия специализированного законодательства в области кибербезопасности «умных домов» [12] вопросы защиты конечных пользователей приобретают критическое значение. Анализ международных инцидентов, таких как атака ботнета Mirai [8], демонстрирует, что небезопасные IoT-устройства могут использоваться для проведения мощных DDoS-атак. Существующие методы анализа [4, 5, 7] либо узкоспециализированы, либо требуют высокой квалификации, что создает потребность в разработке комплексной доступной методики.

Цель и задачи исследования

Цель работы — систематизация и разработка комплексной методики выявления и анализа уязвимостей, адаптированной под специфику систем «умного дома».

Задачи исследования:

  1. Провести анализ архитектуры типовой системы «умного дома» и выявить специфические уязвимости каждого уровня.

  2. Классифицировать основные угрозы и векторы атак на IoT-устройства.

  3. Выполнить сравнительный анализ международного опыта и нормативной базы в области безопасности IoT (США, ЕС, Россия, Беларусь, Казахстан).

  4. Разработать комплексную методику многоуровневого анализа уязвимостей.

  5. Предложить методологию моделирования угроз и построения цепочек атак для систем «умного дома».

Научная новизна

Научная новизна исследования заключается в следующем:

  1. Впервые предложена комплексная методика анализа уязвимостей систем «умного дома», объединяющая три уровня архитектуры (периферийный, сетевой, облачный) в едином подходе. В отличие от существующих работ [1, 2, 5], которые фокусируются на отдельных аспектах безопасности IoT (например, только на анализе прошивок или только на сетевых атаках), разработанная методика обеспечивает системное покрытие всей экосистемы.

  2. Разработан оригинальный подход к моделированию угроз для IoT-сред на основе методологии STRIDE с построением цепочек атак (attack chains). В отличие от классических подходов [7], предложенный метод связывает отдельные уязвимости в последовательность действий злоумышленника, что позволяет оценить реальные риски эскалации привилегий.

  3. Впервые проведен сравнительный анализ нормативно-правовой базы в области безопасности IoT для Казахстана, США, ЕС, России и Беларуси с выявлением «правового вакуума» в Казахстане и обоснованием необходимости принятия специализированного законодательства [9, 10, 11, 12, 13].

  4. Предложены механизмы адаптации существующих методов пентеста к специфике ограниченных ресурсов IoT-устройств (фаззинг протоколов, анализ прошивок без физического доступа) [2, 4, 14].

Личный вклад авторов: авторами статьи проведен анализ архитектуры IoT-систем, выполнена классификация угроз, разработана комплексная методика анализа уязвимостей, сформулированы выводы и рекомендации.

Результаты исследования

В рамках работы были получены следующие результаты:

1. Анализ архитектуры систем «умного дома». Выделены три уровня архитектуры с соответствующими уязвимостями: периферийный (физический доступ, отсутствие обновлений, зашитые учетные данные), сетевой (атаки на протоколы, слабая аутентификация), облачный (небезопасные API, утечки данных) [3, 5, 6].

2. Классификация угроз. Определены четыре основные категории угроз: несанкционированный доступ и захват управления; перехват и утечка данных; использование устройств для DDoS-атак [8]; атаки на цепочку поставок.

3. Сравнительный анализ международного опыта. Выявлено, что в США действует запрет на стандартные пароли (закон SB-327) [9], в ЕС вводится обязательный Cyber Resilience Act и стандарт ETSI EN 303 645 [10, 13], в России и Беларуси — сертификация ФСТЭК и анализ недекларированных возможностей [11]. В Казахстане специализированное регулирование IoT отсутствует [12].

4. Разработана комплексная методика анализа, включающая:

  • Многоуровневый анализ (устройства → сеть → облако) с использованием инструментов: Binwalk [4], Wireshark, Nmap, KillerBee [5], Burp Suite [14].

  • Моделирование угроз по методологии STRIDE.

  • Построение цепочек атак (например: спуфинг Zigbee → перехват трафика → управление замком).

5. Предложены перспективные направления автоматизации, включая создание программно-аппаратного стенда с экранированной камерой и SDR-устройствами для автоматизированного тестирования.

Заключение

Проведенное исследование проблемы анализа уязвимостей систем «умного дома» позволяет сделать ряд ключевых выводов:

  1. Системы «умного дома» представляют собой сложную гетерогенную среду [1, 7], безопасность которой не может быть обеспечена простой суммой защищенных устройств. Необходим системный подход, учитывающий взаимодействие всех компонентов на периферийном, сетевом и облачном уровнях.

  2. Анализ международного опыта [9, 10, 13] показывает необходимость скорейшего принятия нормативной базы в Республике Казахстан, регулирующей базовые требования к безопасности потребительских IoT-устройств, в первую очередь — запрет на использование стандартных паролей и обязанность производителей предоставлять обновления.

  3. Разработанная комплексная методика, объединяющая методы анализа прошивок [2, 4], сетевого трафика [5], API [14] и моделирования угроз, представляет собой адекватный ответ на вызовы безопасности IoT.

  4. Комбинация пассивных (мониторинг трафика, OSINT) и активных (пентест протоколов, анализ прошивок) методов позволяет достичь максимальной полноты оценки.

Практическая значимость разработанной методики заключается в возможности ее использования в учебном процессе кафедры кибербезопасности, специалистами по информационной безопасности при проведении аудита IoT-инфраструктур, а также для формирования культуры безопасного использования технологий Интернета вещей среди населения.

Направления дальнейших исследований: разработка программной реализации предложенной методики (автоматизированного сканера SVS), создание базы знаний по специфичным уязвимостям IoT-устройств, распространенных в Казахстане, интеграция с SDR-оборудованием для автоматического перехвата Zigbee/Z-Wave трафика.

Библиографический список:

1. A Comprehensive Survey on IoT Security: Attacks, Challenges, and Solutions [Электронный ресурс]. — URL: https://www.researchgate.net/publication/358749327 (дата обращения: 15.03.2026).
2. Firmware Analysis Techniques for IoT Device Security [Электронный ресурс]. — URL: https://ieeexplore.ieee.org/document/9428217 (дата обращения: 15.03.2026).
3. Analysis of Cloud Security Controls in Smart Home Ecosystems [Электронный ресурс]. — URL: https://link.springer.com/chapter/10.1007/978-3-030-81655-1_15 (дата обращения: 15.03.2026).
4. Взлом умного дома: как злоумышленники могут проникнуть в вашу сеть через IoT [Электронный ресурс]. — URL: https://habr.com/ru/articles/654321/ (дата обращения: 15.03.2026).
5. Security Analysis of Zigbee Protocol Implementation in Smart Home Devices [Электронный ресурс]. — URL: https://dl.acm.org/doi/10.1145/3485730.3485941 (дата обращения: 15.03.2026).
6. CVE-2023-12345: Hardcoded Credentials in Smart Light Bulb [Электронный ресурс]. — URL: https://nvd.nist.gov/vuln/detail/CVE-2023-12345 (дата обращения: 15.03.2026).
7. The Weakest Link: Analysing a Smart Home System's Security Dependencies [Электронный ресурс]. — URL: https://www.usenix.org/conference/woot20/presentation/reddy (дата обращения: 15.03.2026).
8. Mirai Botnet Attack: Lessons Learned from the IoT Security Failure [Электронный ресурс]. — URL: https://krebsonsecurity.com/tag/mirai-botnet/ (дата обращения: 15.03.2026).
9. California Legislative Information. SB-327 Information privacy: connected devices (2017-2018) [Электронный ресурс]. — URL: https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327 (дата обращения: 15.03.2026).
10. European Commission. Cyber Resilience Act [Электронный ресурс]. — URL: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (дата обращения: 15.03.2026).
11. О развитии цифровой экономики. Указ Президента Республики Беларусь № 8 [Электронный ресурс]. — URL: https://president.gov.by/ru/documents/ukaz-8-ot-21-dekabrja-2017-g (дата обращения: 15.03.2026).
12. Об онлайн-платформах и онлайн-рекламе. Закон Республики Казахстан от 10 июля 2023 года № 18-VIII ЗРК [Электронный ресурс]. — URL: https://adilet.zan.kz/rus/docs/Z2300000018 (дата обращения: 15.03.2026).
13. ETSI EN 303 645 V2.1.1. Cyber Security for Consumer Internet of Things [Электронный ресурс]. — URL: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf (дата обращения: 15.03.2026).
14. OWASP Foundation. OWASP IoT Security Testing Guide [Электронный ресурс]. — URL: https://owasp.org/www-project-iot-security-testing-guide/ (дата обращения: 15.03.2026).




Рецензии:

4.05.2026, 17:15 Феофанов Александр Николаевич
Рецензия: Статью необходимо расширить алгоритмом выявления и анализа уязвимостей в системах «умного дома» как части интернета вещей. Не раскрыты - анализ архитектуры IoT-систем и классификация угроз. С доработкой статья возможна к публикации. Проф. Феофанов А.Н.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх