Что не так с интернетом вещей (IoT)?
Что такое интернет вещей
Интернет вещей (Internet of Things, IoT) – концепция развития технологий, при которой максимально возможное количество устройств будет иметь доступ в глобальную сеть, обмениваться данными и на основе этих данных максимизировать удобство использования. Например, «умный» холодильник замечает, что в нем кончилось молоко, и отправляет уведомление на часы хозяина, а те, в свою очередь, напоминают во время посещения магазина о необходимости его купить. До такого будущего не так далеко, как кажется. Согласно статистике, каждый год количество устройств, подключенных к интернету вещей, стабильно растет: на 23% в 2018 году, на 18% - в 2022 году. Планируется продолжение этой тенденции и рост на 16% к 2025 году.
Чем опасен интернет вещей
«Фундаментальная проблема в том, что безопасность – это сложно, и люди говорят «ну, мы разберемся с этим позже» или «мы добавим это потом». Но её нельзя добавить потом. Нельзя сделать безопасным то, что изначально не было задумано как безопасное».
Питер Ньюман, один из первых компьютерных специалистов,
с 1985 года ведёт колонку RISKS Digest по проблемам безопасности в онлайн.
Разработка «умных» гаджетов по сути — добавление новых функций в давно известные устройства. Занимаются разработкой в основном те же компании, которые разрабатывали эти устройства без «умного» функционала на протяжении многих лет, либо молодые компании, решившие занять пустующую нишу. Ни первые, ни вторые, к сожалению, не имеют опыта и требуемых навыков для обеспечения информационной безопасности устройств, а зачастую об этом даже не задумываются. Лавинообразно растущее количество новых технологий и низкая заинтересованность их создателей в обеспечении надежности приводит к столь же быстрому росту потенциальных угроз. «Открытый проект безопасности веб-приложений» составил список уязвимостей, характерных интернету вещей:
- небезопасный веб-интерфейс;
- недостаточно надёжная аутентификация;
- небезопасные сетевые службы;
- нехватка надёжности транспортного шифрования;
- проблемы конфиденциальности;
- небезопасный облачный интерфейс;
- небезопасный мобильный интерфейс;
- недостаточная конфигурируемость безопасности;
- небезопасное программное обеспечение;
- плохая физическая безопасность.
Нельзя сказать, что в этом списке есть какие-то экзотические и нетривиальные вещи. Все эти уязвимости часто встречаются и в классических компьютерных устройствах. Но если для разработчиков эти уязвимости очевидны и перманентно устраняются, то в случае с IoT еще понадобится какое-то время для осознания проблем безопасности в глобальном масштабе.
Примеры практического применения IoT
Умный дом
Концепция «умного дома» — вариант обустройства высокотехнологичного жилища, в котором вся техника, от кондиционера и жалюзи до светильника и микроволновки, связана друг с другом и настраивается в один тап со смартфона. Естественно, что при таком устройстве быта растет зависимость от надежности этих устройств. Пока нам не грозит «восстание машин», просто уже существующие угрозы конфиденциальности окажутся более вероятными и неприятными. Раньше злоумышленник мог через интернет узнать адрес почты и пароль от VK, а теперь привычки, список сериалов, любимую еду и распорядок дня — полный слепок личности человека. Но это редкий сценарий. В прошлом году компания Proofpoint обнаружила ботнет, состоящий из ста тысяч устройств «умной» техники, в числе которых был как минимум один холодильник. Группа неизвестных хакеров взламывала плохо защищенные «умные» гаджеты, после чего сервер электронной почты устройства начинал рассылку. В основном пострадали телевизоры, игровые консоли и домашние маршрутизаторы. Ботнет — это каскад взломанных устройств, использующихся для отправки множества сообщений с целью произвести несовместимую с нормальным функционированием нагрузку на потенциальную жертву. В рассматриваемом случае взломанные устройства отправляли электронные письма (естественно, эта функция, по задумке разработчиков, должна была использоваться исключительно для отправки уведомлений о работе устройства) трижды в день, по 750 тысяч за раз. Если к возможности утечки данных через компьютер мы давно привыкли, а через смартфоны — привыкаем, то бытовая техника пока что остается плохо контролируемой. Другой аналогичный пример связан с созданием ботнета из камер наблюдения, всего 900 камер со всех концов земного шара (22 из них находились на территории РФ) генерировали одновременно 20000 запросов на атакуемый сервер. Это серьезная проблема – устройства, предназначенные для обеспечения физической безопасности, такие как камеры, домофоны и охранные сигнализации, часто не обеспечены безопасностью информационной. Данные, передаваемые по шлейфу или беспроводной сети, не шифруются, а авторизованный доступ может сымитировать злоумышленник.
Бытовая техника
IoT — это не только Internet of Things, это еще и Internet of Targets, интернет целей. Недостаточная надежность при передаче данных, особенно касательно беспроводной сети, — одна из главных проблем интернета вещей. Исследователи информационной безопасности из Pen Test Partners смогли взломать смарт-чайники по всему Лондону. В исследовании взлому подвергся чайник iKettle, работу которого можно регулировать удаленно, с помощью смартфона или даже через Twitter. Главная проблема чайника (и множества подобных ему устройств) это использование точки доступа Wi-Fi с заводским паролем, а то и вовсе незапароленной. Другой пример — эксперты центра безопасности Сингапурского университета технологии и дизайна смогли получить доступ к персональным данным с помощью квадрокоптера и смартфона. Способ взлома заключался в следующем: смартфон на квадрокоптере облетал офисное здание, искал принтеры с функцией Wi-Fi Direct (функция современных принтеров, упрощающая их включение в беспроводную корпоративную сеть) и подключался к сети под именем этого принтера. В итоге все документы, отправляемые на печать, сначала оказывались на смартфоне. Несмотря на такой немного безумный способ взлома – защита беспроводного принтера является серьезной проблемой, так как через него может проходить значительное количество конфиденциальной информации. Для контроля информации, отправляемой на принтеры, может пригодиться DLP-система, но вот задача по предотвращению взлома устройства ложится непосредственно на разработчиков.
Носимая электроника
Другой бурно развивающийся сегмент интернета вещей — носимая электроника. Фитнес-трекеры начали активно развиваться около десяти лет назад. Сначала эти устройства представляли собой электронный шагомер, потом в них добавились другие функции, такие как измерение пульса и давления. Последние модели фитнес-трекеров могут предоставить практически полную информацию по здоровью и физическому состоянию пользователя, имеют синхронизацию с мобильным устройством, выполняют функции социальной сети. Согласно исследованиям, большинство фитнес-трекеров уязвимы для взлома. На первый взгляд пользователю взлом такого гаджета не может принести каких-то особых проблем, но с ростом функциональности увеличиваются и возможные негативные последствия для обладателя устройства. Что уж говорить о носимой электронике более «высокого полета». Смарт-часы, такие как Apple Watch, и очки, аналогичные Google Glass, представляют собой полноценные устройства с функционалом, практически идентичным современным смартфонам. При этом их защита тоже оставляет желать лучшего. Например, «умные» часы Galaxy Gear S от корейской компании Samsung еще на стадии тестирования оказались в центре скандала с возможностью утечки через них данных.
Умные авто
Все проблемы, связанные с безопасностью часов, браслетов и очков, меркнут по сравнению с возможностью взлома «умного» автомобиля. Двое исследователей безопасности сумели взломать автомобиль Jeep Cherokee с расстояния всего в несколько километров, а после отправить его в кювет. Концерну Chrysler после этого случая пришлось отозвать почти полтора миллиона машин. Проблема заключалась в соединении магнитолы автомобиля с интернетом, которое было недостаточно надежно. При этом электроника в медиацентре автомобиля была связана с частью, отвечающей за управление. Такая схема работы электроники, в которой программная часть, управляющая медиа-контентом, связана с управлением авто, полностью недопустима. При этом такой уязвимости могут быть подвержены даже самолеты — исследователь безопасности Рубен Сантамарта смог получить доступ к бортовому оборудованию, подключившись к бесплатной беспроводной сети. Другая возможность автомобилей нового поколения — автопилот. Совсем недавно автопилот появился в электрокарах марки Tesla. Другие производители также активно тестируют данную возможность. Для этого на машинах от Google и некоторых других марок устанавливается специальный лазерный сенсор, создающий трехмерную «карту» окружающего пространства, а на основе полученных данных автомобиль прокладывает маршрут. Группа исследователей обнаружила возможность обмануть такую систему с помощью простой лазерной указки. Детектор начинает думать, что перед ним препятствие и пытается избежать его, чем может вызвать аварийную ситуацию.
Искусственный интеллект в интернете вещей
Достаточно новое определение, на стыке самых популярных технологий: интернета вещей и искусственного интеллекта. AIoT (artificial intelligence of thing) – применение ИИ-технологии в объектах интернета вещей с целью получения дополнительного функционала (возможностей получать данные онлайн, актуальность аналитики, прогнозирование и предупреждение инцидентов, в том числе информационной безопасности). Области применения AIoT не ограничены, в каждой сфере, где необходимо быстрое управление, анализ и прогнозирование на основе большого объема данных, можно применять искусственный интеллект интернета вещей. Например, в управлении и автоматизацией производственных процессов, в медицинской аналитике и приборах, в робототехнике и других сферах.
AIoT как правило выполняет следующие функции:
- Локальная аналитика и отказ от дополнительного звена в цепочке информации (сбор данных-аналитика-результат вместо сбор данных-отправка в облако-аналитика-результат).
- Часть операционной системы для коллаборативных роботов (коботов). Это отдельное направление в робототехнике, которое осуществляет создание манипулятивных роботов, умеющих взаимодействовать с пользователем. Сюда же можно отнести и производство автономных роботов-доставщиков, которые адаптируются к инфраструктуре городской среды.
- Участие в симуляции и тестировании виртуальных прототипов физических объектов (цифровых двойников).
Пока что значительных утечек по каналам AIoT не обнаружено, однако расширение использования этого типа устройств увеличивает потенциальную угрозу информационной безопасности.
Интернет медицинских вещей (IoMT)
Один из самых динамично развивающихся сегментов применения технологии интернета вещей. Представляет собой сеть из подключенных к сети интернет медицинских устройств, обеспечивая таким образом удаленное управление, сбор и анализ медицинских данных. Некоторые специалисты уверяют, что к 2030 году рынок интернета медицинских вещей (IoMT) достигнет 860-870 млрд долларов, и продолжит рост далее.
Учитывая специфику и высокую конфиденциальность медицинских данных, интернет медицинских вещей (IoMT) требует комплексного решения по обеспечению информационной безопасности и высоких стандартов решения этой задачи.
Вывод
Безопасность в интернете — это проблема с глубокими корнями, а новые технологии лишь добавляют ей актуальности. Когда преподаватель MIT Дэвид Кларк представлял в 1988 концепцию развития интернета, то в семи «важных тенденциях по разработке в интернете» ни разу не упоминалось слово «безопасность». Когда он готовил аналогичный доклад двадцать лет спустя — «безопасность» в списке шла первым пунктом. Эта аксиома является актуальной до сих пор.